MBAM 1.0 グループポリシー要件の計画

[アーティクル]
12/19/2014

適用対象: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) クライアントの管理には、適用するカスタムグループポリシー設定が必要です。このトピックでは、MBAM を使用して会社の BitLocker ドライブ暗号化を管理する際に、利用できるグループポリシーオブジェクト (GPO) のポリシーオプションについて説明します。

重要

MBAM は、Windows BitLocker ドライブ暗号化に既定の GPO 設定を使用しません。既定の設定が有効な場合、競合する動作の原因となる可能性があります。 MBAM を有効にして BitLocker を管理するには、MBAM グループポリシーテンプレートをインストールしてから、GPO ポリシー設定を定義する必要があります。

MBAM グループポリシーをインストールすると、MBAM を有効にして会社の BitLocker 暗号化を管理するために、利用可能なカスタム MBAM GPO ポリシー設定の表示と変更ができるようになります。 MBAM グループポリシーテンプレートは、グループポリシー管理コンソール (GPMC) または高度なグループポリシーの管理 (AGPM) MDOP テクノロジを実行可能なコンピューターに、インストールする必要があります。次に、適用可能な GPO を編集するために、GPMC か AGPM を開いてから、次の GPO ノードに移動します。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)

MDOP MBAM (BitLocker Management) GPO ノードには、4 つのグローバルポリシー設定と 4 つの子 GPO 設定ノードがそれぞれ含まれます。 4 つの GPO グローバルポリシー設定は、クライアントの管理、固定ドライブ、オペレーティングシステムドライブ、およびリムーバブルドライブです。次のセクションでは、MBAM GPO ポリシー設定の要件計画に役立つ、ポリシー定義と推奨ポリシーを説明します。

注意

MBAM を有効にして BitLocker 暗号化を管理するための最小推奨 GPO 設定の構成の詳細については、「Edit MBAM 1.0 GPO 設定の編集方法」を参照してください。

グローバルポリシー定義

このセクションでは、MBAM グローバルポリシー定義について説明します。これらのポリシー定義は、次の GPO ノードにあります。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management)

ポリシー名	概要と推奨ポリシー設定
ドライブの暗号化方法と暗号強度を選択する	推奨構成: 未構成特定の暗号化方法と暗号強度を使用するために、このポリシーを構成します。このポリシーが構成されていないと、BitLocker は、既定の暗号化方法である AES 128 ビットキーとディフューザー、またはセットアップスクリプトが指定した暗号化方法を使用します。
再起動時にメモリを上書きしない	推奨構成: 未構成再起動の際に、メモリ上の BitLocker の機密情報を上書きせずに再起動のパフォーマンスを向上させるために、このポリシーを構成します。このポリシーが構成されていないと、コンピューターの再起動時に BitLocker の機密情報がメモリから削除されます。
スマートカード証明書の使用規則の準拠を検証する	推奨構成: 未構成スマートカード証明書ベースの BitLocker の保護を使用するために、このポリシーを構成します。このポリシーが構成されていないと、証明書の指定に、既定のオブジェクト ID である 1.3.6.1.4.1.311.67.1.1 が使用されます。
組織固有の識別子を使用する	推奨構成: 未構成証明書ベースのデータ回復エージェント、または BitLocker To Go リーダーを使用するために、このポリシーを構成します。このポリシーが構成されていないと、識別フィールドは使用されません。会社がより高度なセキュリティ対策を要求している場合は、識別フィールドを構成して、このフィールドに設定されているすべての USB デバイスがこのグループポリシー設定に沿っているか確認することができます。

クライアントの管理ポリシー定義

このセクションでは、MBAM のクライアントの管理ポリシー定義について説明します。これらのポリシー定義は、次の GPO ノードにあります。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management) \ クライアントの管理

ポリシー名	概要と推奨ポリシー設定
MBAM サービスを構成する	推奨構成: 有効 MBAM 回復とハードウェアサービスのエンドポイント。これは、MBAM クライアント BitLocker 暗号化管理を有効にするために構成が必要な最初のポリシー設定です。この設定では、次の例のようなエンドポイントの場所を入力します。 http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインドポート>/MBAMRecoveryAndHardwareService/CoreService.svc. 保存する BitLocker 回復情報の選択。このポリシー設定で、BitLocker 回復情報のバックアップを作成するキー回復サービスを構成します。これにより、準拠と監査レポートを収集するステータスレポートサービスも構成します。このポリシーには、BitLocker によって暗号化された回復データの管理方法があり、キー情報がないことによるデータの損失を防ぐのに役立ちます。ステータスレポートと回復キーへの要求は、構成されたレポートサーバーの場所に、自動的かつメッセージを表示せずに送信されます。このポリシー設定が構成されていない、または無効になっていると、キー回復情報は保存されず、ステータスレポートと回復キーへの要求がサーバーにレポートされません。この設定が回復パスワードとキーパッケージに設定されていると、回復パスワードとキーパッケージのバックアップが、構成されたキー回復サーバーの場所に、自動的かつメッセージを表示せずに作成されます。クライアントチェックステータスの頻度 (分) を入力する。このポリシー設定は、クライアントが、クライアントコンピューターの BitLocker 保護ポリシーとステータスを確認する頻度を管理します。このポリシーは、クライアントの準拠状態がサーバーに保存される頻度も管理します。クライアントは、クライアントコンピューターの BitLocker 保護ポリシーとステータスを確認すると、構成された頻度で、クライアント回復キーのバックアップの作成も行います。この頻度は、コンピューターの準拠状態を確認する頻度と、クライアント回復キーのバックアップを作成する頻度を、会社で決められた要件に従って設定します。 MBAM ステータスレポートサービスのエンドポイント。これは、MBAM クライアント BitLocker 暗号化管理を有効にするために構成が必要な 2 番目のポリシー設定です。この設定では、次の例を使用してエンドポイントの場所を入力します。 http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインドポート>/MBAMComplianceStatusService/StatusReportingService. svc
ハードウェアの互換性をチェックする	推奨構成: 有効このポリシー設定で、MBAM クライアントコンピューターのドライブの BitLocker による保護を有効にする前に、ハードウェアの互換性の確認を管理します。古いコンピューターや、トラステッドプラットフォームモジュール (TPM) チップをサポートしないコンピューターが会社にある場合は、このポリシーオプションを有効にします。これらのいずれかの基準が当てはまる場合は、ハードウェアの互換性の確認を有効にして、MBAM が BitLocer をサポートするコンピューターモデルのみに適用されるように確認します。組織のすべてのコンピューターが BitLocker をサポートしている場合は、ハードウェアの互換性を展開する必要がなく、このポリシーを構成されていませんに設定することができます。このポリシーを有効にすると、ポリシーがコンピュータードライブの BitLocker による保護を有効にするまで、コンピューターのモデルがハードウェアの互換性リストに対して、24 時間に 1 度確認されます。注意このポリシー設定を有効にする前に、MBAM サービスを構成するポリシーオプションの MBAM 回復とハードウェアサービスのエンドポイント設定が構成されているか確認してください。このポリシー設定が無効、あるいは構成されていない場合、コンピューターモデルは、ハードウェアの互換性リストに対して確認されません。
ユーザーの除外ポリシーを構成する	推奨構成: 未構成このポリシー設定では、BitLocker 暗号化からの除外の要求でユーザーに案内するサイトアドレス、電子メールアドレス、または電話番号を構成します。このポリシー設定を有効にして、Web サイトのアドレス、電子メールアドレス、または電話番号を提供すると、ユーザーに、BitLocker による保護からの除外の申し込み方法を説明するダイアログが表示されます。ユーザーの BitLocker 暗号化除外を有効にする方法の詳細については、「ユーザーの BitLocker 暗号化の除外を管理する方法」を参照してください。このポリシー設定が無効、あるいは構成されていない場合、除外の要求の申し込み方法についての説明は、ユーザーに表示されません。注意ユーザーの除外は、ユーザー別に管理されます。コンピューター別ではありません。複数のユーザーが同じコンピューターにログオンし、除外されていないユーザーがひとりいると、そのコンピューターは暗号化されます。

MBAM サービスを構成する

推奨構成: 有効

MBAM 回復とハードウェアサービスのエンドポイント。これは、MBAM クライアント BitLocker 暗号化管理を有効にするために構成が必要な最初のポリシー設定です。この設定では、次の例のようなエンドポイントの場所を入力します。 http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインドポート>/MBAMRecoveryAndHardwareService/CoreService.svc.
保存する BitLocker 回復情報の選択。このポリシー設定で、BitLocker 回復情報のバックアップを作成するキー回復サービスを構成します。これにより、準拠と監査レポートを収集するステータスレポートサービスも構成します。このポリシーには、BitLocker によって暗号化された回復データの管理方法があり、キー情報がないことによるデータの損失を防ぐのに役立ちます。ステータスレポートと回復キーへの要求は、構成されたレポートサーバーの場所に、自動的かつメッセージを表示せずに送信されます。

このポリシー設定が構成されていない、または無効になっていると、キー回復情報は保存されず、ステータスレポートと回復キーへの要求がサーバーにレポートされません。この設定が回復パスワードとキーパッケージに設定されていると、回復パスワードとキーパッケージのバックアップが、構成されたキー回復サーバーの場所に、自動的かつメッセージを表示せずに作成されます。
クライアントチェックステータスの頻度 (分) を入力する。このポリシー設定は、クライアントが、クライアントコンピューターの BitLocker 保護ポリシーとステータスを確認する頻度を管理します。このポリシーは、クライアントの準拠状態がサーバーに保存される頻度も管理します。クライアントは、クライアントコンピューターの BitLocker 保護ポリシーとステータスを確認すると、構成された頻度で、クライアント回復キーのバックアップの作成も行います。

この頻度は、コンピューターの準拠状態を確認する頻度と、クライアント回復キーのバックアップを作成する頻度を、会社で決められた要件に従って設定します。
MBAM ステータスレポートサービスのエンドポイント。これは、MBAM クライアント BitLocker 暗号化管理を有効にするために構成が必要な 2 番目のポリシー設定です。この設定では、次の例を使用してエンドポイントの場所を入力します。 http://<MBAM Administration and Monitoring サーバー名>:<Web サービスのバインドポート>/MBAMComplianceStatusService/StatusReportingService. svc

ハードウェアの互換性をチェックする

推奨構成: 有効

このポリシー設定で、MBAM クライアントコンピューターのドライブの BitLocker による保護を有効にする前に、ハードウェアの互換性の確認を管理します。

古いコンピューターや、トラステッドプラットフォームモジュール (TPM) チップをサポートしないコンピューターが会社にある場合は、このポリシーオプションを有効にします。これらのいずれかの基準が当てはまる場合は、ハードウェアの互換性の確認を有効にして、MBAM が BitLocer をサポートするコンピューターモデルのみに適用されるように確認します。組織のすべてのコンピューターが BitLocker をサポートしている場合は、ハードウェアの互換性を展開する必要がなく、このポリシーを 構成されていません に設定することができます。

このポリシーを有効にすると、ポリシーがコンピュータードライブの BitLocker による保護を有効にするまで、コンピューターのモデルがハードウェアの互換性リストに対して、24 時間に 1 度確認されます。

注意

このポリシー設定を有効にする前に、MBAM サービスを構成するポリシーオプションの MBAM 回復とハードウェアサービスのエンドポイント 設定が構成されているか確認してください。

このポリシー設定が無効、あるいは構成されていない場合、コンピューターモデルは、ハードウェアの互換性リストに対して確認されません。

ユーザーの除外ポリシーを構成する

推奨構成: 未構成

このポリシー設定では、BitLocker 暗号化からの除外の要求でユーザーに案内するサイトアドレス、電子メールアドレス、または電話番号を構成します。

このポリシー設定を有効にして、Web サイトのアドレス、電子メールアドレス、または電話番号を提供すると、ユーザーに、BitLocker による保護からの除外の申し込み方法を説明するダイアログが表示されます。ユーザーの BitLocker 暗号化除外を有効にする方法の詳細については、「ユーザーの BitLocker 暗号化の除外を管理する方法」を参照してください。

このポリシー設定が無効、あるいは構成されていない場合、除外の要求の申し込み方法についての説明は、ユーザーに表示されません。

注意

ユーザーの除外は、ユーザー別に管理されます。コンピューター別ではありません。複数のユーザーが同じコンピューターにログオンし、除外されていないユーザーがひとりいると、そのコンピューターは暗号化されます。

固定ドライブのポリシー定義

このセクションでは、MBAM の固定ドライブのポリシー定義について説明します。これらのポリシー定義は、次の GPO ノードにあります。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management) \ 固定ドライブ

ポリシー名	概要と推奨ポリシー設定
固定データドライブの暗号化設定	推奨構成: [有効]。オペレーティングシステムボリュームの暗号化が必要な場合は、[固定データドライブの自動ロック解除を有効にする] チェックボックスを選択します。このポリシー設定で、固定ドライブを暗号化するかしないかを管理します。このポリシーを有効にした場合は、固定データドライブのパスワードの使用を構成するポリシーを無効にしないでください。 [固定データドライブの自動ロック解除を有効にする] チェックボックスがオンになっていると、オペレーティングシステムボリュームを暗号化する必要があります。このポリシー設定が有効になっていると、ユーザーは、すべての固定ドライブを BitLocker で保護するように要求され、ドライブが暗号化されます。このポリシーが構成されていない、あるいは無効な場合は、ユーザーは、固定ドライブを BitLocker で保護するように要求されません。このポリシーを無効にすると、MBAM エージェントが、すべての暗号化されている固定ドライブの暗号化を解除します。オペレーティングシステムボリュームの暗号化が必要なければ、[固定データドライブの自動ロック解除を有効にする] チェックボックスをオフにします。
BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する	推奨構成: 未構成このポリシー設定は、コンピューターの固定ドライブに BitLocer による保護が必要な場合に、書き込み可能にするかを決定します。このポリシー設定は、BitLocker をオンにすると適用されます。このポリシーが構成されていないと、コンピューターのすべての固定ドライブが、読み取り/書き込み権限とともにマウントされます。
BitLocker で保護されている固定データドライブに Windows の以前のバージョンからアクセス可能にする	推奨構成: 未構成 Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、ファイルアロケーションテーブル (FAT) ファイルシステムでフォーマットされた固定ドライブのロックの解除と表示を行うには、このポリシーを有効にします。これらのオペレーティングシステムは、BitLocer で保護されたドライブに対して書き込み権限を持ちます。このポリシーが無効になっていると、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、FAT ファイルシステムでフォーマットされた固定ドライブのロックの解除することができず、コンテンツも表示できません。
固定データドライブのパスワードの使用を構成する	推奨構成: 未構成固定ドライブのパスワード保護を構成するには、このポリシーを有効にします。このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。より高度なセキュリティのために、このポリシーを有効にして、[固定データドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] を選択、必要とする [パスワードの最小文字数] を設定します。
BitLocker で保護されている固定ドライブの回復方法を選択する	推奨構成: 未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメインサービス (AD DS) に保存する場合は、このポリシーを構成します。このポリシーが構成されていないと、BitLocker データ回復エージェントが許可され、回復情報のバックアップが AD DS に作成されません。MBAM は、AD DS にバックアップが作成される回復情報を必要としません。

オペレーティングシステムドライブのポリシー定義

このセクションでは、MBAM のオペレーティングシステムドライブのポリシー定義について説明します。これらのポリシー定義は、次の GPO ノードにあります。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management) \ オペレーティングシステムドライブ

ポリシー名	概要と推奨ポリシー設定
オペレーティングシステムドライブの暗号化設定	推奨構成: 有効このポリシー設定は、オペレーティングシステムドライブを暗号化するかどうかを決定します。このポリシーを構成して、次を行います。オペレーティングシステムドライブに BitLocker による保護を強制する。 PIN の使用法を構成して、オペレーティングシステムの保護にトラステッドプラットフォームモジュール (TPM) PIN を使用する。拡張スタートアップ PIN を構成して、大文字と小文字、数字などの文字を許可します。記号と空白の使用は、BitLocker ではサポートされていますが、MBAM の拡張 PIN ではサポートされていません。このポリシー設定を有効にすると、ユーザーは、BitLocker を使用してオペレーティングシステムドライブのセキュリティを確認することを要求されます。この設定が構成されていない、または無効になっていると、ユーザーは、BitLocker を使用してオペレーティングシステムドライブのセキュリティを確認することを要求されません。このポリシーを無効にすると、MBAM エージェントが、暗号化されているオペレーティングシステムドライブの暗号化を解除します。有効になっていると、このポリシー設定は、ユーザーに BitLocker による保護を使用してオペレーティングシステムのセキュリティを確認することを要求し、ドライブが暗号化されます。会社の暗号化要件に応じて、オペレーティングシステムドライブの保護方法を選択することができます。より高度なセキュリティ要件のために、TPM と PIN を使用して、拡張 PIN を許可し、そして PIN の最小桁数を 8 桁に設定します。 TPM + PIN 保護を使用してこのポリシーを有効にすると、[システム]/[電源管理]/[スリープ設定] の次のポリシーを無効にすることができます。スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時) スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)
TPM のプラットフォーム検証プロファイルを構成する	推奨構成: 未構成このポリシー設定を使用すると、コンピューターの TPM セキュリティハードウェアで BitLocker 暗号化キーを保護する方法を構成できます。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。このポリシーを構成していない場合、TPM には、既定のプラットフォーム検証プロファイル、またはセットアップスクリプトで指定したプラットフォーム検証プロファイルが使用されます。
BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する	推奨構成: 未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメインサービス (AD DS) に保存する場合は、このポリシーを構成します。このポリシーを構成しない場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。

オペレーティングシステムドライブの暗号化設定

推奨構成: 有効

このポリシー設定は、オペレーティングシステムドライブを暗号化するかどうかを決定します。

このポリシーを構成して、次を行います。

オペレーティングシステムドライブに BitLocker による保護を強制する。
PIN の使用法を構成して、オペレーティングシステムの保護にトラステッドプラットフォームモジュール (TPM) PIN を使用する。
拡張スタートアップ PIN を構成して、大文字と小文字、数字などの文字を許可します。記号と空白の使用は、BitLocker ではサポートされていますが、MBAM の拡張 PIN ではサポートされていません。

このポリシー設定を有効にすると、ユーザーは、BitLocker を使用してオペレーティングシステムドライブのセキュリティを確認することを要求されます。

この設定が構成されていない、または無効になっていると、ユーザーは、BitLocker を使用してオペレーティングシステムドライブのセキュリティを確認することを要求されません。

このポリシーを無効にすると、MBAM エージェントが、暗号化されているオペレーティングシステムドライブの暗号化を解除します。

有効になっていると、このポリシー設定は、ユーザーに BitLocker による保護を使用してオペレーティングシステムのセキュリティを確認することを要求し、ドライブが暗号化されます。会社の暗号化要件に応じて、オペレーティングシステムドライブの保護方法を選択することができます。

より高度なセキュリティ要件のために、TPM と PIN を使用して、拡張 PIN を許可し、そして PIN の最小桁数を 8 桁に設定します。

TPM + PIN 保護を使用してこのポリシーを有効にすると、[システム]/[電源管理]/[スリープ設定] の次のポリシーを無効にすることができます。

スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)
スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

TPM のプラットフォーム検証プロファイルを構成する

推奨構成: 未構成

このポリシー設定を使用すると、コンピューターの TPM セキュリティハードウェアで BitLocker 暗号化キーを保護する方法を構成できます。コンピューターに互換性のある TPM がない場合、または BitLocker で TPM 保護が既に有効にされている場合、このポリシー設定は適用されません。

このポリシーを構成していない場合、TPM には、既定のプラットフォーム検証プロファイル、またはセットアップスクリプトで指定したプラットフォーム検証プロファイルが使用されます。

BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する

推奨構成: 未構成

BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメインサービス (AD DS) に保存する場合は、このポリシーを構成します。

このポリシーを構成しない場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。

MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。

リムーバブルドライブのポリシー定義

このセクションでは、MBAM のリムーバブルドライブのポリシー定義について説明します。これらのポリシー定義は、次の GPO ノードにあります。 コンピューターの構成\管理用テンプレート\Windows コンポーネント\MDOP MBAM (BitLocker Management) \ リムーバブルドライブ

ポリシー名	概要と推奨ポリシー設定
リムーバブルドライブでの BitLocker の使用を制御する	推奨構成: 有効このポリシーでは、リムーバブルドライブでの BitLocker の使用を制御します。ユーザーがリムーバブルデータドライブで BitLocker セットアップウィザードを実行できるようにするには、[ユーザーがリムーバブルデータドライブを BitLocker で保護できるようにする] オプションを有効にします。ユーザーがドライブから BitLocker ドライブの暗号化を解除できるようにする場合、またはメンテナンスの実行時に暗号化を一時停止する場合は、[ユーザーがリムーバブルドライブの BitLocker を一時停止または削除できるようにする] オプションを有効にします。このポリシーを有効にし、[ユーザーがリムーバブルデータドライブを BitLocker で保護できるようにする] オプションをオンにすると、MBAM クライアントによってリムーバブルドライブに関する回復情報が MBAM キー回復サーバーに保存され、ユーザーがパスワードを忘れたときにドライブを回復できるようになります。
BitLocker で保護されていないリムーバブルドライブへの書き込みアクセスを拒否する	推奨構成: 未構成書き込みのみのアクセス許可を BitLocker で保護されたドライブに付与するには、このポリシーを有効にします。このポリシーを有効にする場合、書き込みアクセス許可を付与する前に、コンピューターのすべてのリムーバブルデータドライブを暗号化する必要があります。
BitLocker で保護されているリムーバブルデータドライブに Windows の以前のバージョンからアクセス可能にする	推奨構成: 未構成 Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、FAT ファイルシステムでフォーマットされた固定ドライブのロックの解除と表示を行うには、このポリシーを有効にします。これらのオペレーティングシステムは、BitLocer で保護されたドライブに対して書き込み権限を持ちます。このポリシーが無効になっていると、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を実行するコンピューターで、FAT ファイルシステムでフォーマットされたリムーバブルドライブのロックの解除することができず、コンテンツも表示できません。
リムーバブルデータドライブのパスワードの使用を構成する	推奨構成: 未構成リムーバブルドライブのパスワード保護を構成するには、このポリシーを有効にします。このポリシーが構成されていないと、パスワードは既定の設定でサポートされます。既定の設定では、パスワードの複雑さの条件が含まれず、必要とされるのは 8 文字のみです。セキュリティを向上するために、このポリシーを有効にして、[リムーバブルデータドライブでパスワードを必要とする] を選択して、[パスワードの複雑さの条件を満たす必要がある] を選択し、任意の [パスワードの最小文字数] を設定します。
BitLocker で保護されているリムーバブルドライブの回復方法を選択する	推奨構成: 未構成 BitLocker データ回復エージェントを有効にする場合、または BitLocker 回復情報を Active Directory ドメインサービス (AD DS) に保存する場合は、このポリシーを構成します。このポリシーを [未構成] に設定する場合、データ回復エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM の操作では、回復情報を AD DS にバックアップする必要はありません。

参照:

その他のリソース

MBAM 1.0 に対応する環境の準備

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、Facebook や Twitter のフォローもお勧めします。
-----

次の方法で共有

MBAM 1.0 グループ ポリシー要件の計画

グローバル ポリシー定義

クライアントの管理ポリシー定義

固定ドライブのポリシー定義

オペレーティング システム ドライブのポリシー定義

リムーバブル ドライブのポリシー定義

参照:

その他のリソース

その他のリソース

MBAM 1.0 グループポリシー要件の計画

グローバルポリシー定義

オペレーティングシステムドライブのポリシー定義

リムーバブルドライブのポリシー定義