BitLocker の管理と監視 Web サイト

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

BitLocker の管理と監視 Web サイトは、BitLocker ドライブ暗号化の管理インターフェイスです。 ヘルプ デスク ポータルとも呼ばれます。 この Web サイトを使用して、レポートの確認、ユーザーのドライブの回復、デバイスの TPM の管理を行います。

既定の BitLocker 管理と監視 Web サイト。

使用する前に、このコンポーネントを Web サーバーにインストールします。 詳細については、「 BitLocker レポートとポータルを設定する」を参照してください。

次の URL を使用して、管理および監視 Web サイトにアクセスします。 https://webserver.contoso.com/HelpDesk

注:

回復監査レポートは、管理および監視 Web サイトで確認できます。 他の BitLocker 管理レポートをレポート サービス ポイントに追加します。 詳細については、「 BitLocker レポートの表示」を参照してください。

グループ

管理および監視 Web サイトの特定の領域にアクセスするには、ユーザー アカウントが次のいずれかのグループに含まれている必要があります。 任意の名前を使用して、Active Directory でこれらのグループを作成します。 この Web サイトをインストールするときは、これらのグループ名を指定します。 詳細については、「 BitLocker レポートとポータルを設定する」を参照してください。

Group 説明
BitLocker ヘルプ デスク管理者 管理および監視 Web サイトのすべての領域へのアクセスを提供します。 ユーザーがドライブを回復するのに役立つ場合は、ドメインとユーザー名ではなく、回復キーのみを入力します。 ユーザーがこのグループと BitLocker ヘルプ デスク ユーザー グループの両方のメンバーである場合、管理者グループのアクセス許可はユーザー グループのアクセス許可よりも優先されます。
BitLocker ヘルプ デスク ユーザー 管理および監視 Web サイトの [TPM の管理 ] 領域と [ドライブの回復 ] 領域へのアクセスを提供します。 いずれかの領域を使用する場合は、ユーザーのドメインとアカウント名を含むすべてのフィールドに入力する必要があります。 ユーザーがこのグループと BitLocker ヘルプ デスク管理者グループの両方のメンバーである場合、管理者グループのアクセス許可はユーザー グループのアクセス許可よりも優先されます。
BitLocker レポート ユーザー 管理および監視 Web サイトの [レポート] 領域にアクセスできます。

TPM の管理

ユーザーが間違った PIN を何度も入力すると、TPM をロックアウトできます。 TPM ロック前にユーザーが正しくない PIN を入力できる回数は、製造元によって異なります。 管理および監視 Web サイトの [TPM の管理 ] 領域から、集中型キー回復データ システムにアクセスします。

TPM の所有権の詳細については、「 TPM をエスクローして OwnerAuth パスワードを格納するように MBAM を構成する」を参照してください。

注:

バージョン 1607 Windows 10以降、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。

  1. たとえば https://webserver.contoso.com/HelpDesk、Web ブラウザーの管理および監視 Web サイトに移動します。

  2. 左側のウィンドウで、[TPM の 管理 ] 領域を選択します。

    BitLocker の管理と監視の Web サイト [TPM の管理] ページ。

  3. コンピューターの完全修飾ドメイン名とコンピューター名を入力します。

  4. 必要に応じて、ユーザーのドメインとユーザー名を入力して TPM 所有者パスワード ファイルを取得します。

  5. TPM 所有者パスワード ファイルを要求する理由として、次のいずれかのオプションを選択します。

    • PIN ロックアウトをリセットする
    • TPM を有効にする
    • TPM をオフにする
    • TPM パスワードの変更
    • TPM をクリアする
    • その他

    フォームを 送信 すると、Web サイトから次のいずれかの応答が返されます。

    • 一致する TPM 所有者パスワード ファイルが見つからない場合は、エラー メッセージが返されます。

    • 送信されたコンピューターの TPM 所有者パスワード ファイル

    TPM 所有者パスワード ファイルを取得すると、Web サイトに所有者パスワードが表示されます。

  6. パスワードをファイルに保存するには、[保存] を選択 します

  7. [ TPM の管理 ] 領域で、[ TPM ロックアウトのリセット ] オプションを選択し、TPM 所有者パスワード ファイルを指定します。

    TPM ロックアウトがリセットされます。 BitLocker は、ユーザーのデバイスへのアクセスを復元します。

    重要

    TPM ハッシュ値または TPM 所有者パスワード ファイルを共有しないでください。

ドライブの回復

ヒント

バージョン 2107 以降では、テナント接続デバイスの BitLocker 回復キーをMicrosoft Intune管理センターから取得することもできます。 詳細については、「 テナントアタッチ: BitLocker 回復キー」を参照してください。

回復モードでドライブを回復する

ドライブは、次のシナリオで回復モードになります。

  • ユーザーが PIN またはパスワードを紛失または忘れた場合
  • トラステッド モジュール プラットフォーム (TPM) は、コンピューターの BIOS またはスタートアップ ファイルへの変更を検出します

回復パスワードを取得するには、管理と監視 Web サイトの ドライブ回復 領域を使用します。

重要

回復パスワードは、1 回の使用後に有効期限が切れます。 OS ドライブと固定データ ドライブでは、単一使用規則が自動的に適用されます。 リムーバブル ドライブでは、ドライブを取り外して再挿入するときに適用されます。

  1. たとえば https://webserver.contoso.com/HelpDesk、Web ブラウザーの管理および監視 Web サイトに移動します。

  2. 左側のウィンドウで、[ドライブの 回復 ] 領域を選択します。

    BitLocker の管理と監視 Web サイトの [ドライバーの回復] ページ。

  3. 必要に応じて、ユーザーのドメインとユーザー名を入力して回復情報を表示します。

  4. 一致する可能性のある回復キーの一覧を表示するには、回復キー ID の最初の 8 桁を入力します。 正確な回復キーを取得するには、回復キー ID 全体を入力します。

  5. [ ドライブのロック解除の理由] として、次のいずれかのオプションを選択します。

    • オペレーティング システムのブート順序が変更されました
    • BIOS が変更されました
    • オペレーティング システム ファイルの変更
    • スタートアップ キーが失われました
    • PIN が失われました
    • TPM リセット
    • パスフレーズが失われました
    • 失われたスマートカード
    • その他

    フォームを 送信 すると、Web サイトから次のいずれかの応答が返されます。

    • ユーザーが一致する回復パスワードが複数ある場合は、一致する可能性のある複数のパスワードが返されます。

    • 送信されたユーザーの回復パスワードと回復パッケージ。

      注:

      破損したドライブを復旧する場合は、回復パッケージ オプションによって、ドライブを回復するために必要な重要な情報が BitLocker に提供されます。

    • 一致する回復パスワードが見つからない場合は、エラー メッセージが返されます。

    回復パスワードと回復パッケージを取得すると、Web サイトに回復パスワードが表示されます。

  6. パスワードをコピーするには、[ キーのコピー] を選択します。 回復パスワードをファイルに保存するには、[保存] を選択 します

ドライブのロックを解除するには、回復パスワードを入力するか、回復パッケージを使用します。

移動したドライブを回復する

新しいコンピューターにドライブを移動すると、TPM が異なるため、BitLocker は以前の PIN を受け入れられません。 移動したドライブを回復するには、回復キー ID を取得して回復パスワードを取得します。

移動したドライブを回復するには、管理および監視 Web サイトの [ドライブの回復 ] 領域を使用します。

  1. 移動したドライブを持つコンピューターで、Windows Recovery Environment (WinRE) モードでコンピューターを起動します。

  2. WinRE では、BitLocker は移動された OS ドライブを固定データ ドライブとして扱います。 BitLocker では、ドライブの回復パスワード ID が表示され、回復パスワードの入力を求められます。

    注:

    場合によっては、スタートアップ プロセス中に、オプションが使用可能な場合 は [PIN を忘れた 場合] を選択します。 次に、回復モードに入り、回復キー ID を表示します。

  3. 回復キー ID を使用して、管理および監視 Web サイトから回復パスワードを取得します。 詳細については、「 回復モードでドライブを回復する」を参照してください。

移動したドライブを元のコンピューターで TPM チップを使用するように構成した場合は、次の手順を実行します。 それ以外の場合は、回復プロセスが完了します。

  1. ドライブのロックを解除したら、WinRE モードでコンピューターを起動します。 WinRE でコマンド プロンプトを開き、コマンドを manage-bde 使用してドライブの暗号化を解除します。 このツールは、元の TPM チップなしで TPM + PIN 保護機能を取り外す唯一の方法です。 このコマンドの詳細については、「 Manage-bde」を参照してください。

  2. 完了したら、コンピューターを正常に起動します。 Configuration Managerは、新しいコンピューターの TPM と PIN を使用してドライブを暗号化するために BitLocker ポリシーを適用します。

破損したドライブを回復する

回復キー ID を使用して、管理および監視 Web サイトから回復キー パッケージを取得します。 詳細については、「 回復モードでドライブを回復する」を参照してください。

  1. 回復キー パッケージをコンピューターに保存し、破損したドライブを含むコンピューターにコピーします。

  2. 管理者としてコマンド プロンプトを開き、次のコマンドを入力します。

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    次の値を置き換えます。

    • <corrupted drive>: たとえば、破損したドライブのドライブ文字 D:
    • <fixed drive>: 破損したドライブと同様または大きいサイズの使用可能なハード ディスク ドライブのドライブ文字。 BitLocker は、破損したドライブ上のデータを回復し、指定されたドライブに移動します。 このドライブ上のすべてのデータが上書きされます。
    • <key package>: 回復キー パッケージの場所
    • <recovery password>: 関連する回復パスワード

    例:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

このコマンドの詳細については、「 Repair-bde」を参照してください。

レポート

管理と監視の Web サイトには、 回復監査レポートが含まれています。 その他のレポートは、Configuration Manager レポート サービス ポイントから入手できます。 詳細については、「 BitLocker レポートの表示」を参照してください。

  1. たとえば https://webserver.contoso.com/HelpDesk、Web ブラウザーの管理および監視 Web サイトに移動します。

  2. 左側のウィンドウで、[ レポート ] 領域を選択します。

  3. 上部のメニュー バーで、[ 回復監査レポート] を選択します。

このレポートの詳細については、「回復監査レポート」を参照してください。

ヒント

レポートの結果を保存するには、[レポート] メニュー バーの [エクスポート] を選択します。