次の方法で共有

ユーザーの BitLocker 暗号化の除外を管理する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) を使用すると、ドライブを暗号化する必要のないユーザーがいる場合に、それらのユーザーを除外して BitLocker 保護を管理できます。

BitLocker 保護からユーザーを除外するには、除外されるユーザーをサポートするインフラストラクチャを作成する必要があります。たとえば、除外を要求するときに使用する連絡先の電話番号、Web ページ、または郵送先住所などをユーザーに提供します。また、除外ユーザーは、除外されるユーザー専用に作成したグループ ポリシー オブジェクトのセキュリティ グループに追加する必要があります。このセキュリティ グループのメンバーがコンピューターにログオンすると、そのユーザーのグループ ポリシー設定には、ユーザーが BitLocker 保護から除外されていることが表示されます。ユーザーのグループ ポリシー設定はコンピューター ポリシーを上書きするため、以降もコンピューターは BitLocker 暗号化から除外されます。

注意

コンピューターが既に BitLocker で保護されている場合、ユーザーの除外ポリシーを設定しても影響はありません。

次の表は、除外の設定方法に基づいて、BitLocker 保護を適用する方法を示します。

ユーザーの状態 コンピューターを除外しない コンピューターを除外する

ユーザーを除外しない

コンピューターで BitLocker 保護が実行されます。

コンピューターで BitLocker 保護は実行されません。

ユーザーを除外する

コンピューターで BitLocker 保護は実行されません。

コンピューターで BitLocker 保護は実行されません。

BitLocker 暗号化からユーザーを除外するには

  1. BitLocker 暗号化要件からユーザーの除外を管理するために使用する Active Directory ドメイン サービス セキュリティ グループを作成します。

  2. Microsoft BitLocker Administration and Monitoring グループ ポリシー テンプレートを使用してグループ ポリシー オブジェクト設定を作成し、前の手順で作成した Active Directory グループに関連付けます。ユーザーを除外するためのポリシー設定は、[ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] に格納されています。

  3. BitLocker から除外するユーザーのセキュリティ グループを作成したら、除外を要求しているユーザー名をそのグループに追加します。BitLocker で制御されているコンピューターにユーザーがログオンすると、MBAM クライアントによってユーザーの除外ポリシー設定が確認され、ユーザーが BitLocker 除外セキュリティ グループに属しているかどうかに基づいて保護が停止されます。

    重要

    共有コンピューターのシナリオでは、ユーザーを除外する場合に特殊な考慮が必要です。非除外ユーザーが除外ユーザーと共有しているコンピューターにログオンする場合、そのコンピューターは暗号化される可能性があります。

ユーザーが BitLocker 暗号化からの除外を要求できるようにするには

  1. MBAM ポリシー テンプレートを使用してユーザーの除外ポリシーを構成した場合、ユーザーは MBAM クライアントを介して BitLocker 保護からの除外を要求できます。

  2. ユーザーが暗号化の必要なコンピューターにログオンすると、コンピューターが暗号化されるという通知を受け取ります。ユーザーは [除外の依頼] を選択し、[後で] を選択して暗号化を延期するか、[開始] を選択して BitLocker 暗号化を受け入れることができます。

    注意

    [除外の依頼] を選択すると、ユーザーの除外ポリシーで設定した最長時間、BitLocker 保護が延期されます。

  3. ユーザーが [除外の依頼] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。[ユーザーの除外ポリシーを構成する] の構成方法に応じて、次の連絡方法の 1 つまたは複数が表示されます。

    • 電話番号

    • Web ページの URL

    • 郵送先住所

    MBAM 管理者は、除外の依頼を受信した後に、ユーザーを BitLocker 除外 Active Directory グループに追加することが適切かどうかを判断できます。

    注意

    ユーザーが除外の依頼を送信すると、MBAM エージェントによってそのユーザーが "一時的に除外" として報告され、設定可能な日数の経過後に、コンピューターの準拠状態が再度確認されます。MBAM 管理者が除外の依頼を拒否した場合、除外の依頼オプションは非アクティブ化され、ユーザーは除外を再度依頼できなくなります。

参照:

その他のリソース

MBAM の管理 2.0 [MBAM_2] 機能の追加

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----