MBAM からの移行
Configuration Manager (現在のブランチ) に適用
現在、Microsoft BitLocker の管理と監視 (MBAM) を使用している場合は、管理をConfiguration Managerにシームレスに移行できます。 Configuration Managerで BitLocker 管理ポリシーを展開すると、クライアントは自動的にキーをローテーションし、Configuration Manager回復サービスにアップロードします。
重要
スタンドアロン MBAM から Configuration Manager BitLocker 管理に移行する場合、スタンドアロン MBAM の既存の機能が必要な場合は、Configuration Manager BitLocker 管理でスタンドアロン MBAM サーバーまたはコンポーネントを再利用しないでください。 これらのサーバーを再利用すると、Configuration Manager BitLocker 管理がそれらのサーバーにコンポーネントをインストールすると、スタンドアロン MBAM は動作を停止します。 MBAMWebSiteInstaller.ps1 スクリプトを実行して、スタンドアロン MBAM サーバーで BitLocker ポータルを設定しないでください。 BitLocker 管理Configuration Manager設定するときは、別のサーバーを使用します。
グループ ポリシー
スタンドアロン MBAM のグループ ポリシー設定が存在する場合は、Configuration Managerによって試行された同等の設定がオーバーライドされます。 スタンドアロン MBAM ではドメイン グループ ポリシーが使用されますが、Configuration Managerでは BitLocker 管理のローカル ポリシーが設定されます。 ドメイン ポリシーは、ローカル Configuration Manager BitLocker 管理ポリシーをオーバーライドします。 スタンドアロン MBAM ドメイン グループ ポリシーがConfiguration Manager ポリシーと一致しない場合、bitLocker 管理Configuration Manager失敗します。 たとえば、ドメイン グループ ポリシーでキー復旧サービスのスタンドアロン MBAM サーバーを設定する場合、BitLocker 管理Configuration Manager、その復旧サービスに同じ設定を設定することはできません。 この動作により、クライアントは回復キーを bitLocker 管理回復サービスConfiguration Managerに報告しません。
BitLocker 管理で既に指定されている設定Configuration Managerグループ ポリシーを設定しないでください。 Configuration Manager BitLocker 管理に現在存在しない設定のグループ ポリシーのみを設定します。 Configuration Managerには、スタンドアロン MBAM との機能パリティがあります。 ほとんどの場合、BitLocker ポリシーを構成するためにドメイン グループ ポリシーを設定する理由はありません。 競合や問題を回避するには、BitLocker のグループ ポリシーの使用を避けます。 Configuration Manager BitLocker 管理ポリシーを使用して、すべての設定を構成します。
TPM パスワード ハッシュ
以前の MBAM クライアントは、TPM パスワード ハッシュをConfiguration Managerにアップロードしません。 クライアントは TPM パスワード ハッシュを 1 回だけアップロードします。
この情報をConfiguration Manager回復サービスに移行する必要がある場合は、デバイスの TPM をクリアします。 再起動すると、新しい TPM パスワード ハッシュが復旧サービスにアップロードされます。
注:
TPM パスワード ハッシュのアップロードは、主に、Windows 10前の Windows のバージョンに関連します。 Windows 10以降では、既定では TPM パスワード ハッシュは保存されないため、これらのデバイスは通常アップロードしません。 詳細については、「 TPM 所有者パスワードについて」を参照してください。
再暗号化
Configuration Managerは、BitLocker ドライブ暗号化で既に保護されているドライブを再暗号化しません。 ドライブの現在の保護と一致しない BitLocker 管理ポリシーを展開すると、非準拠として報告されます。 ドライブは引き続き保護されています。
たとえば、MBAM を使用して AES-XTS 128 暗号化アルゴリズムでドライブを暗号化しましたが、Configuration Manager ポリシーには AES-XTS 256 が必要です。 ドライブが暗号化されていても、ドライブはポリシーに準拠していません。
この動作を回避するには、まずデバイスで BitLocker を無効にします。 次に、新しい設定で新しいポリシーをデプロイします。
次の手順
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示