MBAM 2.0 の概要
Microsoft BitLocker 管理および監視 (MBAM) 2.0 では、BitLocker ドライブの暗号化に対する管理インターフェイスが簡略化されています。 BitLocker は、紛失または盗難に遭ったコンピューターのデータ盗難やデータ漏えいに対する保護を強化します。 BitLocker は、Windows オペレーティング システム ボリュームと構成されたデータ ボリュームに格納されているすべてのデータを暗号化します。
MBAM 2.0 の概要
BitLocker 管理および監視 2.0 では、企業に対して設定した BitLocker 暗号化ポリシー オプションを適用し、これらのポリシーを使用してクライアント コンピューターのコンプライアンスを監視し、企業と個々のコンピューターの両方の暗号化状態をレポートします。 さらに、MBAM を使用すると、ユーザーが PIN またはパスワードを忘れた場合、または BIOS またはブート レコードが変更されたときに、回復キー情報にアクセスできます。
メモ BitLocker については、このガイドでは詳しく説明しません。 BitLocker の概要については、「 BitLocker ドライブ暗号化の概要」を参照してください。
次のグループは、MBAM を使用して BitLocker を管理する場合があります。
機密データが承認なしに開示されないようにする責任を負う管理者、IT セキュリティの専門家、コンプライアンス担当者
リモート オフィスまたはブランチ オフィスのコンピューター セキュリティを担当する管理者
Windows を実行しているクライアント コンピューターを担当する管理者
MBAM 2.0 の新機能
MBAM 2.0 には、次の新機能が用意されています。
System Center Configuration Managerと MBAM の統合
MBAM では、System Center Configuration Managerとの統合がサポートされるようになりました。 この統合により、MBAM コンプライアンス インフラストラクチャが Configuration Manager のネイティブ環境に移行されます。 企業でConfiguration Managerを使用する IT 管理者は、Microsoft 管理コンソールで企業のコンプライアンス状態を表示し、レポートにドリルインして個々のコンピューターを表示できるようになりました。
ハードウェア互換性は、Configuration Manager統合トポロジでのみ使用できます
Configuration Managerと MBAM を統合すると、MBAM での特定のハードウェアの種類の使用を許可または禁止するConfiguration Manager機能が可能になり、MBAM 1.0 で使用可能だったハードウェア互換性よりも柔軟性が高くなります。 IT 管理者は、独自のコレクションを作成してハードウェアを制限し、MBAM 構成基準をそれらのコレクションにデプロイできます。 MBAM 1.0 に存在していた MBAM ハードウェア互換性は、MBAM Configuration Manager トポロジでのみ使用でき、Configuration Managerから管理されるようになりました。
保護機能の柔軟なポリシー
保護機能 (TPM + PIN、自動ロック解除、パスワードなど) で既に暗号化されており、その暗号化のサブセットを必要とする MBAM ポリシーを受け取るコンピューター (TPM や自動ロック解除など) は準拠していると見なされます。 上の例では、IT 管理者がこれらの機能を許可されなくなったと明示的に定義していない限り、PIN とパスワードは自動的に削除されません。
暗号化されておらず、MBAM ポリシーを受け取るコンピューター (TPM や自動ロック解除など) は、それに応じて暗号化されます。 ローカル管理者であるユーザーは、BitLocker ツール (コントロール パネル BitLocker Drive Encryption または Manage-bde) を使用して、既存の保護機能 (TPM + PIN、自動ロック解除、パスワードなど) を追加または変更できます。 MBAM ポリシーで特に定義されていない限り、これらは準拠したままです。
MBAM クライアントをアップグレードする機能
MBAM 2.0 クライアント Windows インストーラーは、既存のクライアントのバージョンを検出し、以前のバージョンから MBAM 2.0 クライアントにアップグレードするために必要な手順を実行します。
以前のバージョンから MBAM サーバーをアップグレードする機能
MBAM 2.0 サーバー インフラストラクチャは、以前のバージョンの MBAM から次のようにアップグレードできます。
手動インプレース サーバー交換 – 既存の MBAM サーバー インフラストラクチャを手動でアンインストールし、MBAM 2.0 サーバー インフラストラクチャをインストールする必要があります。 アップグレードを実行するためにデータベースを削除する必要はありません。 代わりに、MBAM クライアントの以前のバージョンが作成した既存のデータベースを選択します。 MBAM 2.0 アップグレード インストールでは、既存のデータベースが MBAM 2.0 に移行されます。
分散クライアント アップグレード – スタンドアロン MBAM トポロジを使用している場合は、MBAM 2.0 サーバー インフラストラクチャをインストールした後、MBAM クライアントを段階的にアップグレードできます。 MBAM 2.0 サーバーは、既存のクライアントのバージョンを検出し、2.0 クライアントにアップグレードするために必要な手順を実行します。
MBAM 2.0 サーバー インフラストラクチャをアップグレードすると、MBAM 1.0 クライアントは引き続き MBAM 2.0 Server に正常に報告され、復旧データはエスクローしますが、コンプライアンスは MBAM 1.0 のポリシーに基づいて行われます。 クライアント コンピューターが MBAM 2.0 ポリシーに対するコンプライアンスを正確に報告するには、クライアントを MBAM 2.0 にアップグレードする必要があります。 前のクライアントをアンインストールせずにクライアントを MBAM 2.0 クライアントにアップグレードすると、クライアントは MBAM 2.0 ポリシーの適用と報告を開始します。
Configuration Managerで MBAM を使用している場合は、MBAM 1.0 クライアントを MBAM 2.0 にアップグレードする必要があります。
Windows 8 プラットフォームでの BitLocker のエンタープライズ シナリオに対する MBAM のサポート
MBAM は、MBAM クライアントインストールのターゲット プラットフォームとしてWindows 8オペレーティング システムをサポートします。 このサポートにより、IT 管理者は MBAM エージェントをインストールし、オペレーティング システム ドライブWindows 8暗号化し、コンピューターのコンプライアンスを報告できます。 MBAM では、TPM および TPM+ PIN 保護機能を利用して、Windows 7 オペレーティング システムと同様に、Windows 8 オペレーティング システムを管理します。 MBAM 2.0 では、Windows To Go クライアントの暗号化のサポートも追加されています。
Self-Service ポータルの追加
エンド ユーザーは、Self-Service ポータルを使用して回復キーを回復できるようになりました。 Self-Service ポータルは、他の MBAM 機能を備えた 1 台のサーバーに、または IT 管理者が必要に応じてSelf-Server ポータルをユーザーに公開する柔軟性を提供する別のサーバーにデプロイできます。 Self-Service ポータルがユーザーを認証した後、ユーザーは回復キーを受け取るために回復キー ID の最初の 8 桁のみを入力する必要があります。
MBAM では、ユーザーがユーザーであるコンピューターに対してのみキーを回復できるようにすることで、キーをセキュリティで保護します。これにより、他のユーザーが不正アクセスを受けるリスクが軽減されます。
中断状態から BitLocker 保護を自動的に再開する機能
MBAM では、IT 管理者が長時間 BitLocker を中断および保護解除したままにすることは許可されなくなりました。 IT 管理者が BitLocker を一時停止した場合、MBAM はコンピューターの再起動時に自動的に有効にし直します。これにより、コンピューターが攻撃されるリスクが軽減されます。
固定データ ドライブは、パスワードなしで自動的にロック解除するように構成できます
パスワードなしでドライブの自動ロックを解除できるように、固定データ ドライブ (FDD) ポリシーを構成できるようになりました。 FDD が暗号化される前にユーザーにパスワードの入力を求められず、FDD はオペレーティング システム ドライブでセキュリティで保護され、自動ロック解除されます。
MBAM 2.0 リリース ノート
詳細およびドキュメントに含まれていない最新のニュースについては、 MBAM 2.0 のリリース ノートを参照してください。
MBAM 2.0 を取得する方法
このテクノロジは、Microsoft Desktop 最適化パック (MDOP) の一部です。 エンタープライズのお客様は、Microsoft ソフトウェア アシュアランスを使用して MDOP を取得できます。 Microsoft ソフトウェア アシュアランスと MDOP の取得の詳細については、「MDOP を取得する方法」を参照してください。