BitLocker 管理の計画Plan for BitLocker management

適用対象:Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

バージョン 1910 以降は、Configuration Manager を使用して、Active Directory に参加しているオンプレミスの Windows クライアント用の BitLocker ドライブ暗号化 (BDE) を管理します。Starting in version 1910, use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients, which are joined to Active Directory. Configuration Manager には、Microsoft BitLocker Administration and Monitoring (MBAM) の代わりに使用できる完全な BitLocker ライフサイクル管理機能が用意されています。It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

注意

Configuration Manager では、このオプション機能は既定で無効です。Configuration Manager doesn't enable this optional feature by default. この機能は、使用する前に有効にする必要があります。You must enable this feature before using it. 詳細については、「Enable optional features from updates」 (更新プログラムのオプション機能の有効化) を参照してください。For more information, see Enable optional features from updates.

BitLocker の一般的な情報については、BitLocker の概要に関するページを参照してください。For more general information on BitLocker, see BitLocker overview.

ヒント

Microsoft Endpoint Manager クラウド サービスを使用して共同管理されている Windows 10 デバイスの暗号化を管理するには、Endpoint Protection ワークロードを Intune に切り替えます。To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Intune の使用方法の詳細については、「Windows 暗号化」を参照してください。For more information on using Intune, see Windows Encryption.

機能Features

Configuration Manager には、BitLocker ドライブ暗号化用の次の管理機能が用意されています。Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

クライアント展開Client deployment

  • Windows 10 または Windows 8.1 が動作しているマネージド Windows デバイスに BitLocker クライアントを展開しますDeploy the BitLocker client to managed Windows devices running Windows 10 or Windows 8.1

  • オンプレミスおよびインターネットベースのクライアントの BitLocker ポリシーを管理し、回復キーをエスクローするManage BitLocker policies and escrow recovery keys for on-premises and internet-based clients

暗号化ポリシーの管理Manage encryption policies

  • 例: ドライブの暗号化と暗号強度を選択し、ユーザーの除外ポリシー、固定データ ドライブの暗号化の設定を構成します。For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • デバイスの暗号化に使用するアルゴリズムと、暗号化対象のディスクを決定します。Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • デバイスを使用する前に、新しいセキュリティ ポリシーに準拠するようユーザーに強く依頼します。Force users to get compliant with new security policies before using the device.

  • デバイスごとに組織のセキュリティ プロファイルをカスタマイズします。Customize your organization's security profile on a per device basis.

  • ユーザーが OS ドライブのロックを解除するときに、OS ドライブのみをロック解除するか、接続されているすべてのドライブをロック解除するかを指定します。When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

コンプライアンス レポートCompliance reports

次の項目に関する組み込みレポート:Built-in reports for:

  • ボリュームごとまたはデバイスごとの暗号化の状態Encryption status per volume or per device
  • デバイスのプライマリ ユーザーThe primary user of the device
  • 準拠状態Compliance status
  • 非準拠の理由Reasons for non-compliance

管理と Web サイトの監視Administration and monitoring website

キーのローテーションやその他の BitLocker 関連のサポートなど、キーの回復を支援することを Configuration Manager コンソール以外の組織内の他のペルソナに許可します。Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. たとえば、ヘルプ デスク管理者は、ユーザーがキーを回復するのを支援できます。For example, help desk administrators can help users with key recovery.

ユーザー セルフサービス ポータルUser self-service portal

ユーザーは、BitLocker で暗号化されたデバイスのロックを解除するための使い捨てのキーを使用できます。Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. このキーを使用すると、デバイス用に新しいキーが生成されます。Once this key is used, it generates a new key for the device.

[前提条件]Prerequisites

一般的な前提条件General prerequisites

  • BitLocker 管理ポリシーを作成するには、Configuration Manager での 完全な権限を持つ管理者 ロールが必要です。To create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • BitLocker 管理レポートを使用するには、レポート サービス ポイントのサイト システムの役割をインストールします。To use the BitLocker management reports, install the reporting services point site system role. 詳しくは、レポートの構成に関するページをご覧ください。For more information, see Configure reporting.

    注意

    管理と監視用 Web サイトから 回復の監査レポート を機能させる場合は、レポート サービス ポイントをプライマリ サイトでのみ使用してください。For the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

回復サービスの前提条件Prerequisites for the recovery service

  • BitLocker 回復サービスでは、Configuration Manager クライアントから管理ポイントへのネットワーク全体で回復キーを暗号化するために HTTPS が必要です。The BitLocker recovery service requires HTTPS to encrypt the recovery keys across the network from the Configuration Manager client to the management point. 次のいずれかのオプションを使用します。Use one of the following options:

    • 回復サービスをホストする管理ポイント上の IIS Web サイトを HTTPS 対応にします。HTTPS-enable the IIS website on the management point that hosts the recovery service. このオプションは、Configuration Manager バージョン 2002 以降に適用されます。This option applies to Configuration Manager version 2002 or later.

    • HTTPS 用の管理ポイントを構成します。Configure the management point for HTTPS. このオプションは、Configuration Manager バージョン 1910 以降に適用されます。This option applies to Configuration Manager versions 1910 or later.

    詳細については、「ネットワーク経由で回復データを暗号化する」を参照してください。For more information, see Encrypt recovery data over the network.

  • BitLocker 回復サービスはデータベース レプリカを使用する管理ポイントにインストールされますが、クライアントは回復キーをエスクローできません。Although the BitLocker recovery service installs on a management point that uses a database replica, clients can't escrow recovery keys. そのため、BitLocker によってドライブが暗号化されません。Then BitLocker won't encrypt the drive. 回復サービスを使用するには、レプリカ構成に含まれていない管理ポイントが少なくとも 1 つ必要です。To use the recovery service, you need at least one management point not in a replica configuration. データベース レプリカを使用する管理ポイント上で、BitLocker 回復サービスを無効にしてください。Disable the BitLocker recovery service on any management point with a database replica.

BitLocker ポータルの前提条件Prerequisites for BitLocker portals

  • セルフサービス ポータルまたは管理と監視用 Web サイトを使用するには、Windows サーバーで IIS が実行されている必要があります。To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. Configuration Manager サイト システムを再利用することも、サイト データベース サーバーに接続されているスタンドアロンの Web サーバーを使用することもできます。You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. サイト システム サーバーでサポートされている OS バージョンを使用してください。Use a supported OS version for site system servers.

    注意

    プライマリ サイト データベースを含むセルフサービス ポータルおよび管理と監視用 Web サイトのみをインストールしてください。Only install the self-service portal and the administration and monitoring website with a primary site database. 階層内で、各プライマリ サイトにこれらの Web サイトをインストールします。In a hierarchy, install these websites for each primary site.

  • インストール プロセスを開始する前に、セルフサービス ポータルをホストする Web サーバーに Microsoft ASP.NET MVC 4.0 と .NET Framework 3.5 機能をインストールします。On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0 and .NET Framework 3.5 feature before staring the install process. その他の必要な Windows サーバーの役割と機能は、ポータルのインストール プロセス中に自動的にインストールされます。Other required Windows server roles and features will be installed automatically during the portal installation process.

  • ポータルのインストーラー スクリプトを実行するユーザー アカウントには、サイト データベース サーバーに対する SQL Server sysadmin 権限が必要です。The user account that runs the portal installer script needs SQL Server sysadmin rights on the site database server. セットアップ プロセス中に、スクリプトによって Web サーバー マシン アカウントのログイン、ユーザー、および SQL Server の役割の権限が設定されます。During the setup process, the script sets login, user, and SQL Server role rights for the web server machine account. セルフサービス ポータルおよび管理と監視用 Web サイトのセットアップが完了したら、このユーザー アカウントを sysadmin 役割から削除できます。You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

サポートされている構成Supported configurations

  • BitLocker 管理は仮想マシン (VM) またはサーバーのエディションではサポートされていません。BitLocker management isn't supported on virtual machines (VMs) or on server editions. たとえば、BitLocker 管理では仮想マシンの固定ドライブの暗号化は開始されません。For example, BitLocker management won't start the encryption on fixed drives of virtual machines. 仮想マシンの追加の固定ドライブは、暗号化されていない場合でも、準拠として表示されることがあります。Additionally fixed drives in virtual machines may show as compliant even though they aren't encrypted.

  • Azure Active Directory (Azure AD) に参加しているワークグループ クライアント、または信頼されていないドメインのクライアントはサポートされていません。Azure Active Directory (Azure AD)-joined, workgroup clients, or clients in untrusted domains aren't supported. Configuration Manager の BitLocker 管理でサポートされるのは、オンプレミスの Active Directory に参加しているデバイスのみです。BitLocker management in Configuration Manager only supports devices that are joined to on-premises Active Directory. Hybrid Azure AD 参加済みデバイスもサポートされています。Hybrid Azure AD-joined devices are also supported. この構成は、復旧サービスで認証してキーのエスクローを行うためです。This configuration is to authenticate with the recovery service to escrow keys.

  • バージョン 2010 以降では、クラウド管理ゲートウェイ (CMG) を介して BitLocker ポリシーを管理し、回復キーをエスクローできるようになりました。Starting in version 2010, you can now manage BitLocker policies and escrow recovery keys over a cloud management gateway (CMG). また、この変更により、インターネットベースのクライアント管理 (IBCM) を介した BitLocker 管理のサポートも提供されます。This change also provides support for BitLocker management via internet-based client management (IBCM). BitLocker 管理のセットアップ プロセスに変更はありません。There's no change to the setup process for BitLocker management. この機能強化により、ドメイン参加およびハイブリッド ドメイン参加デバイスがサポートされます。This improvement supports domain-joined and hybrid domain-joined devices. 詳細については、管理エージェントの展開: 回復サービスに関する記事を参照してください。For more information, see Deploy management agent: Recovery service.

    注意

    バージョン 2010 に更新する前に作成した BitLocker 管理ポリシーがある場合は、CMG を介してインターネットベースのクライアントで使用できるように、次のことを行います。If you have BitLocker management policies that you created before you updated to version 2010, to make them available to internet-based clients via CMG:

    1. Configuration Manager コンソールで、既存のポリシーのプロパティを開きます。In the Configuration Manager console, open the properties of the existing policy.
    2. [クライアント管理] タブに切り替えます。Switch to the Client Management tab.
    3. [OK] または [適用] を選択してポリシーを保存します。Select OK or Apply to save the policy.

    この操作によって、CMG 経由でクライアントが使用できるようにポリシーが改訂されます。This action revises the policy so that it's available to clients over the CMG.

ヒント

既定では、BitLocker の有効化 タスク シーケンス ステップはドライブ上の 使用済み領域 のみを暗号化します。By default, the Enable BitLocker task sequence step only encrypts used space on the drive. BitLocker 管理では、ディスク全体 の暗号化を使用します。BitLocker management uses full disk encryption. ディスク全体の暗号化を使用する オプションを有効にするように、このタスク シーケンス ステップを構成してください。Configure this task sequence step to enable the option to Use full disk encryption. 詳しくは、「タスク シーケンスのステップ - BitLocker の有効化」をご覧ください。For more information, see Task sequence steps - Enable BitLocker.

次のステップNext steps

ネットワーク経由で回復データを暗号化するEncrypt recovery data over the network