BitLocker 管理を展開する

適用対象: Configuration Manager (Current Branch)

Configuration Manager の BitLocker 管理には、次のコンポーネントが含まれています。

BitLocker 管理ポリシーを作成して展開する前に、次の手順を実行します。

ポリシーを作成する

このポリシーを作成して展開すると、Configuration Manager クライアントはデバイス上で BitLocker 管理エージェントを有効にします。

注意

BitLocker 管理ポリシーを作成するには、Configuration Manager で完全管理者 の役割が必要です。

  1. Configuration Manager コンソールで、[アセットとコンプライアンス] ワークスペースに移動し、[Endpoint Protection] を展開し 、[BitLocker 管理]ノードを選択 します。

  2. リボンで 、[BitLocker 管理コントロール ポリシーの作成] を選択します

  3. [全般 ] ページ で、名前とオプションの説明を指定します。 このポリシーを使用してクライアントで有効にするコンポーネントを選択します。

    • オペレーティング システム ドライブ: OS ドライブが暗号化されているかどうかを管理する

    • 固定ドライブ: デバイス内の他のデータ ドライブの暗号化を管理する

    • リムーバブル ドライブ: USB キーなど、デバイスから削除できるドライブの暗号化を管理する

    • クライアントの管理: BitLocker ドライブ暗号化の回復情報のキー回復サービスのバックアップを管理する

  4. [セットアップ ] ページで 、BitLocker ドライブ暗号化の次のグローバル設定を構成します。

    注意

    Configuration Manager は、BitLocker を有効にするときにこれらの設定を適用します。 ドライブが既に暗号化されている場合、または進行中の場合、これらのポリシー設定を変更しても、デバイス上のドライブの暗号化は変更されません。

    これらの設定を無効にするか構成しない場合、BitLocker は既定の暗号化方法 (AES 128 ビット) を使用します。

    • デバイスWindows 8.1、ドライブの暗号化方法と暗号強度の オプションを有効にします。 次に、暗号化方法を選択します。

    • デバイスWindows 10、ドライブの暗号化方法と暗号強度 (Windows 10以降) のオプションを有効にします。 次に、OS ドライブ、固定データ ドライブ、リムーバブル データ ドライブの暗号化方法を個別に選択します。

    このページのこれらの設定および他の設定の詳細については、「設定- セットアップ」を参照してください

  5. [オペレーティング システム ドライブ] ページ で、次の設定を指定します。

    • オペレーティング システム ドライブの暗号化設定: この設定を有効にすると、ユーザーは OS ドライブを保護する必要があります。BitLocker はドライブを暗号化します。 無効にした場合、ユーザーはドライブを保護できます。

    互換性のある TPM を使用するデバイスでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータに対する保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用するか、または個人識別番号 (PIN) の入力を要求することもできます。 以下の設定を構成します。

    • オペレーティング システム ドライブのプロテクタ を選択する: TPM と PIN、または TPM を使用する構成。

    • スタートアップ用に PIN の最小長を 構成する: PIN が必要な場合、この値はユーザーが指定できる最短の長さです。 ユーザーは、コンピューターが起動してドライブのロックを解除するときに、この PIN を入力します。 既定では、最小 PIN の長さはです 4

    このページのこれらの設定と他の設定の詳細については、「設定OS ドライブ」を参照してください

  6. [固定ドライブ ] ページで 、次の設定を指定します。

    • 固定データ ドライブの暗号化: この設定を有効にした場合、BitLocker では、固定データ ドライブを保護の下に置く必要があります。 次に、データ ドライブを暗号化します。 このポリシーを有効にする場合は、自動ロック解除を有効にするか、固定データ ドライブのパスワード ポリシー の設定を有効にします

    • 固定データ ドライブの自動ロック 解除を構成する: 暗号化されたデータ ドライブのロックを自動的に解除するために BitLocker を許可または要求します。 自動ロック解除を使用するには、OS ドライブを暗号化するために BitLocker も必要です。

    このページのこれらの設定と他の設定の詳細については、「設定- 固定ドライブ」を参照してください

  7. [リムーバブル ドライブ ] ページで 、次の設定を指定します。

    • リムーバブル データ ドライブの暗号化: この設定を有効にして、ユーザーが BitLocker 保護を適用できる場合、Configuration Manager クライアントは、リムーバブル ドライブに関する回復情報を管理ポイントの回復サービスに保存します。 この動作により、ユーザーはプロテクタ (パスワード) を忘れた場合や紛失した場合にドライブを回復できます。

    • ユーザーがリムーバブル データ ドライブに BitLocker 保護 を適用することを許可する: ユーザーは、リムーバブル ドライブに対して BitLocker 保護を有効にできます。

    • リムーバブル データ ドライブのパスワード ポリシー: これらの設定を使用して、BitLocker で保護されたリムーバブル ドライブのロックを解除するためのパスワードの制約を設定します。

    このページのこれらの設定と他の設定の詳細については、「設定 - リムーバブル ドライブ」を参照してください

  8. [クライアントの 管理] ページ で、次の設定を指定します。

    重要

    2103 より前のバージョンの Configuration Manager では、HTTPS が有効な Web サイトの管理ポイントが設定されていない場合は、この設定を構成しません。 詳細については、「Recovery service」を参照してください

    • BitLocker 管理サービスの構成: この設定を有効にすると、Configuration Manager はサイト データベース内のキーの回復情報を自動的にサイレント バックアップします。 この設定を無効にした場合、または構成しない場合、Configuration Manager はキーの回復情報を保存します。

      • [BitLocker 回復情報を保存する] を選択します。回復パスワードとキー パッケージ、または回復パスワードを使用する構成を行います。

      • 回復情報をプレーン テキストに格納することを許可する : BitLocker 管理暗号化証明書を使用しない場合、Configuration Manager はキーの回復情報をプレーン テキストに格納します。 詳細については、「データベース内の 回復データを暗号化する」を参照してください

    このページのこれらの設定と他の設定の詳細については、「設定 - クライアント管理」を参照してください

  9. ウィザードを終了します。

既存のポリシーの設定を変更するには、一覧でポリシーを選択し、[プロパティ] を 選択します

複数のポリシーを作成する場合は、そのポリシーの相対的な優先度を構成できます。 複数のポリシーをクライアントに展開する場合は、優先度の値を使用して設定を決定します。

バージョン 2006 から、このタスクWindows PowerShellコマンドレットを使用できます。 詳細については 、「New-CMBlmSetting」を参照してください

ポリシーの展開

  1. BitLocker 管理ノードで既存のポリシー を選択 します。 リボンで、[展開] を 選択します

  2. 展開のターゲットとしてデバイス コレクションを選択します。

  3. デバイスがドライブをいつでも暗号化または復号化する場合は、メンテナンス ウィンドウの外で [修復を許可する] オプション を選択します。 コレクションにメンテナンス ウィンドウがある場合でも、この BitLocker ポリシーは修復されます。

  4. 簡易スケジュール またはカスタム スケジュール****を構成 します。 クライアントは、スケジュールで指定された設定に基づいてコンプライアンスを評価します。

  5. [OK] を 選択してポリシーを展開します。

同じポリシーの複数の展開を作成できます。 各展開に関する追加情報を表示するには 、[BitLocker 管理 ] ノードでポリシーを選択し、詳細ウィンドウで [展開] タブ に切り替 えます。

重要

リモート デスクトップ プロトコル (RDP) 接続がアクティブな場合、MBAM クライアントは BitLocker ドライブ暗号化アクションを開始しません。 すべてのリモート コンソール接続を閉じ、ドメイン ユーザー アカウントを使用してコンソール セッションにサインインします。 その後、BitLocker ドライブの暗号化が開始され、クライアントは回復キーとパッケージをアップロードします。 ローカル ユーザー アカウントでサインインした場合、BitLocker ドライブの暗号化は開始されません。

RDP を使用して、スイッチを使用してデバイスのコンソール セッションにリモート接続 /admin できます。 例: mstsc.exe /admin /v:<IP address of device>

コンソール セッションは 、コンピューターの物理コンソールに接続している場合と、コンピューターの物理コンソールにある場合と同じリモート接続のいずれかです。

バージョン 2006 から、このタスクWindows PowerShellコマンドレットを使用できます。 詳細については 、「New-CMSettingDeployment」を参照してください

監視

BitLocker 管理ノードの詳細ウィンドウで、ポリシーの展開に関する基本的なコンプライアンス統計 を表示 します。

  • コンプライアンスの数
  • エラー数
  • コンプライアンス以外のカウント

[展開] タブに切り替 えて、コンプライアンスの割合と推奨されるアクションを確認します。 展開を選択し、リボンで [状態の表示] を選択します。 このアクションは、ビューを [監視] ワークスペース [展開 ] ノードに切り替 えます。 他の構成ポリシー展開の展開と同様に、このビューでは、より詳細なコンプライアンス状態を確認できます。

クライアントが BitLocker 管理ポリシーに準拠していない理由を理解するには、「非コンプライアンス コード」を参照してください

トラブルシューティングの詳細については 、「Troubleshoot BitLocker」を参照してください

次のログを使用して、監視とトラブルシューティングを行います。

クライアント ログ

管理ポイント ログ (回復サービス)

移行に関する考慮事項

現在 Microsoft BitLocker 管理と監視 (MBAM) を使用している場合は、管理を Configuration Manager にシームレスに移行できます。 Configuration Manager で BitLocker 管理ポリシーを展開すると、クライアントは自動的に回復キーとパッケージを Configuration Manager 回復サービスにアップロードします。

重要

スタンドアロン MBAM から Configuration Manager BitLocker 管理に移行する場合、スタンドアロン MBAM の既存の機能が必要な場合は、Configuration Manager BitLocker 管理を使用してスタンドアロン MBAM サーバーまたはコンポーネントを再利用しないでください。 これらのサーバーを再利用すると、Configuration Manager BitLocker 管理がそれらのサーバーにコンポーネントをインストールすると、スタンドアロン MBAM は動作を停止します。 スタンドアロン MBAM サーバーMBAMWebSiteInstaller.ps1 BitLocker ポータルをセットアップする場合は、このスクリプトを実行しません。 Configuration Manager BitLocker 管理をセットアップする場合は、個別のサーバーを使用します。

グループ ポリシー

  • BitLocker 管理設定は、MBAM グループ ポリシー設定と完全に互換性があります。 デバイスがグループ ポリシー設定と Configuration Manager ポリシーの両方を受信する場合は、一致するポリシーを構成します。

    注意

    スタンドアロン MBAM に対してグループ ポリシー設定が存在する場合、Configuration Manager が試みる同等の設定が上書きされます。 スタンドアロン MBAM はドメイン グループ ポリシーを使用し、Configuration Manager は BitLocker 管理のローカル ポリシーを設定します。 ドメイン ポリシーは、ローカルの Configuration Manager BitLocker 管理ポリシーを上書きします。 スタンドアロンの MBAM ドメイン グループ ポリシーが Configuration Manager ポリシーと一致しない場合、Configuration Manager BitLocker 管理は失敗します。 たとえば、ドメイン グループ ポリシーでスタンドアロン MBAM サーバーにキー回復サービスを設定した場合、Configuration Manager BitLocker 管理は管理ポイントに対して同じ設定を設定できません。 この動作により、クライアントは管理ポイントの Configuration Manager BitLocker 管理キー回復サービスに回復キーを報告しません。

  • Configuration Manager は、すべての MBAM グループ ポリシー設定を実装する必要があります。 グループ ポリシーでさらに設定を構成する場合は、Configuration Manager クライアントの BitLocker 管理エージェントがこれらの設定を適用します。

    重要

    Configuration Manager BitLocker 管理で既に指定されている設定にグループ ポリシーを設定しない。 Configuration Manager BitLocker 管理に現在存在しない設定のグループ ポリシーのみを設定します。 Configuration Manager バージョン 2002 には、スタンドアロン MBAM との機能パリティがあります。 Configuration Manager バージョン 2002 以降では、ほとんどの場合、BitLocker ポリシーを構成するためにドメイン グループ ポリシーを設定する理由はありません。 競合や問題を回避するには、BitLocker のグループ ポリシーの使用を避ける必要があります。 Configuration Manager BitLocker 管理ポリシーを使用してすべての設定を構成します。

TPM パスワード ハッシュ

  • 以前の MBAM クライアントは、TPM パスワード ハッシュを Configuration Manager にアップロードしません。 クライアントは、TPM パスワード ハッシュを 1 回だけアップロードします。

  • この情報を Configuration Manager 回復サービスに移行する必要がある場合は、デバイスの TPM をクリアします。 再起動後、新しい TPM パスワード ハッシュが回復サービスにアップロードされます。

注意

TPM パスワード ハッシュのアップロードは、主に、ユーザーがアクセスする前のWindowsにWindows 10。 Windows 10以降は TPM パスワード ハッシュを保存しないので、これらのデバイスは通常はアップロードされません。 詳細については 、「TPM 所有者パスワードについて」を参照してください

再暗号化

Configuration Manager は、BitLocker ドライブ暗号化で既に保護されているドライブを再暗号化しません。 ドライブの現在の保護と一致しない BitLocker 管理ポリシーを展開すると、準拠していないと報告されます。 ドライブは引き続き保護されています。

たとえば、MBAM を使用して AES-XTS 128 暗号化アルゴリズムを使用してドライブを暗号化しましたが、Configuration Manager ポリシーには AES-XTS 256 が必要です。 ドライブが暗号化されている場合でも、ドライブはポリシーに準拠していません。

この動作を回避するには、まずデバイスで BitLocker を無効にします。 次に、新しい設定で新しいポリシーを展開します。

共同管理と Intune

BitLocker の Configuration Manager クライアント ハンドラーは、共同管理に対応しています。 デバイスが共同管理され、ワークロードを Intune に切り替Endpoint Protection、Configuration Manager クライアントは BitLocker ポリシーを無視します。 デバイスは Intune からWindows暗号化ポリシーを取得します。

注意

目的の暗号化アルゴリズムを維持しながら暗号化管理機関を切り替えても、クライアントに対する追加のアクションは必要としません。 ただし、暗号化管理機関を切り替えて、目的の暗号化アルゴリズムも変更する場合は、再暗号化を計画 する必要があります

Intune で BitLocker を管理する方法の詳細については、次の記事を参照してください。

次の手順

BitLocker 回復サービスについて

BitLocker レポートとポータルのセットアップ