MBAM 2.5 クライアントの展開計画
Microsoft BitLocker 管理および監視 (MBAM) クライアント ソフトウェアを展開するタイミングに応じて、エンド ユーザーがコンピューターを受信する前または後で、組織内のコンピューターで BitLocker ドライブ暗号化を有効にすることができます。 MBAM スタンドアロン トポロジとSystem Center Configuration Manager統合トポロジの両方で、MBAM のグループ ポリシー設定を構成する必要があります。
MBAM スタンドアロン トポロジを使用している場合は、エンタープライズ ソフトウェア展開システムを使用して、MBAM クライアント ソフトウェアをエンド ユーザー コンピューターに展開することをお勧めします。
Configuration Manager統合トポロジを使用して MBAM を展開する場合は、Configuration Managerを使用して MBAM クライアント ソフトウェアをエンド ユーザー コンピューターに展開できます。 Configuration Managerでは、MBAM のインストールによって、MBAM で管理できるコンピューターのコレクションが作成されます。 このコレクションには、トラステッド プラットフォーム モジュール (TPM) がないが、Windows 8、Windows 8.1、またはWindows 10を実行しているワークステーションとデバイスが含まれます。
メモConfiguration Manager 2007 を使用している場合、Configuration Manager統合トポロジのインストールでは Windows To Go はサポートされていません。
MBAM クライアントを展開して、コンピューターをエンド ユーザーに配布した後に BitLocker ドライブ暗号化を有効にする
グループ ポリシーを構成した後、Microsoft System Center Configuration Managerや Active Directory Domain Services (AD DS) などのエンタープライズ ソフトウェア展開システム製品を使用して、MBAM クライアント インストールの Windows インストーラー ファイルをターゲット コンピューターに展開できます。 MBAM クライアントを展開するには、MBAM クライアント ソフトウェアで提供される 32 ビットまたは 64 ビットのMbamClientSetup.exe ファイルまたはMBAMClient.msi ファイルのいずれかを使用できます。
メモ MBAM 2.5 SP1 以降では、別の MSI は MBAM 製品に含まれなくなりました。 ただし、製品に含まれる実行可能ファイル (.exe) から MSI を抽出できます。
コンピューターをクライアント コンピューターに配布した後に MBAM クライアントを展開すると、エンド ユーザーにコンピューターの暗号化を求めるメッセージが表示されます。 このアクションにより、MBAM は PIN とパスワード (ポリシーで必要な場合) を含むデータを収集し、暗号化プロセスを開始できます。
メモ この方法では、TPM チップを搭載したコンピューターを持つエンド ユーザーに対し、チップが以前にアクティブ化されていない場合は、TPM チップをアクティブ化して初期化するように求められます。
MBAM クライアントを使用して、コンピューターをエンド ユーザーに配布する前に BitLocker ドライブ暗号化を有効にする
コンピューターを一元的に受信して構成し、コンピューターに準拠した TPM チップがある組織では、MBAM クライアントを使用して、ユーザー データが書き込まれる前に、各コンピューターで BitLocker ドライブ暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが準拠していることです。 管理者がコンピューターを既に暗号化しているため、このメソッドはエンド ユーザーの操作に依存しません。 このシナリオの主な前提は、コンピューターがエンド ユーザーに配信される前に、組織のポリシーが企業の Windows イメージをインストールすることです。
組織が TPM チップを使用してコンピューターを暗号化する場合、管理者は TPM 保護機能を追加して、コンピューターのオペレーティング システム ボリュームを暗号化します。 組織で TPM チップと PIN 保護機能を使用する場合、管理者は TPM 保護機能を使用してオペレーティング システムボリュームを暗号化し、エンド ユーザーが初めてログオンするときに PIN を選択します。 組織が PIN 保護機能のみを使用することを決定した場合、管理者は最初にボリュームを暗号化する必要はありません。 エンド ユーザーがログオンすると、Microsoft BitLocker の管理と監視によって、後でコンピューターを再起動するときに使用する PIN または PIN とパスワードを入力するように求められます。
メモ TPM 保護機能オプションを使用するには、コンピューターがエンド ユーザーに配信される前に、管理者が BIOS プロンプトを受け入れて TPM をアクティブ化して初期化する必要があります。
暗号化されたハード ドライブに対する MBAM クライアントのサポート
MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす、暗号化されたハード ドライブ上の BitLocker がサポートされています。 これらのデバイスで BitLocker を有効にすると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ 」を参照してください。
関連トピック
MBAM に関する提案を受け取りましたか?
MBAM の問題については、 MBAM TechNet フォーラムを使用します。