BitLocker 用 MDT のセットアップ
このトピックでは、MDT を使って、BitLocker (Windows 10 Enterprise と Windows 10 Pro に組み込まれているディスク ボリュームの暗号化) の環境を構成する方法について説明します。Windows 10 の BitLocker には、オペレーティング システムの展開に関する 2 つの要件があります。
保護機能。トラステッド プラットフォーム モジュール (TPM) チップに格納したり、パスワードとして保存することができます。技術的には、保護機能の保存に USB スティックを使うこともできますが、USB スティックは紛失したり盗まれたりすることがあるため実用的なアプローチではありません。その代わりに、TPM チップやパスワードを使うことをお勧めします。
ハード ドライブの複数パーティション。
BitLocker 用の環境を構成するには、次の操作を行う必要があります。
BitLocker 用の Active Directory を構成します。
さまざまな BitLocker のスクリプトとツールをダウンロードします。
BitLocker 用オペレーティング システムの展開タスク シーケンスを構成します。
BitLocker 用の規則 (CustomSettings.ini) を構成します。
注
BitLocker 要件ではありませんが、回復キーと TPM 所有者情報を Active Directory に格納するように BitLocker を構成することをお勧めします。これらの機能について詳しくは、AD DS への BitLocker と TPM 回復情報のバックアップに関するページをご覧ください。Microsoft BitLocker Administration and Monitoring (MBAM) (Microsoft Desktop Optimization Pack (MDOP) の一部) にアクセスできる場合は、BitLocker 用の管理機能が追加されます。
このトピックの目的上、架空の Contoso Corporation の contoso.com ドメインのメンバーであるドメイン コントローラーの DC01 を使います。このトピックのセットアップについて詳しくは、「Microsoft Deployment Toolkit による Windows 10 の展開」をご覧ください。
BitLocker 用の Active Directory の構成
回復キーと TPM 情報を Active Directory に格納するために BitLocker を有効にするには、Active Directory 内のグループ ポリシーを作成する必要があります。このセクションでは、Windows Server 2012 R2 を実行しているため、スキーマを拡張する必要はありません。ただし、Active Directory 内に適切なアクセス許可を設定する必要があります。
注
Active Directory スキーマのバージョンによっては、Active Directory に BitLocker 情報を格納する前に、スキーマの更新が必要である可能性があります。
Windows Server 2012 R2 (Windows Server 2008 R2 と Windows Server 2012 も同様) で、BitLocker ドライブ暗号化管理ユーティリティの機能にアクセスできます。これは、BitLocker の管理に役立ちます。機能をインストールすると、BitLocker Active Directory 回復パスワード ビューアーが含まれるので、Active Directory のユーザーとコンピューターには BitLocker 回復情報が追加されます。
.png "図 2")
図 2: contoso.com ドメイン内のコンピューター オブジェクト上の BitLocker 回復情報。
BitLocker ドライブ暗号化管理ユーティリティの追加
サーバー マネージャー (または Windows PowerShell) 経由での機能として、BitLocker ドライブ暗号化管理ユーティリティが追加されます。
DC01 で、contoso \administrator としてログオンし、サーバー マネージャーを使って、[役割と機能の追加] をクリックします。
[開始する前に] ページで、[次へ] をクリックします。
[インストールの種類の選択] ページで、[役割ベースまたは機能ベースのインストール] を選択し、[次へ] をクリックします。
[対象サーバーの選択] ページで、[DC01.contoso.com] を選択して [次へ] をクリックします。
[サーバーの役割の選択] ページで、[次へ] をクリックします。
[機能の選択] ページで、[リモート サーバー管理ツール] を展開して [機能管理ツール] を展開し、次の機能を選択して、[次へ] をクリックします。
BitLocker ドライブ暗号化管理ユーティリティ
BitLocker ドライブ暗号化ツール
BitLocker 回復パスワード ビューアー
[インストール オプションの確認] ページで、[インストール] をクリックして [閉じる] をクリックします。
.png "図 3")
図 3: BitLocker ドライブ暗号化管理ユーティリティの選択。
BitLocker グループ ポリシーの作成
次の手順で、Active Directory に対する BitLocker と TPM の回復情報のバックアップを有効にします。TPM 検証プロファイルのポリシーも有効にします。
DC01 で、グループ ポリシー管理を使って、[Contoso] 組織単位 (OU) を右クリックし、[このドメインに GPO を作成して、このコンテナーにリンクします] を選択します。
新しいグループ ポリシーに BitLocker Policy (BitLocker ポリシー) という名前を割り当てます。
[Contoso] OU を展開し、[BitLocker Policy] (BitLocker ポリシー) を右クリックして、[編集] を選択します。次のポリシー設定を構成します。
コンピューターの構成 / ポリシー / 管理用テンプレート / Windows コンポーネント / BitLocker ドライブ暗号化 / オペレーティング システムのドライブ
[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する] ポリシーを有効にして、次の設定を構成します。
データ回復エージェントを許可する (既定)
Active Directory ドメイン サービスに BitLocker 回復情報を保存する (既定)
AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない
[BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] ポリシーを有効にします。
[ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] ポリシーを有効にします。
コンピューターの構成 / ポリシー / 管理用テンプレート / システム / トラステッド プラットフォーム モジュール サービス
[Active Directory ドメイン サービスへの TPM バックアップを有効にする] ポリシーを有効にします。
注
BitLocker でコンピューターを暗号化した後に、エラー "Windows BitLocker ドライブ暗号化情報です。BitLocker が有効になったために、システムのブート情報が変更されました。このシステムを起動するためには BitLocker 回復パスワードを指定する必要があります。" が一貫して表示される場合、さまざまな "TPM プラットフォーム検証プロファイルを構成する" ポリシーも同様に変更する必要があります。これを行う必要があるかどうかは、使用しているハードウェアによって異なります。
BitLocker 用 Active Directory のアクセス許可の設定
以前に作成したグループ ポリシーに加え、TPM 回復情報を格納できるようにする Active Directory のアクセス許可を構成する必要があります。ここでは、Add-TPMSelfWriteACE.vbs スクリプトに関するページを Microsoft から DC01 の C:\Setup\Scripts にダウンロードしていることを前提にしています。
DC01 で、管理者特権の PowerShell プロンプトを開始します (管理者として実行します)。
次のコマンドを実行してアクセス許可を構成します。
cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs
.png "図 4")
図 4: DC01 の Add-TPMSelfWriteACE.vbs スクリプトの実行。
Dell、HP、Lenovo の BIOS 構成ツールの追加
展開プロセスの一部として TPM チップの有効化を自動化する場合は、ベンダーのツールをダウンロードし、直接またはスクリプト ラッパーでタスク シーケンスに追加する必要があります。
Dell からのツールの追加
Dell ツールは、Dell Client Configuration Toolkit (CCTK) を介して利用できます。Dell からの実行可能ファイルは、cctk.exe という名前です。TPM を有効にし、cctk.exe ツールを使って BIOS パスワードを設定するためのサンプル コマンドを次に示します。
cctk.exe --tpm=on --valsetuppwd=Password1234
HP からのツールの追加
HP ツールは、HP System Software Manager の一部です。HP からの実行可能ファイルは、BiosConfigUtility.exe という名前です。このユーティリティは、BIOS 設定の構成ファイルを使います。TPM を有効にし、BiosConfigUtility.exe ツールを使って BIOS パスワードを設定するためのサンプル コマンドを次に示します。
BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234
TPMEnable.REPSET ファイルのサンプル コンテンツは次のとおりです。
English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available
Lenovo からのツールの追加
Lenovo ツールは、Windows Management Instrumentation 展開ガイドを使って Lenovo BIOS セットアップの一部として利用できる一連の Vbscript です。Lenovo は、スクリプトの個別のダウンロードも提供します。Lenovo ツールを使って TPM を有効にするためのサンプル コマンドを次に示します。
cscript.exe SetConfig.vbs SecurityChip Active
BitLocker を有効にするための Windows 10 タスク シーケンスの構成
タスク シーケンスを構成して、直接またはカスタム スクリプトを使って BitLocker ツールを実行するときに、BIOS がコンピューターに既に構成されているかどうかを検出するロジックを追加する場合にも便利です。このタスク シーケンスでは、Deployment Guys の Web ページからサンプル スクリプト (ZTICheckforTPM.wsf) を使って TPM チップ上の状態を確認します。このスクリプトは Deployment Guys ブログの投稿 TPM が有効かどうか確認するページをダウンロードすることができます。次のタスク シーケンスには、追加された 5 つのアクションがあります。
TPM の状態を確認する。TPM が有効になっているかどうかを特定するための ZTICheckforTPM.wsf スクリプトを実行します。状態に応じて、スクリプトは、TPMEnabled と TPMActivated プロパティを true または false に設定します。
TPM 用の BIOS を構成する。ベンダー ツールを実行します (この場合、HP、Dell、および Lenovo)。必要な場合にのみこのアクションを実行させるには、TPM チップがまだアクティブ化されていない場合にのみアクションが実行されるため、条件を追加します。ZTICheckforTPM.wsf からプロパティを使います。
注
通常、スクリプトでこれらのツールをラップする組織で追加のログとエラー処理を取得します。
コンピューターを再起動する。コンピューターを再起動します。
TPM 状態を確認する。ZTICheckforTPM.wsf スクリプトをもう一度実行します。
BitLocker を有効にする。BitLocker をアクティブ化するための組み込みアクションを実行します。