ユーザーの BitLocker 暗号化の除外を管理する方法
Microsoft BitLocker の管理と監視 (MBAM) を使用すると、BitLocker ドライブ暗号化の要件からユーザーを除外できます。
BitLocker 保護からユーザーを除外するには、次の手順を実行する必要があります。
| タスク | 詳細 |
|---|---|
除外されたユーザーをサポートするインフラストラクチャを作成します。 |
このインフラストラクチャの例には、除外を要求するために使用できる連絡先電話番号、Web ページ、または郵送先住所をユーザーに提供することが含まれます。 |
除外されたユーザー用に特別に構成されたグループ ポリシー オブジェクトのセキュリティ グループに除外されたユーザーを追加します。 |
このセキュリティ グループのメンバーがコンピューターにサインインすると、ユーザーのグループ ポリシー設定によってユーザーが BitLocker 保護から除外されます。 ユーザーのグループ ポリシー設定によってコンピューター ポリシーが上書きされ、コンピューターは BitLocker 暗号化から除外されたままになります。
注
コンピューターが既に BitLocker で保護されていて、ユーザーが除外されている場合、MBAM は暗号化ポリシーを適用しません。 ただし、暗号化ポリシーから除外されていない別のユーザーがコンピューターにサインインすると、暗号化が行われます。 |
次の手順では、MBAM クライアントを通じて、または組織が使用するプロセスを通じて、エンド ユーザーが BitLocker ドライブ暗号化除外プロセスの除外を要求した場合に発生する処理について説明します。 エンド ユーザーが BitLocker ドライブ暗号化の除外を要求できるように、MBAM グループ ポリシー設定を構成する必要があります。
エンド ユーザーが暗号化が必要なコンピューターにサインインすると、そのコンピューターが暗号化されることを示す通知を受け取ります。 [ 適用除外の要求 ] を選択し、[延期] を選択して暗号化を 延期するか、[ 暗号化の開始 ] を選択して BitLocker 暗号化を受け入れます。
注
[要求の除外] を選択すると、ユーザー除外ポリシーで設定された最大時間まで BitLocker 保護が延期されます。エンド ユーザーが [除外の要求] を選択すると、組織の BitLocker 管理グループに問い合わせるという通知が届きます。 ユーザー除外ポリシーの構成方法に応じて、ユーザーには次の連絡先の方法が 1 つ以上用意されています。
電話番号
Web ページ URL
住所
除外要求を受け取った後、MBAM 管理者は BitLocker の除外Active Directory Domain Services (AD DS) グループにユーザーを追加するかどうかを決定します。
エンド ユーザーが除外要求を送信した後、MBAM クライアントはユーザーを "一時的に除外" として報告します。 その後、クライアントは、IT 管理者が構成する指定された日数待ってから、コンピューターのコンプライアンスを再度確認します。 MBAM 管理者が除外要求を拒否した場合、除外要求オプションは非アクティブ化されます。これにより、ユーザーは再び除外を要求できなくなります。
Microsoft BitLocker の管理と監視 (MBAM) を使用すると、BitLocker ドライブ暗号化の要件からユーザーを除外できます。
BitLocker 保護からユーザーを除外するには、次の手順を実行する必要があります。
| タスク | 詳細 |
|---|---|
除外されたユーザーをサポートするインフラストラクチャを作成します。 |
このインフラストラクチャの例には、除外を要求するために使用できる連絡先電話番号、Web ページ、または郵送先住所をユーザーに提供することが含まれます。 |
除外されたユーザー用に特別に構成されたグループ ポリシー オブジェクトのセキュリティ グループに除外されたユーザーを追加します。 |
このセキュリティ グループのメンバーがコンピューターにサインインすると、ユーザーのグループ ポリシー設定によってユーザーが BitLocker 保護から除外されます。 ユーザーのグループ ポリシー設定によってコンピューター ポリシーが上書きされ、コンピューターは BitLocker 暗号化から除外されたままになります。
注
コンピューターが既に BitLocker で保護されている場合、ユーザー除外ポリシーは無効です。 さらに、別のユーザーが暗号化ポリシーから除外されていないコンピューターにサインインすると、暗号化が行われます。 |
次の手順では、MBAM クライアントを通じて、または組織が使用するプロセスを通じて、エンド ユーザーが BitLocker ドライブ暗号化除外プロセスの除外を要求した場合に発生する処理について説明します。 エンド ユーザーが BitLocker ドライブ暗号化の除外を要求できるように、MBAM グループ ポリシー設定を構成する必要があります。
エンド ユーザーが暗号化が必要なコンピューターにサインインすると、そのコンピューターが暗号化されることを示す通知を受け取ります。 [ 適用除外の要求 ] を選択し、[延期] を選択して暗号化を 延期するか、[ 暗号化の開始 ] を選択して BitLocker 暗号化を受け入れます。
注
[要求の除外] を選択すると、ユーザー除外ポリシーで設定された最大時間まで BitLocker 保護が延期されます。エンド ユーザーが [除外の要求] を選択すると、組織の BitLocker 管理グループに問い合わせるという通知が届きます。 ユーザー除外ポリシーの構成方法に応じて、ユーザーには次の連絡先の方法が 1 つ以上用意されています。
電話番号
Web ページ URL
住所
除外要求を受け取った後、MBAM 管理者は BitLocker の除外Active Directory Domain Services (AD DS) グループにユーザーを追加するかどうかを決定します。
エンド ユーザーが除外要求を送信した後、MBAM クライアントはユーザーを "一時的に除外" として報告します。 その後、クライアントは、IT 管理者が構成する指定された日数待ってから、コンピューターのコンプライアンスを再度確認します。 MBAM 管理者が除外要求を拒否した場合、除外要求オプションは非アクティブ化されます。これにより、ユーザーは再び除外を要求できなくなります。
BitLocker ドライブ暗号化からユーザーを除外するには
BitLocker 暗号化要件からのユーザーの除外を管理するために使用する AD DS セキュリティ グループを作成します。
Microsoft BitLocker 管理および監視グループ ポリシー テンプレートを使用して、グループ ポリシー オブジェクトを作成します。
グループ ポリシー オブジェクトを、前の手順で作成した AD DS グループに関連付けます。 ユーザーを除外するポリシー設定は、 UserConfiguration>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management) にあります。
BitLocker 除外ユーザー用に作成したセキュリティ グループに、除外を要求しているユーザーの名前を追加します。
ユーザーが BitLocker によって制御されているコンピューターにサインインすると、MBAM クライアントはユーザー除外ポリシー設定をチェックします。 コンピューターが既に暗号化されている場合、BitLocker 保護は中断されません。 コンピューターが暗号化されていない場合、MBAM はユーザーに暗号化を求めるメッセージを表示しません。
重要
共有コンピューターのシナリオでは、BitLocker ユーザーの除外を使用する場合に特別な考慮事項が必要です。 非除外ユーザーが除外ユーザーと共有されているコンピューターにサインインした場合、コンピューターは暗号化される可能性があります。
関連トピック
MBAM に関する提案を受け取りましたか?
MBAM の問題については、 MBAM TechNet フォーラムを使用します。