MBAM 2.5 の概要
Microsoft BitLocker の管理と監視 (MBAM) 2.5 には、BitLocker ドライブ暗号化の簡略化された管理インターフェイスが用意されています。 BitLocker は、失われたり盗まれたりしたコンピューターのデータの盗難やデータ漏えいに対する保護を強化します。 BitLocker は、Windows オペレーティング システムのボリュームとドライブと構成されたデータ ドライブに格納されているすべてのデータを暗号化します。
MBAM の概要
MBAM 2.5 には、次の機能があります。
管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。
セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。
Microsoft System Center Configuration Manager により、一元的なレポートおよびハードウェア管理を行うことができます。
ヘルプ デスクのワークロードを減らし、エンド ユーザーが BitLocker PIN と回復キーの要求を支援できるようにします。
エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。
セキュリティ責任者は、キー情報を回復するためのアクセスを簡単に監査できます。
企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。
MBAM は、企業に対して設定した BitLocker 暗号化ポリシー オプションを適用し、それらのポリシーを使用してクライアント コンピューターのコンプライアンスを監視し、企業と個人のコンピューターの暗号化状態に関するレポートを行います。 さらに、MBAM を使用すると、ユーザーが PIN またはパスワードを忘れた場合、または BIOS またはブート レコードが変更されたときに回復キー情報にアクセスできます。
次のグループは、MBAM を使用して BitLocker を管理することに関心がある場合があります。
機密データが承認なしで開示されないようにする責任を負う管理者、IT セキュリティプロフェッショナル、コンプライアンス責任者
リモート オフィスまたはブランチ オフィスのコンピューター セキュリティを担当する管理者
Windows を実行しているクライアント コンピューターを担当する管理者
メモ BitLocker については、この MBAM ドキュメントでは詳しく説明されていません。 詳細については、「 BitLocker ドライブ暗号化の概要」を参照してください。
MBAM 2.5 の新機能
このセクションでは、MBAM 2.5 の新機能について説明します。
Microsoft SQL Server 2014 のサポート
MBAM では、以前のバージョンの MBAM でサポートされているのと同じソフトウェアに加えて、Microsoft SQL Server 2014 のサポートが追加されます。
MBAM グループ ポリシー テンプレートを個別にダウンロードする
MBAM グループ ポリシー テンプレートは、MBAM インストールとは別にダウンロードする必要があります。 以前のバージョンの MBAM では、MBAM インストーラーには MBAM ポリシー テンプレートが含まれていました。これには、BitLocker ドライブ暗号化の MBAM 実装設定を定義する必要な MBAM 固有のグループ ポリシー オブジェクト (GPO) が含まれていました。 これらの GPO は MBAM インストーラーから削除されました。 MBAM クライアントのインストールを開始する前に、[MDOP グループ ポリシー (.admx) テンプレートをダウンロードして展開する方法] から GPO をダウンロードし、サーバーまたはワークステーションにコピーします。 グループ ポリシー テンプレートは、サポートされているバージョンの Windows Server または Windows オペレーティング システムを実行している任意のサーバーまたはワークステーションにコピーできます。
大事なBitLocker ドライブ暗号化ノードのグループ ポリシー設定を変更しないでください。または MBAM が正しく動作しません。 MDOP MBAM (BitLocker Management) ノードでグループ ポリシー設定を構成すると、MBAM によって BitLocker ドライブ暗号化設定が自動的に構成されます。
サーバーまたはワークステーションにコピーする必要があるテンプレート ファイルは次のとおりです。
BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx
テンプレート ファイルを、ニーズに最適な場所にコピーします。 言語固有のフォルダーにコピーする必要がある言語固有のファイルの場合、ファイルを表示するには、グループ ポリシー管理コンソールが必要です。
テンプレート ファイルをサーバーまたはワークステーションにローカルにインストールするには、ファイルを次のいずれかの場所にコピーします。
ファイルの種類 ファイルの場所 言語に依存しない (.admx)
%systemroot%\policyDefinitions
言語固有 (.adml)
%systemroot%\policyDefinitions[MUIculture] (たとえば、米国の英語固有のファイルは %systemroot%</em>policyDefinitions\en-us に格納されます)
ドメイン内のすべてのグループ ポリシー管理者がテンプレートを使用できるようにするには、ドメイン コントローラー上の次のいずれかの場所にファイルをコピーします。
ファイルの種類 ドメイン コントローラー ファイルの場所 言語に依存しない (.admx)
%systemroot%sysvol\domain\policies\PolicyDefinitions
言語固有 (.adml)
%systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (たとえば、米国英語固有のファイルは %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us に格納されます)
テンプレート ファイルの詳細については、「ADMX ファイルの管理グループ ポリシーステップ バイ ステップ ガイド」を参照してください。
オペレーティング システムと固定データ ドライブに暗号化ポリシーを適用する機能
MBAM 2.5 を使用すると、組織内のコンピューターのオペレーティング システムと固定データ ドライブに暗号化ポリシーを適用し、エンド ユーザーが MBAM 暗号化ポリシーに準拠するための要件の延期を要求できる日数を制限できます。
暗号化ポリシーの適用を構成できるようにするために、オペレーティング システム ドライブと固定データ ドライブに対して、暗号化ポリシーの適用設定と呼ばれる新しいグループ ポリシー設定が追加されました。 このポリシーについては、次の表で説明します。
| グループ ポリシー設定 | 説明 | この設定の構成に使用するノードグループ ポリシー |
|---|---|---|
暗号化ポリシーの適用設定 (オペレーティング システム ドライブ) |
この設定では、[ オペレーティング システム ドライブの非準拠猶予期間日数を構成 する] オプションを使用して猶予期間を構成します。 猶予期間は、ドライブが最初に非準拠として検出された後に、エンド ユーザーがオペレーティング システム ドライブの MBAM ポリシーへの準拠を延期できる日数を指定します。 構成された猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。 ユーザーの操作が必要な場合 (たとえば、トラステッド プラットフォーム モジュール (TPM) + PIN を使用している場合、またはパスワード 保護機能を使用している場合)、ダイアログ ボックスが表示され、ユーザーは必要な情報を提供するまで閉じることができません。 保護機能が TPM のみの場合、暗号化はユーザー入力なしでバックグラウンドですぐに開始されます。 ユーザーは、BitLocker 暗号化ウィザードを使用して除外を要求することはできません。 代わりに、ヘルプ デスクに連絡するか、組織が除外要求に使用するプロセスを使用する必要があります。 |
コンピューター構成 > ポリシー > 管理用テンプレート > Windows コンポーネント > MDOP MBAM (BitLocker 管理) > オペレーティング システム ドライブ |
暗号化ポリシーの適用設定 (固定データ ドライブ) |
この設定では、[ 固定ドライブの非準拠猶予期間日数を構成 する] オプションを使用して猶予期間を構成します。 猶予期間は、ドライブが最初に非準拠として検出された後、エンド ユーザーが固定ドライブの MBAM ポリシーへの準拠を延期できる日数を指定します。 猶予期間は、固定ドライブが非準拠であると判断されたときに開始されます。 自動ロック解除を使用している場合、オペレーティング システム ドライブが準拠するまでポリシーは適用されません。 ただし、自動ロック解除を使用していない場合は、オペレーティング システム ドライブが完全に暗号化される前に、固定データ ドライブの暗号化を開始できます。 構成された猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。 ユーザーの操作が必要な場合は、ダイアログ ボックスが表示され、ユーザーは必要な情報を提供するまで閉じることができません。 |
コンピューター構成 > ポリシー > 管理用テンプレート > Windows コンポーネント > MDOP MBAM (BitLocker 管理) > 固定ドライブ |
BitLocker ドライブ暗号化ウィザードでセキュリティ ポリシーを指す URL を指定する機能
新しいグループ ポリシー設定である [セキュリティ ポリシー] リンクの URL を指定すると、エンド ユーザーに会社のセキュリティ ポリシーと呼ばれるリンクとして表示される URL を構成できます。 このリンクは、MBAM がユーザーにボリュームの暗号化を求めるメッセージを表示するときに表示されます。
このポリシー設定を有効にした場合は、[ 会社のセキュリティ ポリシー ] リンクの URL を構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、 ユーザーには [会社のセキュリティ ポリシー] リンクは表示されません。
新しいグループ ポリシー設定は、次の GPO ノードにあります: コンピューター構成>ポリシー>管理テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker 管理) > クライアント管理。
FIPS 準拠の回復キーのサポート
MBAM 2.5 では、Windows 8.1 オペレーティング システムを実行しているデバイスで、連邦情報処理標準 (FIPS) 準拠の BitLocker 回復キーがサポートされています。 以前のバージョンの Windows では、回復キーが FIPS に準拠していなかった。 この機能強化により、FIPS コンプライアンスを必要とする組織のドライブ回復プロセスが改善されます。エンド ユーザーは、Self-Service ポータルまたは管理および監視 Web サイト (ヘルプ デスク) を使用して、PIN またはパスワードを忘れた場合やコンピューターからロックアウトされた場合にドライブを回復できるためです。 新しい FIPS コンプライアンス機能は、パスワード 保護機能には拡張されません。
組織で FIPS コンプライアンスを有効にするには、連邦情報処理標準 (FIPS) グループ ポリシー設定を構成する必要があります。 構成手順については、「BitLocker グループ ポリシー設定」を参照してください。
BitLocker 修正プログラムがインストールされていないWindows 8または Windows 7 オペレーティング システムを実行しているクライアント コンピューターの場合、IT 管理者は FIPS 準拠環境で引き続き Data Recovery Agents (DRA) 保護機能を使用します。 DRA の詳細については、「 BitLocker でのデータ復旧エージェントの使用」を参照してください。
Windows 7 および Windows 8 コンピューター用の BitLocker 修正プログラムをダウンロードしてインストールするには、「BitLocker 管理および監視 2.5 用修正プログラム パッケージ 2」を参照してください。
高可用性デプロイのサポート
MBAM では、標準の 2 サーバーおよびConfiguration Manager統合トポロジに加えて、次の高可用性シナリオがサポートされています。
AlwaysOn 可用性グループのSQL Server
SQL Server クラスタリング
ネットワーク負荷分散 (NLB)
ミラーリングのSQL Server
ボリューム シャドウ コピー サービス (VSS) バックアップ
これらの機能の詳細については、「 MBAM 2.5 高可用性の計画」を参照してください。
管理および監視 Web サイトの役割の管理が変更されました
MBAM 2.5 では、管理および監視 Web サイトへのアクセス権を提供するロールを管理するには、Active Directory Domain Services (AD DS) にセキュリティ グループを作成する必要があります。 ロールを使用すると、特定のセキュリティ グループ内のユーザーは、レポートの表示やエンド ユーザーによる暗号化されたドライブの回復など、Web サイトでさまざまなタスクを実行できます。 以前のバージョンの MBAM では、ロールはローカル グループを使用して管理されていました。
MBAM 2.5 では、"ロール" という用語は、以前のバージョンの MBAM で使用されていた "管理者ロール" という用語に置き換えられます。 さらに、MBAM 2.5 では、"MBAM システム管理者" ロールが削除されました。
次の表に、AD DS で作成する必要があるセキュリティ グループの一覧を示します。 セキュリティ グループには任意の名前を使用できます。
| ロール | 管理および監視 Web サイトでのこのロールのアクセス権 |
|---|---|
MBAM ヘルプデスク ユーザー |
MBAM 管理および監視 Web サイトの TPM の管理とドライブの回復領域へのアクセスを提供します。 これらの領域にアクセスできるユーザーは、いずれかの領域を使用するときに、すべてのフィールドに入力する必要があります。 |
MBAM レポート ユーザー |
管理および監視 Web サイトのレポートへのアクセスを提供します。 |
MBAM Advanced Helpdesk Users |
管理および監視 Web サイトのすべての領域へのアクセスを提供します。 このグループのユーザーは、エンド ユーザーがドライブを回復できるように、エンド ユーザーのドメインとユーザー名ではなく、回復キーのみを入力する必要があります。 ユーザーが MBAM ヘルプデスク ユーザー グループと MBAM Advanced Helpdesk Users グループのメンバーである場合、MBAM Advanced Helpdesk Users グループのアクセス許可は MBAM ヘルプデスク ユーザー グループのアクセス許可よりも優先されます。 |
AD DS でセキュリティ グループを作成した後、適切なセキュリティ グループにユーザーまたはグループを割り当てて、管理および監視 Web サイトへの対応するレベルのアクセスを有効にします。 各ロールを持つ個人が管理および監視 Web サイトにアクセスできるようにするには、管理および監視 Web サイトを構成するときに、各セキュリティ グループも指定する必要があります。
MBAM サーバー機能を構成するためのWindows PowerShell コマンドレット
MBAM 2.5 のWindows PowerShellコマンドレットを使用すると、MBAM サーバー機能を構成および管理できます。 各機能には、機能を有効または無効にしたり、機能に関する情報を取得したりするために使用できる対応するWindows PowerShell コマンドレットがあります。
Windows PowerShellを使用するための前提条件と前提条件については、「Windows PowerShellを使用した MBAM 2.5 サーバー機能の構成」を参照してください。
MBAM Server ソフトウェアをインストールした後、Windows PowerShell コマンドレットの MBAM 2.5 ヘルプを読み込むには
Windows PowerShellまたは統合スクリプト環境 (ISE) Windows PowerShell開きます。
「Update-Help –Module Microsoft」と入力します。MBAM。
MBAM のWindows PowerShellヘルプは、次の形式で利用できます。
| Windows PowerShell ヘルプ形式 | 詳細情報 |
|---|---|
Windows PowerShellコマンド プロンプトで、「Get-Help<コマンドレット」と入力します。> |
最新のWindows PowerShellコマンドレットをアップロードするには、MBAM のヘルプを読み込む方法に関する前のセクションWindows PowerShell手順に従います。 |
Web ページとしての TechNet の場合 |
|
Word .docx ファイルとしてダウンロード センターで |
|
.pdf ファイルとしてダウンロード センターで |
ASCII 専用および拡張 PIN のサポートと、連続した文字と繰り返し文字を防止する機能
スタートアップグループ ポリシー設定に拡張 PIN を許可する
グループ ポリシー設定の [スタートアップに拡張 PIN を許可する] を使用すると、拡張スタートアップ PIN を BitLocker で使用するかどうかを構成できます。 拡張スタートアップ PIN を使用すると、ユーザーは、大文字と小文字、記号、数字、スペースなど、キーボード全体で任意のキーを入力できます。 このポリシー設定を有効にすると、設定されているすべての新しい BitLocker スタートアップ PIN が拡張 PIN になります。 このポリシー設定を無効にした場合、または構成しなかった場合、拡張 PIN は使用できません。
すべてのコンピューターで、ブート前実行環境 (PXE) での拡張 PIN の入力がサポートされているわけではありません。 組織でこのグループ ポリシー設定を有効にする前に、BitLocker セットアップ プロセス中にシステム チェックを実行して、コンピューターの BIOS が PXE でフル キーボードの使用をサポートしていることを確認します。 詳細については、「MBAM 2.5 グループ ポリシー要件の計画」を参照してください。
[ASCII 専用 PIN が必要] チェック ボックス
[スタートアップ グループ ポリシーの拡張 PIN を許可する] 設定には、[ASCII 専用 PIN が必要] チェック ボックスも表示されます。 組織内のコンピューターが PXE でフル キーボードの使用をサポートしていない場合は、[スタートアップグループ ポリシーに拡張 PIN を許可する] 設定を有効にしてから、[ASCII 専用 PIN を要求する] チェック ボックスをオンにして、拡張 PIN で印刷可能な ASCII 文字のみを使用するように要求できます。
非参照文字と非反復文字の強制使用
MBAM 2.5 では、エンド ユーザーが繰り返し番号 (1111 など) または連続する番号 (1234 など) で構成される PIN を作成できなくなります。 エンド ユーザーが 3 つ以上の繰り返し番号またはシーケンシャル番号を含むパスワードを入力しようとすると、Bitlocker ドライブ暗号化ウィザードにエラー メッセージが表示され、禁止文字で PIN を入力できなくなります。
BitLocker コンピューターコンプライアンス レポートへの DRA 証明書の追加
新しい保護機能の種類である Data Recovery Agent (DRA) 証明書が、Configuration Managerの BitLocker コンピューター コンプライアンス レポートに追加されました。 この保護機能の種類はオペレーティング システム ドライブに適用され、[保護機能の種類] 列の [コンピューター ボリューム] セクションに表示されます。
複数フォレストのサポート展開のサポート
MBAM 2.5 では、次の種類のマルチフォレスト展開がサポートされています。
単一ドメインを持つ単一フォレスト
単一のツリーと複数のドメインを持つ単一のフォレスト
複数のツリーと不整合な名前空間を持つ単一のフォレスト
中央フォレスト トポロジ内の複数のフォレスト
リソース フォレスト トポロジ内の複数のフォレスト
フォレストの移行 (単一から複数、複数から単一、フォレスト全体へのリソースなど) やアップグレードやダウングレードはサポートされません。
マルチフォレストデプロイで MBAM をデプロイするための前提条件は次のとおりです。
フォレストは、サポートされているバージョンの Windows Server で実行されている必要があります。
双方向または一方向の信頼が必要です。 一方向の信頼では、サーバーのドメインがクライアントのドメインを信頼する必要があります。 つまり、サーバーのドメインはクライアントのドメインを指しています。
MBAM クライアントによる暗号化ハード ドライブのサポート
MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす暗号化されたハード ドライブの BitLocker がサポートされています。 これらのデバイスで BitLocker が有効になっていると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ 」を参照してください。
MDOP テクノロジを取得する方法
MBAM は、Microsoft デスクトップ最適化パック (MDOP) の一部です。 MDOP は、Microsoft ソフトウェア アシュアランス プログラムの一部です。 Microsoft ソフトウェア アシュアランス プログラムと MDOP を取得する方法の詳細については、「MDOP を取得する方法」を参照してください。
MBAM 2.5 リリース ノート
このドキュメントに含まれていない詳細と最新ニュースについては、「 MBAM 2.5 のリリース ノート」を参照してください。
MBAM の提案はありますか?
- フィードバックはこちらで送信してください。
- MBAM の問題については、 MBAM TechNet フォーラムを使用してください。