BitLocker 回復サービスについて

適用対象: Configuration Manager (Current Branch)

重要

バージョン 2103 から、回復サービスの実装が変更されました。 従来の MBAM コンポーネントは使用されなくなりましたが、概念的には回復サービスと 呼ばれます。 すべてのバージョン 2103 クライアントは、管理ポイントのメッセージ処理 エンジン コンポーネントを回復サービスとして使用します。 セキュリティで保護されたクライアント通知チャネルを使用して回復キーをエスクローします。 この変更により、Configuration Manager サイトで拡張 HTTP を有効にできます。 この構成は、Configuration Manager の BitLocker 管理の機能には影響を与えかねない。

サイトとクライアントの両方が Configuration Manager バージョン 2103 以降を実行している場合、クライアントは、セキュリティで保護されたクライアント通知チャネルを使用して管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合は、キーをエスクローするために管理ポイントで HTTPS 対応の回復サービスが必要です。

BitLocker 回復サービスは、Configuration Manager クライアントから BitLocker 回復データを受信するサーバー コンポーネントです。 サイトは、BitLocker 管理ポリシーを作成するときに回復サービスを展開します。 Configuration Manager は、HTTPS が有効な Web サイトを使用して、各管理ポイントに回復サービスを自動的にインストールします。

Configuration Manager は、サイト データベースに回復情報を格納します。 BitLocker 管理暗号化証明書がない場合、Configuration Manager はキーの回復情報をプレーン テキストで格納します。 詳細については、「データベース内の 回復データを暗号化する」を参照してください

バージョン 2010 から、クラウド管理ゲートウェイ (CMG) を使用して BitLocker ポリシーとエスクロー回復キーを管理できます。 ドメインに参加しているクライアントは、CMG を介して通信する場合、従来の復旧サービスではなく、管理ポイントのメッセージ処理エンジン コンポーネントを使用します。 ハイブリッド Azure AD参加しているデバイスは、メッセージ処理エンジンも使用します。

バージョン 2103 より、サポートされているクライアントはすべて、管理ポイントのメッセージ処理エンジン コンポーネントを回復サービスとして使用します。 この変更により、従来の MBAM コンポーネントへの依存が軽減され、拡張 HTTP の サポートが有効になります

注意

バージョン 2010 では、メッセージ処理エンジン チャネルは、OS および固定ドライブ ボリュームのキーのみをエスクローします。 リムーバブル ドライブまたは TPM パスワード ハッシュの回復キーはサポートされていません。

バージョン 2103 より、CMG 上の BitLocker 管理ポリシーでは、次の機能がサポートされています。

  • リムーバブル ドライブの回復キー
  • TPM パスワード ハッシュ (TPM 所有者の承認と呼ばれる)

キーの回転

セルフサービス ポータルまたはヘルプデスク ポータルを使用してキーを回復すると、それが開示されたので、Configuration Manager はクライアントにキーのローテーションを要求します。 キーを回転すると、クライアントが BitLocker 回復用の新しいキーを生成します。 その後、新しいキーを回復サービスに エスクローします

注意

MBAM から移行する場合、デバイスが Configuration Manager から BitLocker 管理ポリシーを受信すると、最初にキーが回転します。 次に、新しいキーを Configuration Manager 回復サービスに送信します。

次の手順

MBAM からの移行

BitLocker レポートとポータルのセットアップ