MBAM 2.5 SP1 の概要
MBAM 2.5 SP1 には、BitLocker ドライブ暗号化用の簡略化された管理インターフェイスが用意されています。 BitLocker は、失われたり盗まれたりしたコンピューターのデータの盗難やデータの漏えいに対する保護を強化します。 BitLocker は、Windows オペレーティング システムとドライブと構成されたデータ ドライブに格納されているすべてのデータを暗号化します。
MBAM の概要
MBAM 2.5 SP1 には、次の機能があります。
管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。
セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
Microsoft System Center Configuration Manager により、一元的なレポートおよびハードウェア管理を行うことができます。
ヘルプ デスクのワークロードを減らし、エンド ユーザーが BitLocker PIN と回復キーの要求を支援できるようにします。
エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。
セキュリティ責任者は、キー情報を回復するためのアクセスを簡単に監査できます。
企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
MBAM は、企業に対して設定した BitLocker 暗号化ポリシー オプションを適用し、それらのポリシーを使用してクライアント コンピューターのコンプライアンスを監視し、企業と個人のコンピューターの暗号化状態に関するレポートを行います。 さらに、MBAM を使用すると、ユーザーが PIN またはパスワードを忘れた場合、または BIOS またはブート レコードが変更されたときに回復キー情報にアクセスできます。
次のグループは、MBAM を使用して BitLocker を管理することに関心がある場合があります。
機密データが承認なしで開示されないようにする責任を負う管理者、IT セキュリティプロフェッショナル、コンプライアンス責任者
リモート オフィスまたはブランチ オフィスのコンピューター セキュリティを担当する管理者
Windows を実行しているクライアント コンピューターを担当する管理者
注
BitLocker については、この MBAM ドキュメントでは詳しく説明されていません。 詳細については、「 BitLocker ドライブ暗号化の概要」を参照してください。
MBAM 2.5 SP1 の新機能
このセクションでは、MBAM 2.5 SP1 の新機能について説明します。
MBAM 2.5 SP1 クライアントで新しくサポートされる言語
Self-Service ポータルを含め、MBAM クライアントでのみ MBAM 2.5 SP1 で次の追加言語がサポートされるようになりました。
チェコ語 (チェコ共和国) cs-CZ
デンマーク語 (デンマーク) da-DK
オランダ語 (オランダ) nl-NL
フィンランド語 (フィンランド) fi-FI
ギリシャ語 (ギリシャ) el-GR
ハンガリー語 (ハンガリー) hu-HU
ノルウェー語、ボクマオール (ノルウェー) nb-NO
ポーランド語 (ポーランド) pl-PL
ポルトガル語 (ポルトガル) pt-PT
スロバキア語 (スロバキア) sk-SK
スロベニア語 (スロベニア) sl-SI
スウェーデン語 (スウェーデン) sv-SE
トルコ語 (Türkiye) tr-TR
MBAM 2.5 および MBAM 2.5 SP1 のクライアントとサーバーでサポートされているすべての言語の一覧については、「 MBAM 2.5 でサポートされる構成」を参照してください。
Windows 10のサポート
MBAM 2.5 SP1 では、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Windows 11、Windows 10、およびWindows Server 2016のサポートが追加されます。
Windows 10は、MBAM 2.5 と MBAM 2.5 SP1 の両方でサポートされています。
Microsoft SQL Server 2014 SP1 のサポート
MBAM 2.5 SP1 は、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Microsoft SQL Server 2014 SP1 のサポートを追加します。
MBAM に個別の MSI が付属しなくなりました
MBAM 2.5 SP1 以降では、別の MSI は MBAM 製品に含まれなくなりました。 ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。
MBAM は、TPM を所有せずに OwnerAuth パスワードをエスクローできます
以前は、MBAM が TPM を所有していない場合、TPM OwnerAuth を MBAM データベースにエスクローできませんでした。 TPM を所有するように MBAM を構成し、パスワードを格納するには、TPM の自動プロビジョニングを無効にし、クライアント コンピューターで TPM をクリアする必要がありました。
Windows 8 以降では、MBAM 2.5 SP1 が TPM を所有せずに OwnerAuth パスワードをエスクローできるようになりました。 サービスの起動中に、MBAM は TPM が既に所有されているかどうかを確認し、その場合はオペレーティング システムにパスワードを要求します。 その後、パスワードは MBAM データベースにエスクローされます。 さらに、OwnerAuth がローカルで削除されないように、グループ ポリシーを設定する必要があります。
Windows 7 では、MBAM は TPM を所有して、MBAM データベース内の TPM OwnerAuth 情報を自動的にエスクローする必要があります。 MBAM が TPM を所有していない場合、TPM の Active Directory (AD) バックアップがグループ ポリシー経由で構成されている場合は、MBAM Active Directory (AD) データ インポート コマンドレットを使用して、AD から MBAM データベースに TPM OwnerAuth をコピーする必要があります。 これらは 5 つの新しい PowerShell コマンドレットで、ボリューム回復と TPM 所有者情報が Active Directory に格納されている MBAM データベースを事前に設定します。
詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。
MBAM は、ロックアウト後に TPM のロックを自動的に解除できます
TPM 1.2 を実行しているコンピューターで、ロックアウトが発生した場合に TPM のロックを自動的に解除するように MBAM を構成できるようになりました。 TPM ロックアウトの自動リセット機能が有効になっている場合、MBAM はユーザーがロックアウトされていることを検出し、MBAM データベースから OwnerAuth パスワードを取得して、ユーザーの TPM のロックを自動的に解除できます。
この機能は、サーバー側とクライアント側のグループ ポリシーの両方で有効にする必要があります。 詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」を参照してください。
FIPS 準拠の BitLocker 数値パスワード 保護機能のサポート
MBAM 2.5 では、Windows 8.1 オペレーティング システムを実行しているデバイスで、連邦情報処理標準 (FIPS) 準拠の BitLocker 回復キーのサポートが追加されました。 ただし、Windows 7 では FIPS 準拠の回復キーが実装されていませんでした。 そのため、Windows 7 デバイスと Windows 8 デバイスでは、回復のためにデータ復旧エージェント (DRA) 保護機能が引き続き必要でした。
Windows チームは、修正プログラムを使用して FIPS 準拠の回復キーをバックポートし、MBAM 2.5 SP1 もサポートを追加しました。
注
Windows 8 オペレーティング システムを実行しているクライアント コンピューターでは、修正プログラムがその OS にバックポートされていないため、DRA 保護機能が引き続き必要です。 Windows 7 および Windows 8 コンピューター用の BitLocker 修正プログラムをダウンロードしてインストールするには、「 BitLocker 管理および監視 2.5 用の修正プログラム パッケージ 2 」を参照してください。 DRA の詳細については、「 BitLocker でのデータ復旧エージェントの使用」を参照してください。
organizationで FIPS コンプライアンスを有効にするには、連邦情報処理標準 (FIPS) グループ ポリシー設定を構成する必要があります。 構成手順については、「BitLocker グループ ポリシー設定」を参照してください。
新しいグループ ポリシー設定で起動前の回復メッセージと URL をカスタマイズする
新しいグループ ポリシー設定である [起動前の回復メッセージと URL を構成する] を使用すると、カスタム回復メッセージを構成したり、OS ドライブがロックされたときにプレブート BitLocker 回復画面に表示される URL を指定したりできます。 この設定は、Windows 11とWindows 10を実行しているクライアント コンピューターでのみ使用できます。
このポリシー設定を有効にした場合は、起動前の回復メッセージに対して次のいずれかのオプションを選択できます。
カスタム回復メッセージを使用する: このオプションを選択すると、ブート前の BitLocker 回復画面にカスタム メッセージが含まれます。
カスタム回復 URL を使用する: このオプションを選択すると、ブート前の BitLocker 回復画面に表示される既定の URL が置き換えられます。
既定の回復メッセージと URL を使用する: このオプションを選択すると、ブート前の BitLocker 回復画面に既定の BitLocker 回復メッセージと URL が表示されます。 以前にカスタム回復メッセージまたは URL を構成し、既定のメッセージに戻す場合は、このポリシーを有効にして、このオプションを選択する必要があります。
新しいグループ ポリシー設定は、次の GPO ノードにあります: コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>オペレーティング システム ドライブ。 詳細については、「MBAM 2.5 グループ ポリシー要件の計画」を参照してください。
MBAM によって、使用済み領域暗号化のサポートが追加されました
MBAM 2.5 SP1 では、BitLocker グループ ポリシーを使用した使用済み領域暗号化を有効にした場合、MBAM クライアントはそれを受け入れます。
このグループ ポリシー設定は、オペレーティング システム ドライブにドライブ暗号化の種類を適用すると呼ばれ、次の GPO ノードにあります: コンピューター構成>管理テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ。 このポリシーを有効にし、暗号化の種類を [使用領域のみ暗号化] として選択すると、MBAM によってポリシーが適用され、BitLocker はボリュームで使用されているディスク領域のみを暗号化します。
詳細については、「MBAM 2.5 グループ ポリシー要件の計画」を参照してください。
MBAM クライアントによる暗号化ハード ドライブのサポート
MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす暗号化されたハード ドライブの BitLocker がサポートされています。 これらのデバイスで BitLocker が有効になっていると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ 」を参照してください。
SPN を登録するときに委任構成が不要になった
アプリケーション プール アカウントに登録する SPN の制約付き委任を構成するための要件は、MBAM 2.5 SP1 では不要になりました。 ただし、MBAM 2.5 の要件は引き続きです。
Windows 展開の一部として MBAM を使用して BitLocker を有効にする
MBAM 2.5 SP1 では、PowerShell スクリプトを使用して、BitLocker ドライブの暗号化と MBAM サーバーへの回復キーのエスクローを構成できます。
詳細については、「Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法」を参照してください。
Self-Service ポータルは、PowerShell または SSP カスタマイズ ウィザードを使用してカスタマイズできます
MBAM 2.5 SP1 以降では、カスタマイズ ウィザードと PowerShell を使用して、Self-Service ポータルを構成できます。 「MBAM 2.5 Web アプリケーションを構成する方法」を参照してください。
Web ブラウザーが意図せずに管理者として実行されなくなりました
MBAM 2.5 の問題により、サーバー構成ツールのヘルプ リンクが原因で、管理者権限でブラウザー ウィンドウが開きます。 この問題は MBAM 2.5 SP1 で修正されています。
CDN にアクセスできないときに、Self-Service ポータルを構成するために JavaScript ファイルをダウンロードする必要がなくなりました
MBAM 2.5 以前では、Self-Service ポータルにアクセスするクライアントがインターネットにアクセスできない場合、Self-Service ポータルの構成に使用される jQuery ファイルを CDN から事前にダウンロードする必要がありました。 MBAM 2.5 SP1 では、すべての JavaScript ファイルが製品に含まれているため、ダウンロードは不要です。
レポートはReport Builder 3.0 で開くことができます
MBAM 2.5 SP1 では、レポートが最新のレポート定義言語スキーマに更新され、ユーザーはReport Builder 3.0 でレポートを開いてカスタマイズし、レポート ファイルを破損させずにすぐに保存できます。
新しい PowerShell コマンドレット
MBAM 2.5 SP1 用の新しい PowerShell コマンドレットを使用すると、データベース、レポート、Web アプリケーションなど、さまざまな MBAM 機能を構成および管理できます。 各機能には、機能を有効または無効にしたり、機能に関する情報を取得したりするために使用できる対応する PowerShell コマンドレットがあります。
MBAM 2.5 SP1 には、次のコマンドレットが実装されています。
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
MBAM 2.5 SP1 の Enable-MbamWebApplication コマンドレットと Test-MbamWebApplication コマンドレットには、次のパラメーターが実装されています。
DataMigrationAccessGroup
TpmAutoUnlock
コマンドレットの詳細については、「 MBAM 2.5 のセキュリティに関する考慮事項」 および 「Microsoft BitLocker の管理と監視コマンドレットのヘルプ」を参照してください。
MBAM エージェントがプレゼンテーション モードを検出する
MBAM エージェントは、コンピューターがプレゼンテーション モードであることを検出し、その時点での MBAM UI の呼び出しを回避できます。
遅延開始を使用するように MBAM エージェント サービスが構成されるようになりました
インストール後、サービスは遅延開始を使用するように MBAM エージェント サービスを設定し、Windows の起動にかかる時間を短縮します。
ロックされた固定データ ボリュームが準拠としてレポートされるようになりました
"ロックされた固定データ" ボリュームのコンプライアンス計算ロジックは、ボリュームを "準拠" として報告するように変更されましたが、保護機能の状態と暗号化状態が "不明" で、コンプライアンス状態の詳細が "ボリュームがロックされています" です。 以前は、ロックされたボリュームは"非準拠"、保護機能の状態が "Encrypted"、暗号化状態が "Unknown"、コンプライアンス状態の詳細が "不明なエラー" として報告されていました。
MDOP テクノロジを取得する方法
MBAM は、Microsoft Desktop Optimization Pack (MDOP) の一部です。 MDOP は、Microsoft ソフトウェア アシュアランス プログラムの一部です。 Microsoft ソフトウェア アシュアランス プログラムと MDOP を取得する方法の詳細については、「 MDOP を取得する方法」を参照してください。
MBAM 2.5 SP1 リリース ノート
このドキュメントに含まれていない詳細と最新ニュースについては、「 MBAM 2.5 SP1 のリリース ノート」を参照してください。
MBAM の提案はありますか?
MBAM の問題については、 MBAM TechNet フォーラムを使用してください。