次の方法で共有

Windows 展開の一部として MBAM クライアントを展開する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) クライアントによって、管理者は、会社のコンピューターの BitLocker ドライブ暗号化機能を強制および監視することができます。 トラステッド プラットフォーム モジュール (TPM) チップを搭載したコンピューターの場合、イメージングと Windows 展開プロセスの一環としてクライアント コンピューターで BitLocker の管理と暗号化を有効にすることで、BitLocker クライアントを組織に統合できます。

注意

Microsoft BitLocker Administration and Monitoring クライアント システム要件を確認するには、「MBAM 2.0 がサポートされる構成」を参照してください。

Windows 展開の初期イメージング ステージで BitLocker を使用してクライアント コンピューターを暗号化すると、組織で MBAM を実装するために必要な管理オーバーヘッドを軽減することができます。 また、展開済みのすべてのコンピューターで BitLocker を確実に実行し、正しく構成することができます。

注意

ここでは、Windows レジストリを変更する手順について説明します。 レジストリ エディターの使い方を間違えると、重大な問題が発生し、Windows の再インストールが必要になる可能性があります。 Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。 リスクを理解した上でレジストリ エディターを使用してください。

Windows 展開の一部としてコンピューターを暗号化するには

  1. 組織で、BitLocker にトラステッド プラットフォーム モジュール (TPM) 保護機能を使用する、あるいは TPM と PIN 保護機能オプションを使用することが計画されている場合は、MBAM を初期展開する前に TPM チップを有効にする必要があります。TPM チップを有効にした場合、プロセスの後で再起動を回避して、TPM チップが組織の要件に従って正しく構成されていること確認します。 TPM チップの有効化は、コンピューターの BIOS で手動で行う必要があります。

    注意

    一部の製造元は、オペレーティング システムから BIOS の TPM チップを有効にしてアクティブ化するツールを提供しています。TPM チップの構成方法については、製造元のドキュメントで詳細を参照してください。

  2. Microsoft BitLocker Administration and Monitoring クライアント エージェントをインストールします。

  3. コンピューターをドメインに参加させます (推奨)。

    • コンピューターがドメインに参加していないと、回復パスワードが MBAM キー回復サービスに保存されません。 既定では、回復キーを保存できなければ、MBAM は暗号化の発生を許可しません。

    • MBAM サーバーで回復キーが保存される前にコンピューターが回復モードで起動した場合、そのコンピューターのイメージを再作成する必要があります。回復の手段はありません。

  4. 管理者としてコマンド プロンプトを実行し、MBAM サービスを停止し、サービスを [手動] または [オンデマンド] に設定し、次のコマンドを入力して起動します。

    net stop mbamagent

    sc config mbamagent start= demand

  5. グループ ポリシーを無視し、TPM でオペレーティング システムのみを暗号化するように MBAM エージェントのレジストリを設定します。この設定を行うには、Regedit を実行し、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートします。

  6. regedit で HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表のように設定を構成します。

    レジストリ エントリ 構成設定

    DeploymentTime

    0 = オフ

    1 = 展開時間ポリシー設定を使用する (既定)

    UseKeyRecoveryService

    0 = キー エクスローを使用しない (この場合、次の 2 つのレジストリ エントリは不要になります)

    1 = キー回復システムでキー エスクローを使用する (既定)

    推奨事項: コンピューターがキー回復サービスと通信できることが必要です。 開始する前に、コンピューターがサービスと通信できることを確認してください。

    KeyRecoveryOptions

    0 = 回復キーのみをアップロードする

    1 = 回復キーとキー回復パッケージをアップロードする (既定)

    KeyRecoveryServiceEndPoint

    この値をキー回復 Web サーバーの URL に設定します。たとえば、http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc と設定します。

    注意

    MBAM ポリシーまたはレジストリ値をここで設定して、以前に設定された値を上書きすることができます。

  7. MBAM クライアントの展開中に、MBAM エージェントがシステムを再起動します。この再起動の準備が整ったら、コマンド プロンプトで次のコマンドを管理者として実行します。

    net start mbamagent

  8. コンピューターが再起動して、TPM の変更を受け入れる BIOS プロンプトが表示されたら、変更を受け入れます。

  9. Windows クライアント オペレーティング システムのイメージング プロセスで、暗号化を開始する準備ができたら、MBAM エージェント サービスを再起動し、管理者としてコマンド プロンプトを実行して次のコマンドを入力することで、起動を "自動" に設定します。

    sc config mbamagent start= auto

    net start mbamagent

  10. Regedit を実行し、HKLM\SOFTWARE\Microsoft レジストリ エントリに移動して、バイパス レジストリ値を削除します。 [MBAM] ノードを削除するには、ノードを右クリックし、[削除] をクリックします。

参照:

その他のリソース

MBAM 2.0 クライアントの展開

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----