単一サーバーに MBAM をインストールして構成する方法
適用対象: Microsoft BitLocker Administration and Monitoring 1.0
ここでは、単一サーバーに Microsoft BitLocker Administration and Monitoring (MBAM) 機能をフル インストールする手順について説明します。
各サーバー機能には、特定の前提条件があります。 前提条件、ハードウェア要件、およびソフトウェア要件を確認するには、「MBAM 1.0 展開の前提条件」および「MBAM 1.0 がサポートされる構成」を参照してください。 さらに、一部の機能では、機能を適切に展開するために、インストール プロセス中に情報を提供する必要があります。 MBAM の展開を開始する前に、「MBAM 1.0 に対応する環境の準備」も確認してください。
注意
セットアップ ログ ファイルを取得するには、msiexec パッケージと /l <場所> オプションを使用して、MBAM をインストールする必要があります。 ログ ファイルが、指定した場所に作成されます。
追加セットアップのログ ファイルは、MBAM をインストールしたユーザーの %temp% フォルダーに作成されます。単一サーバーに MBAM サーバー機能をインストールするには
次の手順では、一般的な MBAM 機能のインストール方法について説明します。
注意
32 ビット サーバーには 32 ビット セットアップ、64 ビット サーバーには 64 ビット セットアップを使用します。
MBAM サーバー機能のインストールを開始するには
MBAM インストール ウィザードを開始します。 ようこそページの [インストール] をクリックします。
Microsoft ソフトウェア使用許諾契約を読み、同意してから、[次へ] をクリックしてインストールを続行します。
既定では、すべての MBAM 機能がインストールされるように選択されています。 同じコンピューターにインストールする機能は、同時にインストールする必要があります。 他の場所にインストールする機能をオフにします。 MBAM 機能は次の順序でインストールする必要があります。
回復とハードウェア データベース
準拠と監査データベース
準拠と監査レポート
Administration and Monitoring サーバー
MBAM グループ ポリシー テンプレート
注意
インストールの前提条件が確認され、不足している前提条件が表示されます。 すべての前提条件を満たしていると、インストールが続行されます。 不足している前提条件が検出された場合、不足している前提条件を解決してから、[前提条件を再チェックする] をクリックします。 すべての前提条件を満たすと、インストールは再開されます。
ネットワーク通信のセキュリティを構成するように求められます。 MBAM は、回復とハードウェア データベース、Administration and Monitoring サーバー、およびクライアントの間の通信を暗号化することができます。 通信を暗号化する場合、暗号化用に、証明機関から発行された証明書を選択するように求められます。
[次へ] をクリックして、続行します。
MBAM セットアップ ウィザードが、選択した機能のインストール ページを表示します。
MBAM サーバー機能を展開するには
[回復とハードウェア データベースの構成] ウィンドウで、SQL Server のインスタンスと、回復データとハードウェア データを保存するデータベース名を指定します。 また、データベース ファイルの場所とログ情報場所の両方を指定する必要があります。
[次へ] をクリックして、続行します。
[準拠と監査データベースの構成] ウィンドウで、SQL Server のインスタンスと、準拠データと監査データを保存するデータベース名を指定します。 データベース ファイルの場所とログ情報の場所を指定します。
[次へ] をクリックして、続行します。
[準拠と監査レポート] ウィンドウで、使用するレポート サービス インスタンスを指定し、データベースへのアクセスに使用するドメイン ユーザー アカウントを指定します。 この用途のためにのみ用意したユーザー アカウントにする必要があります。 このユーザー アカウントは、MBAM レポートのユーザー グループに使用可能なすべてのデータにアクセスできる必要があります。
[次へ] をクリックして、続行します。
[Administration and Monitoring サーバーの構成] ウィンドウで、MBAM Administration and Monitoring サーバーの [ポートのバインド]、[ホスト名] (省略可能)、および [インストール パス] を入力します。
警告
一意のホスト ヘッダー名を指定していない場合、Administration and Monitoring サーバーで使用されていないポート番号を指定する必要があります。
[次へ] をクリックして、続行します。
コンピューターのセキュリティを保つために Microsoft Updates を使用するかどうかを指定してから、[次へ] をクリックします。 Microsoft Updates のオプションでは、Windows の自動更新は有効にされません。
セットアップ ウィザードによって必要な機能情報が収集されると、MBAM をインストールできる状態になります。 インストール設定を確認または変更する場合は、[戻る] をクリックしてウィザードの画面を戻ります。 [インストール] をクリックすると、インストールが開始されます。 [キャンセル] をクリックしてセットアップを終了します。 セットアップによって MBAM 機能がインストールされ、インストールの完了が通知されます。
[完了] をクリックすると、ウィザードを終了します。
MBAM サーバー機能のインストールが完了したら、ユーザーを MBAM ロールに追加する必要があります。 詳細については、「MBAM 1.0 管理者ロールの計画」を参照してください。
インストール後の構成を実行するには
セットアップが完了したら、ユーザーが MBAM 管理 Web サイトの機能にアクセスできるように、ユーザー ロールを追加する必要があります。 Administration and Monitoring サーバーで、ユーザーを次のローカル グループに追加します。
[MBAM ハードウェアのユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトのハードウェア機能にアクセスすることができます。
[MBAM ヘルプデスク ユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトのドライブの回復機能と TPM の管理機能にアクセスできます。 ドライブの回復と TPM の管理のすべてのフィールドは、ヘルプデスク ユーザーにとって必要なフィールドです。
[MBAM 高度なヘルプデスク ユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトの、ドライブの回復機能と TPM の管理機能に高度なアクセスをすることができます。 高度なヘルプデスク ユーザーが、ドライブの回復で必要なのは、キー ID フィールドのみです。 TPM の管理ユーザーの場合、コンピューター ドメイン フィールドとコンピューター名フィールドのみが必要です。
Administration and Monitoring サーバー、準拠と監査データベース、および準拠と監査レポート機能をホストするコンピューターで、ユーザーを次のローカル グループに追加して、MBAM 管理 Web サイトのレポート機能へのアクセス権をユーザーに付与します。
- [MBAM レポートのユーザー]: このローカル グループのメンバーは、MBAM 管理 Web サイトのレポート機能にアクセスすることができます。
注意
[MBAM レポートのユーザー] ローカル グループのユーザー メンバーシップまたはグループ メンバーシップは、Administration and Monitoring サーバー機能、準拠と監査データベース、および準拠と監査レポートがインストールされているすべてのコンピューターで、同じである必要があります。
すべてのコンピューターで同じメンバーシップを維持するには、ドメイン セキュリティ グループを作成し、そのドメイン グループを各ローカル MBAM レポートのユーザー グループに追加する必要があります。 このように操作すると、ドメイン グループを使用してグループ メンバーシップを管理できます。
MBAM サーバー機能のインストールの検証
MBAM のインストールが完了したら、BitLocker 管理に必要なすべての MBAM 機能がインストールによって適切にセットアップされたことを確認します。 次の手順を使用して、MBAM サービスが機能していることを確認します。
MBAM サーバー機能のインストールを検証するには
MBAM 機能を展開した各サーバーで、[コントロール パネル] を開きます。 [プログラム] をクリックし、[プログラムと機能] をクリックします。 [プログラムと機能] の一覧に [Microsoft BitLocker Administration and Monitoring] が表示されていることを確認します。
注意
インストールを確認するには、各サーバーのローカル コンピューターの管理者資格権限を持つドメイン アカウントを使用する必要があります。
回復とハードウェア データベースがインストールされているサーバーで、SQL Server Management Studio を開いて、[MBAM Recovery and Hardware] データベースがインストールされていることを確認します。
準拠と監査データベースがインストールされているサーバーで SQL Server Management Studio を開き、[MBAM 準拠と監査] データベースがインストールされていることを確認します。
準拠と監査レポートがインストールされているサーバーで、管理者権限で Web ブラウザーを開き、SQL Server Reporting Services サイトの "ホーム" を参照します。
SQL Server Reporting Services サイトの既定のホームの場所は、http://<MBAM レポート サーバー名>/Reports です。 実際の URL を見つけるには、Reporting Services Configuration Manager ツールを使用し、セットアップ時に指定したインスタンスを選択します。
[マルタ準拠レポート] という名前のフォルダーが一覧にあることと、それに 5 つのレポートと 1 つのデータ ソースが含まれていることを確認します。
注意
SQL Server Reporting Services を名前付きインスタンスとして構成した場合は、URL は次のようになります。http://<MBAM レポート サービス名>/Reports_<SRS のインスタンス名>
Administration and Monitoring 機能がインストールされているサーバーで、[サーバー マネージャー] を実行して [ロール] を参照し、[Web サーバー (IIS)] を選択して、[インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。
[接続] で、<コンピューター名> を参照して、[サイト] をクリックしてから [Microsoft BitLocker Administration and Monitoring] をクリックします。 [MBAMAdministrationService]、[MBAMComplianceStatusService]、および [MBAMRecoveryAndHardwareService] が一覧にあることを確認します。
Administration and Monitoring 機能がインストールされているサーバーで、管理者権限で Web ブラウザーを開き、MBAM Web サイトの次の場所を参照して、正常に読み込まれることを確認します。
http://<コンピューター名>/default.aspx。また、ナビゲーションとレポートの各リンクを確認してください。
http://<コンピューター名>/MBAMAdministrationService/AdministrationService.svc
http://<コンピューター名>/MBAMComplianceStatusService/StatusReportingService.svc
http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc
注意
通常、サービスは、ネットワークの暗号化を行わず、既定ポート 80 でインストールされます。 違うポートでインストールされている場合は、適切なポートを含む URL に変更してください。 (例: http://<コンピューター名>:<ポート>/default.aspx または http://<ホスト ヘッダー名>/default.aspx)
ネットワークの暗号化を行って、サービスをインストールした場合は、http:// を https:// に変更します。
参照:
その他のリソース
-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----