ネットワーク経由で回復データを暗号化する

適用対象: Configuration Manager (Current Branch)

BitLocker 管理ポリシーを作成すると、Configuration Manager は回復サービスを管理ポイントに展開します。 BitLocker 管理ポリシーの [クライアントの管理] ページで 、BitLocker 管理サービスを構成すると、クライアントはキーの回復情報をサイト データベースにバックアップします。 この情報には、BitLocker 回復キー、回復パッケージ、TPM パスワード ハッシュが含まれます。 ユーザーが保護されたデバイスからロックアウトされている場合は、この情報を使用してデバイスへのアクセスを回復できます。

この情報の機密性が高い場合は、保護する必要があります。

重要

バージョン 2103 から、回復サービスの実装が変更されました。 従来の MBAM コンポーネントは使用されなくなりましたが、概念的には回復サービスと 呼ばれます。 すべてのバージョン 2103 クライアントは、管理ポイントのメッセージ処理 エンジン コンポーネントを回復サービスとして使用します。 セキュリティで保護されたクライアント通知チャネルを使用して回復キーをエスクローします。 この変更により、Configuration Manager サイトで拡張 HTTP を有効にできます。 この構成は、Configuration Manager の BitLocker 管理の機能には影響を与えかねない。

サイトとクライアントの両方が Configuration Manager バージョン 2103 以降を実行している場合、クライアントは、セキュリティで保護されたクライアント通知チャネルを使用して管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合は、キーをエスクローするために管理ポイントで HTTPS 対応の回復サービスが必要です。

HTTPS 証明書の要件

注意

これらの要件は、サイトがバージョン 2010 以前の場合、または Configuration Manager クライアント バージョン 2010 以前のデバイスに BitLocker 管理ポリシーを展開する場合にのみ適用されます。

Configuration Manager では、ネットワークを通過中のデータを暗号化するために、クライアントと復旧サービス間の安全な接続が必要です。 次のいずれかのオプションを使用します。

注意

サイトに複数の管理ポイントがある場合は、BitLocker 管理クライアントが通信できる可能性のあるサイトのすべての管理ポイントで HTTPS を有効にしてください。 HTTPS 管理ポイントを使用できない場合、クライアントは HTTP 管理ポイントにフェールオーバーし、回復キーのエスクローに失敗する可能性があります。

この推奨事項は、HTTPS の管理ポイントを有効にするか、管理ポイントで回復サービスをホストする IIS Web サイトを有効にするかの両方のオプションに適用されます。

HTTPS の管理ポイントを構成する

以前のバージョンの Configuration Manager current branch では、管理ポイントを HTTPS で有効にする必要があった BitLocker 回復サービスを統合しました。 ネットワーク全体の回復キーを Configuration Manager クライアントから管理ポイントに暗号化するには、HTTPS 接続が必要です。 HTTPS 用の管理ポイントとすべてのクライアントを構成するには、多くのお客様にとって困難な場合があります。

IIS Web サイトを HTTPS で有効にする

HTTPS 要件は、管理ポイントの役割全体ではなく、回復サービスをホストする IIS Web サイトの要件です。 この構成では、証明書の要件を緩め、転送中の回復キーを暗号化します。

管理 ポイントのクライアント 接続プロパティには 、HTTP または HTTPS を指定できます。 管理ポイントが HTTP 用に構成されている 場合 は、BitLocker 回復サービスをサポートします。

  1. サーバー認証証明書を取得します。 BitLocker 回復サービスをホストする管理ポイント上の IIS Web サイトに証明書をバインドします。

  2. サーバー認証証明書を信頼するクライアントを構成します。 この信頼を実現するには、次の 2 つの方法があります。

    • パブリックおよびグローバルに信頼できる証明書プロバイダーの証明書を使用します。 Windowsには、これらのプロバイダーからの信頼されたルート証明機関 (CA) が含まれます。 これらのプロバイダーの 1 つによって発行されたサーバー認証証明書を使用すると、クライアントは自動的に証明書を信頼する必要があります。

    • 組織の公開キー基盤 (PKI) から CA によって発行された証明書を使用します。 ほとんどの PKI 実装では、信頼できるルート CA をクライアントにWindowsします。 たとえば、グループ ポリシーで Active Directory 証明書サービスを使用します。 クライアントが自動的に信頼しない CA からサーバー認証証明書を発行する場合は、CA 信頼されたルート証明書をクライアントに追加します。

ヒント

回復サービスと通信する必要があるクライアントは、BitLocker 管理ポリシーを使用してターゲットを設定し、クライアント管理ルールを含むクライアント のみです

接続のトラブルシューティング

クライアントで 、BitLockerManagementHandler.log を使用して、この接続のトラブルシューティングを行います。 回復サービスに接続するために、ログにはクライアントが使用している URL が表示されます。 Configuration Manager のバージョンに基づいてログ内のエントリを探します。

  • バージョン 2103 以降では、エントリは Recovery keys escrowed to MP
  • バージョン 2010 以前では、エントリは Checking for Recovery Service at

次の手順

ポリシーを初めて展開する 前に、データベース内の回復データを暗号化する必要があります。

BitLocker 管理クライアントの展開