次の方法で共有

Windows 展開の一部として MBAM クライアントを展開する方法

  • [アーティクル]

適用対象: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) クライアントによって、管理者は、会社のコンピューターの BitLocker ドライブ暗号化機能を強制および監視することができます。 BitLocker クライアントは、コンピューター イメージングと Windows 展開プロセスの最中に、クライアント コンピューターの BitLocker 管理と暗号化を有効にすることによって、組織に統合することができます。

注意

MBAM クライアント システム要件を確認するには、「MBAM 1.0 がサポートされる構成」を参照してください。

Windows 展開の初期イメージング ステージで BitLocker を使用してクライアント コンピューターを暗号化すると、MBAM 実装の管理オーバーヘッドを軽減することができます。 この方法は、展開されるすべてのコンピューターで既に BitLocker が実行され、正しく構成されていることも確認します。

警告

このトピックでは、レジストリ エディターを使用して Windows レジストリを変更する方法について説明します。Windows レジストリに誤った変更を加えると、重大な問題が発生し、Windows の再インストールが必要になる可能性があります。レジストリを変更する前に、必ずレジストリ ファイル (System.dat および User.dat) のバックアップ コピーを作成してください。マイクロソフトでは、レジストリの変更によって生じた問題の解決については保証いたしかねます。ユーザーご自身の責任においてレジストリを変更してください。

Windows 展開の一部としてコンピューターを暗号化するには

  1. 組織で、BitLocker にトラステッド プラットフォーム モジュール (TPM) 保護機能を使用する、あるいは TPM と PIN 保護機能オプションを使用することが計画されている場合は、MBAM を初期展開する前に TPM チップを有効にする必要があります。 TPM チップを有効にした場合、プロセスの後で再起動を回避して、TPM チップが組織の要件に従って正しく構成されていること確認します。 TPM チップの有効化は、コンピューターの BIOS で手動で行う必要があります。 TPM チップの構成方法については、製造元のドキュメントで詳細を参照してください。

  2. MBAM クライアント エージェントをインストールします。

  3. 次の理由から、コンピューターをドメインに参加させることを推奨します。

    • コンピューターがドメインに参加していないと、回復パスワードが MBAM キー回復サービスに保存されません。 既定では、回復キーを保存できなければ、MBAM は暗号化の発生を許可しません。

    • MBAM サーバーで回復キーが保存される前にコンピューターが回復モードで起動した場合、そのコンピューターのイメージを再作成する必要があります。 回復の手段はありません。

  4. 管理者としてコマンド プロンプトを開き、MBAM サービスを停止します。そして、サービスに demand (手動) を設定します。 そして、次のコマンドを実行します。

    net stop mbamagent

    sc config mbamagent start= demand

  5. MBAM エージェントのレジストリ設定を、グループ ポリシーを無視し、TPM をオペレーション システムのみ暗号化するように設定します。これを行うには、regedit を実行してから、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートします。

  6. regedit で HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表に示されている設定を構成します。

    レジストリ エントリ 構成設定

    DeploymentTime

    0 = オフ

    1 = 展開時間ポリシー設定を使用する (既定)

    UseKeyRecoveryService

    0 = キー エクスローを使用しない (この場合、次の 2 つのレジストリ エントリは不要になります。)

    1 = キー回復システムでキー エスクローを使用する (既定)

    推奨事項: コンピューターがキー回復サービスと通信できることが必要です。 開始する前に、コンピューターがサービスと通信できることを確認してください。

    KeyRecoveryOptions

    0 = 回復キーのみをアップロードする

    1 = 回復キーとキー回復パッケージをアップロードする (既定)

    KeyRecoveryServiceEndPoint

    この値に、キー回復 Web サイトの URL を設定します。

    例: http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc

    注意

    MBAM ポリシーまたはレジストリ値をここで設定して、以前に設定された値を上書きすることができます。

  7. MBAM クライアントの展開中に、MBAM エージェントがシステムを再起動します。 この再起動の準備が整ったら、コマンド プロンプトで次のコマンドを管理者として実行します。

    net start mbamagent

  8. コンピューターが再起動して、TPM の変更を受け入れる BIOS プロンプトが表示されたら、変更を受け入れます。

  9. Windows クライアントのオペレーティング システム イメージング プロセスで、暗号化を開始する準備が整ったら、MBAM エージェント サービスを再起動します。 そして、自動的に開始するように設定するには、コマンド プロンプトを管理者として開き、次のコマンドを実行します。

    sc config mbamagent start= auto

    net start mbamagent

  10. バイパス レジストリ値を削除します。 これを行うには、regedit を実行して HKLM\SOFTWARE\Microsoft registry entry を参照し、[MBAM] ノードを右クリックしてから [削除] をクリックします。

参照:

その他のリソース

MBAM 1.0 クライアントの展開

-----
MDOP の詳細については TechNet ライブラリを参照してください。トラブルシューティング情報については TechNet Wiki を検索してください。また、FacebookTwitter のフォローもお勧めします。
-----