Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
このトピックでは、Windows イメージングおよび展開プロセスの一部として MBAM を使用して、エンド ユーザーのコンピューターで BitLocker を有効にする方法について説明します。
前提条件:
既存の Windows イメージ展開プロセス (Microsoft Deployment Toolkit (MDT)、Microsoft System Center Configuration Manager、他のイメージング ツールまたはプロセス) が存在する必要があります。
TPM が BIOS で有効になっていて、OS で認識できる必要があります。
MBAM サーバー インフラストラクチャが存在し、アクセスできる必要があります。
BitLocker に必要なシステム パーティションが作成されている必要があります。
MBAM で BitLocker を完全に有効にする前、イメージングの間に、コンピューターがドメインに参加している必要があります。
Windows 展開の一部として MBAM 2.5 SP1 を使用して BitLocker を有効にするには
MBAM 2.5 SP1 において Windows の展開時に BitLocker を有効にする推奨される方法は、
Invoke-MbamClientDeployment.ps1
PowerShell スクリプトを使用することです。Invoke-MbamClientDeployment.ps1
スクリプトは、イメージング プロセスの間に BitLocker を有効にします。BitLocker のポリシーによって要求されている場合、ドメイン ユーザーがイメージングの後で初めてログオンすると、MBAM エージェントは直ちに PIN またはパスワードの作成をドメイン ユーザーに求めます。MDT、System Center Configuration Manager、またはスタンドアロンのイメージング プロセスで簡単に使用できます
PowerShell 2.0 以降と互換性があります
TPM キー保護機能で OS ボリュームを暗号化します
BitLocker の事前プロビジョニングを完全にサポートします
必要に応じて FDD を暗号化します
Windows 8 以降であっても、TPM OwnerAuth をエスクローします (それでも、エスクローを行うには MBAM は Windows 7 上で TPM を所有する必要があります)
回復キーおよび回復キー パッケージをエスクローします
暗号化の状態をすぐにレポートします
新しい WMI プロバイダー
詳細なログ
堅牢なエラー処理
Invoke-MbamClientDeployment.ps1
スクリプトは Microsoft.com ダウンロード センターからダウンロードできます。これは、BitLocker ドライブ暗号化を構成し、MBAM サーバーで回復キーを記録するために、展開システムが呼び出すメイン スクリプトです。MBAM 用の WMI 展開メソッド:
Invoke-MbamClientDeployment.ps1
PowerShell スクリプトを用いた BitLocker の有効化をサポートするために、次の WMI メソッドが MBAM 2.5 SP1 に追加されました。MBAM_Machine WMI クラス
**PrepareTpmAndEscrowOwnerAuth:**TPM OwnerAuth を読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。TPM が所有されていず、自動プロビジョニングが有効になっていない場合は、TPM OwnerAuth を生成して所有権を取得します。失敗した場合は、トラブルシューティングのためエラー コードが返されます。パラメーター 説明 RecoveryServiceEndPoint
MBAM 回復サービス エンドポイントを指定する文字列です。
一般的な戻り値 エラー メッセージ S_OK
0 (0x0)
メソッドは成功しました。
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)
TPM はコンピューターに存在しないか、または BIOS の構成で無効になっています。
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)
TPM は正しい状態 (有効で、アクティブ化され、所有者のインストールを許可されている) ではありません。
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)
自動プロビジョニングが保留になっているため、MBAM は TPM の所有権を取得できません。自動プロビジョニングが完了した後、再試行してください。
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)
MBAM は、TPM 所有者の承認値を読み取ることができません。エスクローが成功した後で、値が削除された可能性があります。Windows 7 では、TPM が他によって所有されている場合、MBAM は値を読み取ることができません。
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)
TPM を正しい状態に設定するには、コンピューターを再起動する必要があります。手動でのコンピューターの再起動が必要な場合があります。
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)
TPM を正しい状態に設定するには、コンピューターをシャットダウンして再び起動する必要があります。手動でのコンピューターの再起動が必要な場合があります。
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
アクセスは、リモート エンドポイントによって拒否されました。
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
リモート エンドポイントは存在しないか、見つかりませんでした。
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
リモート エンドポイントは、要求を処理できませんでした。
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
リモート エンドポイントに到達できませんでした。
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。
**ReportStatus:**ボリュームのコンプライアンス ステータスを読み取り、MBAM ステータス レポート サービスを使用して MBAM コンプライアンス ステータス データベースに送信します。ステータスには、暗号の強度、保護機能の種類、保護機能の状態、および暗号化の状態が含まれます。失敗した場合は、トラブルシューティングのためエラー コードが返されます。
パラメーター 説明 ReportingServiceEndPoint
MBAM ステータス レポート サービス エンドポイントを指定する文字列です。
一般的な戻り値 エラー メッセージ S_OK
0 (0x0)
メソッドは成功しました。
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
アクセスは、リモート エンドポイントによって拒否されました。
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
リモート エンドポイントは存在しないか、見つかりませんでした。
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
リモート エンドポイントは、要求を処理できませんでした。
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
リモート エンドポイントに到達できませんでした。
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。
MBAM_Volume WMI クラス
**EscrowRecoveryKey:**ボリュームの回復数字パスワードとキー パッケージを読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。失敗した場合は、トラブルシューティングのためエラー コードが返されます。パラメーター 説明 RecoveryServiceEndPoint
MBAM 回復サービス エンドポイントを指定する文字列です。
一般的な戻り値 エラー メッセージ S_OK
0 (0x0)
メソッドは成功しました。
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
ボリュームはロックされています。
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)
ボリュームの数字パスワード保護機能が見つかりませんでした。
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
アクセスは、リモート エンドポイントによって拒否されました。
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
リモート エンドポイントは存在しないか、見つかりませんでした。
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
リモート エンドポイントは、要求を処理できませんでした。
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
リモート エンドポイントに到達できませんでした。
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。
Microsoft Deployment Toolkit (MDT) と PowerShell を使用した MBAM の展開
MDT で、新しい展開共有を作成するか、既存の展開共有を開きます。
注意
Invoke-MbamClientDeployment.ps1
PowerShell スクリプトは、任意のイメージング プロセスまたはツールで使用できます。このセクションでは MDT を使用して統合する方法を示しますが、他のプロセスやツールと統合する場合も手順は似ています。注意
BitLocker の事前プロビジョニング (WinPE) を使用していて、TPM 所有者の承認値を維持する必要がある場合は、インストールが完全なオペレーティング システムで再起動する直前の WinPE に、
SaveWinPETpmOwnerAuth.wsf
スクリプトを追加する必要があります。このスクリプトを使用しないと、TPM 所有者の承認値は再起動時に失われます。Invoke-MbamClientDeployment.ps1
を <DeploymentShare>\Scripts にコピーします。事前プロビジョニングを使用している場合は、SaveWinPETpmOwnerAuth.wsf
ファイルを <DeploymentShare>\Scripts にコピーします。MBAM 2.5 SP1 クライアント アプリケーションを展開共有の [アプリケーション] ノードに追加します。
[アプリケーション] ノードの [新しいアプリケーション] をクリックします。
[アプリケーションとソース ファイル] を選択します。[次へ] をクリックします。
[アプリケーション名] に「MBAM 2.5 SP1 Client」と入力します。[次へ] をクリックします。
MBAMClientSetup-<Version>.msi
を含むディレクトリを参照します。[次へ] をクリックします。作成するディレクトリとして「MBAM 2.5 SP1 Client」と入力します。[次へ] をクリックします。
コマンド ラインに「
msiexec /i MBAMClientSetup-<Version>.msi /quiet
」と入力します。[次へ] をクリックします。残りの既定値はそのまま使用して、新しいアプリケーション ウィザードを完了します。
MDT で、展開共有の名前を右クリックし、[Properties] をクリックします。[Rules] タブをクリックします。次の行を追加します。
SkipBitLocker=YES
BDEInstall=TPM
BDEInstallSuppress=NO
BDEWaitForEncryption=YES
[OK] をクリックしてウィンドウを閉じます。
[タスク シーケンス] ノードで、Windows の展開に使用する既存のタスク シーケンスを編集します。必要であれば、[タスク シーケンス] ノードを右クリックして [新しいタスク シーケンス] を選択し、ウィザードに従って新しいタスク シーケンスを作成できます。
選択したタスク シーケンスの [タスク シーケンス] タブで、以下の手順を実行します。
WinPE で BitLocker を有効にする場合は、[インストール前] フォルダーでオプション タスク [BitLocker の有効化 (オフライン)] を有効にします。これは、使用済みの領域のみを暗号化します。
事前プロビジョニングを使用するときに TPM OwnerAuth を永続化し、後で MBAM がそれをエスクローできるようにするには、次のようにします。
[オペレーティング システムのインストール] ステップを探します
その後に新しい [コマンド ラインの実行] ステップを追加します
ステップの名前を「Persist TPM OwnerAuth」にします
コマンド ラインを
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"
に設定します
[状態の復元] フォルダーで、[BitLocker の有効化] タスクを削除します。
[状態の復元] フォルダーの [カスタム タスク] で、新しい [アプリケーションのインストール] タスクを作成し、名前を「Install MBAM Agent」に設定します。[1 つのアプリケーションのインストール] ラジオ ボタンをクリックして、前に作成した MBAM 2.5 SP1 クライアント アプリケーションを参照します。
[状態の復元] フォルダーの [カスタム タスク] で、新しい [PowerShell スクリプトの実行] タスクを作成し (MBAM 2.5 SP1 クライアント アプリケーション ステップの後)、次のように設定します (環境に応じてパラメーターを適切に更新してください)。
Name :Configure BitLocker for MBAM
PowerShell スクリプト:
Invoke-MbamClientDeployment.ps1
パラメーター:
-RecoveryServiceEndpoint
必須
MBAM 回復サービスのエンドポイント
-StatusReportingServiceEndpoint
省略可能:
MBAM ステータス レポート サービスのエンドポイント
-EncryptionMethod
省略可能:
暗号化方式 (既定値: AES 128)
-EncryptAndEscrowDataVolume
スイッチ
データ ボリュームを暗号化し、データ ボリューム回復キーをエスクローすることを指定します
-WaitForEncryptionToComplete
スイッチ
暗号化が完了するまで待機するように指定します
-DoNotResumeSuspendedEncryption
スイッチ
展開スクリプトが中断されている暗号化を再開しないことを指定します
-IgnoreEscrowOwnerAuthFailure
スイッチ
TPM owner-auth エスクロー エラーを無視することを指定します。MBAM が TPM owner-auth を読み取れないシナリオ (たとえば、TPM 自動プロビジョニングが有効になっている場合) に使用する必要があります。
-IgnoreEscrowRecoveryKeyFailure
スイッチ
ボリューム回復キー エスクロー エラーを無視するように指定します
-IgnoreReportStatusFailure
スイッチ
ステータス レポート エラーを無視するように指定します
Windows 展開の一部として MBAM 2.5 以降を使用して BitLocker を有効にするには
MBAM クライアントをインストールします。手順については、「コマンド ラインを使用して MBAM クライアントを展開する方法」をご覧ください。
コンピューターをドメインに参加させます (推奨)。
コンピューターがドメインに参加していないと、回復パスワードが MBAM キー回復サービスに保存されません。既定では、回復キーを保存できなければ、MBAM は暗号化の発生を許可しません。
MBAM サーバーで回復キーが保存される前にコンピューターが回復モードで起動した場合は、回復の手段はなく、そのコンピューターのイメージを再作成する必要があります。
管理者としてコマンド プロンプトを開き、MBAM サービスを停止します。
次のコマンドを入力して、サービスを [手動] または [オンデマンド] に設定します。
net stop mbamagent
sc config mbamagent start= demand
MBAM クライアントがグループ ポリシー設定を無視して、暗号化の開始をクライアント コンピューターへの Windows の展開時に設定するように、レジストリ値を設定します。
注意
この手順では、Windows レジストリを変更する方法について説明します。レジストリ エディターの使い方を間違えると、重大な問題が発生し、Windows の再インストールが必要になる可能性があります。Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。リスクを理解した上でレジストリ エディターを使用してください。
TPM をオペレーション システムのみ暗号化するように設定し、Regedit.exe を実行して、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートします。
Regedit.exe で、HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表のように設定を構成します。
注意
ここでは、MBAM に関連するグループ ポリシー設定またはレジストリ値を設定できます。これらの設定は、以前に設定された値を上書きします。
レジストリ エントリ 構成設定 DeploymentTime
0 = オフ
1 = 展開時間ポリシー設定を使用する (既定) – クライアント コンピューターに Windows が展開されたときに暗号化を有効にするには、この設定を使用します。
UseKeyRecoveryService
0 = キー エクスローを使用しない (この場合、次の 2 つのレジストリ エントリは不要になります)
1 = キー回復システムでキー エスクローを使用する (既定)
これは推奨の設定で、この設定を使用すると MBAM が回復キーを保存できるようになります。コンピューターが MBAM キー回復サービスと通信できることが必要です。開始する前に、コンピューターがサービスと通信できることをご確認ください。
KeyRecoveryOptions
0 = 回復キーのみをアップロードする
1 = 回復キーとキー回復パッケージをアップロードする (既定)
KeyRecoveryServiceEndPoint
キー回復サービスを実行するサーバーの URL をこの値に設定します。たとえば、http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc と設定します。
MBAM クライアントの展開中に、MBAM クライアントがシステムを再起動します。この再起動の準備が整ったら、コマンド プロンプトで次のコマンドを管理者として実行します。
net start mbamagent
コンピューターが再起動して、BIOS プロンプトが表示されたら、TPM の変更を受け入れます。
Windows クライアント オペレーティング システムのイメージング プロセスで、暗号化を開始する準備ができたら、コマンド プロンプトを管理者として開き、次のコマンドを入力して起動を "自動" に設定し、MBAM クライアント エージェントを再起動します。
sc config mbamagent start= auto
net start mbamagent
バイパス レジストリ値を削除するには、Regedit.exe を実行し、HKLM\SOFTWARE\Microsoft レジストリ エントリに移動します。[MBAM] ノードを右クリックし、[削除] をクリックします。
MBAM への提案はございますか。 こちらから提案を追加するか、提案に投票してください。
MBAM の問題「MBAM に関する TechNet フォーラム」を利用してください。