MBAM 2.5 クライアントの展開計画
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
組織内のコンピューターの BitLocker ドライブ暗号化を、エンド ユーザーがコンピューターを受け取る前に有効にするか、それとも受け取り後に有効にするかは、Microsoft BitLocker Administration and Monitoring (MBAM) クライアント ソフトウェアを展開するタイミングによって決まります。MBAM のスタンドアロン トポロジも、System Center Configuration Manager 統合トポロジも、MBAM には、グループ ポリシー設定を構成する必要があります。
MBAM スタンドアロン トポロジを使用している場合は、エンタープライズ ソフトウェア展開システムを使用して MBAM クライアント ソフトウェアをエンド ユーザーのコンピューターに展開することをお勧めします。
MBAM を Configuration Manager 統合トポロジで展開する場合は、Configuration Manager を使用して MBAM クライアント ソフトウェアをエンド ユーザーのコンピューターに展開することができます。Configuration Manager では、MBAM が管理できるコンピューターのコレクションが MBAM のインストールで作成されます。トラステッド プラットフォーム モジュール (TPM) は持たないものの、Windows 8、Windows 8.1、または Windows 10 が実行されているワークステーションとデバイスも、このコレクションには含まれます。
注意
Configuration Manager を使用する際、Configuration Manager 2007 統合トポロジのインストールでは、Windows To Go はサポートされません。
MBAM クライアントを展開して、コンピューターをエンド ユーザーに配布した後に BitLocker ドライブ暗号化を有効化
グループ ポリシーの構成後は、Microsoft System Center Configuration Manager や Active Directory ドメイン サービス (AD DS) などのエンタープライズ ソフトウェア展開システムを使用して、対象のコンピューターに MBAM クライアント インストールの Windows インストーラー ファイルを展開することができます。MBAM クライアントの展開には、MBAM クライアント ソフトウェアに付属している 32 ビットまたは 64 ビットの MbamClientSetup.exe ファイルまたは MBAMClient.msi ファイルを使用できます。
注意
MBAM 2.5 SP1 以降、MBAM 製品に個別の MSI は含まれなくなりました。ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。
MBAM クライアントを展開すると、コンピューターが配布された後に、エンド ユーザーに自分のコンピューターを暗号化するように求めるメッセージが表示されます。このアクションによって、MBAM は、暗証番号 (PIN) とパスワード (ポリシーにより必要とされる場合) を含むデータを収集してから、暗号化プロセスを開始します。
注意
この方法では、TPM チップ搭載のコンピューターを所有しているエンド ユーザーに、有効化と初期化を求めるメッセージが表示されます (TPM チップがそれまでに有効にされていない場合)。
MBAM クライアントを使用して、コンピューターをエンド ユーザーに配布する前に BitLocker ドライブ暗号化を有効化
コンピューターの配布と構成を中央で集中して行う組織で、なおかつ要件に準拠した TPM チップが組織内のコンピューターに搭載されている場合、ユーザー データが何も書き込まれないうちに、各コンピューターで MBAM クライアントを使用して、BitLocker ドライブ暗号化を管理することができます。このプロセスの利点は、すべてのコンピューターが、その時点で要件に準拠することです。管理者がコンピューターを既に暗号化しているため、この方法は、エンド ユーザーの操作に頼りません。このシナリオの重要な前提は、コンピューターをエンド ユーザーに配布する前に、組織のポリシーによって会社の Windows イメージをインストールするという点です。
コンピューターの暗号化に TPM チップを使用する組織の場合、その管理者が、TPM 保護機能を追加して、コンピューターのオペレーティング システム ボリュームを暗号化します。TPM チップと PIN 保護機能を使用する組織の場合、管理者が TPM 保護機能を使ってオペレーティング システム ボリュームを暗号化したうえで、エンド ユーザーが初回ログオン時に PIN を選択します。組織で、PIN 保護機能のみを使うことが決定された場合は、管理者が最初にボリュームを暗号化する必要はありません。ユーザーがログオンすると、後でコンピューターを再起動したときに使用する PIN か、PIN とパスワードの入力を求めるメッセージが Microsoft BitLocker Administration and Monitoring によって表示されます。
注意
TPM 保護機能が選択されていると、コンピューターをエンド ユーザーに配布する前に、管理者に TPM の有効化と初期化の受け入れを要求する BIOS プロンプトが表示されます。
暗号化ハード ドライブにおける MBAM クライアントのサポート
MBAM では、Opal と IEEE 1667 標準に対する TCG の仕様要件を満たす暗号化ハード ドライブの BitLocker をサポートします。これらのデバイスで BitLocker が有効な場合、キーを生成して暗号化されたドライブで管理機能を実行します。詳細については、「Encrypted Hard Drive (暗号化ハード ドライブ)」をご覧ください。
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。