MBAM 2.0 のリリース ノート

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

このリリース ノートを検索するには、Ctrl キーを押しながら F キーを押してください。

Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 をインストールする前に、このリリース ノートをよくお読みください。このリリース ノートには、BitLocker Administration and Monitoring 2.0 を正しくインストールするために必要な情報が含まれています。この情報は、製品のドキュメントには記載されていません。このリリース ノートの内容と MBAM 2.0 の他のドキュメントが食い違っている場合は、新しく変更された情報が正しいと判断してください。このリリース ノートは、製品に含まれているコンテンツより優先されます。

MBAM 2.0 の既知の問題

このセクションには、MBAM 2.0 のリリース ノートが含まれます。

MBAM を Microsoft System Center Configuration Manager 2007 と共に実行する場合、BitLocker コンピューターの準拠レポートおよび BitLocker エンタープライズ準拠の詳細レポートにコンピューター名が表示されないことがある

MBAM を Configuration Manager 2007 と共に実行すると、BitLocker コンピューターの準拠レポート、および BitLocker エンタープライズ準拠の詳細レポートにコンピューター名が表示されないことがあります。

対応策:ありません。

スタンドアロン MBAM サーバー インフラストラクチャをアップグレードした後に、会社全体の準拠状態レポートを更新できない

MBAM スタンドアロン トポロジを使用して、サーバー インフラストラクチャのバージョンを 1.0 から 2.0 にアップグレードすると、会社全体の準拠状態レポートが更新できなくなります。

対応策:アップグレード後に、準拠と監査データベースで次のスクリプトを実行してください。

-- =============================================

-- Script Template

-- =============================================


DECLARE @DatabaseName nvarchar(255);

SET @DatabaseName = DB_NAME()


USE msdb;


DECLARE @JobID BINARY(16)

SELECT @JobID = job_id

FROM msdb.dbo.sysjobs

WHERE (name = N'CreateCache')


if (@JobID IS NOT NULL)

BEGIN

    EXEC dbo.sp_delete_job

         @job_name = N'CreateCache';

END


EXEC dbo.sp_add_job

    @job_name = N'CreateCache',

    @enabled = 1;


EXEC dbo.sp_add_jobstep

     @job_name = N'CreateCache', 

     @step_name = N'Copy Data',

     @subsystem = N'TSQL',

     @command = N'EXEC [ComplianceCore].UpdateCache',

     @database_name = @DatabaseName,

     @retry_attempts = 5,

     @retry_interval = 5;



EXEC dbo.sp_add_jobschedule

     @job_name = N'CreateCache', 

     @name = N'ReportCacheSchedule1am',

     @freq_type = 4,

     @freq_interval = 1,

     @active_start_time = 010000,

     @active_end_time = 020000;


EXEC dbo.sp_attach_schedule 

     @job_name = N'CreateCache',

     @schedule_name = N'ReportCacheSchedule1am';


EXEC dbo.sp_add_jobschedule

     @job_name = N'CreateCache', 

     @name = N'ReportCacheSchedule7am',

     @freq_type = 4,

     @freq_interval = 1,

     @active_start_time = 070000,

     @active_end_time = 080000;


EXEC dbo.sp_attach_schedule 

     @job_name = N'CreateCache',

     @schedule_name = N'ReportCacheSchedule7am';


EXEC dbo.sp_add_jobschedule

     @job_name = N'CreateCache', 

     @name = N'ReportCacheSchedule1pm',

     @freq_type = 4,

     @freq_interval = 1,

     @active_start_time = 130000,

     @active_end_time = 140000;


EXEC dbo.sp_attach_schedule 

     @job_name = N'CreateCache',

     @schedule_name = N'ReportCacheSchedule1pm';


EXEC dbo.sp_add_jobschedule

     @job_name = N'CreateCache', 

     @name = N'ReportCacheSchedule7pm',

     @freq_type = 4,

     @freq_interval = 1,

     @active_start_time = 190000,

     @active_end_time = 200000;


EXEC dbo.sp_attach_schedule 

     @job_name = N'CreateCache',

     @schedule_name = N'ReportCacheSchedule7pm';


EXEC dbo.sp_add_jobserver

     @job_name = N'CreateCache';

SSRS で SSL が構成されていない場合、ヘルプ デスク ポータルのレポートに警告が表示される

Secure Socket Layer (SSL) を使用するように SQL Server Reporting Services (SSRS) を構成しなかった場合、MBAM サーバーをインストールするときにレポートの URL は HTTPS ではなく HTTP に設定されます。 この状態でヘルプ デスク ポータルにアクセスし、レポートを選択すると、"セキュリティで保護されたコンテンツのみ表示" というメッセージが表示されます。

対応策: レポートを表示するには、[すべてのコンテンツを表示] をクリックします。 この問題に対応するには、SQL Server Reporting Services がインストールされている MBAM コンピューターにアクセスし、Reporting Services 構成マネージャー を実行し、[Web サービスの URL] をクリックします。 サーバー用に適切な SSL 証明書を選択し、適切な SSL ポート (既定のポートは 443) を入力し、[適用] をクリックします。

既定ではない Configuration Manager データベースのインスタンスがサポートされない

MBAM は、Configuration Manager 2007 および System Center 2012 Configuration Manager で、Configuration Manager データベースの既定のインスタンスのみを検索します。 既定以外のインスタンスを使用すると、MBAM をインストールできません。

対応策:ありません。

準拠の概要レポートで [戻る] をクリックするとエラーが発生することがある

準拠の概要レポートの詳細を表示しているときに、SSRS レポートの [戻る] リンクをクリックすると、エラーが発生することがあります。

対応策:ありません。

使用領域のみの暗号化が正しく機能しない

MBAM クライアントをインストールした後に初めてコンピューターを暗号化し、使用領域のみの暗号化を実装するグループ ポリシー オブジェクトを設定した場合、MBAM では、ディスクの使用領域のみを暗号化するのではなく、誤ってディスク全体を暗号化しています。MBAM クライアントのインストール時にコンピューターを暗号化し、同じグループ ポリシー オブジェクトを設定した場合、暗号化は正しく機能し、コンピューターの使用ディスク領域のみが暗号化されます。

対応策:ありません。

コンピューターの準拠レポートに表示される暗号強度が正しくない

[ドライブの暗号化方法と暗号強度を選択する] グループ ポリシー オブジェクトで特定の暗号強度を指定しなかった場合、既定の 128 ビット暗号化の暗号強度が使用されていても、Configuration Manager 統合トポロジのコンピューターの準拠レポートには暗号強度が常に "不明" と表示されます。グループ ポリシー オブジェクトに特定の暗号強度を設定すると、レポートには正しい暗号強度が表示されます。

対応策: [ドライブの暗号化方法と暗号強度を選択する] グループ ポリシー オブジェクトには、常に特定の暗号強度を設定してください。

構成項目を更新しても [ドライブの種類による準拠状態の配布] に古いデータが表示される

System Center 2012 Configuration Manager で MBAM 構成項目を更新した後に、BitLocker エンタープライズ準拠ダッシュボードの [ドライブの種類による準拠状態の配布] 棒グラフには、古いバージョンの構成項目の情報に基づくデータが表示されます。

対応策:ありません。MBAM 構成項目の変更はサポートされません。また、レポートが期待どおりに表示されないことがあります。

セキュリティ強化の構成でレポートが正しく表示されないことがある

Internet Explorer セキュリティ強化の構成 (ESC) が有効な場合、MBAM サーバーに関するレポートを表示しようとすると、"アクセスが拒否されました" というメッセージが表示されることがあります。 Web コンテンツおよびアプリケーション スクリプトを介して発生する可能性がある攻撃に対して、サーバーの露出を減らすことでサーバーを保護するために、既定で ESC は有効にされています。

対応策: MBAM サーバーでレポートを表示使用として "アクセスが拒否されました" というメッセージが表示される場合、グループ ポリシー オブジェクトを設定するか、セキュリティ強化の構成を無効にするようにイメージの既定値を手動で変更します。 また、ESC が有効ではない別のコンピューターからレポートを表示することもできます。

SQL Server 2008 から SQL Server 2012 にアップグレードするときに MBAM サーバーのインストールが失敗する

SQL Server 2008 から SQL Server 2012 にアップグレードしてから、準拠と監査データベースまたは回復データベースをインストールしようとすると、インストールが失敗し、ロール バックします。 この問題は、SQL のアップグレード中に必要な SQLCMD.exe ファイルが削除され、MBAM インストーラーでファイルを見つけられなくなった場合に発生します。 MSI ログ ファイルの行は、次のような内容です。

RunDbInstallScript Recovery Db CA: BinDir - E:\MSSQL\100\Tools\Binn\SqlCmd.exe
RunDbInstallScript Recovery Db CA: dbInstance - xxxxxx\I01
RunDbInstallScript Recovery Db CA: sqlScript- C:\Program Files\Microsoft\Microsoft BitLocker Administration and Monitoring\Setup\KeyRecovery.sql
RunDbInstallScript Recovery Db CA: dbName- MBAM_Recovery_and_Hardware
RunDbInstallScript Recovery Db CA: defaultFileName- MBAM_Recovery_and_Hardware
RunDbInstallScript Recovery Db CA: defaultDataPath- F:\MSSQL\MSSQL10.I01\MSSQL\DATA\
RunDbInstallScript Recovery Db CA: defaultLogPath- K:\MSSQL\MSSQL10.I01\MSSQL\Data\
RunDbInstallScript Recovery Db CA: scriptLogPath - C:\Users\xxxxxx\AppData\Local\Temp\InstallKeyComplianceDatabase.log
-e -E -S xxxxxxx\I01 -i "C:\Program Files\Microsoft\Microsoft BitLocker Administration and Monitoring\Setup\KeyRecovery.sql" -v DatabaseName="MBAM_Recovery_and_Hardware" DefaultFileName="MBAM_Recovery_and_Hardware" DefaultDataPath="F:\MSSQL\MSSQL10.I01\MSSQL\DATA\" DefaultLogPath="K:\MSSQL\MSSQL10.I01\MSSQL\Data\" -o "C:\Users\xxxxxx\AppData\Local\Temp\InstallKeyComplianceDatabase.log"
RunDbInstallScript Recovery Db CA:Starting to run the Recovery database install script
RunDbInstallScript Recovery Db CA: Sqlcmd log file is located in C:\Users\xxxxxx\AppData\Local\Temp\\InstallKeyRecoveryDatabase.log
RunDbInstallScript Recovery Db CA Exception: Install Recovery database Custom Action command line output Exception: The system cannot find the file specified

MBAM サーバーの Windows インストーラーには SQLCMD.exe のパスがハードコーディングされており、HKLM\Software\Microsoft\Microsoft SQL Server\100\Tools\ClientSetup のレジストリの Path 文字列値が検索されます。 このキーは SQL Server 2008 から SQL Server 2012 への移行時には存在しますが、SQL のアップグレード プロセスによって SQLCMD.exe が削除されるため、データ値から参照されるパスには SQLCMD.exe ファイルが存在しません。

対応策: HKLM\Software\Microsoft\Microsoft SQL Server\100\Tools\ClientSetup の Path 文字列値を一時的に「Path_old」に変更してから、MBAM サーバーの Windows インストーラーを再実行します。 インストールが正常に完了し、SQL Server 2012 でデータベースを作成したら、「Path_old」値を「Path」に変更します。

参照:

概念

MBAM 2.0 の概要

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----