MBAM 2.5 SP1 の概要

MBAM 2.5 SP1 は、BitLocker ドライブ暗号化用の簡略化された管理インターフェイスを提供します。 BitLocker は、紛失または盗難に遭ったコンピューターのデータ盗難やデータの露出に対する保護を強化します。 BitLocker は、オペレーティング システムとドライブ、および構成済みデータ Windowsに格納されているすべてのデータを暗号化します。

MBAM の概要

MBAM 2.5 SP1 には、次の機能があります。

  • 管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。

  • セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。

  • Microsoft System Center Configuration Manager により、一元的なレポートおよびハードウェア管理を行うことができます。

  • ヘルプ デスクのワークロードを軽減し、エンド ユーザーが BitLocker PIN および回復キー要求を支援します。

  • エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。

  • セキュリティ担当者がアクセスを簡単に監査して、重要な情報を回復できます。

  • 企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。

MBAM は、企業に設定した BitLocker 暗号化ポリシー オプションを適用し、クライアント コンピューターのポリシーへの準拠を監視し、企業と個人のコンピューターの暗号化状態に関するレポートを実行します。 さらに、MBAM を使用すると、ユーザーが PIN またはパスワードを忘れた場合、または BIOS またはブート レコードが変更された場合に、回復キー情報にアクセスできます。

次のグループは、MBAM を使用して BitLocker を管理することに興味がある場合があります。

  • 機密データが承認なしに開示されないという責任を負う管理者、IT セキュリティ担当者、コンプライアンス担当者

  • リモートオフィスまたはブランチ オフィスのコンピューター セキュリティを担当する管理者

  • クライアント コンピューターを実行しているクライアント コンピューターを担当する管理者Windows

備考
BitLocker については、この MBAM ドキュメントでは詳しく説明していない。 詳細については、「 BitLocker ドライブ暗号化の概要」を参照してください

MBAM 2.5 SP1 の新機能

このセクションでは、MBAM 2.5 SP1 の新機能について説明します。

MBAM 2.5 SP1 クライアントで新しくサポートされる言語

MBAM クライアントの MBAM 2.5 SP1 では、次の追加の言語がサポートされ、次の言語がサポートされます(このSelf-Service含まれます。

チェコ (チェコ共和国) cs-CZ

デンマーク語 (デンマーク) da-DK

オランダ (オランダ) nl-NL

フィンランド語 (フィンランド) fi-FI

ギリシャ語 (ギリシャ) el-GR

ハンガリー (ハンガリー) hu-HU

ノルウェー語、 Bokmål (ノルウェー) nb-NO

ポーランド語 (ポーランド) pl-PL

ポルトガル語 (ポルトガル) pt-PT

スロバキア (スロバキア) sk-SK

スロベニア (スロベニア) sl-SI

スウェーデン語 (スウェーデン) sv-Standard Edition

トルコ語 (トルコ) tr-TR

MBAM 2.5 および MBAM 2.5 SP1 のクライアントとサーバーでサポートされるすべての言語の一覧については、「 MBAM 2.5 サポートされる構成」を参照してください。

サービスのWindows 10

MBAM 2.5 SP1 は、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Windows 10 と Windows Server 2016 のサポートを追加します。

Windows 10 MBAM 2.5 と MBAM 2.5 SP1 の両方でサポートされています。

2014 MICROSOFT SQL SERVER SP1 のサポート

MBAM 2.5 SP1 は、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Microsoft SQL Server 2014 SP1 のサポートを追加します。

MBAM は別の MSI に含めなくなりました

MBAM 2.5 SP1 から、MBAM 製品には別の MSI が含まれません。 ただし、製品に含まれる実行可能ファイル (.exe) から MSI を抽出できます。

MBAM は TPM を所有せずに OwnerAuth パスワードをエスクローできます

以前は、MBAM が TPM を所有していない場合、TPM OwnerAuth を MBAM データベースにエスクローする必要がありました。 TPM を所有し、パスワードを保存するために MBAM を構成するには、TPM の自動プロビジョニングを無効にして、クライアント コンピューターで TPM をクリアする必要があります。

このWindows 8 MBAM 2.5 SP1 では、TPM を所有せずに OwnerAuth パスワードをエスケープできます。 サービスの起動時に、MBAM は TPM が既に所有されている場合と、その場合はオペレーティング システムからパスワードを要求するクエリを実行します。 その後、パスワードは MBAM データベースにエスクローされます。 さらに、OwnerAuth がローカルで削除されるのを防ぐために、グループ ポリシーを設定する必要があります。

7 Windows MBAM は、MBAM データベース内の TPM OwnerAuth 情報を自動的にエスクローするために TPM を所有する必要があります。 MBAM が TPM と Active Directory (AD) バックアップをグループ ポリシーを使用して構成されていない場合は、 MBAM Active Directory (AD) データ インポート コマンドレットを使用して、TPM OwnerAuth を AD から MBAM データベースにコピーする必要があります。 これらは 5 つの新しい PowerShell コマンドレットで、Active Directory に格納されているボリューム回復と TPM 所有者情報を MBAM データベースに事前設定します。

詳細については、「 MBAM 2.5 セキュリティに関する考慮事項」を参照してください

MBAM はロックアウト後に TPM のロックを自動的に解除できます

TPM 1.2 を実行しているコンピューターで、ロックアウトの場合に TPM のロックを自動的に解除する MBAM を構成できます。 TPM ロックアウト自動リセット機能が有効になっている場合、MBAM はユーザーがロックアウトされているのを検出し、MBAM データベースから OwnerAuth パスワードを取得して、ユーザーの TPM のロックを自動的に解除できます。

この機能は、サーバー側とクライアント側のグループ ポリシーの両方で有効にする必要があります。 詳細については、「 MBAM 2.5 セキュリティに関する考慮事項」を参照してください

FIPS 準拠の BitLocker 数値パスワード プロテクタのサポート

MBAM 2.5 では、Windows 8.1 オペレーティング システムを実行しているデバイスで、連邦情報処理標準 (FIPS) 準拠の BitLocker 回復キーのサポートが追加されました。 ただし、Windows FIPS 準拠の回復キーは 7 で実装Windowsでした。 したがって、Windows 7 Windows 8デバイスでは、回復のためにデータ回復エージェント (DRA) プロテクタが必要です。

このWindowsチームは、修正プログラムを使用して FIPS 準拠の回復キーをバックポートしており、MBAM 2.5 SP1 でもサポートが追加されています。

備考
修正プログラムが OS にバックWindows 8されていないので、オペレーティング システムを実行しているクライアント コンピューターには DRA プロテクタが必要です。 「Hotfix Package 2 for BitLocker Administration and Monitoring 2.5」を参照して、BitLocker の修正プログラムをダウンロードしてインストールWindows 7 および Windows 8してください。 DRA の詳細については、「 Using Data Recovery Agents with BitLocker」を参照してください

組織で FIPS コンプライアンスを有効にするには、連邦情報処理標準 (FIPS) グループ ポリシー設定を構成する必要があります。 構成手順については、「BitLocker グループ ポリシー」を参照設定

新しいグループ ポリシー設定を使用して、ブート前の回復メッセージと URL をカスタマイズする

新しいグループ ポリシー設定の [ブート前回復メッセージと URL の構成] を使用すると、カスタム回復メッセージを構成したり、OS ドライブがロックされているときにプレブート BitLocker 回復画面に表示される URL を指定できます。 この設定は、サーバーを実行しているクライアント コンピューターでのみWindows 10。

このポリシー設定を有効にすると、起動前の回復メッセージに対して次のいずれかのオプションを選択できます。

  • カスタム回復メッセージを使用する: ブート前の BitLocker 回復画面にカスタム メッセージを含めるには、このオプションを選択します。

  • カスタム回復 URL を使用する: ブート前の BitLocker 回復画面に表示される既定の URL を置き換える場合は、このオプションを選択します。

  • 既定の回復メッセージと URL を使用する: このオプションを選択すると、ブート前の BitLocker 回復画面に既定の BitLocker 回復メッセージと URL が表示されます。 以前にカスタム回復メッセージまたは URL を構成し、既定のメッセージに戻す場合は、このポリシーを有効にして、このオプションを選択する必要があります。

新しいグループ ポリシー**** 設定は、GPO ノードの > **** > > [コンピューター構成ポリシー] 管理用テンプレート Windows コンポーネント > MDOP MBAM (BitLocker Management) > オペレーティング システム ドライブにあります。 詳細については、「 Planning for MBAM 2.5 Group Policy Requirements」を参照してください

MBAM では、使用領域の暗号化のサポートが追加されました

MBAM 2.5 SP1 で、BitLocker グループ ポリシーを使用して使用領域の暗号化を有効にした場合、MBAM クライアントがそれを尊重します。

このグループ ポリシー設定は、オペレーティング **** システム ドライブにドライブ暗号化の種類を適用すると呼び出され、次の **** GPO > **** > ノードに存在します:コンピューター構成管理用テンプレート Windows コンポーネント > BitLocker ドライブ>暗号化オペレーティング システム ドライブ。 このポリシーを有効にして、暗号化の種類を [**** 使用領域のみ暗号化] として選択した場合、MBAM はポリシーを適用し、BitLocker はボリュームで使用されるディスク領域のみを暗号化します。

詳細については、「 Planning for MBAM 2.5 Group Policy Requirements」を参照してください

MBAM クライアントの暗号化されたハード ドライブのサポート

MBAM は、IEEE 1667 標準と同様に、Opal の TCG 仕様要件を満たす暗号化されたハード ドライブ上の BitLocker をサポートしています。 これらのデバイスで BitLocker を有効にすると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細 については、「暗号化されたハード ドライブ 」を参照してください。

SPN の登録時に委任構成が不要になった

MBAM 2.5 SP1 では、アプリケーション プール アカウントに登録する SPN の制限付き委任を構成する必要がなくなりました。 ただし、MBAM 2.5 の要件は依然として必要です。

MBAM を使用して BitLocker を展開の一部としてWindowsする

MBAM 2.5 SP1 では、PowerShell スクリプトを使用して、BitLocker ドライブの暗号化と MBAM サーバーへのエスクロー回復キーを構成できます。

詳細については、「How to Enable BitLocker by using MBAM as a part of a Windows Deployment

Self-Serviceポータルは、PowerShell または SSP カスタマイズ ウィザードを使用してカスタマイズできます。

MBAM 2.5 SP1 では、カスタマイズ ウィザードSelf-Service PowerShell を使用して、ポータルを構成できます。 「 MBAM 2.5 Web アプリケーションを構成する方法」を参照してください

Web ブラウザーが管理者として意図せずに実行されなくなりました

MBAM 2.5 の問題により、サーバー構成ツールのヘルプ リンクが原因で、ブラウザー ウィンドウが管理者権限で開く原因になります。 この問題は MBAM 2.5 SP1 で修正されています。

JavaScript ファイルをダウンロードして、サーバーにアクセスできないSelf-Serviceポータルを構成CDN不要

MBAM 2.5 以前では、Self-Service ポータルにアクセスするクライアントがインターネットにアクセスできない場合は、Self-Service ポータルの構成に使用された jQuery ファイルを事前に Self-Service CDN からダウンロードする必要があります。 MBAM 2.5 SP1 では、すべての JavaScript ファイルが製品に含まれているので、ダウンロードは不要です。

レポートは、3.0 Report Builder開く

MBAM 2.5 SP1 では、レポートが最新のレポート定義言語スキーマに更新され、ユーザーは Report Builder 3.0 でレポートを開いてカスタマイズし、レポート ファイルを破損することなくすぐに保存できます。

新しい PowerShell コマンドレット

MBAM 2.5 SP1 用の新しい PowerShell コマンドレットを使用すると、データベース、レポート、Web アプリケーションなど、さまざまな MBAM 機能を構成および管理できます。 各機能には、機能を有効または無効にしたり、機能に関する情報を取得したりするために使用できる、対応する PowerShell コマンドレットがあります。

MBAM 2.5 SP1 には、次のコマンドレットが実装されています。

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

次のパラメーターは、MBAM 2.5 SP1 Enable-MbamWebApplicationおよびTest-MbamWebApplicationコマンドレットに実装されています。

  • DataMigrationAccessGroup

  • TpmAutoUnlock

コマンドレットの詳細については、「 MBAM 2.5 セキュリティ に関する考慮事項」および 「Microsoft Bitlocker Administration and Monitoring Cmdlet Help」を参照してください

MBAM エージェントがプレゼンテーション モードを検出する

MBAM エージェントは、コンピューターがプレゼンテーション モードのときに検出し、その時点で MBAM UI の呼び出しを回避できます。

MBAM エージェント サービスが遅延開始を使用するように構成されました

インストール後、サービスは MBAM エージェント サービスに遅延開始を使用する設定を行い、開始に要する時間をWindows。

ロックされた固定データ ボリュームが準拠として報告される

"ロックされた固定データ" ボリュームのコンプライアンス計算ロジックが変更され、ボリュームが "準拠" として報告されましたが、プロテクタの状態と暗号化状態が "不明" で、コンプライアンス状態の詳細が "Volume is locked" になります。 以前は、ロックされたボリュームは "非準拠"、プロテクタ状態の "Encrypted"、暗号化状態は "不明"、コンプライアンス状態の詳細は "不明なエラー" と報告されました。

MDOP テクノロジを取得する方法

MBAM は、Microsoft デスクトップ最適化パック (MDOP) の一部です。 MDOP は、プログラムのマイクロソフト ソフトウェア アシュアランスです。 MDOP を取得する方法マイクロソフト ソフトウェア アシュアランス、MDOP を取得する方法の詳細については、「 How Do I Get MDOP?」を参照してください

MBAM 2.5 SP1 リリース ノート

このドキュメントに含まれていない詳細と最新のニュースについては、「 リリース ノート for MBAM 2.5 SP1」を参照してください

MBAM の提案を受け取った場合

MBAM の問題については、 MBAM TechNet フォーラムを使用します

Microsoft BitLocker Administration and Monitoring 2.5

MBAM 2.5 をお使いになる前に