BitLocker 管理を展開する

Configuration Manager (現在のブランチ) に適用

Configuration Managerの BitLocker 管理には、次のコンポーネントが含まれています。

  • BitLocker 管理エージェント: Configuration Managerポリシーを作成してコレクションに展開するときに、デバイスでこのエージェントを有効にします。

  • 回復サービス: クライアントから BitLocker 回復データを受信するサーバー コンポーネント。 詳細については、「 Recovery service」を参照してください。

BitLocker 管理ポリシーを作成して展開する前に、次の手順を実行します。

ポリシーを作成する

このポリシーを作成して展開すると、Configuration Manager クライアントによってデバイスで BitLocker 管理エージェントが有効になります。

注:

BitLocker 管理ポリシーを作成するには、Configuration Managerで完全管理者ロールが必要です。

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[Endpoint Protection] を展開し、[BitLocker 管理] ノードを選択します。

  2. リボンで、[ BitLocker 管理制御ポリシーの作成] を選択します。

  3. [ 全般 ] ページで、名前と省略可能な説明を指定します。 このポリシーを使用してクライアントで有効にするコンポーネントを選択します。

    • オペレーティング システム ドライブ: OS ドライブが暗号化されているかどうかを管理する

    • 固定ドライブ: デバイス内の他のデータ ドライブの暗号化を管理する

    • リムーバブル ドライブ: USB キーなど、デバイスから削除できるドライブの暗号化を管理する

    • クライアント管理: BitLocker ドライブ暗号化回復情報のキー回復サービス バックアップを管理する

  4. [ セットアップ ] ページで、BitLocker ドライブ暗号化の次のグローバル設定を構成します。

    注:

    Configuration Managerは、BitLocker を有効にするときにこれらの設定を適用します。 ドライブが既に暗号化されているか、進行中の場合、これらのポリシー設定を変更しても、デバイス上のドライブの暗号化は変更されません。

    これらの設定を無効にするか、構成しない場合、BitLocker は既定の暗号化方法 (AES 128 ビット) を使用します。

    • Windows 8.1デバイスの場合は、[ドライブ暗号化方法] と [暗号強度] のオプションを有効にします。 次に、暗号化方法を選択します。

    • Windows 10以降のデバイスの場合は、[ドライブ暗号化方法] と [暗号強度 (Windows 10 以降)] のオプションを有効にします。 次に、OS ドライブ、固定データ ドライブ、リムーバブル データ ドライブの暗号化方法を個別に選択します。

    このページのこれらの設定とその他の設定の詳細については、「 設定リファレンス - セットアップ」を参照してください。

  5. [ オペレーティング システム ドライブ ] ページで、次の設定を指定します。

    • オペレーティング システム ドライブの暗号化設定: この設定を有効にすると、ユーザーは OS ドライブを保護する必要があり、BitLocker によってドライブが暗号化されます。 無効にした場合、ユーザーはドライブを保護できません。

    互換性のある TPM を持つデバイスでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を必要とすることもできます。 以下の設定を構成します。

    • オペレーティング システム ドライブの保護機能を選択する: TPM と PIN、または TPM のみを使用するように構成します。

    • 起動時に PIN の最小長を構成する: PIN が必要な場合、この値はユーザーが指定できる最短の長さです。 ユーザーは、コンピューターが起動してドライブのロックを解除するときに、この PIN を入力します。 既定では、PIN の最小長は です 4

    このページのこれらの設定とその他の設定の詳細については、「 設定リファレンス - OS ドライブ」を参照してください。

  6. [ 固定ドライブ ] ページで、次の設定を指定します。

    • 固定データ ドライブの暗号化: この設定を有効にした場合、BitLocker では、ユーザーにすべての固定データ ドライブを保護する必要があります。 その後、データ ドライブが暗号化されます。 このポリシーを有効にした場合は、自動ロック解除を有効にするか、[ 固定データ ドライブ パスワード ポリシー] の設定を有効にします。

    • 固定データ ドライブの自動ロック解除を構成する: 暗号化されたデータ ドライブのロックを自動的に解除するために BitLocker を許可または要求します。 自動ロック解除を使用するには、OS ドライブを暗号化するために BitLocker も必要です。

    このページのこれらの設定とその他の設定の詳細については、「 設定リファレンス - 固定ドライブ」を参照してください。

  7. [ リムーバブル ドライブ ] ページで、次の設定を指定します。

    • リムーバブル データ ドライブの暗号化: この設定を有効にし、ユーザーが BitLocker 保護を適用できるようにすると、Configuration Manager クライアントはリムーバブル ドライブに関する回復情報を管理ポイントの回復サービスに保存します。 この動作により、ユーザーはプロテクタ (パスワード) を忘れたり失ったりした場合にドライブを回復できます。

    • ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用できるようにする: ユーザーは、リムーバブル ドライブの BitLocker 保護を有効にすることができます。

    • リムーバブル データ ドライブのパスワード ポリシー: これらの設定を使用して、BitLocker で保護されたリムーバブル ドライブのロックを解除するためのパスワードの制約を設定します。

    このページのこれらの設定とその他の設定の詳細については、「 設定リファレンス - リムーバブル ドライブ」を参照してください。

  8. [ クライアント管理 ] ページで、次の設定を指定します。

    重要

    2103 より前のバージョンのConfiguration Managerの場合、HTTPS 対応 Web サイトを持つ管理ポイントがない場合は、この設定を構成しないでください。 詳細については、「 Recovery service」を参照してください。

    • BitLocker 管理サービスの構成: この設定を有効にすると、サイト データベース内のキー回復情報が自動的かつサイレントにバックアップConfiguration Manager。 この設定を無効にした場合、または構成しなかった場合、Configuration Managerはキー回復情報を保存しません。

      • 保存する BitLocker 回復情報を選択します。回復パスワードとキー パッケージ、または回復パスワードのみを使用するように構成します。

      • 回復情報をプレーン テキストで格納できるようにする: BitLocker 管理暗号化証明書を使用しない場合、Configuration Managerはキー回復情報をプレーン テキストで格納します。 詳細については、「 データベース内の復旧データを暗号化する」を参照してください。

    このページのこれらの設定とその他の設定の詳細については、「 設定リファレンス - クライアント管理」を参照してください。

  9. ウィザードを終了します。

既存のポリシーの設定を変更するには、一覧でポリシーを選択し、[ プロパティ] を選択します。

複数のポリシーを作成する場合は、相対的な優先順位を構成できます。 クライアントに複数のポリシーを展開する場合は、優先度の値を使用してその設定を決定します。

バージョン 2006 以降では、このタスクにWindows PowerShellコマンドレットを使用できます。 詳細については、「 New-CMBlmSetting」を参照してください。

ポリシーをデプロイする

  1. BitLocker 管理ノードで既存のポリシーを選択します。 リボンで、[配置] を選択 します

  2. 展開のターゲットとしてデバイス コレクションを選択します。

  3. デバイスがドライブをいつでも暗号化または暗号化解除する可能性がある場合は、[ メンテナンス期間外の修復を許可する] オプションを選択します。 コレクションにメンテナンス期間がある場合でも、この BitLocker ポリシーは修復されます。

  4. Simple または Custom スケジュールを構成します。 クライアントは、スケジュールで指定された設定に基づいてコンプライアンスを評価します。

  5. [ OK] を選択 してポリシーをデプロイします。

同じポリシーの複数のデプロイを作成できます。 各展開に関する追加情報を表示するには、[ BitLocker 管理 ] ノードでポリシーを選択し、詳細ウィンドウで [ 展開 ] タブに切り替えます。

重要

リモート デスクトップ プロトコル (RDP) 接続がアクティブな場合、MBAM クライアントは BitLocker ドライブ暗号化アクションを開始しません。 すべてのリモート コンソール接続を閉じ、ドメイン ユーザー アカウントを使用してコンソール セッションにサインインします。 その後、BitLocker ドライブ暗号化が開始され、クライアントは回復キーとパッケージをアップロードします。 ローカル ユーザー アカウントでサインインした場合、BitLocker ドライブ暗号化は開始されません。

RDP を使用して、スイッチを使用してデバイスのコンソール セッションにリモート接続 /admin できます。 例: mstsc.exe /admin /v:<IP address of device>

コンソール セッションは、コンピューターの物理コンソールにいる場合、またはコンピューターの物理コンソールにいる場合と同じリモート接続のいずれかです。

バージョン 2006 以降では、このタスクにWindows PowerShellコマンドレットを使用できます。 詳細については、「 New-CMSettingDeployment」を参照してください。

監視する

BitLocker 管理ノードの詳細ウィンドウで、ポリシーの展開に関する基本的なコンプライアンス統計を表示します。

  • コンプライアンスの数
  • エラー数
  • コンプライアンス違反の数

[ デプロイ ] タブに切り替えて、コンプライアンスの割合と推奨されるアクションを確認します。 展開を選択し、リボンで [状態の 表示] を選択します。 このアクションにより、ビューが [監視 ] ワークスペースの [デプロイ] ノードに切り替わります。 他の構成ポリシーの展開と同様に、このビューでは、より詳細なコンプライアンス状態を確認できます。

クライアントが BitLocker 管理ポリシーに準拠していないと報告する理由については、「 非準拠コード」を参照してください。

トラブルシューティングの詳細については、「 BitLocker のトラブルシューティング」を参照してください。

次のログを使用して、監視とトラブルシューティングを行います。

クライアント ログ

管理ポイント ログ (復旧サービス)

  • 回復サービス イベント ログ: Windows イベント ビューアーで、[アプリケーションとサービス>] Microsoft > [Windows > MBAM-Web] を参照します。 詳細については、「BitLocker イベント ログとサーバー イベント ログについて」を参照してください。

  • 復旧サービス トレース ログ: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

移行に関する考慮事項

現在、Microsoft BitLocker の管理と監視 (MBAM) を使用している場合は、管理をConfiguration Managerにシームレスに移行できます。 Configuration Managerで BitLocker 管理ポリシーを展開すると、クライアントは回復キーとパッケージをConfiguration Manager回復サービスに自動的にアップロードします。

重要

スタンドアロン MBAM から Configuration Manager BitLocker 管理に移行する場合、スタンドアロン MBAM の既存の機能が必要な場合は、Configuration Manager BitLocker 管理でスタンドアロン MBAM サーバーまたはコンポーネントを再利用しないでください。 これらのサーバーを再利用すると、Configuration Manager BitLocker 管理がそれらのサーバーにコンポーネントをインストールすると、スタンドアロン MBAM は動作を停止します。 MBAMWebSiteInstaller.ps1 スクリプトを実行して、スタンドアロン MBAM サーバーで BitLocker ポータルを設定しないでください。 BitLocker 管理Configuration Manager設定するときは、別のサーバーを使用します。

グループ ポリシー

  • BitLocker 管理設定は、MBAM グループ ポリシー設定と完全に互換性があります。 デバイスがグループ ポリシー設定とConfiguration Managerポリシーの両方を受け取る場合は、一致するように構成します。

    注:

    スタンドアロン MBAM のグループ ポリシー設定が存在する場合は、Configuration Managerによって試行された同等の設定がオーバーライドされます。 スタンドアロン MBAM ではドメイン グループ ポリシーが使用されますが、Configuration Managerでは BitLocker 管理のローカル ポリシーが設定されます。 ドメイン ポリシーは、ローカル Configuration Manager BitLocker 管理ポリシーをオーバーライドします。 スタンドアロン MBAM ドメイン グループ ポリシーがConfiguration Manager ポリシーと一致しない場合、bitLocker 管理Configuration Manager失敗します。 たとえば、ドメイン グループ ポリシーでキー回復サービス用のスタンドアロン MBAM サーバーが設定されている場合、Configuration Manager BitLocker 管理では、管理ポイントに同じ設定を設定できません。 この動作により、クライアントは、管理ポイントの bitLocker 管理キー復旧サービスConfiguration Managerに回復キーを報告しません。

  • Configuration Managerでは、すべての MBAM グループ ポリシー設定が実装されているわけではありません。 グループ ポリシーでさらに設定を構成すると、Configuration Manager クライアントの BitLocker 管理エージェントでこれらの設定が適用されます。

    重要

    BitLocker 管理で既に指定されている設定Configuration Managerグループ ポリシーを設定しないでください。 Configuration Manager BitLocker 管理に現在存在しない設定のグループ ポリシーのみを設定します。 Configuration Manager バージョン 2002 には、スタンドアロン MBAM との機能パリティがあります。 Configuration Manager バージョン 2002 以降では、ほとんどの場合、BitLocker ポリシーを構成するためにドメイン グループ ポリシーを設定する理由はありません。 競合や問題を回避するには、BitLocker のグループ ポリシーの使用を避けます。 Configuration Manager BitLocker 管理ポリシーを使用して、すべての設定を構成します。

TPM パスワード ハッシュ

  • 以前の MBAM クライアントは、TPM パスワード ハッシュをConfiguration Managerにアップロードしません。 クライアントは TPM パスワード ハッシュを 1 回だけアップロードします。

  • この情報をConfiguration Manager回復サービスに移行する必要がある場合は、デバイスの TPM をクリアします。 再起動すると、新しい TPM パスワード ハッシュが復旧サービスにアップロードされます。

注:

TPM パスワード ハッシュのアップロードは、主に、Windows 10前の Windows のバージョンに関連します。 Windows 10以降では、既定では TPM パスワード ハッシュは保存されないため、これらのデバイスは通常アップロードしません。 詳細については、「 TPM 所有者パスワードについて」を参照してください。

再暗号化

Configuration Managerは、BitLocker ドライブ暗号化で既に保護されているドライブを再暗号化しません。 ドライブの現在の保護と一致しない BitLocker 管理ポリシーを展開すると、非準拠として報告されます。 ドライブは引き続き保護されています。

たとえば、MBAM を使用して AES-XTS 128 暗号化アルゴリズムでドライブを暗号化しましたが、Configuration Manager ポリシーには AES-XTS 256 が必要です。 ドライブが暗号化されていても、ドライブはポリシーに準拠していません。

この動作を回避するには、まずデバイスで BitLocker を無効にします。 次に、新しい設定で新しいポリシーをデプロイします。

共同管理とIntune

BitLocker のConfiguration Manager クライアント ハンドラーは、共同管理に対応しています。 デバイスが共同管理されていて、Endpoint Protection ワークロードをIntuneに切り替えた場合、Configuration Manager クライアントはその BitLocker ポリシーを無視します。 デバイスは、Intuneから Windows 暗号化ポリシーを取得します。

注:

目的の暗号化アルゴリズムを維持しながら暗号化管理機関を切り替える場合、クライアントに対する追加のアクションは必要ありません。 ただし、暗号化管理機関を切り替え、必要な暗号化アルゴリズムも変更する場合は、 再暗号化を計画する必要があります。

Intuneでの BitLocker の管理の詳細については、次の記事を参照してください。

次の手順

BitLocker 回復サービスについて

BitLocker レポートとポータルを設定する