MBAM 1.0 クライアントの展開計画
Microsoft BitLocker 管理および監視 (MBAM) クライアントを展開するタイミングに応じて、エンド ユーザーがコンピューターを受信する前または後で、組織内のコンピューターで BitLocker 暗号化を有効にすることができます。 エンド ユーザーがコンピューターを受信した後で BitLocker 暗号化を有効にするには、グループ ポリシーを構成します。 エンド ユーザーがコンピューターを受信する前に BitLocker 暗号化を有効にするには、エンタープライズ ソフトウェア展開システムを使用して MBAM クライアント ソフトウェアを展開します。
組織内で 1 つまたは両方の方法を使用できます。 両方の方法を使用する場合は、コンプライアンス、レポート、および重要な回復のサポートを改善できます。
メモ MBAM クライアントのシステム要件を確認するには、「 MBAM 1.0 でサポートされている構成」を参照してください。
MBAM クライアントを展開して、コンピューターをエンド ユーザーに配布した後に BitLocker 暗号化を有効にする
グループ ポリシーを構成した後、Microsoft System Center Configuration Manager 2012 やActive Directory Domain Servicesなどのエンタープライズ ソフトウェア展開システム製品を使用して、MBAM クライアント インストール Windows インストーラー ファイルをターゲットに展開できます。コンピューター。 2 つの MBAM クライアント インストール Windows インストーラー ファイルは、MBAM ソフトウェアで提供されるMBAMClient-64bit.msiとMBAMClient-32bit.msiです。 MBAM グループ ポリシー オブジェクトをデプロイする方法の詳細については、「MBAM 1.0 グループ ポリシー オブジェクトのデプロイ」を参照してください。
MBAM クライアントを展開すると、エンド ユーザーにコンピューターを配布した後、エンド ユーザーにコンピューターの暗号化を求めるメッセージが表示されます。 これにより、MBAM はデータを収集し、PIN とパスワードを含め、暗号化プロセスを開始できます。
メモ この方法では、トラステッド プラットフォーム モジュール (TPM) チップがアクティブ化されていない場合は、ユーザーに対してアクティブ化と初期化を求めるメッセージが表示されます。
MBAM クライアントを使用して、コンピューターをエンド ユーザーに配布する前に BitLocker 暗号化を有効にする
コンピューターを一元的に受信して構成する組織では、MBAM クライアントをインストールして、ユーザー データが書き込まれる前に各コンピューターで BitLocker 暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが BitLocker 暗号化に準拠することです。 このメソッドは、管理者がコンピューターを既に暗号化しているため、ユーザーの操作に依存しません。 このシナリオの主な前提は、コンピューターがユーザーに配信される前に、組織のポリシーが企業の Windows イメージをインストールすることです。
組織が (TPM) を使用してコンピューターを暗号化する場合、管理者は TPM 保護機能を使用してコンピューターのオペレーティング システム ボリュームを暗号化する必要があります。 組織で TPM チップと PIN 保護機能を使用する場合、管理者は TPM 保護機能を使用してシステム ボリュームを暗号化し、ユーザーが初めてログオンする際に PIN を選択する必要があります。 組織が PIN 保護機能のみを使用することを決定した場合、管理者は最初にボリュームを暗号化する必要はありません。 ユーザーがコンピューターにログオンすると、後でコンピューターを再起動するときに使用する PIN または PIN とパスワードを入力するように求められます。
メモ TPM 保護機能オプションを使用するには、管理者がコンピューターをユーザーに配信する前に、BIOS プロンプトを受け入れて TPM をアクティブ化して初期化する必要があります。