次の方法で共有

お使いになる前に - MBAM を Configuration Manager と共に使用する

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) をインストールする際、MBAM を Configuration Manager 2007 または System Center 2012 Configuration Manager と統合するトポロジを選択できます。 MBAM がサポートする Configuration Manager のバージョンの一覧については、「Configuration Manager と連携する MBAM の展開計画」を参照してください。 統合されたトポロジでは、ハードウェアの準拠と監査レポート機能が MBAM から削除され、Configuration Manager からアクセスします。

重要

MBAM と Configuration Manager 2007 の統合されたトポロジをインストールする場合、Windows To Go はサポートされません。

MBAM を Configuration Manager と共に使用する

MBAM の統合は、次の 3 つの項目を Configuration Manager 2007 または System Center 2012 Configuration Manager にインストールする新しい構成パックに基づきます。詳細については、以下のセクションを参照してください。

  • 構成項目と構成ベースラインから成る構成データ

  • コレクション

  • レポート

構成データ

構成データは “BitLocker による保護” という構成ベースラインをインストールします。これには、“BitLocker によるオペレーティング システム ドライブの保護” と “BitLocker による固定データ ドライブ保護” という 2 つの構成項目が含まれます。 構成ベースラインはコレクションに展開され、MBAM のインストール時にも作成されます。 2 つの構成項目は、クライアント コンピューターの準拠状態を評価するための基礎として機能します。この情報は Configuration Manager でキャプチャ、保存、および評価が行われます。 構成項目は、オペレーティング システム ドライブ (OSD) および固定データ ドライブ (FDD) の準拠要件に基づいています。 それらのドライブの種類の準拠を評価できるように、展開されているコンピューターの必要な情報が収集されます。 既定では、構成ベースラインは 12 時間ごとに準拠状態を評価し、準拠データを Configuration Manager に送信します。

コレクション

MBAM は、MBAM がサポートされるコンピューターというコレクションを作成します。 構成ベースラインは、このコレクション内にあるクライアント コンピューターを対象としています。 これは、既定で 12 時間ごとに実行され、メンバーシップを評価する動的なコレクションです。 メンバーシップは次の 3 つの条件に基づいています。

  • サポートされるバージョンの Windows オペレーティング システムです。 現在、MBAM は、Windows 7 Enterprise、Windows 7 Ultimate、Windows 8 Enterprise、および Windows To Go (Windows 8 Enterprise で Windows To Go が実行されている場合) のみをサポートしています。

  • これは物理コンピューターです。 仮想マシンはサポートされません。

  • トラステッド プラットフォーム モジュール (TPM) に対応しています。 Windows 7 では、TPM 1.2 以降の互換性のあるバージョンが必要です。 Windows 8 と Windows To Go に TPM は不要です。

コレクションはすべてのコンピューターに対して評価されます。また、コレクションで、準拠の評価と MBAM 統合のレポートの基礎となる互換性のあるコンピューターの一部を作成します。

レポート

準拠の表示に使用できるレポートが 4 つあります。 以下の説明を参照してください。

  • BitLocker 会社全体の準拠ダッシュボード - IT 管理者は、1 つのレポートについて 3 種類のビューで表示できます。 準拠状態の配布、非準拠 - ドライブの種類別のエラーの配布、準拠状態の配布。 IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

  • BitLocker 会社全体の準拠状態の詳細 - IT 管理者は、会社全体の BitLocker 暗号化準拠状態に関する情報を表示できます。また、これには各コンピューターの準拠状態が含まれます。 IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

  • BitLocker コンピューターの準拠 – IT 管理者は、個々のコンピューターを確認し、準拠または非準拠の状態でレポートされた理由を判断できます。 レポートには、オペレーティング システム ドライブ (OSD) と固定データ ドライブ (FDD) の暗号化の状態も表示されます。

  • BitLocker 会社全体の準拠の概要 - IT 管理者は、MBAM ポリシーを使用して会社全体の準拠の状況を表示します。 各コンピューターの状態が評価され、レポートには、社内の全コンピューターのポリシーに対する準拠の概要が表示されます。 IT 管理者は、レポートのオプションをよく確認し、データをクリックスルーして、選択した状態に一致するコンピューターの一覧を表示します。

Configuration Manager と連携する MBAM の概要レベル アーキテクチャ

次の図は、Configuration Manager トポロジを持つ MBAM アーキテクチャを示します。 この構成は、運用環境で最大 200,000 MBAM クライアントをサポートします。

Configuration Manager による MBAM アーキテクチャ

このアーキテクチャのサーバー、データベース、および機能に関する説明が続きます。 アーキテクチャ図のサーバー機能とデータベースの一覧を、インストールが推奨されるコンピューターまたはサーバーの下に記載しています。

  • データベース サーバー - 回復データベース監査データベースは、Windows サーバーとサポートされる SQL Server インスタンスにインストールされます。 この回復データベースには、MBAM クライアント コンピューターから収集された回復データが格納されます。 監査データベースには、回復データにアクセスしたクライアント コンピューターから収集された監査操作データが保存されます。

  • Configuration Manager プライマリ サイト サーバー – Configuration Manager サーバーは MBAM サーバーのインストールで構成されます。これは Configuration Manager プライマリ サイト サーバーにインストールされる必要があります。Configuration Manager サーバーは、クライアント コンピューターからハードウェアのインベントリ情報を収集し、クライアント コンピューターの BitLocker 準拠レポートに使用します。 MBAM セットアップ サーバーのインストールを実行すると、コレクションと構成データが Configuration Manager プライマリ サイト サーバーにインストールされます。

  • 管理と監視サーバー - [管理と監視サーバー] は、Windows サーバーにインストールされます。また、管理と監視 Web サイトと監視する Web サービスで構成されます。 管理と監視 Web サイトは、操作を監査し、回復データ (BitLocker の回復キーなど) にアクセスするために使用されます。 セルフサービス ポータルも、管理と監視サーバーにインストールされます。 クライアント コンピューターのエンド ユーザーがセルフサービス ポータルを使用すると、Web サイトに個別にログオンし、BitLocker パスワードを紛失したり忘れたりした場合でも、回復キーを取得することができます。 監査レポートも、管理と監視サーバーにインストールされます。

  • 管理ワークステーション - ポリシー テンプレートは、BitLocker ドライブの暗号化に関する MBAM の実装設定を定義したグループ ポリシーで構成されます。 ポリシー テンプレートはサーバーまたはワークステーションにインストールできますが、一般的に、サポートされる Windows サーバーまたはクライアント コンピューターである管理ワークステーションにインストールします。 このワークステーションを専用のコンピューターにする必要はありません。

  • MBAM クライアントConfiguration Manager クライアント コンピューター

    • MBAM クライアントは次のタスクを実行します。

      • グループ ポリシー オブジェクトを使用して、会社のクライアント コンピューターの BitLocker 暗号化を実行します。

      • オペレーティング システム ドライブ、固定データ ドライブ、およびリムーバブル データ (USB) ドライブという 3 種類の BitLocker データ ドライブ用に回復キーを収集します。

      • クライアント コンピューターに関する回復情報とコンピューター情報を収集します。

    • Configuration Manager クライアント – Configuration Manager クライアントによって Configuration Manager はクライアント コンピューターに関するハードウェアの互換性データを収集し、準拠情報をレポートするために Configuration Manager を有効にします。

参照:

その他のリソース

MBAM を Configuration Manager と共に使用する

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----