次の方法で共有

MBAM 2.0 の概要

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 には、BitLocker ドライブ暗号化機能を管理する使いやすいインターフェイスが搭載されています。 また、紛失または盗難されたコンピューターのデータの盗難や流出に対する保護が強化されています。 BitLocker は、Windows オペレーティング システムおよび構成されたデータ ボリュームに保存されているすべてのデータを暗号化します。

MBAM 2.0 の概要

BitLocker Administration and Monitoring 2.0 は、会社用に設定した BitLocker 暗号化ポリシーのオプションを実行し、クライアント コンピューターがそのポリシーに準拠していることを監視し、会社全体と個々のコンピューターの両方について暗号化の状態をレポートします。 さらに、MBAM を使用すると、ユーザーがパスワードや暗証番号 (PIN) を忘れたり、BIOS やブート レコードが変わったりしたときに必要な回復キー情報にアクセスすることもできます。

注意

このガイドでは、BitLocker の詳細については取り扱いません。 BitLocker の概要については、「BitLocker ドライブ暗号化の概要」を参照してください。

次のようなグループに、MBAM を使用して BitLocker を管理することをお勧めします。

  • 機密データが不正に流出することを防ぐ責任を負う管理者、IT セキュリティの専門家、および法令遵守責任者

  • リモートまたは支店のコンピューターのセキュリティの責任を負う管理者

  • Windows を実行しているクライアント コンピューターの責任を負う管理者

MBAM 2.0 の新機能

MBAM 2.0 には次の新しい特長と機能があります。

System Center Configuration Manager と MBAM の統合

MBAM は System Center Configuration Manager との統合をサポートするようになりました。 この統合によって、MBAM の準拠インフラストラクチャを Configuration Manager のネイティブ環境に移行できます。 社内で Configuration Manager を使用している IT 管理者は、Microsoft 管理コンソールで会社全体の準拠状態を確認し、レポートで個々のコンピューターの準拠状態を詳細に確認できます。

ハードウェアの互換性は Configuration Manager 統合トポロジでのみ使用可能

Configuration Manager と MBAM が統合されたことで、MBAM を使用して特定の種類のハードウェア使用を許可または禁止する Configuration Manager 機能を利用できるようになりました。また、MBAM 1.0 で利用できたハードウェアの互換性よりも柔軟性が改善されました。 IT 管理者はハードウェアを制限する独自のコレクションを作成し、そのコレクションに MBAM 構成ベースラインを展開できます。 MBAM 1.0 で提供されていた MBAM ハードウェアの互換性は、MBAM Configuration Manager トポロジでのみ利用できるようになりました。また、管理には Configuration Manager を使用します。

柔軟な保護ポリシー

保護 (PM + PIN や自動ロック解除とパスワードなど) によって既に暗号化され、暗号化の一部 (TPM や自動ロック解除など) を必須とする MBAM ポリシーを受け取っているコンピューターは、準拠していると見なされます。 前述の例では、IT 管理者が PIN とパスワードの機能を不許可と定義しない限り、PIN とパスワードは自動的に削除されません。

暗号化されておらず、MBAM ポリシー (TPM や自動ロック解除など) を受け取っているコンピューターは、ポリシーに従って暗号化されます。 ローカル管理者であるユーザーは、BitLocker ツール (コントロール パネル項目の BitLocker ドライブ暗号化または Manage-bde) を使用して、既存の保護 (PM + PIN や自動ロック解除とパスワードなど) を追加または変更することができます。 このような場合、MBAM ポリシーで明示的に定義されていなければ、準拠状態が維持されます。

MBAM クライアントをアップグレードする機能

MBAM 2.0 クライアントの Windows インストーラーは既存クライアントのバージョンを検出し、旧バージョンから MBAM 2.0 クライアントにアップグレードするために必要な手順を実行します。

旧バージョンから MBAM サーバーをアップグレードする機能

旧バージョンの MBAM から MBAM 2.0 サーバー インフラストラクチャをアップグレードするには、次の方法があります。

手動のインプレース サーバー交換 – 既存の MBAM サーバー インフラストラクチャを手動でアンインストールし、MBAM 2.0 サーバー インフラストラクチャをインストールする必要があります。 アップグレードを実行するために、データベースを削除する必要はありません。 この場合、旧バージョンの MBAM クライアントが作成した既存のデータベースを選択します。 MBAM 2.0 アップグレードのインストールによって、既存のデータベースは MBAM 2.0 に移行されます。

クライアントの分散アップグレード - スタンドアロンの MBAM トポロジを使用している場合は、MBAM 2.0 サーバー インフラストラクチャをインストールした後に、MBAM クライアントを徐々にアップグレードできます。 MBAM 2.0 サーバーは既存クライアントのバージョンを検出し、2.0 クライアントにアップグレードするために必要な手順を実行します。

MBAM 2.0 サーバー インフラストラクチャをアップグレードしても、引き続き MBAM 1.0 クライアントは回復データをエスクローしながら MBAM 2.0 サーバーに正常に報告します。しかし、準拠は MBAM 1.0 のポリシーに基づきます。 クライアント コンピューターが MBAM 2.0 ポリシーに関わる準拠を正確に報告するためには、クライアントを MBAM 2.0 にアップグレードする必要があります。 旧バージョンのクライアントをアンインストールせずに MBAM 2.0 クライアントにアップグレードすることができ、アップグレードされたクライアントは MBAM 2.0 ポリシーを適用して報告を開始します。

Configuration Manager と共に MBAM を使用している場合は、MBAM 1.0 クライアントを MBAM 2.0 にアップグレードする必要があります。

Windows 8 プラットフォームに BitLocker を会社に展開するための MBAM サポートのシナリオ

MBAM は、MBAM クライアント インストールの対象プラットフォームとして、Windows 8 オペレーティング システムをサポートしています。 このサポートによって、IT 管理者は MBAM エージェントをインストールし、Windows 8 オペレーティング システム ドライブを暗号化し、コンピューターの準拠状態をレポートすることができます。 MBAM は、TPM と TPM+PIN 保護を利用して、Windows 7 オペレーティング システムと同様に Windows 8 オペレーティング システムを管理します。 また、MBAM 2.0 では、Windows To Go クライアントの暗号化のサポートも追加されました。

セルフサービス ポータルの追加

エンド ユーザーは、セルフサービス ポータルを使用して自分の回復キーを回復できます。 セルフサービス ポータルは、他の MBAM 機能がインストールされている 1 つのサーバーまたは別のサーバーに展開することができるので、IT 管理者は必要に応じてセルフサービス ポータルをユーザーに公開することもできます。 セルフサービス ポータルでユーザーを認証した後は、ユーザーは回復キー ID の最初の 8 桁のみを入力するだけで回復キーを受け取ることができます。

MBAM では、ユーザーがローカル ユーザーであるコンピューターでのみキーを回復できるようにして、他のユーザーが不正アクセスするリスクを軽減することで、キーを保護しています。

一時停止状態から BitLocker の保護を自動的に再開する機能

MBAM では、IT 管理者が BitLocker の一時停止状態または保護されていない状態を長期にわたって継続できなくなりました。 IT 管理者が BitLocker を一時停止すると、コンピューターの再起動時に MBAM によって自動的に有効になり、コンピューターが攻撃されるリスクが軽減されます。

パスワードなしで自動的にロックが解除されるように固定データ ドライブを構成可能

パスワードなしでドライブが自動的にロックが解除されるように固定データ ドライブ (FDD) ポリシーを構成できるようになりました。 ユーザーは FDD の暗号化前にパスワードの入力を求められません。また、FDD はオペレーティング システム ドライブと共に保護され、自動的にロックが解除されます。

MBAM 2.0 のリリース ノート

詳細情報とドキュメントに記載されていない最新情報については、「MBAM 2.0 のリリース ノート」を参照してください。

参照:

その他のリソース

MBAM 2.0 Administrator’s Guide
MBAM 2.0 [MBAM_2] で作業を開始します。

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----