ユーザーの BitLocker 暗号化の除外を管理する方法
適用対象: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Microsoft BitLocker Administration and Monitoring (MBAM) では、BitLocker ドライブ暗号化の要件からユーザーを除外することができます。
BitLocker 保護からユーザーを除外するには、次のタスクを実行する必要があります。
| タスク | 詳細情報 |
|---|---|
除外ユーザーをサポートするインフラストラクチャを作成します。 |
このインフラストラクチャの例では、除外を依頼する際に使用できる連絡先の電話番号、Web ページ、郵送先住所をユーザーに提供します。 |
除外ユーザー向けに特別に構成されたグループ ポリシー オブジェクトのセキュリティ グループに除外ユーザーを追加します。 |
このセキュリティ グループのメンバーがコンピューターにサインインすると、そのユーザーのグループ ポリシー設定により、ユーザーが BitLocker 保護から除外されます。ユーザーのグループ ポリシー設定はコンピューター ポリシーを上書きするため、以降もコンピューターは BitLocker 暗号化から除外されます。 注意 コンピューターが既に BitLocker 保護されており、ユーザーが除外されている場合、MBAM は暗号化ポリシーを施行しません。ただし、暗号化ポリシーから除外されていない別のユーザーがコンピューターにサインインした場合は、暗号化が行われます。 |
エンド ユーザーが MBAM クライアントまたは組織で使用しているプロセスに従って BitLocker ドライブ暗号化の除外プロセスで除外を要求したときに発生するイベントを以下に示します。BitLocker ドライブ暗号化からの除外をエンド ユーザーが要求できるように MBAM グループ ポリシー設定を構成する必要があります。
エンド ユーザーが暗号化の必要なコンピューターにサインインすると、コンピューターが暗号化されるという通知を受け取ります。エンド ユーザーは [除外の依頼] を選択し、[延期] を選択して暗号化を延期するか、[暗号化の開始] を選択して BitLocker 暗号化を受け入れることができます。
注意
[除外の依頼] を選択すると、ユーザーの除外ポリシーで設定した最長時間、BitLocker 保護が延期されます。
エンド ユーザーが [除外の依頼] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。[ユーザーの除外ポリシーを構成する] の構成方法に応じて、次の連絡方法の 1 つまたは複数が表示されます。
電話番号
Web ページの URL
郵送先住所
除外の依頼を受け取った後で、MBAM の管理者は、ユーザーを BitLocker 除外 Active Directory ドメイン サービス (AD DS) グループに追加するかどうかを決定します。
エンド ユーザーが除外の依頼を送信すると、MBAM クライアントは、そのユーザーを "一時的に除外" として報告します。その後で、クライアントは IT 管理者が構成した指定の日数待機し、コンピューターの準拠をもう一度確認します。MBAM 管理者が除外の依頼を拒否した場合、除外の依頼オプションは非アクティブ化され、ユーザーは除外を再度依頼できなくなります。
Microsoft BitLocker Administration and Monitoring (MBAM) では、BitLocker ドライブ暗号化の要件からユーザーを除外することができます。
BitLocker 保護からユーザーを除外するには、次のタスクを実行する必要があります。
| タスク | 詳細情報 |
|---|---|
除外ユーザーをサポートするインフラストラクチャを作成します。 |
このインフラストラクチャの例では、除外を依頼する際に使用できる連絡先の電話番号、Web ページ、郵送先住所をユーザーに提供します。 |
除外ユーザー向けに特別に構成されたグループ ポリシー オブジェクトのセキュリティ グループに除外ユーザーを追加します。 |
このセキュリティ グループのメンバーがコンピューターにサインインすると、そのユーザーのグループ ポリシー設定により、ユーザーが BitLocker 保護から除外されます。ユーザーのグループ ポリシー設定はコンピューター ポリシーを上書きするため、以降もコンピューターは BitLocker 暗号化から除外されます。 注意 コンピューターが既に BitLocker で保護されている場合、ユーザーの除外ポリシーを設定しても影響はありません。さらに、暗号化ポリシーから除外されていないコンピューターに別のユーザーがサインインした場合は、暗号化が適用されます。 |
エンド ユーザーが MBAM クライアントまたは組織で使用しているプロセスに従って BitLocker ドライブ暗号化の除外プロセスで除外を要求したときに発生するイベントを以下に示します。BitLocker ドライブ暗号化からの除外をエンド ユーザーが要求できるように MBAM グループ ポリシー設定を構成する必要があります。
エンド ユーザーが暗号化の必要なコンピューターにサインインすると、コンピューターが暗号化されるという通知を受け取ります。エンド ユーザーは [除外の依頼] を選択し、[延期] を選択して暗号化を延期するか、[暗号化の開始] を選択して BitLocker 暗号化を受け入れることができます。
注意
[除外の依頼] を選択すると、ユーザーの除外ポリシーで設定した最長時間、BitLocker 保護が延期されます。
エンド ユーザーが [除外の依頼] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。[ユーザーの除外ポリシーを構成する] の構成方法に応じて、次の連絡方法の 1 つまたは複数が表示されます。
電話番号
Web ページの URL
郵送先住所
除外の依頼を受け取った後で、MBAM の管理者は、ユーザーを BitLocker 除外 Active Directory ドメイン サービス (AD DS) グループに追加するかどうかを決定します。
エンド ユーザーが除外の依頼を送信すると、MBAM クライアントは、そのユーザーを "一時的に除外" として報告します。その後で、クライアントは IT 管理者が構成した指定の日数待機し、コンピューターの準拠をもう一度確認します。MBAM 管理者が除外の依頼を拒否した場合、除外の依頼オプションは非アクティブ化され、ユーザーは除外を再度依頼できなくなります。
BitLocker ドライブ暗号化からユーザーを除外するには
BitLocker 暗号化の要件からのユーザーの除外を管理するために使用する AD DS セキュリティ グループを作成します。
Microsoft BitLocker Administration and Monitoring グループ ポリシー テンプレートを使用して、グループ ポリシー オブジェクトを作成します。
前の手順で作成した AD DS グループにグループ ポリシー オブジェクトを関連付けます。ユーザーを除外するポリシー設定にアクセスするには、[ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] の順にアクセスします。
BitLocker 除外ユーザー向けに作成したセキュリティ グループに、除外を依頼しているユーザーの名前を追加します。
ユーザーが BitLocker で制御されているコンピューターにサインインすると、MBAM クライアントがユーザーの除外ポリシー設定を確認します。コンピューターが既に暗号化されている場合、BitLocker 保護は中断されません。コンピューターが暗号化されていない場合、ユーザーは、MBAM から暗号化を求められません。
重要
コンピューターを共有している場合は、BitLocker のユーザーの除外を使用する際に、特別な考慮が必要です。非除外ユーザーが除外ユーザーと共有しているコンピューターにサインインする場合、そのコンピューターは暗号化される可能性があります。
MBAM への提案はございますか。 こちらから提案を追加するか、提案に投票してください。
MBAM の問題「MBAM に関する TechNet フォーラム」を利用してください。