次の方法で共有

MBAM 1.0 の評価

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) を運用環境に展開する前に、ラボ環境で評価する必要があります。 評価目的のためにのみ単一サーバーのラボ環境に MBAM をセットアップするには、このトピックの情報を使用できます。

実際の展開手順は「単一サーバーに MBAM をインストールして構成する方法」で説明されているシナリオとよく似ていますが、このトピックでは、最短時間で MBAM 評価環境をセットアップするための追加情報について説明します。

ラボ環境のセットアップ

ラボ環境で評価するために MBAM の非運用インスタンスをセットアップする場合でも、展開の前提条件、ハードウェアの要件、およびソフトウェアの要件を満たしていることを検証する必要があります。 詳細については、「MBAM 1.0 展開の前提条件」と「MBAM 1.0 がサポートされる構成」を参照してください。 MBAM の評価用展開を開始する前に、「MBAM 1.0 に対応する環境の準備」も確認してください。

MBAM の評価用展開の計画

  タスク 参照 メモ
チェックリスト ボックス

MBAM に関する基本情報を確認して、展開の計画を開始する前に製品の基本を理解する。

MBAM 1.0 をお使いになる前に

チェックリスト ボックス

MBAM インストールに必要なコンピューティング環境を用意する。 そのために、MBAM データベースをホストする SQL Server インスタンスで Transparent Data Encryption (TDE) を有効にする必要があります。 ラボ環境で TDE を有効にするには、MBAM が使用する SQL Server のインスタンスでホストされるマスター データベースに対して実行する .sql ファイルを作成します。

注意

MBAM データベースをホストする SQL Server インスタンスですばやく TDE を有効にするために、ラボ環境用に .sql ファイルを作成するには、次の例を使用できます。 これらの SQL Server コマンドでは、ローカルで署名した SQL Server 証明書を使用して TDE を有効にします。 TDE 証明書とその関連する暗号化キーは、例の C:\Backup</EM> というローカル バックアップ パスにバックアップしてください。 この TDE 証明書とキーは、データベースを回復するとき、または TDE 暗号化が構成された別のサーバーに証明書とキーを移動するときに必要です。

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'P@55w0rd';
GO
CREATE CERTIFICATE tdeCert WITH SUBJECT = 'TDE Certificate';
GO
BACKUP CERTIFICATE tdeCert TO FILE = 'C:\Backup\TDECertificate.cer'
   WITH PRIVATE KEY (
         FILE = 'C:\Backup\TDECertificateKey.pvk',
         ENCRYPTION BY PASSWORD = 'P@55w0rd');
GO

MBAM 1.0 展開の前提条件

SQL Server 2008 Enterprise Edition のデータベースの暗号化

チェックリスト ボックス

MBAM グループ ポリシーの要件を計画および構成する。

MBAM 1.0 グループ ポリシー要件の計画

チェックリスト ボックス

必要な Active Directory ドメイン サービス セキュリティ グループを計画して作成し、MBAM ローカル セキュリティ グループ メンバーシップの要件を計画する。

MBAM 1.0 管理者ロールの計画

チェックリスト ボックス

MBAM サーバー機能の展開を計画する。

MBAM 1.0 サーバーの展開の計画

チェックリスト ボックス

MBAM クライアントの展開を計画する。

MBAM 1.0 クライアントの展開計画

MBAM の評価用展開の実行

必要な計画とソフトウェアの前提条件のインストールを完了して、MBAM をインストールできるコンピューティング環境が整ったら、MBAM の評価用展開を開始できます。

チェックリスト ボックス

MBAM がサポートされる構成の情報を見て、選択したクライアント コンピューターとサーバー コンピューターで、MBAM 機能のインストールがサポートされていることを確認する。

MBAM 1.0 がサポートされる構成

チェックリスト ボックス

MBAM のセットアップを実行して、評価用の単一サーバーに MBAM サーバー機能を展開する。

単一サーバーに MBAM をインストールして構成する方法

チェックリスト ボックス

計画フェーズで作成した Active Directory ドメイン サービス セキュリティ グループを、新しい MBAM サーバーの適切なローカル MBAM サーバー機能のローカル グループに追加する。

MBAM 1.0 管理者ロールの計画MBAM 管理者ロールの管理方法

チェックリスト ボックス

必要な MBAM グループ ポリシー オブジェクトを作成および展開する。

Deploying MBAM 1.0 グループ ポリシー オブジェクト

チェックリスト ボックス

MBAM クライアント ソフトウェアを展開する。

MBAM 1.0 クライアントの展開

MBAM 評価用のラボ コンピューターの構成

レジストリ エディターを使用して、MBAM クライアントの状態レポートに関する頻度の設定を変更できます。 ただし、これらの変更はテスト用途にのみ使用してください。

警告

このトピックでは、レジストリ エディターを使用して Windows レジストリを変更する方法について説明します。Windows レジストリに誤った変更を加えると、重大な問題が発生し、Windows の再インストールが必要になる可能性があります。レジストリを変更する前に、必ずレジストリ ファイル (System.dat および User.dat) のバックアップ コピーを作成してください。マイクロソフトでは、レジストリの変更によって生じた問題の解決については保証いたしかねます。ユーザーご自身の責任においてレジストリを変更してください。

MBAM クライアントの状態レポートに関する頻度設定の変更

MBAM クライアントの起動および状態レポートの頻度は、グループ ポリシーを使用するために設定されるときに 90 分の最小値に設定されます。 MBAM クライアント コンピューターでこれらの頻度を変更するには、Windows のレジストリ値を低い値に編集します。こうすることで、テスト時間を短縮できます。 MBAM クライアントの状態レポートに関する頻度設定を変更するには、レジストリ エディターを使用して HKLM\Software\Policies\FVE\MDOPBitLockerManagement を開き、ClientWakeupFrequencyStatusReportingFrequency の値をクライアントがサポートする最小値の 1 に変更し、BitLocker Management Client サービスを再起動します。 このように変更すると、MBAM クライアントでは毎分レポートされます。 このような低い値に設定できるのは、レジストリの値を手動で設定する場合のみです。

MBAM クライアント サービスのスタートアップ遅延の変更

MBAM クライアントの起動と状態レポートの頻度に加え、MBAM クライアント エージェント サービスがクライアント コンピューターで開始されるときに、最大 90 分のランダムな遅延があります。 ランダムな遅延が不要な場合は、HKLM\Software\Microsoft\MBAM 以下に DWORD という値の NoStartupDelay を作成し、値を 1 に設定してから、BitLocker Management Client サービスを再起動します。

参照:

その他のリソース

MBAM 1.0 をお使いになる前に

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----