MBAM 2.5 クライアント展開の計画
Microsoft BitLocker 管理および監視 (MBAM) クライアント ソフトウェアを展開するタイミングに応じて、ユーザーがコンピューターを受け取る前または後で、組織内のコンピューターで BitLocker ドライブ暗号化を有効にすることができます。 MBAM スタンドアロントポロジと System Center Configuration Manager 統合トポロジの両方で、MBAM のグループ ポリシー設定を構成する必要があります。
MBAM スタンドアロン トポロジを使用する場合は、エンタープライズ ソフトウェア展開システムを使用して、MBAM クライアント ソフトウェアをユーザー コンピューターに展開することをお勧めします。
Configuration Manager 統合トポロジで MBAM を展開する場合は、Configuration Manager を使用して、ユーザー コンピューターに MBAM クライアント ソフトウェアを展開できます。 Configuration Manager では、MBAM インストールによって、MBAM で管理できるコンピューターのコレクションが作成されます。 このコレクションには、トラステッド プラットフォーム モジュール (TPM) がないが、Windows 8、Windows 8.1、または Windows 10 を実行しているワークステーションとデバイスが含まれます。
コンピューターをユーザーに配布した後に BitLocker ドライブ暗号化を有効にする MBAM クライアントの展開
グループ ポリシーを構成したら、Microsoft System Center Configuration Manager や Active Directory Domain Services などのエンタープライズ ソフトウェア展開システム製品を使用して、MBAM クライアント インストールの Windows インストーラー ファイルをターゲット コンピューターに展開できます。 MBAM クライアントをデプロイするには、32 ビットまたは 64 ビットの MbamClientSetup.exe ファイルまたは MBAM クライアント ソフトウェアで提供される MBAMClient.msi ファイルを使用できます。
注
MBAM 2.5 SP1 以降では、別の MSI は MBAM 製品に含まれなくなりました。 ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。
コンピューターをクライアント コンピューターに配布した後で MBAM クライアントを展開すると、ユーザーはコンピューターの暗号化を求められます。 このアクションにより、MBAM は PIN とパスワード (ポリシーで必要な場合) を含むデータを収集し、暗号化プロセスを開始できます。
注
TPM チップがまだアクティブ化されていない場合、デバイスは TPM チップのアクティブ化と初期化をユーザーに求めます。
コンピューターをユーザーに配布する前に、MBAM クライアントを使用して BitLocker ドライブ暗号化を有効にする
コンピューターが一元的に受信および構成され、コンピューターに準拠した TPM チップがある組織では、MBAM クライアントを使用して、ユーザー データが書き込まれる前に、各コンピューターで BitLocker ドライブ暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが準拠していることです。 管理者がコンピューターを既に暗号化しているため、このメソッドはエンド ユーザーの操作に依存しません。 このシナリオの主な前提は、コンピューターがユーザーに配信される前に、組織のポリシーが企業の Windows イメージをインストールすることです。
組織が TPM チップを使用してコンピューターを暗号化する場合、管理者は TPM 保護機能を追加してコンピューターのオペレーティング システム ボリュームを暗号化します。 組織で TPM チップと PIN 保護機能を使用する場合、管理者は TPM 保護機能を使用してオペレーティング システム ボリュームを暗号化し、ユーザーが初めてサインインするときに PIN を選択します。 組織で PIN 保護機能のみを使用することにした場合、管理者は最初にボリュームを暗号化する必要はありません。 ユーザーがサインインすると、後でコンピューターを再起動するときに使用する PIN、または PIN とパスワードの入力を求めるメッセージが MBAM によって表示されます。
注
TPM 保護機能オプションでは、コンピューターがユーザーに配信される前に、管理者が BIOS プロンプトを受け入れて TPM をアクティブ化して初期化する必要があります。
暗号化されたハード ドライブに対する MBAM クライアントのサポート
MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす暗号化ハード ドライブの BitLocker がサポートされています。 これらのデバイスで BitLocker を有効にすると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ」を参照してください。