MBAM 2.5 の概要
適用対象: Microsoft BitLocker Administration and Monitoring 2.5
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 には、BitLocker ドライブ暗号化機能を管理する使いやすいインターフェイスが搭載されています。また、紛失または盗難されたコンピューターのデータの盗難や流出に対する保護が強化されています。BitLocker は、Windows オペレーティング システムのボリュームとドライブ、および構成されたデータ ボリュームに保存されているすべてのデータを暗号化します。
MBAM の概要
MBAM 2.5 には次の機能があります。
社内のクライアント コンピューター上のボリュームを暗号化するプロセスを管理者が自動化できます。
個々のコンピューターの準拠状態から全社的な準拠状態までセキュリティ責任者がすばやく特定できます。
Microsoft System Center Configuration Manager によってレポートとハードウェアの管理を一元化できます。
エンド ユーザーからの BitLocker の PIN や回復キーに関する要求をサポートするヘルプ デスクのワークロードを軽減します。
暗号化されたデバイスをエンド ユーザーがセルフサービス ポータルを使い独力で回復できます。
回復キーの情報に対するアクセスをセキュリティ責任者が容易に監査できます。
Windows Enterprise のユーザーが外出先で仕事をするときも、会社のデータを確実に保護することができます。
MBAM は、会社用に設定した BitLocker 暗号化ポリシーのオプションを実行し、クライアント コンピューターがそのポリシーに準拠していることを監視して、会社全体と個々のコンピューターについて暗号化の状態をレポートします。さらに、MBAM を使用すると、ユーザーがパスワードや暗証番号 (PIN) を忘れたり、BIOS やブート レコードが変わったりしたときに必要な回復キー情報にアクセスすることもできます。
次のようなグループに、MBAM を使用して BitLocker を管理することをお勧めします。
機密データが不正に流出することを防ぐ責任を負う管理者、IT セキュリティの専門家、および法令遵守責任者
リモートまたは支店のコンピューターのセキュリティの責任を負う管理者
Windows を実行しているクライアント コンピューターの責任を負う管理者
注意
この MBAM ドキュメントでは、BitLocker について詳しくは取り扱いません。詳細については、「BitLocker ドライブ暗号化の概要」をご覧ください。
MBAM 2.5 の新機能
ここでは、MBAM 2.5 の新機能について説明します。
Microsoft SQL Server 2014 のサポート
以前のバージョンの MBAM でサポートされていたソフトウェアに加え、MBAM では新たに Microsoft SQL Server 2014 がサポートされます。
MBAM グループ ポリシー テンプレートは個別にダウンロード
MBAM グループ ポリシー テンプレートは、MBAM のインストールとは別にダウンロードする必要があります。以前のバージョンの MBAM では、BitLocker ドライブ暗号化の MBAM 実装設定を定義する MBAM 固有のグループ ポリシー オブジェクト (GPO) を含んだ MBAM ポリシー テンプレートが MBAM のインストーラーに含まれていました。MBAM のインストーラーからは、これらの GPO が除外されています。MBAM クライアントをインストールする前に、「MDOP グループ ポリシー (.admx) テンプレートの入手方法」から GPO をダウンロードして、サーバーまたはワークステーションにコピーする必要があります。グループ ポリシー テンプレートは、サポート対象バージョンの Windows Server または Windows オペレーティング システムが実行されている任意のサーバーまたはワークステーションにコピーできます。
重要
[BitLocker ドライブ暗号化] ノードにあるグループ ポリシー設定は変更しないでください。変更すると、MBAM が正しく動作しなくなります。[MDOP MBAM (BitLocker Management)] ノードでグループ ポリシー設定を構成すると、MBAM によって自動的に [BitLocker ドライブ暗号化] の設定が構成されます。
サーバーまたはワークステーションにコピーする必要のあるテンプレート ファイルは次のとおりです。
BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx
テンプレート ファイルは、自分の要件に最も合った場所にコピーしてください。言語固有のファイルは、グループ ポリシー管理コンソールから見えることが必要であり、言語固有のフォルダーにコピーする必要があります。
サーバーまたはワークステーションでローカルにテンプレート ファイルをインストールするには、該当するファイルを次のいずれかの場所にコピーします。
ファイルの種類 ファイルの場所 言語に依存しない (.admx)
%systemroot%\policyDefinitions
言語固有 (.adml)
%systemroot%\policyDefinitions\[MUIculture] (たとえば、英語 (米国) 言語固有のファイルは %systemroot%\policyDefinitions\en-us に保存されます)
ドメイン内のすべてのグループ ポリシー管理者がテンプレートを利用できるようにするには、ドメイン コントローラー上の、次のいずれかの場所にファイルをコピーします。
ファイルの種類 ドメイン コントローラー上のファイルの場所 言語に依存しない (.admx)
%systemroot%sysvol\domain\policies\PolicyDefinitions
言語固有 (.adml)
%systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture] (たとえば、英語 (米国) 言語固有のファイルは %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us に保存されます)
テンプレート ファイルの詳細については、「Managing Group Policy ADMX Files Step-by-Step Guide (グループ ポリシー ADMX ファイルのステップ バイ ステップ ガイド)」をご覧ください。
オペレーティング システム ドライブと固定データ ドライブに暗号化ポリシーを強制適用する機能
MBAM 2.5 では、社内に存在するコンピューターのオペレーティング システム ドライブと固定データ ドライブに暗号化ポリシーを強制的に適用することができます。また、MBAM の暗号化ポリシーへの準拠要件への対応をエンド ユーザーが何日まで先延ばしできるかを制限することもできます。
暗号化ポリシーの強制適用を構成できるようにするため、オペレーティング システム ドライブと固定データ ドライブに対し、"暗号化ポリシーの強制適用設定" という新しいグループ ポリシー設定が追加されています。このポリシーについて次の表で説明します。
| グループ ポリシー設定 | 説明 | この設定を構成するために使用するグループ ポリシー ノード |
|---|---|---|
暗号化ポリシー強制適用設定 (オペレーティング システム ドライブ) |
この設定では、[オペレーティング システム ドライブの非準拠猶予日数を構成する] オプションを使って猶予期間を構成します。 猶予期間には、オペレーティング システム ドライブが MBAM ポリシーに準拠していないとして最初に検出された時点を基準とし、エンド ユーザーがその対応を先延ばしできる日数を指定します。 猶予期間が過ぎると、必要な対応を先延ばししたり、免除を求めたりすることはできなくなります。 トラステッド プラットフォーム モジュール (TPM) + PIN を使用している場合や、保護機能としてパスワードを使用している場合など、ユーザーの対応が必要な場合は、ダイアログ ボックスが表示されます。このダイアログ ボックスは、必要な情報をユーザーが入力するまで閉じることはできません。保護機能が TPM のみである場合、ユーザーの入力を待たず、直ちにバックグラウンドで暗号化が開始されます。 BitLocker 暗号化ウィザードでユーザーが免除を要求することはできません。免除要求は、ヘルプ デスクに連絡するか、組織で規定されたプロセスに則って行う必要があります。 |
[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [オペレーティング システム ドライブ] |
暗号化ポリシー強制適用設定 (固定データ ドライブ) |
この設定では、[固定ドライブの非準拠猶予日数を構成する] オプションを使って猶予期間を構成します。 猶予期間には、固定ドライブが MBAM ポリシーに準拠していないとして最初に検出された時点を基準とし、エンド ユーザーがその対応を先延ばしできる日数を指定します。 猶予期間は、固定ドライブが非準拠と判別されたときから始まります。自動ロック解除を使用している場合、オペレーティング システム ドライブが準拠するまでポリシーは強制適用されません。一方、自動ロック解除を使用していない場合、オペレーティング システム ドライブが完全には暗号化されていなくても固定データ ドライブの暗号化を開始できます。 猶予期間が過ぎると、必要な対応を先延ばししたり、免除を求めたりすることはできなくなります。ユーザーの対応が必要な場合は、ダイアログ ボックスが表示されます。このダイアログ ボックスは、必要な情報をユーザーが入力するまで閉じることはできません。 |
[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [固定ドライブ] |
セキュリティ ポリシーを確認できる URL を BitLocker ドライブ暗号化ウィザードで指定する機能
[セキュリティ ポリシー リンクの URL を指定] という新しいグループ ポリシー設定が追加されました。このポリシーで設定した URL が、[会社のセキュリティ ポリシー] というリンクとしてエンド ユーザーに表示されます。このリンクは、MBAM がボリュームの暗号化をユーザーに求めるとき表示されます。
このポリシー設定を有効にした場合、[会社のセキュリティ ポリシー] リンクに使う URL を構成することができます。このポリシー設定を無効にするか、構成しなかった場合、[会社のセキュリティ ポリシー] リンクはユーザーに表示されません。
新しいグループ ポリシー設定は、次の GPO ノードにあります。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP MBAM (BitLocker Management)] > [クライアントの管理]。
FIPS 準拠の回復キーのサポート
Windows 8.1 オペレーティング システムを実行するデバイスでは、Federal Information Processing Standard (FIPS) に準拠した BitLocker 回復キーが MBAM 2.5 でサポートされます。以前のバージョンの Windows では、回復キーが FIPS に準拠していませんでした。この点が強化されたことで、FIPS への準拠が要求される組織において、ドライブ回復プロセスが改善されます。PIN やパスワードを紛失したり、コンピューターからロックアウトされた場合に、セルフサービス ポータルや Administration and Monitoring Web サイト (ヘルプ デスク) を使用してエンド ユーザーが自分でドライブを回復することができます。パスワード保護機能は、新しい FIPS 準拠機能の範囲外です。
組織内で FIPS 準拠を徹底するためには、Federal Information Processing Standard (FIPS) グループ ポリシーの設定が不可欠です。構成手順については、「BitLocker Group Policy Settings (BitLocker グループ ポリシー設定)」をご覧ください。
クライアント コンピューターに BitLocker の修正プログラムをインストールしていない Windows 8 または Windows 7 オペレーティング システムが実行されている場合、FIPS 準拠環境では、IT 管理者がこれまでどおりデータ回復エージェント (DRA) 保護機能を使用することになります。DRA については、「Using Data Recovery Agents with BitLocker (BitLocker でのデータ回復エージェントの使用)」をご覧ください。
Windows 7 コンピューターと Windows 8 コンピューターの BitLocker 修正プログラムをダウンロードし、インストールする方法については、「BitLocker 管理と 2.5 監視のための修正プログラム パッケージ 2」を参照してください。
高可用性環境のサポート
MBAM は、2 台のサーバーと Configuration Manager 統合を使った標準的なトポロジに加え、次の高可用性シナリオをサポートします。
SQL Server AlwaysOn 可用性グループ
SQL Server クラスタリング
ネットワーク負荷分散 (NLB)
SQL Server ミラーリング
ボリューム シャドウ コピー サービス (VSS) バックアップ
これらの機能の詳細については、「MBAM 2.5 の高可用性のための計画」をご覧ください。
Administration and Monitoring Web サイトのロール管理に関する変更
MBAM 2.5 では、Administration and Monitoring Web サイトへのアクセス権を提供するロールを管理するためのセキュリティ グループを Active Directory ドメイン サービス (AD DS) に作成する必要があります。特定のセキュリティ グループのユーザーは、レポートを閲覧したり、エンド ユーザーの暗号化されたドライブの回復を支援するなど、Web サイトにおけるさまざまな作業をロールに応じて実行することができます。以前のバージョンの MBAM では、ローカル グループを使用してロールが管理されていました。
MBAM 2.5 では、以前のバージョンの MBAM で使われていた "管理者ロール" に代わり "ロール" という言葉が使われます。また、MBAM 2.5 では、"MBAM システム管理者" ロールが廃止されました。
次の表は、AD DS に作成する必要のあるセキュリティ グループの一覧です。セキュリティ グループには任意の名前を使用できます。
| ロール | 各ロールが扱う Administration and Monitoring Web サイトのアクセス権 |
|---|---|
MBAM ヘルプデスク ユーザー |
MBAM Administration and Monitoring Web サイトの TPM 管理領域とドライブ回復領域へのアクセス権付与を行います。これらの領域へのアクセス権を持つユーザーは、いずれかの領域を使用する際、すべてのフィールドに必要事項を入力する必要があります。 |
MBAM レポートのユーザー |
Administration and Monitoring Web サイト内のレポートに対するアクセス権付与を行います。 |
MBAM 高度なヘルプデスク ユーザー |
Administration and Monitoring Web サイト内のすべての領域に対するアクセス権付与を行います。エンド ユーザーのドライブ回復をサポートする際、このグループのユーザーは回復キーさえ入力すればよく、エンド ユーザーのドメインとユーザー名を入力する必要はありません。MBAM ヘルプデスク ユーザー グループと MBAM 高度なヘルプデスク ユーザー グループの両方にユーザーが属している場合、MBAM 高度なヘルプデスク ユーザー グループの権限が、MBAM ヘルプデスク ユーザー グループの権限に優先します。 |
AD DS にセキュリティ グループを作成した後、目的のセキュリティ グループにユーザーやグループを割り当てることで、Administration and Monitoring Web サイトへの対応するアクセス レベルが有効になります。加えて、それぞれのロールを持つユーザーが Administration and Monitoring Web サイトにアクセスできるようにするには、Administration and Monitoring Web サイトを構成する際に各セキュリティ グループを指定する必要があります。
MBAM サーバーの機能を構成するための Windows PowerShell コマンドレット
MBAM サーバーの機能の構成と管理は、MBAM 2.5 用の Windows PowerShell コマンドレットを使って行うことができます。それぞれの機能には、対応する Windows PowerShell コマンドレットがあり、それらのコマンドレットを使って機能の有効/無効を切り替えたり、機能に関する情報を入手したりすることができます。
Windows PowerShell を使用するための前提条件については、「Windows PowerShell を使用した MBAM 2.5 サーバー機能の構成」をご覧ください。
MBAM サーバー ソフトウェアのインストール後に Windows PowerShell コマンドレット用の MBAM 2.5 ヘルプを読み込むには
Windows PowerShell または Windows PowerShell Integrated Scripting Environment (ISE) を開きます。
「Update-Help –Module Microsoft.MBAM」と入力します。
Windows PowerShell 用の MBAM には、次の形式のヘルプが用意されています。
| Windows PowerShell ヘルプの形式 | 詳細情報 |
|---|---|
Windows PowerShell コマンド プロンプトで「Get-Help <cmdlet>」と入力 |
最新の Windows PowerShell コマンドレットをアップロードするには、MBAM 用 Windows PowerShell ヘルプを読み込む方法について説明した先行セクションの手順に従います。 |
TechNet 上の Web ページ |
https://go.microsoft.com/fwlink/?LinkId=393498 |
ダウンロード センター上の Word .docx ファイル |
https://go.microsoft.com/fwlink/?LinkId=393497 |
ダウンロード センター上の .pdf ファイル |
https://go.microsoft.com/fwlink/?LinkId=393499 |
ASCII 限定の PIN や拡張 PIN のサポート、同じ文字の繰り返しや単調な文字列の禁止
[スタートアップの拡張 PIN を許可する] グループ ポリシー設定
BitLocker で拡張スタートアップ PIN を許可するかどうかは、グループ ポリシー設定 [スタートアップの拡張 PIN を許可する] を使用して構成できます。拡張スタートアップ PIN が許可されている場合、ユーザーは、大文字と小文字、記号、数字、スペースなど、フル キーボード上の任意のキーを入力できます。このポリシー設定を有効にすると、新たに設定される BitLocker のスタートアップ PIN がすべて拡張 PIN になります。このポリシー設定を無効にするか、構成しなかった場合、拡張 PIN は使用できません。
コンピューターによっては、PXE (Preboot Execution Environment) での拡張 PIN の入力がサポートされない場合があります。このグループ ポリシー設定を組織で有効にする場合は、あらかじめ、BitLocker のセットアップ プロセスでシステム チェックを実行し、PXE でのフル キーボードの使用をコンピューターの BIOS がサポートしていることをご確認ください。詳細については、「MBAM 2.5 グループ ポリシー要件の計画」をご覧ください。
[PIN を ASCII に限定する] チェック ボックス
[スタートアップの拡張 PIN を許可する] グループ ポリシー設定には、[PIN を ASCII に限定する] というチェック ボックスがあります。組織内のコンピューターが、PXE でのフル キーボードの使用をサポートしていない場合は、[スタートアップの拡張 PIN を許可する] グループ ポリシー設定を有効にしたうえで、[PIN を ASCII に限定する] チェック ボックスをオンにすることにより、拡張 PIN に使用できる文字を、印字可能な ASCII 文字に限定することができます。
同じ文字の繰り返しや単調な文字列の使用禁止
MBAM 2.5 では、数字の繰り返し (1111 など) や連番 (1234 など) から成る PIN を作成できないようになっています。同じ数字や連番を 3 文字以上含んだパスワードをエンド ユーザーが入力しようとすると、BitLocker ドライブ暗号化ウィザードでエラー メッセージが表示され、禁止文字を含んだ PIN を入力することはできません。
BitLocker コンピューターの準拠レポートへの DRA 証明書の追加
Configuration Manager の BitLocker コンピューターの準拠レポートに、新しいタイプの保護機能としてデータ回復エージェント (DRA) 証明書が追加されています。この保護機能タイプはオペレーティング システム ドライブに適用され、[保護機能の種類] 列 ([コンピューター ボリューム] セクション) に表示されます。
マルチ フォレスト環境のサポート
MBAM 2.5 は、次のタイプのマルチ フォレスト展開をサポートしています。
ドメインを 1 つ持つ単一フォレスト
1 つのツリーと複数のドメインを持つ単一フォレスト
複数のツリーと不整合の名前空間を持つ単一フォレスト
複数フォレスト (中央フォレスト トポロジ)
複数フォレスト (リソース フォレスト トポロジ)
フォレストの移行 (単一フォレストから複数フォレスト、複数フォレストから単一フォレスト、フォレスト間でのリソース フォレストの移行など) やアップグレードまたはダウングレードはサポートされません。
マルチ フォレスト環境に MBAM を展開するための前提条件は次のとおりです。
サポート対象バージョンの Windows Server でフォレストが実行されていること。
双方向または一方向の信頼が必要。一方向の信頼では、サーバーのドメインがクライアントのドメインを信頼する必要があります。つまり、サーバーのドメインは、クライアントのドメインでポイントされます。
暗号化ハード ドライブにおける MBAM クライアントのサポート
MBAM では、Opal と IEEE 1667 標準に対する TCG の仕様要件を満たす暗号化ハード ドライブの BitLocker をサポートします。これらのデバイスで BitLocker が有効な場合、キーを生成して暗号化されたドライブで管理機能を実行します。詳細については、「Encrypted Hard Drive (暗号化ハード ドライブ)」をご覧ください。
MDOP テクノロジを入手する方法
MBAM は、Microsoft Desktop Optimization Pack (MDOP) に含まれています。MDOP は、マイクロソフト ソフトウェア アシュアランス プログラムの一部です。マイクロソフト ソフトウェア アシュアランス プログラムの詳細および MDOP を取得する方法については、「How Do I Get MDOP? (MDOP を取得する方法)」をご覧ください。
MBAM 2.5 のリリース ノート
詳細情報とこのドキュメントに記載されていない最新情報については、「MBAM 2.5 のリリース ノート」をご覧ください。
MBAM への提案はございますか。
こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。
関連項目
概念
Microsoft BitLocker Administration and Monitoring 2.5