BitLocker 管理を計画する
Configuration Manager (現在のブランチ) に適用
Configuration Managerを使用して、Active Directory に参加しているオンプレミスの Windows クライアントの BitLocker ドライブ暗号化 (BDE) を管理します。 これは、Microsoft BitLocker 管理と監視 (MBAM) の使用に代わる完全な BitLocker ライフサイクル管理を提供します。
注:
Configuration Managerでは、このオプション機能は既定では有効になりません。 この機能を使用する前に、この機能を有効にする必要があります。 詳細については、「更新プログラムのオプション機能の有効化」を参照してください。
BitLocker の一般的な情報については、「 BitLocker の概要」を参照してください。 BitLocker の展開と要件の比較については、 BitLocker 展開の比較グラフを参照してください。
ヒント
Microsoft Intune クラウド サービスを使用して共同管理Windows 10以降のデバイスで暗号化を管理するには、Endpoint Protection ワークロードをIntuneに切り替えます。 Intuneの使用の詳細については、「Windows 暗号化」を参照してください。
機能
Configuration Managerは、BitLocker ドライブ暗号化に対して次の管理機能を提供します。
クライアント展開
Windows 8.1、Windows 10、またはWindows 11を実行しているマネージド Windows デバイスに BitLocker クライアントを展開します。
オンプレミスおよびインターネット ベースのクライアントの BitLocker ポリシーとエスクロー回復キーを管理する
暗号化ポリシーを管理する
たとえば、ドライブの暗号化と暗号強度を選択し、ユーザーの除外ポリシー、固定データ ドライブの暗号化設定を構成します。
デバイスを暗号化するアルゴリズムと、暗号化の対象となるディスクを決定します。
デバイスを使用する前に、ユーザーに新しいセキュリティ ポリシーへの準拠を強制します。
デバイスごとにorganizationのセキュリティ プロファイルをカスタマイズします。
ユーザーが OS ドライブのロックを解除する場合は、OS ドライブのみをロック解除するか、接続されているすべてのドライブのロックを解除するかを指定します。
コンプライアンス レポート
次の組み込みレポート:
- ボリュームまたはデバイスごとの暗号化の状態
- デバイスのプライマリ ユーザー
- コンプライアンスのステータス
- コンプライアンス違反の理由
管理および監視 Web サイト
キーのローテーションや他の BitLocker 関連のサポートなど、キーの回復に役立つConfiguration Manager 本体の外部で、organization内の他のペルソナを許可します。 たとえば、ヘルプ デスクの管理者は、キーの回復にユーザーを支援できます。
ヒント
バージョン 2107 以降では、テナント接続デバイスの BitLocker 回復キーをMicrosoft Intune管理センターから取得することもできます。 詳細については、「 テナントアタッチ: BitLocker 回復キー」を参照してください。
ユーザー セルフサービス ポータル
ユーザーが BitLocker で暗号化されたデバイスのロックを解除するための単一の使用キーを使用できるようにします。 このキーを使用すると、デバイスの新しいキーが生成されます。
前提条件
一般的な前提条件
BitLocker 管理ポリシーを作成するには、Configuration Managerで完全管理者ロールが必要です。
BitLocker 管理レポートを使用するには、Reporting Services ポイント サイト システムの役割をインストールします。 詳細については、「 レポートの構成」を参照してください。
注:
回復監査レポートを管理および監視 Web サイトから機能させるには、プライマリ サイトのレポート サービス ポイントのみを使用します。
クライアントの前提条件
デバイスには、BIOS で有効になっており、Windows からリセット可能な TPM チップが必要です。
Microsoft では、TPM バージョン 2.0 以降のデバイスをお勧めします。 TPM バージョン 1.2 のデバイスでは、BitLocker のすべての機能が正しくサポートされていない場合があります。
コンピューターのハード ディスクには、TPM と互換性があり、コンピューターの起動時に USB デバイスをサポートする BIOS が必要です。
注:
TPM パスワード ハッシュのアップロードは、主に、Windows 10前の Windows のバージョンに関連します。 Windows 10以降では、既定では TPM パスワード ハッシュは保存されないため、これらのデバイスは通常アップロードしません。 詳細については、「 TPM 所有者パスワードについて」を参照してください。
BitLocker 管理では、Configuration Managerでサポートされているすべてのクライアントの種類がサポートされているわけではありません。 詳細については、「 サポートされている構成」を参照してください。
復旧サービスの前提条件
バージョン 2010 以前では、BitLocker 回復サービスでは、Configuration Manager クライアントから管理ポイントへのネットワーク経由で回復キーを暗号化するために HTTPS が必要です。 次のいずれかのオプションを使用します。
HTTPS- 復旧サービスをホストする管理ポイントで IIS Web サイトを有効にします。
HTTPS の管理ポイントを構成します。
詳細については、「 ネットワーク経由で復旧データを暗号化する」を参照してください。
注:
サイトとクライアントの両方がバージョン 2103 以降Configuration Manager実行されている場合、クライアントは、セキュリティで保護されたクライアント通知チャネル経由で管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合、キーをエスクローするには、管理ポイントで HTTPS 対応の復旧サービスが必要です。
バージョン 2103 以降では、クライアントはセキュリティで保護されたクライアント通知チャネルを使用してキーをエスクローするため、拡張 HTTP のConfiguration Manager サイトを有効にすることができます。 この構成は、Configuration Managerでの BitLocker 管理の機能には影響しません。
バージョン 2010 以前では、復旧サービスを使用するには、レプリカ構成に含まれていない少なくとも 1 つの管理ポイントが必要です。 BitLocker 回復サービスは、データベース レプリカを使用する管理ポイントにインストールされますが、クライアントは回復キーをエスクローできません。 その後、BitLocker はドライブを暗号化しません。 データベース レプリカを持つ任意の管理ポイントで BitLocker 回復サービスを無効にします。
バージョン 2103 以降、復旧サービスはデータベース レプリカを使用する管理ポイントをサポートしています。
BitLocker ポータルの前提条件
セルフサービス ポータルまたは管理および監視 Web サイトを使用するには、IIS を実行している Windows サーバーが必要です。 Configuration Manager サイト システムを再利用することも、サイト データベース サーバーに接続できるスタンドアロン Web サーバーを使用することもできます。 サイト システム サーバーでサポートされている OS バージョンを使用します。
セルフサービス ポータルをホストする Web サーバーで、インストール プロセスを確認する前に、Microsoft ASP.NET MVC 4.0 と .NET Framework 3.5 機能をインストールします。 その他の必要な Windows サーバーの役割と機能は、ポータルのインストール プロセス中に自動的にインストールされます。
ヒント
ASP.NET MVC を使用して Visual Studio のバージョンをインストールする必要はありません。
ポータル インストーラー スクリプトを実行するユーザー アカウントには、サイト データベース サーバー SQL Server sysadmin 権限が必要です。 セットアップ プロセス中に、スクリプトは Web サーバー コンピューター アカウントのログイン、ユーザー、およびSQL Serverロールの権限を設定します。 このユーザー アカウントは、セルフサービス ポータルと管理および監視 Web サイトのセットアップを完了した後、sysadmin ロールから削除できます。
サポートされる構成
BitLocker 管理は、仮想マシン (VM) またはサーバー エディションではサポートされていません。 たとえば、BitLocker 管理では、仮想マシンの固定ドライブで暗号化は開始されません。 さらに、仮想マシンの固定ドライブは、暗号化されていない場合でも準拠していると表示される場合があります。
バージョン 2010 以前では、Microsoft Entra参加済み、ワークグループ クライアント、または信頼されていないドメイン内のクライアントはサポートされていません。 これらの以前のバージョンのConfiguration Managerでは、BitLocker 管理では、Microsoft Entraハイブリッド参加済みデバイスを含む、オンプレミスの Active Directoryに参加しているデバイスのみがサポートされています。 この構成は、回復サービスでキーをエスクローするために認証することです。
バージョン 2103 以降では、Configuration Managerは BitLocker 管理のすべてのクライアント参加の種類をサポートしています。 ただし、クライアント側の BitLocker ユーザー インターフェイス コンポーネントは、Active Directory 参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entraでのみサポートされます。
バージョン 2010 以降では、 クラウド管理ゲートウェイ (CMG) 経由で BitLocker ポリシーとエスクロー回復キーを管理できるようになりました。 この変更により、インターネット ベースのクライアント管理 (IBCM) を介した BitLocker 管理もサポートされます。 BitLocker 管理のセットアップ プロセスに変更はありません。 この機能強化では、ドメイン参加済みデバイスとハイブリッド ドメイン参加済みデバイスがサポートされます。 詳細については、「 管理エージェントのデプロイ: 復旧サービス」を参照してください。
- バージョン 2010 に更新する前に作成した BitLocker 管理ポリシーがある場合は、CMG を介してインターネット ベースのクライアントで使用できるようにします。
- Configuration Manager コンソールで、既存のポリシーのプロパティを開きます。
- [ クライアント管理 ] タブに切り替えます。
- [OK] または [適用] を選択してポリシーを保存します。 このアクションは、CMG 経由でクライアントが使用できるようにポリシーを改訂します。
- バージョン 2010 に更新する前に作成した BitLocker 管理ポリシーがある場合は、CMG を介してインターネット ベースのクライアントで使用できるようにします。
既定では、[ BitLocker を有効にする] タスク シーケンス ステップでは、ドライブ上の 使用済み領域 のみが暗号化されます。 BitLocker 管理では 、完全なディスク 暗号化が使用されます。 [ 完全なディスク暗号化を使用する] オプションを有効にするには、このタスク シーケンス ステップを構成します。
バージョン 2203 以降では、OS ボリュームの BitLocker 回復情報をConfiguration Managerにエスクローするように、このタスク シーケンス ステップを構成できます。
詳細については、「 タスク シーケンスの手順 - BitLocker を有効にする」を参照してください。
重要
Invoke-MbamClientDeployment.ps1
PowerShell スクリプトは、スタンドアロン MBAM 専用です。 Configuration Manager BitLocker 管理では使用しないでください。