MBAM 2.5 SP1 のリリース ノート
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 をインストールする前に、これらのリリース ノートをよくお読みください。 これらのリリース ノートには、MBAM を正常にインストールするために必要な情報が含まれており、製品ドキュメントに記載されていない情報を含めることができます。 これらのリリース ノートが他の MBAM 2.5 SP1 ドキュメントと異なる場合は、最新の変更を権限のあるものにすることを検討してください。 これらのリリース ノートは、この製品に含まれるコンテンツよりも優先されます。
MBAM 2.5 SP1 の既知の問題
このセクションには、MBAM 2.5 SP1 のリリース ノートが含まれています。
PowerShell Read-AD* コマンドレットは、ユーザーが十分な権限を持っていない場合にフィードバックを提供しません
MBAM Server の PowerShell Read-AD* コマンドレットを使用しようとしているユーザーに、Active Directory 回復情報を読み取る権限や TPM 情報を読み取るユーザー権限がない場合、コマンドレットはユーザーにエラーや警告を提供しません。
回避 策: 必要なユーザー権限がある場合にのみ、PowerShell Read-AD* コマンドレットを使用します。
MBAM Active Directory (AD) 移行コマンドレットがボリューム回復情報を取得しない
MBAM Active Directory (AD) 移行コマンドレットは、スラッシュ文字 (/) が OU 名の一部である場合、組織単位 (OU) 内のコンピューターのボリューム回復情報を取得できません。 このエラーが発生すると、繰り返される AD プルはパイプライン終了エラーで失敗します。
技術的な詳細: コマンドを実行すると、次のエラーが表示されます。
Read-ADRecoveryInformation : Unknown error (0x80005000)
At line:1 char:1
+ Read-ADRecoveryInformation -Server "…" -SearchBase " ...
+ ~~
+ CategoryInfo : NotSpecified: (:) [Read-ADRecoveryInformation], COMException
+ FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADRecoveryInformationCommand
さらに、例外スタック トレース Error[0].Exception.StackTrace は次のようになります。
at System.DirectoryServices.DirectoryEntry.Bind(Boolean throwIfFail)
at System.DirectoryServices.DirectoryEntry.Bind()
at System.DirectoryServices.DirectoryEntry.get_AdsObject()
at System.DirectoryServices.PropertyValueCollection.PopulateList()
at System.DirectoryServices.PropertyValueCollection..ctor(DirectoryEntry entry, String propertyName)
at System.DirectoryServices.PropertyCollection.get_Item(String propertyName)
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.VerifySettingsConnectivity()
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadCore.ExecuteRead()
at Microsoft.Mbam.Server.Commands.ADPullCommands.ReadADInformationBase.ProcessRecord()
at System.Management.Automation.CommandProcessor.ProcessRecord()
回避 策: この状況を解決するには、次のいずれかのタスクを実行します。
OU の名前を変更してスラッシュ文字を削除し、スクリプトを実行します。
バックアップ プロセスから問題のある OU を除外するには、名前にスラッシュ文字が含まれていない OU の一覧を見つけます。 これらの OU で一度に 1 つの OU でスクリプトを実行します。
MBAM でボリュームの暗号化に失敗し、タブレット デバイスで TPM + PIN 保護機能を設定した場合にエラーが報告される
エンド ユーザーがタブレット デバイスで TPM + PIN 保護機能を設定しようとすると、MBAM は暗号化に失敗し、エラーが報告されます。 この問題は、タブレット デバイスにプレブート環境キーボードがないために発生します。
回避 策:[タブレットでプレブート キーボード入力を必要とする BitLocker 認証の使用を有効にする] グループ ポリシー設定を有効にします。 この設定は BitLocker グループ ポリシー設定であり、MBAM グループ ポリシー テンプレートでは使用できません。
すべてのサービス アカウントにユーザー プリンシパル名が必要です
MBAM 内のすべてのサービス アカウントに対してユーザー プリンシパル名 (UPN) を設定する必要があります。 アカウントの UPN を作成できない場合は、構成プロセス中にエラー メッセージが表示され、ユーザーまたはグループが Active Directory で見つからなかったことを示します。
回避 策: UPN をサービス アカウントに追加します。
Self-Service ポータルと管理および監視 Web サイトは、IIS を .NET Framework 4.5 にアップグレードした後に開かない
インターネット インフォメーション サービス (IIS) を Microsoft .NET Framework 4.5 にアップグレードすると、Self-Service ポータルと管理および監視 Web サイトは開かなくなります。
回避 策:.NET Framework 4.0 をインストールした後のエラー メッセージに関する記事を参照してください。"型 'System.ServiceModel.Activation.HttpModule' を読み込めませんでした。
レポートが構成されていない場合、管理と監視 Web サイトに "レポートが見つかりません" というエラー メッセージが表示される
管理および監視 Web サイトを構成し、最初にレポート機能を構成せずにレポートを表示しようとすると、レポートが見つからないことを示すエラー メッセージが表示されます。
回避 策: Web アプリケーションを構成する前に、レポート機能を構成します。
SSRS で SSL が構成されていない場合、管理および監視 Web サイトのレポートに警告が表示される
SQL Server Reporting Services (SSRS) が Secure Socket Layer (SSL) を使用するように構成されていない場合、MBAM サーバーを構成するときに、レポート機能の URL は HTTPS ではなく HTTP に設定されます。 その後、管理および監視 Web サイトを開き、レポートを選択すると、"セキュリティで保護されたコンテンツのみが表示されます" というエラー メッセージが表示されます。
回避 策: レポートを表示するには、[ すべてのコンテンツを表示] を選択します。 この問題を解決するには、SQL Server Reporting Servicesがインストールされている MBAM コンピューターに移動し、Reporting Services Configuration Managerを実行して、[Web サービス URL] を選択します。 サーバーに適切な SSL 証明書を選択し、適切な SSL ポート (既定のポートは 443) を入力し、[ 適用] を選択します。
BitLocker コンプライアンスの概要レポートで [戻る] をクリックすると、エラーがスローされる可能性があります
BitLocker コンプライアンスの概要レポートにドリルダウンし、SSRS レポートで [戻る ] リンクを選択すると、エラーがスローされる可能性があります。
回避 策: なし。
BitLocker コンピューターコンプライアンス レポートに暗号強度が正しく表示されない
[ドライブの暗号化方法と暗号強度の選択] グループ ポリシー オブジェクトで特定の暗号強度を設定しない場合、Configuration Manager統合トポロジの BitLocker コンピューター コンプライアンス レポートには、暗号強度が既定の 128 ビット暗号化を使用している場合でも、常に暗号強度に対して "不明" が表示されます。 グループ ポリシー オブジェクトで特定の暗号強度を設定すると、レポートに正しい暗号強度が表示されます。
回避 策:[ドライブの暗号化方法の選択] と [オブジェクトの暗号強度] で、常に特定の暗号強度グループ ポリシー設定します。
構成項目を更新すると、ドライブの種類別のコンプライアンス状態の分布に古いデータが表示されます
System Center 2012 Configuration Managerで MBAM 構成項目を更新した後、BitLocker Enterprise Compliance Dashboard の [ドライブの種類別のコンプライアンス状態の分布] 横棒グラフには、構成項目の古いバージョンの情報に基づくデータが表示されます。
回避 策: なし。 MBAM 構成項目の変更はサポートされておらず、レポートが期待どおりに表示されない場合があります。
セキュリティの強化構成により、レポートにエラー メッセージが正しく表示されない可能性があります
インターネット エクスプローラーセキュリティ強化構成 (ESC) がオンになっている場合、MBAM サーバーでレポートを表示しようとすると、"アクセスが拒否されました" というエラー メッセージが表示されることがあります。 既定では、Esc がオンになり、Web コンテンツやアプリケーション スクリプトを介して発生する可能性のある攻撃に対するサーバーの露出を減らすことによって、サーバーを保護します。
回避 策:MBAM サーバーでレポートを表示しようとしたときに "アクセスが拒否されました" というエラー メッセージが表示された場合は、グループ ポリシー オブジェクトを設定するか、イメージの既定値を手動で変更してセキュリティ強化構成を無効にすることができます。 また、ESC が有効になっていない別のコンピューターからのレポートを表示することもできます。
BitLocker XTS-AES 暗号化アルゴリズムのサポート
BitLocker では、Windows 10 バージョン 1511 の XTS-AES 暗号化アルゴリズムのサポートが追加されました。 HF02 では、MBAM がこの BitLocker オプションのクライアント サポートを追加し、HF04 ではサーバー側のサポートが追加されました。 ただし、既知の制限事項が 1 つあります。
- お客様は、同じコンピューター上の OS とデータ ボリュームに同じ暗号化強度を使用する必要があります。 異なる暗号化強度が使用されている場合、MBAM はマシンを 非準拠として報告します。
Self-Service ポータルでは、キー ID エントリに "-" が自動的に追加されます
HF02 の時点で、MBAM Self-Service ポータルによってキー ID エントリに '-' が自動的に追加されます。
メモ: JavaScript を有効にするには、サーバーを再構成する必要があります。
MBAM 2.5 SP1 レポートが正しく機能しない/レンダリングされない
SSRS が SQL Server 2016 エディションでホストされている場合、レポート ページが正しく表示されません。
たとえば、 - ヘルプデスクへの参照 - レポートをクリックする - (強調表示された部分が表示 x されています)Fiddler でこれをさらに掘り下げる - レポートを選択すると、HTML 4.0 レンダリング形式で SSRS ページが呼び出されます。
回避 策: site.master コードを見ると、X-UA モードが IE8 として指定されていることに気付きました。 IE8 は終わりを過ぎ、顧客は IE11 を使用しています。 設定を次のコードに更新します。 これにより、サイトは IE11 レンダリング テクノロジを利用できます。
<meta http-equiv="X-UA-Compatible" content="IE=Edge" />
元の設定は次のとおりです。
<meta http-equiv="X-UA-Compatible" content="IE=8" />
これが、Chrome、Firefox などの他のブラウザーで問題が発生しなかった理由です。