MBAM 2.5 のグループ ポリシー要件の計画
次の情報を使用して、エンタープライズ内の Microsoft BitLocker 管理および監視 (MBAM) クライアント コンピューターを管理するために使用できる BitLocker 保護機能の種類を確認します。
MBAM でサポートされる BitLocker 保護機能の種類
MBAM では、次の種類の BitLocker 保護機能がサポートされています。
| ドライブまたはボリュームの種類 | サポートされている BitLocker 保護機能 |
|---|---|
オペレーティング システム ボリューム |
|
固定データ ドライブ |
|
リムーバブル ドライブ |
|
使用済み領域暗号化 BitLocker ポリシーのサポート
MBAM 2.5 SP1 で、BitLocker グループ ポリシーを使用した使用済み領域暗号化を有効にした場合、MBAM クライアントはそれを受け入れます。
このグループ ポリシー設定は、オペレーティング システム ドライブにドライブ暗号化の種類を適用すると呼ばれ、次の GPO ノードにあります: コンピューター構成>管理テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化>オペレーティング システム ドライブ。 このポリシーを有効にし、暗号化の種類を [使用領域のみ暗号化] として選択すると、MBAM によってポリシーが適用され、BitLocker はボリュームで使用されているディスク領域のみを暗号化します。
MBAM グループ ポリシー テンプレートを取得し、設定を編集する方法
必要な MBAM グループ ポリシー設定を構成する準備ができたら、次の操作を行います。
| 従う手順 | 手順を取得する場所 |
|---|---|
|
MDOP グループ ポリシー テンプレートから MBAM グループ ポリシー テンプレートをコピーし、グループ ポリシー管理コンソール (GPMC) または Advanced グループ ポリシー Management (AGPM) を実行できるコンピューターにインストールします。 |
|
エンタープライズで使用するグループ ポリシー設定を構成します。 |
MBAM グループ ポリシー設定の説明
MDOP MBAM (BitLocker Management) GPO ノードには、4 つのグローバル ポリシー設定と 4 つの子 GPO ノード (クライアント管理、固定ドライブ、オペレーティング システム ドライブ、リムーバブル ドライブ) が含まれています。 次のセクションでは、MBAM グループ ポリシー設定の設定について説明し、提案します。
重要
BitLocker ドライブ暗号化ノードのグループ ポリシー設定を変更しないでください。または MBAM が正しく機能しません。 MBAM は、MDOP MBAM (BitLocker Management) ノードで設定を構成するときに、このノードの設定を自動的に構成します。
グローバル グループ ポリシー定義
このセクションでは、次の GPO ノードの MBAM グローバル グループ ポリシー定義について説明します。コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management) です。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
ドライブ暗号化方法と暗号強度を選択する |
推奨される構成: 有効 特定の暗号化方法と暗号強度を使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、BitLocker は既定の暗号化方法 AES 128 ビットとディフューザーを使用します。
注
BitLocker コンピューターコンプライアンス レポートに関する問題により、既定値を使用している場合でも、暗号強度の "不明" が表示されます。 この問題を回避するには、この設定を有効にし、暗号強度の値を設定してください。
|
再起動時にメモリの上書きを防ぐ |
推奨される構成: 未構成 再起動時にメモリ内の BitLocker シークレットを上書きせずに再起動のパフォーマンスを向上させるには、このポリシーを構成します。 このポリシーが構成されていない場合、コンピューターの再起動時に BitLocker シークレットがメモリから削除されます。 |
スマート カード証明書の使用規則を検証する |
推奨される構成: 未構成 スマートカード証明書ベースの BitLocker 保護を使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、証明書を指定するために、既定のオブジェクト識別子 1.3.6.1.4.1.311.67.1.1 が使用されます。 |
組織の一意の識別子を指定する |
推奨される構成: 未構成 証明書ベースのデータ復旧エージェントまたは BitLocker To Go リーダーを使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、[ 識別 ] フィールドは使用されません。 会社で高いセキュリティ測定値が必要な場合は、[識別] フィールドを構成して、すべての USB デバイスにこのフィールドが設定されていること、およびこのグループ ポリシー設定に合わせて調整されていることを確認できます。 |
クライアント管理のグループ ポリシー定義
このセクションでは、次の GPO ノードで MBAM のクライアント管理ポリシー定義について説明します。 コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>クライアント管理。
スタンドアロントポロジとSystem Center Configuration Manager統合トポロジに対して同じグループ ポリシー設定を設定できます。ただし、1 つの例外は、Configuration Managerを使用している場合は、[MBAM Services MBAM Status reporting service endpoint]\(MBAM サービス>の MBAM 状態レポート サービス エンドポイントの構成\) 設定を無効にしますConfiguration Manager 次の表に示すように、統合トポロジ。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
MBAM サービスを構成する |
推奨される構成: 有効
|
ユーザー除外ポリシーを構成する |
推奨される構成: 未構成 このポリシー設定を使用すると、BitLocker 暗号化の除外を要求するようにユーザーに指示する Web サイト のアドレス、電子メール アドレス、または電話番号を構成できます。 このポリシー設定を有効にし、Web サイトのアドレス、電子メール アドレス、または電話番号を指定すると、BitLocker 保護の適用除外を申請する方法に関する手順を示すダイアログ ボックスが表示されます。 ユーザーに対して BitLocker 暗号化の除外を有効にする方法の詳細については、「 ユーザー BitLocker 暗号化の除外を管理する方法」を参照してください。 このポリシー設定を無効にするか、構成しなかった場合、除外要求の指示はユーザーに表示されません。
注
ユーザーの除外は、コンピューターごとにではなく、ユーザーごとに管理されます。 複数のユーザーが同じコンピューターにログオンし、1 人のユーザーが除外されていない場合、コンピューターは暗号化されます。 |
カスタマー エクスペリエンス向上プログラムを構成する |
推奨される構成: 有効 このポリシー設定を使用すると、MBAM ユーザーがカスタマー エクスペリエンス向上プログラムに参加する方法を構成できます。 このプログラムは、コンピューターのハードウェアとユーザーが作業を中断せずに MBAM を使用する方法に関する情報を収集します。 この情報はMicrosoft改善する MBAM 機能を特定するのに役立ちます。 Microsoftでは、この情報を使用して MBAM ユーザーを特定したり、連絡したりすることはありません。 このポリシー設定を有効にすると、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できます。 このポリシー設定を無効にした場合、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できません。 このポリシー設定を構成しない場合、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できます。 |
[セキュリティ ポリシー] リンクの URL を指定します |
推奨される構成: 有効 このポリシー設定を使用して、エンド ユーザーに表示される URL を "会社のセキュリティ ポリシー" という名前のリンクとして指定します。リンクは、会社の内部セキュリティ ポリシーを指し示し、エンド ユーザーに暗号化要件に関する情報を提供します。 このリンクは、ユーザーが MBAM からドライブを暗号化するように求められたときに表示されます。 このポリシー設定を有効にした場合は、[セキュリティ ポリシー] リンクの URL を構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、セキュリティ ポリシー リンクはユーザーに表示されません。 |
固定ドライブのグループ ポリシー定義
このセクションでは、次の GPO ノードで、Microsoft BitLocker 管理と監視の固定ドライブ ポリシー定義について説明します。コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>固定ドライブ。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
固定データ ドライブの暗号化設定 |
推奨される構成: 有効 このポリシー設定を使用すると、固定データ ドライブを暗号化する必要があるかどうかを管理できます。 オペレーティング システム ボリュームを暗号化する必要がある場合は、[ 固定データ ドライブの自動ロック解除を有効にする] をクリックします。 このポリシーを有効にする場合は、 固定データ ドライブの 自動ロック解除を有効にするか、または使用を要求しない限り、[固定データ ドライブのパスワードの使用を構成する] ポリシーを無効にしないでください。 固定データ ドライブに自動ロック解除を使用する必要がある場合は、オペレーティング システム ボリュームを暗号化するように構成する必要があります。 このポリシー設定を有効にした場合、ユーザーはすべての固定データ ドライブを BitLocker 保護の下に配置する必要があり、データ ドライブは暗号化されます。 このポリシー設定を構成しない場合、ユーザーは固定データ ドライブを BitLocker 保護の下に配置する必要はありません。 固定データ ドライブが暗号化された後にこのポリシーを適用すると、MBAM エージェントは暗号化された固定データ ドライブの暗号化を解除します。 このポリシー設定を無効にした場合、ユーザーは固定データ ドライブを BitLocker 保護の下に配置できません。 |
BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する |
推奨される構成: 未構成 このポリシー設定は、固定データ ドライブをコンピューター上で書き込み可能にするために BitLocker 保護が必要かどうかを決定します。 このポリシー設定は、BitLocker をオンにするときに適用されます。 ポリシーが構成されていない場合、コンピューター上のすべての固定データ ドライブが読み取り/書き込みアクセス許可でマウントされます。 |
以前のバージョンの Windows から BitLocker で保護された固定ドライブへのアクセスを許可する |
推奨される構成: 未構成 このポリシーを有効にすると、FAT ファイル システムを持つ固定ドライブのロックを解除し、Windows Server 2008、Windows Vista、SP3 の Windows XP、または SP2 で Windows XP を実行しているコンピューターで表示できます。 ポリシーが有効になっているか未構成の場合、FAT ファイル システムでフォーマットされた固定ドライブのロックを解除し、そのコンテンツを Windows Server 2008、Windows Vista、Windows XP WITH SP3、または SP2 で Windows XP を実行しているコンピューターで表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブに対する読み取り専用アクセス許可があります。 ポリシーが無効になっている場合、FAT ファイル システムでフォーマットされた固定ドライブのロックを解除することはできません。また、Windows Server 2008、Windows Vista、Windows XP と SP3、または SP2 を使用する Windows XP を実行しているコンピューターでは、そのコンテンツを表示できません。 |
固定ドライブのパスワードの使用を構成する |
推奨される構成: 未構成 このポリシーを使用して、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定します。 このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 BitLocker を使用すると、ユーザーはドライブで使用可能な保護機能を使用してドライブのロックを解除できます。 これらの設定は、ボリュームのロックを解除するときではなく、BitLocker をオンにするときに適用されます。 このポリシー設定を無効にした場合、ユーザーはパスワードの使用を許可されません。 ポリシーが構成されていない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 セキュリティを強化するには、このポリシーを有効にし、[ 固定データ ドライブにパスワードを要求する] を選択し、[ パスワードの複雑さを要求する] をクリックし、必要な 最小パスワード長 を設定します。 このポリシー設定を無効にした場合、ユーザーはパスワードの使用を許可されません。 このポリシー設定を構成しない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 |
BitLocker で保護された固定ドライブを回復する方法を選択する |
推奨される構成: 未構成 このポリシーを構成して、BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存します。 ポリシーが構成されていない場合、BitLocker データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM では、回復情報を AD DS にバックアップする必要はありません。 |
暗号化ポリシーの適用設定 |
推奨される構成: 有効 このポリシー設定を使用して、固定データ ドライブが MBAM ポリシーに強制的に準拠するまで非準拠のままでいられる日数を構成します。 ユーザーは、猶予期間後に必要なアクションを延期したり、除外を要求したりすることはできません。 猶予期間は、固定データ ドライブが非準拠であると判断されたときに開始されます。 ただし、固定データ ドライブ ポリシーは、オペレーティング システム ドライブが準拠するまで適用されません。 猶予期間の有効期限が切れ、固定データ ドライブがまだ準拠していない場合、ユーザーは延期または除外を要求するオプションがありません。 暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を提供するまで閉じることができないダイアログ ボックスが表示されます。 オペレーティング システム ドライブの猶予期間が切れた直後に暗号化プロセスを強制的に開始するように、固定ドライブの非準拠猶予期間日数を構成するに「0」と入力します。 この設定を無効にした場合、または構成しなかった場合、ユーザーは MBAM ポリシーに準拠することを強制されません。 保護機能を追加するためにユーザーの操作が必要ない場合は、猶予期間の有効期限が切れた後、バックグラウンドで暗号化が開始されます。 |
オペレーティング システム ドライブのグループ ポリシー定義
このセクションでは、次の GPO ノードで、Microsoft BitLocker 管理と監視のオペレーティング システム ドライブ ポリシー定義について説明します。コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>オペレーティング システム ドライブ。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
オペレーティング システム ドライブの暗号化設定 |
推奨される構成: 有効 このポリシー設定を使用すると、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。 セキュリティを強化するには、TPM + PIN 保護機能を使用して有効にするときに、 System>Power Management>スリープ設定 で次のポリシー設定を無効にすることを検討してください。
Microsoft Windows 8以降を実行していて、TPM のないコンピューターで BitLocker を使用する場合は、[互換性のある TPM なしで BitLocker を許可する] チェック ボックスをオンにします。 このモードでは、起動時にパスワードが必要です。 パスワードを忘れた場合は、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。 互換性のある TPM を持つコンピューターでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を必要とすることもできます。 このポリシー設定を有効にした場合、ユーザーはオペレーティング システム ドライブを BitLocker 保護の下に置く必要があり、ドライブは暗号化されます。 このポリシーを無効にした場合、ユーザーはオペレーティング システム ドライブを BitLocker 保護の下に配置できません。 オペレーティング システム ドライブの暗号化後にこのポリシーを適用すると、ドライブは暗号化解除されます。 このポリシーを構成しない場合は、オペレーティング システム ドライブを BitLocker 保護の下に配置する必要はありません。 |
起動時に拡張 PIN を許可する |
推奨される構成: 未構成 このポリシー設定を使用して、拡張スタートアップ PIN を BitLocker で使用するかどうかを構成します。 拡張スタートアップ PIN を使用すると、大文字と小文字、記号、数字、スペースなどの文字を使用できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN セットを使用すると、エンド ユーザーは拡張 PIN を作成できるようになります。 ただし、すべてのコンピューターがプレブート環境で拡張 PIN をサポートできるわけではありません。 管理者は、使用を有効にする前に、システムがこの機能と互換性があるかどうかを評価することを強くお勧めします。 [ ASCII 専用 PIN が必要 ] チェック ボックスをオンにすると、拡張 PIN と、プリブート環境で入力できる文字数を制限するコンピューターとの互換性が向上します。 このポリシー設定を無効にするか、構成しない場合、拡張 PIN は使用されません。 |
BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する |
推奨される構成: 未構成 このポリシーを構成して、BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存します。 このポリシーが構成されていない場合、データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM 操作では、回復情報を AD DS にバックアップする必要はありません。 |
オペレーティング システム ドライブのパスワードの使用を構成する |
推奨される構成: 未構成 このポリシー設定を使用して、BitLocker で保護されたオペレーティング システム ドライブのロックを解除するために使用されるパスワードの制約を設定します。 オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワードをプロビジョニングし、パスワードに複雑さの要件を適用し、パスワードの最小長を構成できます。 複雑さの要件設定を有効にするには、[コンピューターの構成>] [Windows 設定] [セキュリティ設定>>] [アカウント ポリシー>] [パスワード ポリシー] にある [パスワードが複雑な要件を満たす必要があります] の設定を有効 グループ ポリシーにする必要もあります。
注
これらの設定は、ボリュームのロックを解除するときではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。 このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 パスワードに複雑さの要件を適用するには、[パスワードの 複雑さが必要] をクリックします。 |
BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する |
推奨される構成: 未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。
重要
このグループ ポリシー設定は、BIOS 構成を持つコンピューター、または互換性サービス モジュール (CSM) が有効になっている UEFI ファームウェアを持つコンピューターにのみ適用されます。 ネイティブ UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 [ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルの構成] グループ ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。 BitLocker をオンにする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker は既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。 |
TPM プラットフォーム検証プロファイルを構成する |
推奨される構成: 未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。 BitLocker をオンにする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。 |
ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する |
推奨される構成: 未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。
重要
このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューターにのみ適用されます。 BitLocker を有効にする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。 |
BitLocker の回復後にプラットフォーム検証データをリセットする |
推奨される構成: 未構成 このポリシー設定を使用して、BitLocker 回復後に Windows を起動したときにプラットフォーム検証データを更新するかどうかを制御します。 このポリシー設定を有効にすると、BitLocker の復旧後に Windows が起動すると、プラットフォーム検証データが更新されます。 このポリシー設定を無効にした場合、BitLocker の回復後に Windows を起動しても、プラットフォーム検証データは更新されません。 このポリシー設定を構成しない場合、BitLocker の回復後に Windows が起動すると、プラットフォーム検証データが更新されます。 |
拡張ブート構成データ検証プロファイルを使用する |
推奨される構成: 未構成 このポリシー設定を使用すると、プラットフォームの検証中に検証する特定のブート構成データ (BCD) 設定を選択できます。 このポリシー設定を有効にした場合は、追加の設定を追加するか、既定の設定を削除するか、またはその両方を削除できます。 このポリシー設定を無効にすると、コンピューターは、Windows 7 で使用される既定の BCD プロファイルと同様の BCD プロファイルに戻ります。 このポリシー設定を構成しない場合、コンピューターは既定の Windows BCD 設定を確認します。
注
BitLocker でプラットフォームとブート構成データ (BCD) の整合性検証にセキュア ブートが使用されている場合は、"整合性検証のためにセキュア ブートを許可する" ポリシーで定義されている場合、[拡張ブート構成データ検証プロファイルの使用] ポリシーは無視されます。 ブート デバッグ (0x16000010) を制御する設定は常に検証され、指定されたフィールドに含まれている場合は効果がありません。 |
暗号化ポリシーの適用設定 |
推奨される構成: 有効 このポリシー設定を使用して、ユーザーがオペレーティング システム ドライブの MBAM ポリシーへの準拠を延期できる日数を構成します。 猶予期間は、オペレーティング システムが最初に非準拠として検出されたときに開始されます。 この猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。 暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を提供するまで閉じることができないダイアログ ボックスが表示されます。 この設定を無効にした場合、または構成しなかった場合、ユーザーは MBAM ポリシーに準拠することを強制されません。 保護機能を追加するためにユーザーの操作が必要ない場合は、猶予期間の有効期限が切れた後、バックグラウンドで暗号化が開始されます。 |
起動前の回復メッセージと URL を構成する |
推奨される構成: 未構成 このポリシー設定を有効にすると、カスタム回復メッセージを構成したり、OS ドライブがロックされているときにブート前の BitLocker 回復画面に表示される URL を指定したりできます。 この設定は、Windows 11とWindows 10を実行しているクライアント コンピューターでのみ使用できます。 このポリシーが有効になっている場合は、起動前の回復メッセージに対して次のいずれかのオプションを選択できます。
注
すべての文字と言語がプレブートでサポートされているわけではありません。 カスタム メッセージまたは URL に使用する文字が、ブート前の BitLocker 回復画面に正しく表示されることをテストすることをお勧めします。 |
リムーバブル ドライブのグループ ポリシー定義
このセクションでは、次の GPO ノードで、Microsoft BitLocker 管理と監視のリムーバブル ドライブのグループ ポリシー定義について説明します。コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理)>リムーバブル ドライブ。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
リムーバブル ドライブでの BitLocker の使用を制御する |
推奨される構成: 有効 このポリシーは、リムーバブル データ ドライブでの BitLocker の使用を制御します。 [ ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用 できるようにする] をクリックして、ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします。 [ ユーザーがリムーバブル データ ドライブで BitLocker を一時停止および復号化 できるようにする] をクリックすると、ユーザーはドライブから BitLocker ドライブの暗号化を削除したり、メンテナンスの実行中に暗号化を一時停止したりできます。 このポリシーを有効にし、[ リムーバブル データ ドライブに BitLocker 保護を適用することをユーザーに許可する] をクリックすると、MBAM クライアントはリムーバブル ドライブに関する回復情報を MBAM キー回復サーバーに保存し、パスワードが失われた場合にユーザーがドライブを回復できるようにします。 |
BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する |
推奨される構成: 未構成 BitLocker で保護されたドライブへの書き込みアクセス許可のみを許可するには、このポリシーを有効にします。 このポリシーを有効にすると、書き込みアクセス許可が許可される前に、コンピューター上のすべてのリムーバブル データ ドライブで暗号化が必要になります。 |
以前のバージョンの Windows から BitLocker で保護されたリムーバブル ドライブへのアクセスを許可する |
推奨される構成: 未構成 このポリシーを有効にすると、FAT ファイル システムを持つ固定ドライブのロックが解除され、Windows Server 2008、Windows Vista、SP3 の Windows XP、または SP2 で Windows XP が実行されているコンピューターで表示できるようになります。 このポリシーが構成されていない場合、FAT ファイル システムでフォーマットされたリムーバブル ドライブは、Windows Server 2008、Windows Vista、Sp3 の Windows XP、または SP2 の Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブに対する読み取り専用アクセス許可があります。 ポリシーが無効になっている場合、FAT ファイル システムでフォーマットされたリムーバブル ドライブのロックを解除することはできません。また、Windows Server 2008、Windows Vista、Windows XP と SP3、または SP2 を使用する Windows XP を実行しているコンピューターでは、そのコンテンツを表示できません。 |
リムーバブル データ ドライブのパスワードの使用を構成する |
推奨される構成: 未構成 リムーバブル データ ドライブでパスワード保護を構成するには、このポリシーを有効にします。 このポリシーが構成されていない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 セキュリティを強化するには、このポリシーを有効にし、[ リムーバブル データ ドライブにパスワードを要求する] を選択し、[ パスワードの複雑さを要求する] をクリックし、推奨される 最小パスワード長を設定します。 |
BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する |
推奨される構成: 未構成 このポリシーを構成して、BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存します。 [未構成] に設定すると、データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM 操作では、回復情報を AD DS にバックアップする必要はありません。 |
関連記事
MBAM の提案はありますか?
MBAM の問題については、 MBAM TechNet フォーラムを使用してください。