BitLocker 管理を計画する

適用対象: Configuration Manager (Current Branch)

Configuration Manager を使用して、Active Directory に参加しているオンプレミスのクライアントWindows BitLocker ドライブ暗号化 (BDE) を管理します。 Microsoft BitLocker 管理と監視 (MBAM) の使用を置き換える完全な BitLocker ライフサイクル管理を提供します。

注意

Configuration Manager では、既定ではこのオプション機能は有効にされません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。

BitLocker の詳細については、「BitLocker の 概要」を参照してください。 BitLocker の展開と要件の比較については 、BitLocker 展開比較グラフを参照してください

ヒント

Windows 10 クラウド サービスを使用して、Windows 10 Microsoft エンドポイント マネージャー以降のデバイスで暗号化を管理するには、Endpoint Protectionワークロードを Intune 切り替えます。 Intune の使用の詳細については、「暗号化」をWindowsしてください

機能

Configuration Manager には、BitLocker ドライブの暗号化に関する次の管理機能があります。

クライアント展開

  • BitLocker クライアントを、11 Windows、Windows 8.1、Windows 10をWindowsします。

  • オンプレミスおよびインターネット ベースのクライアントの BitLocker ポリシーとエスクロー回復キーの管理

暗号化ポリシーの管理

  • たとえば、ドライブの暗号化と暗号の強度を選択し、ユーザーの除外ポリシー、固定データ ドライブの暗号化設定を構成します。

  • デバイスの暗号化に使用するアルゴリズムと、暗号化の対象となるディスクを決定します。

  • デバイスを使用する前に、ユーザーに新しいセキュリティ ポリシーへの準拠を強制します。

  • デバイスごとに組織のセキュリティ プロファイルをカスタマイズします。

  • ユーザーが OS ドライブのロックを解除する場合は、OS ドライブまたはすべての接続ドライブのロックを解除するかどうかを指定します。

コンプライアンス レポート

次の組み込みレポート

  • ボリュームまたはデバイスごとの暗号化の状態
  • デバイスのプライマリ ユーザー
  • コンプライアンスのステータス
  • コンプライアンスに準拠しない理由

管理および監視 Web サイト

Configuration Manager コンソールの外部にある組織内の他のペルサに、キーのローテーションや他の BitLocker 関連のサポートなど、キーの回復を支援することを許可します。 たとえば、ヘルプ デスク管理者は、キーの回復を行うユーザーを支援できます。

ヒント

バージョン 2107 から、テナント接続デバイスの BitLocker 回復キーを管理センターから取得Microsoft エンドポイント マネージャーできます。 詳細については、「Tenant attach: BitLocker 回復キー」を参照してください

ユーザー セルフサービス ポータル

BitLocker で暗号化されたデバイスのロックを解除するための単一使用キーをユーザーに提供します。 このキーを使用すると、デバイスの新しいキーが生成されます。

前提条件

一般的な前提条件

  • BitLocker 管理ポリシーを作成するには、Configuration Manager で完全管理者 の役割が必要です。

  • BitLocker 管理レポートを使用するには、レポート サービス ポイント サイト システムの役割をインストールします。 詳細については、「レポートの構成 」を参照してください

    注意

    回復監査 レポートを管理 および監視 Web サイトから動作するには、プライマリ サイトのレポート サービス ポイントのみを使用します。

クライアントの前提条件

  • デバイスには、BIOS で有効になっている TPM チップが必要で、デバイスからリセットWindows。

    TPM バージョン 2.0 以降のデバイスをお勧めします。 TPM バージョン 1.2 のデバイスでは、BitLocker のすべての機能が適切にサポートされていない可能性があります。

  • コンピューターのハード ディスクには、TPM と互換性があり、コンピューターの起動時に USB デバイスをサポートする BIOS が必要です。

注意

TPM パスワード ハッシュのアップロードは、主に、ユーザーがアクセスする前のWindowsにWindows 10。 Windows 10以降は TPM パスワード ハッシュを保存しないので、これらのデバイスは通常はアップロードされません。 詳細については 、「TPM 所有者パスワードについて」を参照してください

BitLocker 管理では、Configuration Manager で一般的にサポートされるクライアントの種類は一部サポートされていません。 詳細については、「サポートされている 構成」を参照してください

回復サービスの前提条件

  • バージョン 2010 以前では、BitLocker 回復サービスでは、ネットワーク全体の回復キーを Configuration Manager クライアントから管理ポイントに暗号化するために HTTPS が必要です。 次のいずれかのオプションを使用します。

    • 回復サービスをホストする管理ポイントで IIS Web サイトを HTTPS で有効にする。

    • HTTPS の管理ポイントを構成します。

    詳細については、「ネットワーク上で 回復データを暗号化する」を参照してください

    注意

    サイトとクライアントの両方が Configuration Manager バージョン 2103 以降を実行している場合、クライアントは、セキュリティで保護されたクライアント通知チャネルを使用して管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合は、キーをエスクローするために管理ポイントで HTTPS 対応の回復サービスが必要です。

    バージョン 2103 以降では、クライアントはセキュリティで保護されたクライアント通知チャネルを使用してキーをエスクローしますので、Configuration Manager サイトで拡張 HTTP を有効にできます。 この構成は、Configuration Manager の BitLocker 管理の機能には影響を与えかねない。

  • バージョン 2010 以前では、復旧サービスを使用するには、レプリカ構成ではなく少なくとも 1 つの管理ポイントが必要です。 BitLocker 回復サービスはデータベース レプリカを使用する管理ポイントにインストールしますが、クライアントは回復キーをエスクローできません。 その後、BitLocker はドライブを暗号化しない。 データベース レプリカを持つ管理ポイントで BitLocker 回復サービスを無効にします。

    バージョン 2103 より、復旧サービスはデータベース レプリカを使用する管理ポイントをサポートしています。

BitLocker ポータルの前提条件

  • セルフサービス ポータルまたは管理および監視 Web サイトを使用するには、IIS を実行Windowsサーバーが必要です。 Configuration Manager サイト システムを再利用するか、サイト データベース サーバーに接続しているスタンドアロン Web サーバーを使用できます。 サイト システム サーバーでサポートされている OS バージョンを使用します

    注意

    バージョン 2006 から、BitLocker セルフサービス ポータルと管理および監視 Web サイトをサーバーの全体管理サイトにインストールできます。

    バージョン 2002 以前では、プライマリ サイト データベースを使用してセルフサービス ポータルと管理および監視 Web サイトのみをインストールします。 階層内で、プライマリ サイトごとにこれらの Web サイトをインストールします。

  • セルフサービス ポータルをホストする Web サーバーで、インストール プロセスを見つMicrosoft ASP.NET MVC 4.0および .NET Framework 3.5 機能をインストールします。 その他Windowsサーバーの役割と機能は、ポータルのインストール プロセス中に自動的にインストールされます。

    ヒント

    MVC を使用して任意のバージョンのVisual Studioする ASP.NET 必要があります。

  • ポータル インストーラー スクリプトを実行するユーザー アカウントには、SQL Serverデータベース サーバー上 の sysadmin 権限が必要です。 セットアップ プロセス中に、スクリプトは Web サーバー コンピューター アカウントのSQL Server、ユーザー、およびアクセス許可を設定します。 セルフサービス ポータルと管理および監視 Web サイトのセットアップを完了した後、このユーザー アカウントを sysadmin ロールから削除できます。

サポートされる構成

  • BitLocker 管理は、仮想マシン (VM) またはサーバー エディションではサポートされていません。 たとえば、BitLocker 管理は仮想マシンの固定ドライブで暗号化を開始しません。 さらに、仮想マシンの固定ドライブは、暗号化されていない場合でも、準拠として表示される場合があります。

  • Azure Active Directory (Azure AD)参加している、ワークグループ クライアント、または信頼されていないドメインのクライアントはサポートされていません。 Configuration Manager の BitLocker 管理は、オンプレミスの Active Directory に参加しているデバイスのみをサポートします。 ハイブリッド Azure AD参加しているデバイスもサポートされています。 この構成は、キーをエスクローするために回復サービスで認証を行います。

  • バージョン 2010 から、クラウド管理ゲートウェイ (CMG)を使用して BitLocker ポリシーとエスクロー回復キーを管理できます。 この変更により、インターネット ベースのクライアント管理 (IBCM) による BitLocker 管理のサポートも提供されます。 BitLocker 管理のセットアップ プロセスに変更はありません。 この機能強化は、ドメインに参加しているデバイスとハイブリッド ドメインに参加しているデバイスをサポートします。 詳細については、「Deploy management agent: Recovery Service」を参照してください

    • バージョン 2010 に更新する前に作成した BitLocker 管理ポリシーがある場合は、CMG を介してインターネット ベースのクライアントで使用できます。
      1. Configuration Manager コンソールで、既存のポリシーのプロパティを開きます。
      2. [クライアントの管理 ] タブに切り替 えます。
      3. [OK] または[適用] を 選択してポリシーを保存します。 このアクションでは、ポリシーが CMG を使用してクライアントが利用できるポリシーを変更します。
  • 既定では 、[BitLocker を有効にする] タスク シーケンス 手順では、ドライブ上 の使用領域のみを 暗号化します。 BitLocker 管理では、完全な ディスク暗号化が使用 されます。 [完全ディスク暗号化を使用する] オプションを有効にするには、 このタスク シーケンス 手順を構成します。 詳細については、「タスク シーケンスの 手順 - BitLocker を有効にする」を参照してください

重要

Invoke-MbamClientDeployment.ps1PowerShell スクリプトは、スタンドアロンMBAM 専用です。 Configuration Manager BitLocker 管理では使用できません。

次の手順

ネットワーク経由で回復データを暗号化する