Share via

Windows 展開の一部としての MBAM クライアントの展開

  • [アーティクル]

Microsoft BitLocker 管理および監視 (MBAM) クライアントを使用すると、管理者は、企業内のコンピューターで BitLocker ドライブの暗号化を適用および監視できます。 トラステッド プラットフォーム モジュール (TPM) チップを持つコンピューターの場合、イメージングと Windows 展開プロセスの一環としてクライアント コンピューターで BitLocker の管理と暗号化を有効にすることで、BitLocker クライアントを組織に統合できます。


Microsoft BitLocker 管理と監視クライアントのシステム要件を確認するには、「 MBAM 2.0 でサポートされる構成」を参照してください。

Windows 展開の初期イメージング段階で BitLocker を使用してクライアント コンピューターを暗号化すると、組織で MBAM を実装するために必要な管理オーバーヘッドが削減される可能性があります。 また、展開されているすべてのコンピューターで BitLocker が既に実行されており、正しく構成されていることを確認します。


このトピックの手順では、Windows レジストリの変更について説明します。 レジストリ エディターを誤って使用すると、Windows を再インストールする必要がある重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディターの誤った使用に起因する問題を解決できることを保証することはできません。 レジストリ エディターは自己責任で使用してください。

Windows 展開の一部としてコンピューターを暗号化するには

  1. 組織が BitLocker でトラステッド プラットフォーム モジュール (TPM) 保護機能または TPM + PIN 保護機能オプションを使用する予定の場合は、MBAM の初期デプロイの前に TPM チップをアクティブにする必要があります。 TPM チップをアクティブ化する場合、プロセスの後半で再起動を回避し、組織の要件に従って TPM チップが正しく構成されていることを確認します。 コンピューターの BIOS で TPM チップを手動でアクティブ化する必要があります。


    一部のベンダーは、オペレーティング システム内から BIOS で TPM チップをオンにしてアクティブ化するためのツールを提供しています。 TPM チップを構成する方法の詳細については、製造元のドキュメントを参照してください。

  2. Microsoft BitLocker 管理および監視クライアント エージェントをインストールします。

  3. コンピューターをドメインに参加させる (推奨)。

    • コンピューターがドメインに参加していない場合、回復パスワードは MBAM Key Recovery サービスに格納されません。 既定では、MBAM では、回復キーを格納できない限り、暗号化の実行は許可されません。

    • 回復キーが MBAM サーバーに格納される前に、コンピューターが回復モードで起動した場合は、コンピューターを再イメージ化する必要があります。 回復方法は使用できません。

  4. 管理者としてコマンド プロンプトを実行し、MBAM サービスを停止し、サービスを 手動 または オンデマンドに設定してから、次のコマンドを入力して開始します。

    net stop mbamagent

    sc config mbamagent start= demand

  5. MBAM エージェントのレジストリ設定を設定して、グループ ポリシーを無視し、Regedit を実行し、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートすることで、オペレーティング システム専用暗号化用の TPM を実行します。

  6. regedit で HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表に示す設定を構成します。

    レジストリ エントリ

    構成設定

    DeploymentTime

    0 = OFF

    1 = 展開時間ポリシー設定を使用する (既定値)

    UseKeyRecoveryService

    0 = キー エスクローを使用しないでください (この場合、次の 2 つのレジストリ エントリは必要ありません)

    1 = Key Recovery システムでキー エスクローを使用する (既定値)

    推奨: コンピューターは Key Recovery サービスと通信できる必要があります。 続行する前に、コンピューターがサービスと通信できることを確認します。

    KeyRecoveryOptions

    0 = 回復キーのみをアップロード

    1 = 回復キーとキー回復パッケージをアップロードする (既定値)

    KeyRecoveryServiceEndPoint

    この値を Key Recovery Web サーバーの URL (http://< computer name>/MBAMRecoveryAndHardwareService/CoreService.svc など) に設定します。


MBAM ポリシーまたはレジストリ値をここで設定して、以前に設定した値をオーバーライドできます。

  1. MBAM エージェントは、MBAM クライアントのデプロイ中にシステムを再起動します。 この再起動の準備ができたら、管理者としてコマンド プロンプトで次のコマンドを実行します。

    net start mbamagent

  2. コンピューターが再起動し、BIOS から TPM の変更を受け入れるように求められたら、その変更を受け入れます。

  3. Windows クライアント オペレーティング システムのイメージング プロセス中に、暗号化を開始する準備ができたら、MBAM エージェント サービスを再起動し、管理者としてコマンド プロンプトを実行し、次のコマンドを入力して 、start を自動 に設定します。

    sc config mbamagent start= auto

    net start mbamagent

  4. Regedit を実行し、HKLM\SOFTWARE\Microsoft レジストリ エントリに移動して、バイパス レジストリ値を削除します。 MBAM ノードを削除するには、ノードを右クリックし、[削除] をクリックします

MBAM 2.0 クライアントの展開