Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法

適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

このトピックでは、Windows イメージングおよび展開プロセスの一部として MBAM を使用して、エンド ユーザーのコンピューターで BitLocker を有効にする方法について説明します。

前提条件:

  • 既存の Windows イメージ展開プロセス (Microsoft Deployment Toolkit (MDT)、Microsoft System Center Configuration Manager、他のイメージング ツールまたはプロセス) が存在する必要があります。

  • TPM が BIOS で有効になっていて、OS で認識できる必要があります。

  • MBAM サーバー インフラストラクチャが存在し、アクセスできる必要があります。

  • BitLocker に必要なシステム パーティションが作成されている必要があります。

  • MBAM で BitLocker を完全に有効にする前、イメージングの間に、コンピューターがドメインに参加している必要があります。

Windows 展開の一部として MBAM 2.5 SP1 を使用して BitLocker を有効にするには

  • MBAM 2.5 SP1 において Windows の展開時に BitLocker を有効にする推奨される方法は、Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用することです。

    • Invoke-MbamClientDeployment.ps1 スクリプトは、イメージング プロセスの間に BitLocker を有効にします。BitLocker のポリシーによって要求されている場合、ドメイン ユーザーがイメージングの後で初めてログオンすると、MBAM エージェントは直ちに PIN またはパスワードの作成をドメイン ユーザーに求めます。

    • MDT、System Center Configuration Manager、またはスタンドアロンのイメージング プロセスで簡単に使用できます

    • PowerShell 2.0 以降と互換性があります

    • TPM キー保護機能で OS ボリュームを暗号化します

    • BitLocker の事前プロビジョニングを完全にサポートします

    • 必要に応じて FDD を暗号化します

    • Windows 8 以降であっても、TPM OwnerAuth をエスクローします (それでも、エスクローを行うには MBAM は Windows 7 上で TPM を所有する必要があります)

    • 回復キーおよび回復キー パッケージをエスクローします

    • 暗号化の状態をすぐにレポートします

    • 新しい WMI プロバイダー

    • 詳細なログ

    • 堅牢なエラー処理

    Invoke-MbamClientDeployment.ps1 スクリプトは Microsoft.com ダウンロード センターからダウンロードできます。これは、BitLocker ドライブ暗号化を構成し、MBAM サーバーで回復キーを記録するために、展開システムが呼び出すメイン スクリプトです。

    MBAM 用の WMI 展開メソッド: Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを用いた BitLocker の有効化をサポートするために、次の WMI メソッドが MBAM 2.5 SP1 に追加されました。

    • MBAM_Machine WMI クラス
      **PrepareTpmAndEscrowOwnerAuth:**TPM OwnerAuth を読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。TPM が所有されていず、自動プロビジョニングが有効になっていない場合は、TPM OwnerAuth を生成して所有権を取得します。失敗した場合は、トラブルシューティングのためエラー コードが返されます。

      パラメーター 説明

      RecoveryServiceEndPoint

      MBAM 回復サービス エンドポイントを指定する文字列です。

      一般的な戻り値 エラー メッセージ

      S_OK

      0 (0x0)

      メソッドは成功しました。

      MBAM_E_TPM_NOT_PRESENT

      2147746304 (0x80040200)

      TPM はコンピューターに存在しないか、または BIOS の構成で無効になっています。

      MBAM_E_TPM_INCORRECT_STATE

      2147746305 (0x80040201)

      TPM は正しい状態 (有効で、アクティブ化され、所有者のインストールを許可されている) ではありません。

      MBAM_E_TPM_AUTO_PROVISIONING_PENDING

      2147746306 (0x80040202)

      自動プロビジョニングが保留になっているため、MBAM は TPM の所有権を取得できません。自動プロビジョニングが完了した後、再試行してください。

      MBAM_E_TPM_OWNERAUTH_READFAIL

      2147746307 (0x80040203)

      MBAM は、TPM 所有者の承認値を読み取ることができません。エスクローが成功した後で、値が削除された可能性があります。Windows 7 では、TPM が他によって所有されている場合、MBAM は値を読み取ることができません。

      MBAM_E_REBOOT_REQUIRED

      2147746308 (0x80040204)

      TPM を正しい状態に設定するには、コンピューターを再起動する必要があります。手動でのコンピューターの再起動が必要な場合があります。

      MBAM_E_SHUTDOWN_REQUIRED

      2147746309 (0x80040205)

      TPM を正しい状態に設定するには、コンピューターをシャットダウンして再び起動する必要があります。手動でのコンピューターの再起動が必要な場合があります。

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      アクセスは、リモート エンドポイントによって拒否されました。

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      リモート エンドポイントは存在しないか、見つかりませんでした。

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      リモート エンドポイントは、要求を処理できませんでした。

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      リモート エンドポイントに到達できませんでした。

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。

      **ReportStatus:**ボリュームのコンプライアンス ステータスを読み取り、MBAM ステータス レポート サービスを使用して MBAM コンプライアンス ステータス データベースに送信します。ステータスには、暗号の強度、保護機能の種類、保護機能の状態、および暗号化の状態が含まれます。失敗した場合は、トラブルシューティングのためエラー コードが返されます。

      パラメーター 説明

      ReportingServiceEndPoint

      MBAM ステータス レポート サービス エンドポイントを指定する文字列です。

      一般的な戻り値 エラー メッセージ

      S_OK

      0 (0x0)

      メソッドは成功しました。

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      アクセスは、リモート エンドポイントによって拒否されました。

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      リモート エンドポイントは存在しないか、見つかりませんでした。

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      リモート エンドポイントは、要求を処理できませんでした。

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      リモート エンドポイントに到達できませんでした。

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。

    • MBAM_Volume WMI クラス
      **EscrowRecoveryKey:**ボリュームの回復数字パスワードとキー パッケージを読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。失敗した場合は、トラブルシューティングのためエラー コードが返されます。

      パラメーター 説明

      RecoveryServiceEndPoint

      MBAM 回復サービス エンドポイントを指定する文字列です。

      一般的な戻り値 エラー メッセージ

      S_OK

      0 (0x0)

      メソッドは成功しました。

      FVE_E_LOCKED_VOLUME

      2150694912 (0x80310000)

      ボリュームはロックされています。

      FVE_E_PROTECTOR_NOT_FOUND

      2150694963 (0x80310033)

      ボリュームの数字パスワード保護機能が見つかりませんでした。

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      アクセスは、リモート エンドポイントによって拒否されました。

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      リモート エンドポイントは存在しないか、見つかりませんでした。

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      リモート エンドポイントは、要求を処理できませんでした。

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      リモート エンドポイントに到達できませんでした。

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      エラーを含むメッセージを、リモート エンドポイントから受信しました。正しいサービス エンドポイントに接続していることを確認してください。

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      エンドポイントのアドレス URL が正しくありません。URL は、"http" または "https" で始まる必要があります。

  • Microsoft Deployment Toolkit (MDT) と PowerShell を使用した MBAM の展開

    1. MDT で、新しい展開共有を作成するか、既存の展開共有を開きます。

      注意

      Invoke-MbamClientDeployment.ps1 PowerShell スクリプトは、任意のイメージング プロセスまたはツールで使用できます。このセクションでは MDT を使用して統合する方法を示しますが、他のプロセスやツールと統合する場合も手順は似ています。

      注意

      BitLocker の事前プロビジョニング (WinPE) を使用していて、TPM 所有者の承認値を維持する必要がある場合は、インストールが完全なオペレーティング システムで再起動する直前の WinPE に、SaveWinPETpmOwnerAuth.wsf スクリプトを追加する必要があります。このスクリプトを使用しないと、TPM 所有者の承認値は再起動時に失われます。

    2. Invoke-MbamClientDeployment.ps1<DeploymentShare>\Scripts にコピーします。事前プロビジョニングを使用している場合は、SaveWinPETpmOwnerAuth.wsf ファイルを <DeploymentShare>\Scripts にコピーします。

    3. MBAM 2.5 SP1 クライアント アプリケーションを展開共有の [アプリケーション] ノードに追加します。

      1. [アプリケーション] ノードの [新しいアプリケーション] をクリックします。

      2. [アプリケーションとソース ファイル] を選択します。[次へ] をクリックします。

      3. [アプリケーション名] に「MBAM 2.5 SP1 Client」と入力します。[次へ] をクリックします。

      4. MBAMClientSetup-<Version>.msi を含むディレクトリを参照します。[次へ] をクリックします。

      5. 作成するディレクトリとして「MBAM 2.5 SP1 Client」と入力します。[次へ] をクリックします。

      6. コマンド ラインに「msiexec /i MBAMClientSetup-<Version>.msi /quiet」と入力します。[次へ] をクリックします。

      7. 残りの既定値はそのまま使用して、新しいアプリケーション ウィザードを完了します。

    4. MDT で、展開共有の名前を右クリックし、[Properties] をクリックします。[Rules] タブをクリックします。次の行を追加します。

      SkipBitLocker=YES
      BDEInstall=TPM
      BDEInstallSuppress=NO
      BDEWaitForEncryption=YES

      [OK] をクリックしてウィンドウを閉じます。

    5. [タスク シーケンス] ノードで、Windows の展開に使用する既存のタスク シーケンスを編集します。必要であれば、[タスク シーケンス] ノードを右クリックして [新しいタスク シーケンス] を選択し、ウィザードに従って新しいタスク シーケンスを作成できます。

      選択したタスク シーケンスの [タスク シーケンス] タブで、以下の手順を実行します。

      1. WinPE で BitLocker を有効にする場合は、[インストール前] フォルダーでオプション タスク [BitLocker の有効化 (オフライン)] を有効にします。これは、使用済みの領域のみを暗号化します。

      2. 事前プロビジョニングを使用するときに TPM OwnerAuth を永続化し、後で MBAM がそれをエスクローできるようにするには、次のようにします。

        1. [オペレーティング システムのインストール] ステップを探します

        2. その後に新しい [コマンド ラインの実行] ステップを追加します

        3. ステップの名前を「Persist TPM OwnerAuth」にします

        4. コマンド ラインを cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf" に設定します

      3. [状態の復元] フォルダーで、[BitLocker の有効化] タスクを削除します。

      4. [状態の復元] フォルダーの [カスタム タスク] で、新しい [アプリケーションのインストール] タスクを作成し、名前を「Install MBAM Agent」に設定します。[1 つのアプリケーションのインストール] ラジオ ボタンをクリックして、前に作成した MBAM 2.5 SP1 クライアント アプリケーションを参照します。

      5. [状態の復元] フォルダーの [カスタム タスク] で、新しい [PowerShell スクリプトの実行] タスクを作成し (MBAM 2.5 SP1 クライアント アプリケーション ステップの後)、次のように設定します (環境に応じてパラメーターを適切に更新してください)。

        • Name                      :Configure BitLocker for MBAM

        • PowerShell スクリプト:Invoke-MbamClientDeployment.ps1

        • パラメーター:

          -RecoveryServiceEndpoint

          必須

          MBAM 回復サービスのエンドポイント

          -StatusReportingServiceEndpoint

          省略可能:

          MBAM ステータス レポート サービスのエンドポイント

          -EncryptionMethod

          省略可能:

          暗号化方式 (既定値: AES 128)

          -EncryptAndEscrowDataVolume

          スイッチ

          データ ボリュームを暗号化し、データ ボリューム回復キーをエスクローすることを指定します

          -WaitForEncryptionToComplete

          スイッチ

          暗号化が完了するまで待機するように指定します

          -DoNotResumeSuspendedEncryption

          スイッチ

          展開スクリプトが中断されている暗号化を再開しないことを指定します

          -IgnoreEscrowOwnerAuthFailure

          スイッチ

          TPM owner-auth エスクロー エラーを無視することを指定します。MBAM が TPM owner-auth を読み取れないシナリオ (たとえば、TPM 自動プロビジョニングが有効になっている場合) に使用する必要があります。

          -IgnoreEscrowRecoveryKeyFailure

          スイッチ

          ボリューム回復キー エスクロー エラーを無視するように指定します

          -IgnoreReportStatusFailure

          スイッチ

          ステータス レポート エラーを無視するように指定します

Windows 展開の一部として MBAM 2.5 以降を使用して BitLocker を有効にするには

  1. MBAM クライアントをインストールします。手順については、「コマンド ラインを使用して MBAM クライアントを展開する方法」をご覧ください。

  2. コンピューターをドメインに参加させます (推奨)。

    • コンピューターがドメインに参加していないと、回復パスワードが MBAM キー回復サービスに保存されません。既定では、回復キーを保存できなければ、MBAM は暗号化の発生を許可しません。

    • MBAM サーバーで回復キーが保存される前にコンピューターが回復モードで起動した場合は、回復の手段はなく、そのコンピューターのイメージを再作成する必要があります。

  3. 管理者としてコマンド プロンプトを開き、MBAM サービスを停止します。

  4. 次のコマンドを入力して、サービスを [手動] または [オンデマンド] に設定します。

    net stop mbamagent

    sc config mbamagent start= demand

  5. MBAM クライアントがグループ ポリシー設定を無視して、暗号化の開始をクライアント コンピューターへの Windows の展開時に設定するように、レジストリ値を設定します。

    注意

    この手順では、Windows レジストリを変更する方法について説明します。レジストリ エディターの使い方を間違えると、重大な問題が発生し、Windows の再インストールが必要になる可能性があります。Microsoft では、レジストリ エディターの誤用によって生じる問題を解決できるかどうかについて保証できません。リスクを理解した上でレジストリ エディターを使用してください。

    1. TPM をオペレーション システムのみ暗号化するように設定し、Regedit.exe を実行して、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートします。

    2. Regedit.exe で、HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表のように設定を構成します。

      注意

      ここでは、MBAM に関連するグループ ポリシー設定またはレジストリ値を設定できます。これらの設定は、以前に設定された値を上書きします。

    レジストリ エントリ 構成設定

    DeploymentTime

    0 = オフ

    1 = 展開時間ポリシー設定を使用する (既定) – クライアント コンピューターに Windows が展開されたときに暗号化を有効にするには、この設定を使用します。

    UseKeyRecoveryService

    0 = キー エクスローを使用しない (この場合、次の 2 つのレジストリ エントリは不要になります)

    1 = キー回復システムでキー エスクローを使用する (既定)

    これは推奨の設定で、この設定を使用すると MBAM が回復キーを保存できるようになります。コンピューターが MBAM キー回復サービスと通信できることが必要です。開始する前に、コンピューターがサービスと通信できることをご確認ください。

    KeyRecoveryOptions

    0 = 回復キーのみをアップロードする

    1 = 回復キーとキー回復パッケージをアップロードする (既定)

    KeyRecoveryServiceEndPoint

    キー回復サービスを実行するサーバーの URL をこの値に設定します。たとえば、http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc と設定します。

  6. MBAM クライアントの展開中に、MBAM クライアントがシステムを再起動します。この再起動の準備が整ったら、コマンド プロンプトで次のコマンドを管理者として実行します。

    net start mbamagent

  7. コンピューターが再起動して、BIOS プロンプトが表示されたら、TPM の変更を受け入れます。

  8. Windows クライアント オペレーティング システムのイメージング プロセスで、暗号化を開始する準備ができたら、コマンド プロンプトを管理者として開き、次のコマンドを入力して起動を "自動" に設定し、MBAM クライアント エージェントを再起動します。

    sc config mbamagent start= auto

    net start mbamagent

  9. バイパス レジストリ値を削除するには、Regedit.exe を実行し、HKLM\SOFTWARE\Microsoft レジストリ エントリに移動します。[MBAM] ノードを右クリックし、[削除] をクリックします。

    MBAM への提案はございますか。 こちらから提案を追加するか、提案に投票してください。
    MBAM の問題MBAM に関する TechNet フォーラム」を利用してください。

関連項目

概念

MBAM 2.5 クライアントの展開計画

その他の参照情報

MBAM 2.5 クライアントの展開