MBAM 2.0 クライアントの展開計画
Microsoft BitLocker 管理および監視 (MBAM) クライアントを展開するタイミングに応じて、エンド ユーザーがコンピューターを受信する前または後で、組織内のコンピューターで BitLocker ドライブの暗号化を有効にすることができます。 MBAM スタンドアロントポロジとConfiguration Managerトポロジの両方で、MBAM のグループ ポリシー設定を構成する必要があります。
MBAM スタンドアロン トポロジを使用している場合は、エンタープライズ ソフトウェア展開システムを使用して MBAM クライアント ソフトウェアをエンド ユーザー コンピューターに展開することをお勧めします。
Configuration Manager トポロジを使用して MBAM を展開する場合は、Configuration Managerを使用して MBAM クライアント ソフトウェアをエンド ユーザー コンピューターに展開できます。 Configuration Managerでは、MBAM のインストールによって、MBAM で管理できるコンピューターのコレクションが作成されます。 このコレクションには、トラステッド プラットフォーム モジュール (TPM) を持たないが、Windows 8実行されているワークステーションとデバイスが含まれます。
メモConfiguration Manager 2007 を使用している場合、MBAM の統合Configuration Managerインストールでは Windows To Go はサポートされません。
MBAM クライアントを展開して、コンピューターをエンド ユーザーに配布した後に BitLocker 暗号化を有効にする
グループ ポリシーを構成した後、Microsoft System Center Configuration Managerや Active Directory Domain Services (AD DS) などのエンタープライズ ソフトウェア展開システム製品を使用して、MBAM クライアント インストールの Windows インストーラー ファイルをターゲット コンピューターに展開できます。 MBAM クライアントを展開するには、MBAM ソフトウェアで提供されている 32 ビットまたは 64 ビットのMbamClientSetup.exe ファイルまたはMBAMClient.msi ファイルのいずれかを使用できます。
コンピューターをクライアント コンピューターに配布した後に MBAM クライアントを展開すると、エンド ユーザーにコンピューターの暗号化を求めるメッセージが表示されます。 これにより、MBAM は PIN とパスワードを含むデータを収集し、暗号化プロセスを開始できます。
メモ この方法では、TPM チップを搭載したコンピューターを持つユーザーは、チップが以前にアクティブ化されていない場合は、TPM チップをアクティブ化して初期化するように求められます。
MBAM クライアントを使用して、コンピューターをエンド ユーザーに配布する前に BitLocker 暗号化を有効にする
コンピューターが一元的に受信および構成され、コンピューターに準拠している TPM チップがある組織では、MBAM クライアントをインストールして、ユーザー データが書き込まれる前に各コンピューターで BitLocker 暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが BitLocker 暗号化に準拠することです。 このメソッドは、管理者がコンピューターを既に暗号化しているため、ユーザーの操作に依存しません。 このシナリオの主な前提は、コンピューターがユーザーに配信される前に、組織のポリシーが企業の Windows イメージをインストールすることです。
組織が TPM チップを使用してコンピューターを暗号化する場合、管理者は TPM 保護機能を追加して、コンピューターのオペレーティング システム ボリュームを暗号化します。 組織で TPM チップと PIN 保護機能を使用する場合、管理者は TPM 保護機能を使用してオペレーティング システムボリュームを暗号化し、ユーザーが初めてログオンするときに PIN を選択します。 組織が PIN 保護機能のみを使用することを決定した場合、管理者は最初にボリュームを暗号化する必要はありません。 ユーザーがログオンすると、Microsoft BitLocker の管理と監視によって、後でコンピューターを再起動するときに使用する PIN または PIN とパスワードを入力するように求められます。
メモ TPM 保護機能オプションを使用するには、コンピューターがユーザーに配信される前に、管理者が BIOS プロンプトを受け入れて TPM をアクティブ化して初期化する必要があります。