MBAM 2.5 グループ ポリシー要件の計画
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
以下に示す情報は、企業で Microsoft BitLocker Administration and Monitoring (MBAM) クライアント コンピューターの管理に使用する BitLocker 保護機能の特定に役立ちます。
MBAM がサポートする BitLocker 保護機能の種類
MBAM は、以下の種類の BitLocker 保護機能をサポートしています。
| ボリュームまたはドライブの種類 | サポートしている BitLocker 保護機能 |
|---|---|
オペレーティング システム ボリューム |
|
固定データ ドライブ |
|
リムーバブル ドライブ |
|
使用領域暗号化 BitLocker ポリシーのサポート
MBAM 2.5 SP1 では、BitLocker のグループ ポリシーで使用領域暗号化を有効にすると、MBAM クライアントはそれに従います。
このグループ ポリシー設定は [オペレーティング システム ドライブに特定の種類のドライブ暗号化を適用する] という名前で、次の GPO ノードにあります。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システムのドライブ]。このポリシーを有効にし、暗号化の種類として [使用領域のみの暗号化] を選択した場合、MBAM はポリシーに従って、BitLocker はボリューム上で使用されているディスク領域のみを暗号化します。
MBAM グループ ポリシー テンプレートを入手し、設定を編集する方法
MBAM グループ ポリシー設定を構成する準備ができたら、以下の手順を実行します。
| 手順 | 手順の詳細な説明 |
|---|---|
MDOP グループ ポリシー (.admx) テンプレートのダウンロードページから MBAM グループ ポリシー テンプレートをコピーし、グループ ポリシー管理コンソール (GPMC) または高度なグループ ポリシーの管理 (AGPM) を実行できるコンピューターにインストールします。 |
|
企業で使用するグループ ポリシー設定を構成します。 |
各種の MBAM グループ ポリシー設定の説明
[MDOP MBAM (BitLocker Management)] GPO ノードには、4 つのグローバル ポリシー設定と 4 つの子 GPO ノードが含まれます。[クライアントの管理]、[固定ドライブ]、[オペレーティング システム ドライブ]、および [リムーバブル ドライブ] です。以下のセクションでは、各種の MBAM グループ ポリシー設定を説明すると共に、推奨される設定を紹介します。
重要
[BitLocker ドライブ暗号化] ノードでグループ ポリシー設定を変更しないでください。MBAM が正常に動作しなくなります。[MDOP MBAM (BitLocker Management)] ノードの設定を構成すると、MBAM によってこのノードの設定が自動的に構成されます。
グローバル グループ ポリシーの定義
ここでは、次の GPO ノードにある MBAM グローバル グループ ポリシー定義について説明します。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)]。
| ポリシー名 | 概要と推奨グローバル ポリシー設定 |
|---|---|
ドライブの暗号化方法と暗号強度を選択する |
推奨構成:有効 特定の暗号化方法と暗号強度を使用するために、このポリシーを構成します。 このポリシーが構成されていない場合には、BitLocker で既定の暗号化方法 (AES 128 ビット キーとディフューザー) が使用されます。 注意 BitLocker コンピューターの準拠レポートに問題が発生した場合には、既定の値を使用している場合であっても、暗号化強度が "不明" であると表示されます。この問題を回避するには、この設定を有効にして、暗号化強度の値を設定する必要があります。
|
再起動時にメモリを上書きしない |
推奨構成:未構成 再起動の際に、メモリ上の BitLocker の機密情報を上書きせずに再起動のパフォーマンスを向上させるために、このポリシーを構成します。 このポリシーが構成されていないと、コンピューターの再起動時に BitLocker の機密情報がメモリから削除されます。 |
スマート カード証明書の使用規則の準拠を検証する |
推奨構成:未構成 スマートカード証明書ベースの BitLocker の保護を使用するために、このポリシーを構成します。 このポリシーが構成されていないと、証明書の指定に、既定のオブジェクト ID である 1.3.6.1.4.1.311.67.1.1 が使用されます。 |
組織固有の識別子を使用する |
推奨構成:未構成 証明書ベースのデータ回復エージェント、または BitLocker To Go リーダーを使用するために、このポリシーを構成します。 このポリシーが構成されていないと、識別フィールドは使用されません。 会社がより高度なセキュリティ対策を要求している場合は、[識別] フィールドを構成して、このフィールドに設定されているすべての USB デバイスがこのグループ ポリシー設定に沿っているか確認することができます。 |
クライアント管理グループ ポリシーの定義
ここでは、次の GPO ノードにある MBAM のクライアントの管理ポリシー定義について説明します。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [クライアントの管理]。
スタンドアロンと System Center Configuration Manager 統合のどちらのトポロジも同じグループ ポリシー設定を適用します。ただし、以下の表に示すとおり、Configuration Manager 統合トポロジを使用している場合には例外的に、[MBAM サービスの構成] > [MBAM ステータス レポート サービスのエンドポイント] の設定を無効にします。
| ポリシー名 | 概要と推奨グローバル ポリシー設定 |
|---|---|
MBAM サービスを構成する |
推奨構成:有効
|
ユーザーの除外ポリシーを構成する |
推奨構成:未構成 このポリシー設定では、BitLocker 暗号化からの除外の要求でユーザーに案内する Web サイトのアドレス、電子メール アドレス、または電話番号を構成します。 このポリシー設定を有効にして、Web サイトのアドレス、電子メール アドレス、または電話番号を提供すると、ユーザーに、BitLocker による保護からの除外の申し込み方法を説明するダイアログ ボックスが表示されます。ユーザーの BitLocker 暗号化除外を有効にする方法の詳細については、「ユーザーの BitLocker 暗号化の除外を管理する方法」をご覧ください。 このポリシー設定が無効になっているか、構成されていない場合、除外の要求手順はユーザーに表示されません。 注意 ユーザーの除外は、ユーザー別に管理されます。コンピューター別ではありません。複数のユーザーが同じコンピューターにログオンし、1 人でも除外されていないユーザーがいると、そのコンピューターは暗号化されます。 |
カスタマー エクスペリエンス向上プログラムの構成 |
推奨構成:有効 このポリシー設定を使用すると、MBAM ユーザーがカスタマー エクスペリエンス向上プログラムに参加する方法を構成できます。このプログラムでは、ユーザーの作業を妨げることなく、コンピューター ハードウェアと、ユーザーが MBAM を使用する方法に関する情報を収集します。Microsoft はこの情報を利用して、改善が必要な MBAM 機能を特定しています。Microsoft は、MBAM ユーザーを特定したり、そのユーザーに連絡したりするためにこの情報を使用しません。 このポリシー設定が有効になっていると、ユーザーがカスタマー エクスペリエンス向上プログラムに参加できます。 このポリシー設定が無効になっていると、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できません。 このポリシー設定を構成していない場合には、ユーザーがカスタマー エクスペリエンス向上プログラムに参加するかどうかを選択できるようになります。 |
セキュリティ ポリシーのリンクの URL を指定する |
推奨構成:有効 エンド ユーザーに "会社のセキュリティ ポリシー" という名前のリンクとなって表示される URL を指定するには、このポリシー設定を使用します。このリンクは、社内のセキュリティ ポリシーを参照し、エンド ユーザーに対して暗号化の要件に関する情報を提供するものです。このリンクは、MBAM からドライブの暗号化を求められたときに表示されます。 このポリシー設定を有効にすると、セキュリティ ポリシーのリンクの URL を構成できるようになります。 このポリシー設定が無効になっているか、構成されていない場合には、セキュリティ ポリシーのリンクがユーザーに表示されません。 |
固定ドライブのグループ ポリシーの定義
ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring の固定ドライブのポリシーの定義について説明します。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [固定ドライブ]。
| ポリシー名 | 概要と推奨グローバル ポリシー設定 |
|---|---|
固定データ ドライブの暗号化設定 |
推奨構成:有効 このポリシー設定を使用すると、固定ドライブのデータを暗号化する必要があるかどうかを管理できます。 オペレーティング システム ボリュームを暗号化する必要がある場合には、[固定データ ドライブの自動ロック解除を有効にする] をクリックします。 このポリシーを有効にする場合、固定データ ドライブの自動ロック解除の使用を許可するか、必須とする場合を除き、[固定データ ドライブのパスワードの使用を構成する] ポリシーを無効にしないでください。 固定データ ドライブで自動ロック解除の使用を必須にする場合、オペレーティング システム ボリュームを暗号化するように構成する必要があります。 このポリシー設定を有効にした場合、ユーザーに対してすべての固定データ ドライブを BitLocker で保護するように要求した後、ドライブを暗号化します。 このポリシー設定を構成しなかった場合には、ユーザーが固定データ ドライブを BitLocker で保護するように要求されることはありません。固定データ ドライブを暗号化した後にこのポリシーを適用する場合、MBAM エージェントは暗号化された固定データ ドライブの暗号化を解除します。 このポリシー設定を無効にした場合には、ユーザーが固定データ ドライブを BitLocker で保護できなくなります。 |
BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する |
推奨構成:未構成 このポリシー設定では、コンピューターの固定データ ドライブを書き込み可能にするために BitLocker による保護を必須にするかどうかが決まります。このポリシー設定は、BitLocker をオンにすると適用されます。 このポリシーが構成されていないと、コンピューターのすべての固定データ ドライブが、読み取り/書き込みアクセス許可と共にマウントされます。 |
BitLocker で保護されている固定データ ドライブに Windows の以前のバージョンからアクセス可能にする |
推奨構成:未構成 このポリシーを有効にすると、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで FAT ファイル システムを使用している固定ドライブのロックを解除し、コンテンツを閲覧できるようになります。 このポリシーが有効か未構成の場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイル システムでフォーマットされた固定ドライブのロックを解除し、コンテンツを表示することができます。これらのオペレーティング システムは、BitLocker で保護されたドライブに対して読み取りアクセス許可のみを持ちます。 このポリシーが無効になっている場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイル システムでフォーマットされた固定ドライブのロックの解除およびコンテンツの表示ができなくなります。 |
固定データ ドライブのパスワードの使用を構成する |
推奨構成:未構成 このポリシーを使用して、BitLocker で保護された固定データ ドライブのロック解除にパスワードが必要かどうかを指定します。 このポリシー設定を有効にすると、ユーザーは管理者が定義した要件を満たすパスワードを構成できます。BitLocker では、ユーザーがドライブで利用できるいずれかの保護機能を使用してドライブのロックを解除できます。 これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに適用されます。 このポリシー設定を無効にすると、ユーザーはパスワードを使用できなくなります。 このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。 より高度なセキュリティのために、このポリシーを有効にし、[固定データ ドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] をクリックし、必要とする [パスワードの最小文字数] を設定します。 このポリシー設定を無効にすると、ユーザーはパスワードを使用できなくなります。 このポリシーを構成しなかった場合には、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。 |
BitLocker で保護されている固定ドライブの回復方法を選択する |
推奨構成:未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。 このポリシーが構成されていないと、BitLocker データ回復エージェントが許可され、回復情報のバックアップが AD DS に作成されません。MBAM では、AD DS に回復情報のバックアップを作成する必要はありません。 |
暗号化ポリシーの強制適用設定 |
推奨構成:有効 このポリシー設定を使用すると、MBAM ポリシーに準拠していない固定データ ドライブに対して、そのポリシーの準拠が強制されるまでの日数を構成することができます。この猶予期間が終了した後は、必要なアクションを延期したり、除外を要求したりすることができなくなります。猶予期間は、固定データ ドライブがポリシーに準拠していないと判定された時点で開始となります。ただし、オペレーティング システム ドライブがポリシーに準拠するまでは、固定データ ドライブのポリシーが強制適用されることはありません。 猶予期間が満了しても固定データ ドライブがポリシーに準拠していない状態のときは、ユーザーにはその適用の延期および除外の要求は認められません。暗号化プロセスでユーザーの入力が必要な場合には、ダイアログ ボックスが表示されます。このダイアログ ボックスは、ユーザーが必要な情報を入力するまで閉じることができません。 オペレーティング システム ドライブについて猶予期間の満了後すぐに暗号化プロセスを開始するには、[固定ドライブがポリシーに準拠していない状態を許容する日数の構成] に「0」と入力します。 この設定を無効にするか、構成しなかった場合には、ユーザーに MBAM ポリシーの適用が強制されることはありません。 保護の追加にユーザーの操作が必要ない場合には、猶予期間が満了するとバックグラウンドで暗号化が始まります。 |
オペレーション システム ドライブのグループ ポリシーの定義
ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring のオペレーティング システム ドライブのポリシー定義について説明します。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [オペレーティング システム ドライブ]。
| ポリシー名 | 概要と推奨グローバル ポリシー設定 |
|---|---|
オペレーティング システム ドライブの暗号化設定 |
推奨構成:有効 このポリシー設定を使用すると、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。 TPM + PIN 保護で暗号化する場合には、セキュリティを向上するため、[システム] > [電源管理] > [スリープの設定] で次のポリシーを無効にすることをお勧めします。
Microsoft Windows 8 以降を実行していて、TPM が装備されていないコンピューターで BitLocker を使用する場合は、[互換性のある TPM が装備されていない BitLocker を許可する] をチェック ボックスをオンにします。このモードでは、起動時にパスワードを入力する必要があります。パスワードを忘れた場合、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。 互換性のある TPM を装備したコンピューターの場合、暗号化データの保護を改善するために起動時に 2 種類の認証方法を使用できます。コンピューターの起動時に、認証に TPM のみを使用するか、個人識別番号 (PIN) の入力も必須にすることができます。 このポリシー設定を有効にする場合、ユーザーはオペレーティング システム ドライブを BitLocker で保護する必要があります。ドライブは、その後で暗号化されます。 このポリシー設定を無効にした場合には、ユーザーがオペレーティング システム ドライブを BitLocker で保護できなくなります。オペレーティング システム ドライブを暗号化した後にこのポリシーを適用すると、ドライブが暗号化されます。 このポリシーを構成しない場合、オペレーティング システム ドライブを BitLocker の保護対象にする必要はありません。 |
拡張スタートアップ PIN を許可する |
推奨構成:未構成 このポリシー設定を使用すると、BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。拡張スタートアップ PIN では、大文字と小文字、記号、数字、空白などの文字が使用できます。このポリシー設定は、BitLocker をオンにすると適用されます。 このポリシー設定を有効にすると、新しい BitLocker スタートアップ PIN としてあらゆるセットが有効になり、エンド ユーザーが拡張 PIN を作成できるようになります。ただし、一部のコンピューターはプレブート環境で拡張 PIN をサポートしていません。このため、この機能を有効にするときは、システムがこの機能に対応しているかどうかについて、管理者が確認することを推奨しています。 拡張 PIN と、プレブート環境で入力できる文字の種類または文字数に制約があるコンピューターとの間の互換性を高めるためには、[PIN を ASCII のみにする] チェック ボックスをオンにします。 このポリシー設定を無効にしているか、構成しなかった場合には、拡張 PIN が使用できなくなります。 |
BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する |
推奨構成:未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。 このポリシーを構成しない場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。 |
オペレーティング システム ドライブのパスワードの使用を構成する |
推奨構成:未構成 このポリシー設定を使用すると、BitLocker によって保護されているオペレーティング システム ドライブのロック解除に使用するパスワードに関して制約を設定できます。オペレーティング システム ドライブで TPM ではない保護機能が許可されている場合には、パスワードの指定のほか、そのパスワードについて複雑さの条件を設けたり、最小文字数を構成したりすることができます。複雑さの条件に関する設定を有効にするには、ほかにも [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [アカウント ポリシー] > [パスワード ポリシー] にあるグループ ポリシー設定 [パスワードが複雑さの条件を満たす必要がある] を有効にする必要があります。 注意 これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに適用されます。BitLocker は、ユーザーがドライブで利用できるいずれかの保護機能を使用してドライブのロックを解除できます。 このポリシー設定を有効にすると、ユーザーは管理者が定義した要件を満たすパスワードを構成できます。パスワードに複雑さの条件を適用するには、[パスワードの複雑さの条件を満たす必要がある] をクリックします。 |
BIOS ベースのファームウェア構成向けに TPM プラットフォームの検証プロファイルを構成する |
推奨構成:未構成 このポリシー設定は、コンピューターのトラステッド プラットフォーム モジュール (TPM) のセキュリティ ハードウェアが BitLocker 暗号化キーのセキュリティを確保する方法を構成するものです。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。 重要 このグループ ポリシー設定は、BIOS 構成のコンピューターまたは互換性サービス モジュール (CSM) が有効になっている UEFI ファームウェアのコンピューターにのみ適用されます。ネイティブ UEFI ファームウェア構成を使用しているコンピューターの場合には、プラットフォーム構成レジスタ (PCR) に別の値が格納されます。ネイティブ UEFI ファームウェアを使用するコンピューターに TPM PCR プロファイルを構成するには、[ネイティブ UEFI ファームウェア構成向けに TPM プラットフォームの検証プロファイルを構成する] グループ ポリシー設定を使用します。 BitLocker を有効にする前にこのポリシー設定を有効にした場合には、BitLocker によって暗号化されているオペレーティング システム ドライブに対するアクセスのロックを解除する前に TPM が検証するブート用コンポーネントを構成できます。BitLocker による保護が有効である間にブート用コンポーネントに変更があった場合には、TPM がドライブおよびコンピューターのロック解除に必要な暗号化キーを解放することはありません。代わりに、BitLocker 回復コンソールが表示されるため、そこで回復パスワードまたは回復キーを入力してドライブのロックを解除する必要があります。 このポリシー設定を無効にするか、構成しなかった場合には、BitLocker では既定のプラットフォーム検証プロファイルとセットアップ スクリプトで指定されたプラットフォーム検証プロファイルのいずれかを使用します。 |
TPM のプラットフォーム検証プロファイルを構成する |
推奨構成:未構成 このポリシー設定は、コンピューターのトラステッド プラットフォーム モジュール (TPM) のセキュリティ ハードウェアが BitLocker 暗号化キーのセキュリティを確保する方法を構成するものです。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。 BitLocker を有効にする前にこのポリシー設定を有効にした場合には、BitLocker によって暗号化されているオペレーティング システム ドライブに対するアクセスのロックを解除する前に TPM が検証するブート用コンポーネントを構成できます。BitLocker による保護が有効である間にブート用コンポーネントに変更があった場合には、TPM がドライブおよびコンピューターのロック解除に必要な暗号化キーを解放することはありません。代わりに、BitLocker 回復コンソールが表示されるため、そこで回復パスワードまたは回復キーを入力してドライブのロックを解除する必要があります。 このポリシー設定を無効にするか、構成しなかった場合には、BitLocker では既定のプラットフォーム検証プロファイルとセットアップ スクリプトで指定されたプラットフォーム検証プロファイルのいずれかを使用します。 |
ネイティブ UEFI ファームウェア構成向けに TPM プラットフォームの検証プロファイルを構成する |
推奨構成:未構成 このポリシー設定は、コンピューターのトラステッド プラットフォーム モジュール (TPM) のセキュリティ ハードウェアが BitLocker 暗号化キーのセキュリティを確保する方法を構成するものです。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。 重要 このグループ ポリシー設定は、ネイティブ UEFI ファームウェア構成のコンピューターにのみ適用されます。 BitLocker を有効にする前にこのポリシー設定を有効にした場合には、BitLocker によって暗号化されているオペレーティング システム ドライブに対するアクセスのロックを解除する前に TPM が検証するブート用コンポーネントを構成できます。BitLocker による保護が有効である間にブート用コンポーネントに変更があった場合には、TPM がドライブおよびコンピューターのロック解除に必要な暗号化キーを解放することはありません。代わりに、BitLocker 回復コンソールが表示されるため、そこで回復パスワードまたは回復キーを入力してドライブのロックを解除する必要があります。 このポリシー設定を無効にするか、構成しなかった場合には、BitLocker では既定のプラットフォーム検証プロファイルとセットアップ スクリプトで指定されたプラットフォーム検証プロファイルのいずれかを使用します。 |
BitLocker の回復後にプラットフォームの検証データをリセットする |
推奨構成:未構成 このポリシー設定を使用すると、BitLocker の回復後に Windows を起動したときにプラットフォームの検証データを更新するかどうかを制御できます。 このポリシー設定を有効にした場合には、BitLocker の回復後に Windows を起動するとプラットフォームの検証データが更新されます。このポリシー設定を無効にした場合には、BitLocker の回復後に Windows を起動してもプラットフォームの検証データが更新されません。このポリシー設定を構成しなかった場合には、BitLocker の回復後に Windows を起動するとプラットフォームの検証データが更新されます。 |
拡張ブート構成データ検証プロファイルを使用する |
推奨構成:未構成 このポリシー設定は、プラットフォームの検証時に確認するブート構成データ (BCD) の設定を選択するためのものです。 このポリシー設定を有効にした場合には、既定の設定の追加および削除ができるようになります (両方も可)。このポリシー設定を無効にした場合には、Windows 7 で使用する既定の BCD プロファイルによく似た BCD プロファイルが使用されます。このポリシー設定を構成しなかった場合には、コンピューターによって既定の Windows BCD 設定が確認されます。 注意 ([整合性検証にセキュア ブートを許可する] ポリシーで) BitLocker がプラットフォームおよびブート構成データ (BCD) の整合性の検証にセキュア ブートを使用する設定にしている場合には、[拡張ブート構成データ検証プロファイルを使用する] ポリシーは無視されます。 ブート デバッグを制御する設定 (0x16000010) は常に検証の対象となるため、指定されたフィールドに含まれていても無効です。 |
暗号化ポリシーの強制適用設定 |
推奨構成:有効 このポリシー設定を使用すると、オペレーティング システム ドライブが MBAM ポリシーに準拠することを延期できる日数を構成できます。猶予期間は、オペレーティング システムがポリシーに準拠していないことが最初に判明した時点で開始となります。猶予期間が満了になると、必要なアクションを延期したり、除外を要求したりすることができなくなります。 暗号化プロセスでユーザーの入力が必要な場合には、ダイアログ ボックスが表示されます。このダイアログ ボックスは、ユーザーが必要な情報を入力するまで閉じることができません。 この設定を無効にするか、構成しなかった場合には、ユーザーに MBAM ポリシーの適用が強制されることはありません。 保護の追加にユーザーの操作が必要ない場合には、猶予期間が満了するとバックグラウンドで暗号化が始まります。 |
プリブート回復メッセージと URL を構成する |
推奨構成:未構成 OS ドライブがロックされているときにプリブート BitLocker 回復画面に表示される、独自の回復メッセージを構成する場合、または URL を指定する場合は、このポリシー設定を有効にします。この設定は、Windows 10 を搭載するクライアント コンピューターでのみ使用できます。 このポリシーを有効にすると、プリブート回復メッセージに関する次のオプションのいずれかを選択できます。
注意 プリブートではサポートされない文字や言語があります。カスタム メッセージまたは URL に使用する文字がプリブート BitLocker 回復画面に正しく表示されることをテストすることをお勧めします。 |
リムーバブル ドライブのグループ ポリシーの定義
ここでは、次の GPO ノードにある Microsoft BitLocker Administration and Monitoring のリムーバブル ドライブのグループ ポリシー定義について説明します。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [リムーバブル ドライブ]。
| ポリシー名 | 概要と推奨グローバル ポリシー設定 |
|---|---|
リムーバブル ドライブでの BitLocker の使用を制御する |
推奨構成:有効 このポリシーでは、リムーバブル ドライブでの BitLocker の使用を制御します。 ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにするには、[ユーザーがリムーバブル データ ドライブを BitLocker で保護できるようにする] をクリックします。 ユーザーがドライブから BitLocker ドライブの暗号化を解除できるようにする場合、またはメンテナンスの実行時に暗号化を中断する場合は、[リムーバブル データ ドライブの BitLocker を中断および暗号化解除できるようにする] をクリックします。 このポリシーを有効にし、[ユーザーがリムーバブル データ ドライブを BitLocker で保護できるようにする] をクリックすると、MBAM クライアントによってリムーバブル ドライブに関する回復情報が MBAM キー回復サーバーに保存され、ユーザーがパスワードを忘れたときにドライブを回復できるようになります。 |
BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する |
推奨構成:未構成 BitLocker で保護されたドライブに対する書き込みアクセス許可のみを付与するには、このポリシーを有効にします。 このポリシーを有効にする場合、書き込みアクセス許可を付与する前に、コンピューターのすべてのリムーバブル データ ドライブを暗号化する必要があります。 |
BitLocker で保護されているリムーバブル データ ドライブに Windows の以前のバージョンからアクセス可能にする |
推奨構成:未構成 このポリシーを有効にすると、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで FAT ファイル システムを使用している固定ドライブのロックを解除し、コンテンツを閲覧できるようになります。 このポリシーが未構成の場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル ドライブのロックを解除し、コンテンツを表示することができます。これらのオペレーティング システムは、BitLocker で保護されたドライブに対して読み取りアクセス許可のみを持ちます。 このポリシーが無効になっている場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル ドライブのロックの解除およびコンテンツの表示ができなくなります。 |
リムーバブル データ ドライブのパスワードの使用を構成する |
推奨構成:未構成 リムーバブル ドライブのパスワード保護を構成するには、このポリシーを有効にします。 このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。 セキュリティを向上するために、このポリシーを有効にし、[リムーバブル データ ドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] をクリックし、任意の [パスワードの最小文字数] を設定します。 |
BitLocker で保護されているリムーバブル ドライブの回復方法を選択する |
推奨構成:未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメイン サービス (AD DS) に保存する場合は、このポリシーを構成します。 [未構成] に設定する場合、データ回復エージェントが許可され、回復情報が AD DS にバックアップされません。 MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。 |
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。