次の方法で共有

ユーザーの BitLocker 暗号化の除外を管理する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) を使用すると、不要なユーザーやドライブを暗号化するユーザーを除外して、BitLocker 保護を管理できます。

BitLocker 保護からユーザーを除外するには、まずその除外をサポートするインフラストラクチャを作成する必要があります。 サポートするインフラストラクチャには、除外を要求する連絡先の電話番号、Web ページ、または郵送先住所などがあります。 また、除外ユーザーは、除外されるユーザー専用に作成したグループ ポリシーのセキュリティ グループに追加する必要があります。 このセキュリティ グループのメンバーがコンピューターにログオンすると、そのユーザーのグループ ポリシーには、ユーザーが BitLocker 保護から除外されていることが表示されます。 ユーザー ポリシーはコンピューター ポリシーを上書きするため、以降もコンピューターは BitLocker 暗号化から除外されます。

注意

コンピューターが既に BitLocker で保護されている場合、ユーザーの除外ポリシーを設定しても影響はありません。

次の表は、除外の設定方法に基づいて、BitLocker 保護を適用する方法を示します。

ユーザーの状態 コンピューターを除外しない コンピューターを除外する

ユーザーを除外しない

コンピューターで BitLocker 保護が実行されます。

コンピューターで BitLocker 保護は実行されません。

ユーザーを除外する

コンピューターで BitLocker 保護は実行されません。

コンピューターで BitLocker 保護は実行されません。

BitLocker 暗号化からユーザーを除外するには

  1. BitLocker 暗号化からユーザーの除外を管理するために使用する Active Directory ドメイン サービス セキュリティ グループを作成します。

  2. MBAM グループ ポリシー テンプレートを使用してグループ ポリシー オブジェクト設定を作成します。 前の手順で作成した Active Directory グループにグループ ポリシー オブジェクトを関連付けます。 ユーザーが BitLocker 暗号化からの除外を要求できるようにするために必要なポリシー設定の詳細については、「MBAM 1.0 グループ ポリシー要件の計画」の「ユーザーの除外ポリシーを構成する」を参照してください。

  3. BitLocker から除外するユーザーのセキュリティ グループを作成したら、除外を要求しているユーザー名をそのグループに追加します。 BitLocker で制御されているコンピューターにユーザーがログオンすると、MBAM クライアントによってユーザーの除外ポリシー設定が確認され、ユーザーが BitLocker 除外セキュリティ グループに属しているかどうかに基づいて保護が停止されます。

    注意

    共有コンピューターのシナリオでは、ユーザーの除外に関して特殊な考慮が必要です。 非除外ユーザーが除外ユーザーと共有しているコンピューターにログオンする場合、そのコンピューターは暗号化される可能性があります。

ユーザーが BitLocker 暗号化からの除外を要求できるようにするには

  1. MBAM ポリシー テンプレートを使用してユーザーの除外ポリシーを構成したら、ユーザーは MBAM クライアントを介して BitLocker 保護からの除外を要求できます。

  2. MBAM ハードウェアの互換性リストで [互換性あり] と表示されているコンピューターにユーザーがログオンすると、コンピューターが暗号化されるという通知が表示されます。 ユーザーは [除外の依頼] を選択し、[後で] を選択して暗号化を延期するか、[開始] を選択して BitLocker 暗号化を受け入れることができます。

    注意

    [除外の依頼] を選択すると、ユーザーの除外ポリシーで設定した最長時間、BitLocker 保護が延期されます。

  3. ユーザーは [除外の依頼] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。 [ユーザーの除外ポリシーを構成する] の構成方法に応じて、次の連絡方法の 1 つまたは複数が表示されます。

    • 電話番号

    • Web ページの URL

    • 郵送先住所

    MBAM 管理者は、要求の送信後に、ユーザーを BitLocker 除外 Active Directory グループに追加することが適切かどうかを判断できます。

    注意

    ユーザーの除外ポリシーの延期時間制限が経過すると、暗号化ポリシーに対して除外を要求するオプションは表示されなくなります。 この状態で、ユーザーが BitLocker 保護から除外されるには、MBAM 管理者に直接連絡する必要があります。

参照:

その他のリソース

MBAM 1.0 機能の管理

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----