次の方法で共有


MBAM 2.0 グループ ポリシー要件の計画

適用対象: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) クライアント コンピューターを管理するには、組織でサポートする BitLocker 保護の種類を考慮し、それに合わせて、適用するグループ ポリシーを構成する必要があります。ここでは、会社で Microsoft BitLocker Administration and Monitoring を使用して BitLocker ドライブ暗号化を管理するときに利用できるグループ ポリシー設定について説明します。

MBAM は、オペレーティング システム ドライブ用に、Trusted Platform Module (TPM)、TPM + PIN、TPM + USB キー、および TPM + PIN + USB キー、パスワード、数字のパスワード、およびデータ回復エージェントの BitLocker 保護をサポートしています。パスワード保護は、TPM がない Windows To Go デバイスと Windows 8 デバイスでのみサポートされます。MBAM は、MBAM のインストール前にオペレーティング システム ボリュームが暗号化されている場合にのみ、TPM + USB キー保護と TPM + PIN + USB キー保護をサポートします。

MBAM は、固定データ ドライブ用に、パスワード、自動ロック解除、数字のパスワード、およびデータ回復エージェントの BitLocker 保護をサポートしています。

数字のパスワード保護は、ボリューム暗号化の一部として自動的に適用されるため、構成する必要はありません。

重要

既定の Windows BitLocker ドライブ暗号化のグループ ポリシー オブジェクト (GPO) 設定は MBAM で使用されません。また、この GPO 設定を有効にすると、動作の競合が発生する可能性があります。MBAM で BitLocker の管理を有効にするには、MBAM グループ ポリシー テンプレートをインストールした後に MBAM グループ ポリシー設定を定義する必要があります。

拡張スタートアップ PIN は、大文字と小文字、数字などの文字を含むことができます。BitLocker とは異なり、MBAM の拡張 PIN では記号と空白の使用はサポートされていません。

MBAM グループ ポリシー テンプレートは、グループ ポリシー管理コンソール (GPMC) または高度なグループ ポリシーの管理 (AGPM) MDOP テクノロジを実行可能なコンピューターにインストールします。MBAM 機能を有効にする GPO 設定を編集するには、まず MBAM グループ ポリシー テンプレートをインストールし、GPMC または AGPM を開いて適用可能な GPO を編集し、次の GPO ノードに移動します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)

MDOP MBAM (BitLocker Management) GPO ノードには、4 つのグローバル ポリシー設定と 4 つの子 GPO 設定ノードが含まれます。クライアントの管理、固定ドライブ、オペレーティング システム ドライブ、およびリムーバブル ドライブです。次のセクションでは、MBAM GPO ポリシー設定の要件計画に役立つ、ポリシー定義と推奨ポリシーを説明します。

注意

MBAM を有効にして BitLocker 暗号化を管理するための最小推奨 GPO 設定の構成の詳細については、「MBAM 2.0 を編集する GPO 設定」を参照してください。

グローバル ポリシー定義

ここでは、次の GPO ノードにある MBAM グローバル ポリシー定義について説明します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)

ポリシー名 概要と推奨ポリシー設定

ドライブの暗号化方法と暗号強度を選択する

推奨構成:未構成

特定の暗号化方法と暗号強度を使用するために、このポリシーを構成します。

このポリシーが構成されていないと、BitLocker は、既定の暗号化方法である AES 128 ビット キーとディフューザー、またはセットアップ スクリプトが指定した暗号化方法を使用します。

再起動時にメモリを上書きしない

推奨構成:未構成

再起動の際に、メモリ上の BitLocker の機密情報を上書きせずに再起動のパフォーマンスを向上させるために、このポリシーを構成します。

このポリシーが構成されていないと、コンピューターの再起動時に BitLocker の機密情報がメモリから削除されます。

スマート カード証明書の使用規則の準拠を検証する

推奨構成:未構成

スマートカード証明書ベースの BitLocker の保護を使用するために、このポリシーを構成します。

このポリシーが構成されていないと、証明書の指定に、既定のオブジェクト ID である 1.3.6.1.4.1.311.67.1.1 が使用されます。

組織固有の識別子を使用する

推奨構成:未構成

証明書ベースのデータ回復エージェント、または BitLocker To Go リーダーを使用するために、このポリシーを構成します。

このポリシーが構成されていないと、識別フィールドは使用されません。

会社がより高度なセキュリティ対策を要求している場合は、識別フィールドを構成して、このフィールドに設定されているすべての USB デバイスがこのグループ ポリシー設定に沿っているか確認することができます。

クライアントの管理ポリシー定義

ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring のクライアントの管理ポリシー定義について説明します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)\クライアントの管理

ポリシー名 概要と推奨ポリシー設定

MBAM サービスを構成する

推奨構成:有効

  • MBAM 回復とハードウェア サービスのエンドポイント。この設定を使用して、MBAM クライアント BitLocker 暗号化管理を有効にします。次の例のようにエンドポイントの場所を入力します。http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインド ポート>/MBAMRecoveryAndHardwareService/CoreService.svc

  • 保存する BitLocker 回復情報の選択。このポリシー設定で、BitLocker 回復情報のバックアップを作成するキー回復サービスを構成します。これにより、準拠と監査レポートを収集するステータス レポート サービスも構成します。このポリシーには、BitLocker によって暗号化された回復データの管理方法があり、キー情報がないことによるデータの損失を防ぐのに役立ちます。ステータス レポートと回復キーへの要求は、構成されたレポート サーバーの場所に、自動的かつメッセージを表示せずに送信されます。

    このポリシー設定が構成されていない、または無効になっていると、キー回復情報は保存されず、ステータス レポートと回復キーへの要求がサーバーにレポートされません。この設定が回復パスワードとキー パッケージに設定されていると、回復パスワードとキー パッケージのバックアップが、構成されたキー回復サーバーの場所に、自動的かつメッセージを表示せずに作成されます。

  • クライアントが状態をチェックする間隔 (分)。このポリシー設定は、クライアントが、クライアント コンピューターの BitLocker 保護ポリシーとステータスを確認する頻度を管理します。このポリシーは、クライアントの準拠状態がサーバーに保存される頻度も管理します。クライアントは、クライアント コンピューターの BitLocker 保護ポリシーとステータスを確認すると、構成された頻度で、クライアント回復キーのバックアップの作成も行います。

    この頻度は、コンピューターの準拠状態を確認する頻度と、クライアント回復キーのバックアップを作成する頻度を、会社で決められた要件に従って設定します。

  • MBAM ステータス レポート サービスのエンドポイント。この設定を構成して、MBAM クライアント BitLocker 暗号化管理を有効にする必要があります。次の例のようにエンドポイントの場所を入力します。http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインド ポート>/MBAMComplianceStatusService/StatusReportingService.svc

ユーザーの除外ポリシーを構成する

推奨構成:未構成

このポリシー設定では、BitLocker 暗号化からの除外の要求でユーザーに案内するサイト アドレス、電子メール アドレス、または電話番号を構成します。

このポリシー設定を有効にして、Web サイトのアドレス、電子メール アドレス、または電話番号を提供すると、ユーザーに、BitLocker による保護からの除外の申し込み方法を説明するダイアログが表示されます。ユーザーの BitLocker 暗号化除外を有効にする方法の詳細については、「ユーザーの BitLocker 暗号化の除外を管理する方法」を参照してください。

このポリシー設定が無効か、構成されていない場合、除外の要求手順はユーザーに表示されません。

注意

ユーザーの除外は、ユーザー別に管理されます。コンピューター別ではありません。複数のユーザーが同じコンピューターにログオンし、1 人でも除外されていないユーザーがいると、そのコンピューターは暗号化されます。

カスタマー エクスペリエンス向上プログラムの構成

このポリシー設定を使用すると、MBAM ユーザーがカスタマー エクスペリエンス向上プログラムに参加する方法を構成できます。このプログラムでは、ユーザーの作業を妨げることなく、コンピューター ハードウェアと、ユーザーが MBAM を使用する方法に関する情報を収集します。Microsoft はこの情報を利用して、改善が必要な MBAM 機能を特定しています。Microsoft は、MBAM ユーザーを特定したり、連絡したりするためにこの情報を使用しません。

このポリシー設定を有効にすると、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できるようになります。

このポリシー設定を無効にすると、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できなくなります。

このポリシー設定を構成しない場合、ユーザーはカスタマー エクスペリエンス向上プログラムに参加するかどうかを選択できるようになります。

固定ドライブのポリシー定義

ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring の固定ドライブのポリシー定義について説明します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)\固定ドライブ

ポリシー名 概要と推奨ポリシー設定

固定データ ドライブの暗号化設定

推奨構成:有効

このポリシー設定を使用すると、固定ドライブを暗号化する必要があるかどうかを管理できます。

オペレーティング システム ボリュームを暗号化する必要がある場合、[固定データドライブの自動ロック解除を有効にする] をオンにします。

このポリシーを有効にする場合、固定データ ドライブの自動ロック解除の使用が許可または必須の場合を除き、[固定データ ドライブのパスワードの使用を構成する] ポリシーを無効にしないでください。

固定データ ドライブで自動ロック解除の使用を必須にする場合、オペレーティング システム ボリュームを暗号化するように構成する必要があります。

このポリシー設定を有効にする場合、ユーザーはすべての固定ドライブを BitLocker で保護するように要求され、ドライブは暗号化されます。

このポリシー設定を構成しない場合、ユーザーは固定ドライブを BitLocker で保護するように要求されません。固定データ ドライブを暗号化した後にこのポリシーを適用する場合、MBAM エージェントは暗号化された固定ドライブの暗号化を解除します。

このポリシー設定を無効にすると、ユーザーは固定データ ドライブを BitLocker で保護できなくなります。

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

推奨構成:未構成

このポリシー設定によって、コンピューターの固定ドライブを書き込み可能にするために BitLocker による保護を必須にするかどうかが決まります。このポリシー設定は、BitLocker をオンにすると適用されます。

このポリシーが構成されていないと、コンピューターのすべての固定データ ドライブは、読み取り/書き込みアクセス権がある状態でマウントされます。

BitLocker で保護されている固定データ ドライブに Windows の以前のバージョンからアクセス可能にする

推奨構成:未構成

このポリシーを有効にすると、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行するコンピューターで FAT ファイル システムの固定ドライブのロックを解除し、表示することができます。

このポリシーが有効か未構成の場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行するコンピューターで、FAT ファイル システムでフォーマットされた固定ドライブのロックの解除し、コンテンツを表示することができます。これらのオペレーティング システムは、BitLocer で保護されたドライブに対して読み取りアクセス権を持ちます。

このポリシーが無効になっていると、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、FAT ファイル システムでフォーマットされた固定ドライブのロックの解除することができず、コンテンツも表示できません。

固定データ ドライブのパスワードの使用を構成する

推奨構成:未構成

このポリシーを使用して、BitLocker で保護された固定データ ドライブのロック解除にパスワードが必要かどうかを指定します。

このポリシー設定を有効にすると、ユーザーは管理者が定義した要件を満たすパスワードを構成できます。BitLocker では、ユーザーがドライブで利用できるいずれかの保護機能を使用してドライブのロックを解除できます。

これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに実行されます。

このポリシー設定を無効にすると、ユーザーはパスワードを使用できなくなります。

このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。

より高度なセキュリティのために、このポリシーを有効にして、[固定データ ドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] を選択、必要とする [パスワードの最小文字数] を設定します。

このポリシー設定を無効にすると、ユーザーはパスワードを使用できなくなります。

このポリシーを構成しないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。

BitLocker で保護されている固定ドライブの回復方法を選択する

推奨構成:未構成

BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。

このポリシーが構成されていないと、BitLocker データ回復エージェントが許可され、回復情報のバックアップが AD DS に作成されません。MBAM では、AD DS に回復情報のバックアップを作成する必要はありません。

オペレーティング システム ドライブのポリシー定義

ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring のオペレーティング システム ドライブのポリシー定義について説明します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)\オペレーティング システム ドライブ

ポリシー名 概要と推奨ポリシー設定

オペレーティング システム ドライブの暗号化設定

推奨構成:有効

このポリシー設定を使用すると、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。

セキュリティを向上するには、TPM + PIN 保護で暗号化する場合に、[システム]/[電源管理]/[スリープの設定] で次のポリシーを無効にすることをお勧めします。

  • スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)

  • スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

Microsoft Windows 8 以降を実行していて、TPM が装備されていないコンピューターで BitLocker を使用する場合は、[互換性のある TPM が装備されていない BitLocker を許可する] をチェック ボックスをオンにします。このモードでは、起動時にパスワードを入力する必要があります。パスワードを忘れた場合、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。

互換性のある TPM を装備したコンピューターの場合、暗号化データの保護を改善するために起動時に 2 種類の認証方法を使用できます。コンピューターの起動時に、認証に TPM のみを使用するか、個人識別番号 (PIN) の入力も必須にすることができます。

このポリシー設定を有効にする場合、ユーザーはオペレーティング システム ドライブを BitLocker で保護するように要求され、ドライブは暗号化されます。

このポリシー設定を無効にすると、ユーザーはオペレーティング システム ドライブを BitLocker で保護できなくなります。オペレーティング システム ドライブを暗号化した後にこのポリシーを適用すると、ドライブは暗号化されます。

このポリシーを構成しない場合、オペレーティング システム ドライブを BitLocker の保護対象にする必要はありません。

TPM のプラットフォーム検証プロファイルを構成する

推奨構成:未構成

このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアで BitLocker 暗号化キーを保護する方法を構成できます。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。

このポリシー設定を構成していない場合、TPM には、既定のプラットフォーム検証プロファイル、またはセットアップ スクリプトで指定したプラットフォーム検証プロファイルが使用されます。

BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

推奨構成:未構成

BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。

このポリシーを構成しない場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。

MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。

リムーバブル ドライブのポリシー定義

ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring のリムーバブル ドライブのポリシー定義について説明します。コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)\リムーバブル ドライブ

ポリシー名 概要と推奨ポリシー設定

リムーバブル ドライブでの BitLocker の使用を制御する

推奨構成:有効

このポリシーでは、リムーバブル ドライブでの BitLocker の使用を制御します。

ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにするには、[ユーザーがリムーバブル データ ドライブを BitLocker で保護できるようにする] オプションを有効にします。

ユーザーがドライブから BitLocker ドライブの暗号化を解除できるようにする場合、またはメンテナンスの実行時に暗号化を一時停止する場合は、[ユーザーがリムーバブル ドライブの BitLocker を一時停止または削除できるようにする] オプションを有効にします。

このポリシーを有効にし、[ユーザーがリムーバブル データ ドライブを BitLocker で保護できるようにする] オプションをオンにすると、MBAM クライアントによってリムーバブル ドライブに関する回復情報が MBAM キー回復サーバーに保存され、ユーザーがパスワードを忘れたときにドライブを回復できるようになります。

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

推奨構成:未構成

書き込みのみのアクセス権を BitLocker で保護されたドライブに付与するには、このポリシーを有効にします。

このポリシーを有効にする場合、書き込みアクセス権を付与する前に、コンピューターのすべてのリムーバブル データ ドライブを暗号化する必要があります。

BitLocker で保護されているリムーバブル データ ドライブに Windows の以前のバージョンからアクセス可能にする

推奨構成:未構成

このポリシーを有効にすると、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行するコンピューターで FAT ファイル システムの固定ドライブのロックを解除し、表示することができます。

このポリシーが未構成の場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行するコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル データ ドライブのロックの解除し、コンテンツを表示することができます。これらのオペレーティング システムは、BitLocer で保護されたドライブに対して読み取りアクセス権を持ちます。

このポリシーが無効になっていると、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル ドライブのロックの解除することができず、コンテンツも表示できません。

リムーバブル データ ドライブのパスワードの使用を構成する

推奨構成:未構成

リムーバブル ドライブのパスワード保護を構成するには、このポリシーを有効にします。

このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。

セキュリティを向上するために、このポリシーを有効にして、[リムーバブル データ ドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] を選択し、任意の [パスワードの最小文字数] を設定します。

BitLocker で保護されているリムーバブル ドライブの回復方法を選択する

推奨構成:未構成

BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。

[未構成] に設定する場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。

MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。

参照:

概念

MBAM 2.0 展開の前提条件

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----