はじめに - MBAM と Configuration Manager の使用
Microsoft BitLocker 管理と監視 (MBAM) をインストールするときに、MBAM と Configuration Manager 2007 または System Center 2012 Configuration Managerを統合するトポロジを選択できます。 MBAM でサポートされているバージョンのConfiguration Managerの一覧については、「Configuration Managerを使用した MBAM のデプロイの計画」を参照してください。 統合トポロジでは、ハードウェア コンプライアンス機能とレポート機能が MBAM から削除され、Configuration Managerからアクセスされます。
大事なConfiguration Manager 2007 で MBAM の統合トポロジをインストールする場合、Windows To Go はサポートされません。
Configuration Manager での MBAM の使用
MBAM の統合は、次の 3 つの項目を Configuration Manager 2007 または System Center 2012 Configuration Managerにインストールする新しい構成パックに基づいています。詳細については、次のセクションで説明します。
構成項目と構成基準で構成される構成データ
コレクション
レポート
構成データ
構成データには、"BitLocker オペレーティング システム ドライブ保護" と "BitLocker 固定データ ドライブ保護" という 2 つの構成項目を含む "BitLocker Protection" という構成基準がインストールされます。 構成基準は、MBAM のインストール時にも作成されるコレクションにデプロイされます。 2 つの構成項目は、クライアント コンピューターのコンプライアンス状態を評価するための基礎を提供します。 この情報は、Configuration Managerでキャプチャ、保存、および評価されます。 構成項目は、オペレーティング システム ドライブ (OSD) と固定データ ドライブ (FDD) のコンプライアンス要件に基づいています。 これらのドライブの種類のコンプライアンスを評価できるように、展開されたコンピューターに必要な詳細が収集されます。 既定では、構成基準は 12 時間ごとにコンプライアンス状態を評価し、コンプライアンス データをConfiguration Managerに送信します。
コレクション
MBAM は、MBAM でサポートされているコンピューターと呼ばれるコレクションを作成します。 構成基準は、このコレクション内のクライアント コンピューターを対象とします。 これは、既定では 12 時間ごとに実行され、メンバーシップが評価される動的コレクションです。 メンバーシップは、次の 3 つの条件に基づいています。
サポートされているバージョンの Windows オペレーティング システムです。 現在、MBAM では、Windows To Go が Windows 8 Enterprise で実行されている場合、Windows 7 Enterprise と Windows 7 Ultimate、Windows 8 Enterprise、Windows To Go のみがサポートされています。
物理コンピューターです。 仮想マシンはサポートされていません。
トラステッド プラットフォーム モジュール (TPM) を使用できます。 Windows 7 では、TPM 1.2 以降の互換性のあるバージョンが必要です。 Windows 8と Windows To Go には TPM は必要ありません。
コレクションはすべてのコンピューターに対して評価され、MBAM 統合のコンプライアンス評価とレポートの基礎となる互換性のあるコンピューターのサブセットが作成されます。
レポート
コンプライアンスを表示するために使用できる 4 つのレポートがあります。 以下のとおりです。
BitLocker エンタープライズコンプライアンス ダッシュボード – IT 管理者は、1 つのレポートに関する情報の 3 つの異なるビュー (コンプライアンス状態の配布、非準拠 – エラー分布、ドライブの種類別のコンプライアンス状態の配布) を提供します。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータをクリックし、選択した状態に一致するコンピューターの一覧を表示できます。
BitLocker エンタープライズコンプライアンスの詳細 – IT 管理者は、企業の BitLocker 暗号化コンプライアンス状態に関する情報を表示し、各コンピューターのコンプライアンス状態を含めます。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータをクリックし、選択した状態に一致するコンピューターの一覧を表示できます。
BitLocker コンピューター コンプライアンス – IT 管理者は個々のコンピューターを表示し、特定の状態の準拠または非準拠で報告された理由を特定できます。 このレポートには、オペレーティング システム ドライブ (OSD) と固定データ ドライブ (FDD) の暗号化状態も表示されます。
BitLocker エンタープライズコンプライアンスの概要 – IT 管理者は、MBAM ポリシーを使用して企業のコンプライアンスの状態を表示できます。 各コンピューターの状態が評価され、ポリシーに対する企業内のすべてのコンピューターのコンプライアンスの概要がレポートに表示されます。 レポートのドリルダウン オプションを使用すると、IT 管理者はデータをクリックし、選択した状態に一致するコンピューターの一覧を表示できます。
Configuration Managerを使用した MBAM のHigh-Level アーキテクチャ
次の図は、Configuration Manager トポロジを使用した MBAM アーキテクチャを示しています。 この構成では、運用環境で最大 200,000 MBAM クライアントがサポートされます。
このアーキテクチャのサーバー、データベース、および機能の説明を次に示します。 アーキテクチャ イメージ内のサーバーの機能とデータベースは、インストールをお勧めするコンピューターまたはサーバーの下に一覧表示されます。
データベース サーバー – 回復データベース、監査データベース、および監査レポートは、Windows サーバーにインストールされ、サポートされているSQL Server インスタンスです。 Recovery データベースには、MBAM クライアント コンピューターから収集された復旧データが格納されます。 監査データベースには、回復データにアクセスしたクライアント コンピューターから収集された監査アクティビティ データが格納されます。 監査レポートは、企業内のクライアント コンピューターのコンプライアンス状態に関するデータを提供します。
Configuration Manager プライマリ サイト サーバー – Configuration Manager サーバーには、System Center Configuration Manager統合トポロジを使用した MBAM サーバーのインストールが含まれています。このサーバーは、SYSTEM CENTER CONFIGURATION MANAGER統合トポロジにインストールする必要があります。プライマリ サイト サーバー Configuration Manager。 Configuration Manager サーバーは、クライアント コンピューターからハードウェア インベントリ情報を収集し、クライアント コンピューターの BitLocker コンプライアンスを報告するために使用されます。 MBAM セットアップ サーバーのインストールを実行すると、コレクションと構成データがConfiguration Managerプライマリ サイト サーバーにインストールされます。
管理サーバーと監視サーバー - 管理サーバーと監視サーバー は Windows サーバーにインストールされ、管理および監視 Web サービスと監視 Web サービスで構成されます。 管理および監視 Web サイトは、アクティビティを監査したり、回復データ (BitLocker 回復キーなど) にアクセスしたりするために使用されます。 セルフサービス ポータルは、管理サーバーと監視サーバーにもインストールされます。 ポータルを使用すると、クライアント コンピューター上のエンド ユーザーは、BitLocker のパスワードを紛失または忘れた場合に、個別に Web サイトにログオンして回復キーを取得できます。 監査レポートは、管理サーバーと監視サーバーにもインストールされます。
管理ワークステーション - ポリシー テンプレートは、BitLocker ドライブ暗号化の MBAM 実装設定を定義する グループ ポリシー オブジェクトで構成されます。 ポリシー テンプレートは任意のサーバーまたはワークステーションにインストールできますが、一般的に、サポートされている Windows サーバーまたはクライアント コンピューターである管理ワークステーションにインストールされます。 ワークステーションは専用コンピューターである必要はありません。
MBAM クライアントとConfiguration Manager クライアント コンピューター
MBAM クライアントは、次のタスクを実行します。
グループ ポリシー オブジェクトを使用して、企業内のクライアント コンピューターの BitLocker 暗号化を適用します。
オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ (USB) ドライブの 3 種類の BitLocker データ ドライブの回復キーを収集します。
クライアント コンピューターに関する回復情報とコンピューター情報を収集します。
Configuration Manager クライアント – Configuration Manager クライアントでは、Configuration Managerがクライアント コンピューターに関するハードウェア互換性データを収集し、Configuration Managerがコンプライアンス情報を報告できるようにします。