BitLocker 管理

BitLocker 管理の理想的なソリューションは、IT 管理者がツールやその他のメカニズムを使用して管理ポリシーを設定する必要をなくすために、Windows がより実用的なタスクを自動化できるようにすることです。 このビジョンの実現には、最新のハードウェア開発が大きく貢献します。 たとえば、TPM 2.0、セキュア ブート、その他のハードウェアの機能強化の増加により、ヘルプ デスクのサポート負担が軽減され、サポートコール量が減少し、ユーザーの満足度が向上しました。 Windows は引き続き、Windows 8.1以降のモダン スタンバイをサポートするデバイスで暗号化を自動的に有効にするなど、組み込みの暗号化管理の新機能と機能強化に重点を置いています。

多くの Windows BitLocker ドキュメント が公開されていますが、お客様は、BitLocker を展開および管理する方法を簡単に消化し、管理する方法に重点を置いた特定のタスク指向のドキュメントへの推奨事項とポインターを頻繁に求めます。 この記事では、関連するドキュメント、製品、およびサービスにリンクして、これに関するその他の関連するよく寄せられる質問への回答に役立つほか、さまざまな種類のコンピューターに対する BitLocker の推奨事項も提供します。

Windows エディションとライセンスに関する要件

次の表に、BitLocker 管理をサポートする Windows エディションを示します。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
はい はい はい はい

BitLocker 管理ライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
なし はい はい はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

ドメインに参加しているコンピューターの管理とクラウドへの移行

Configuration Managerを使用して独自のコンピューターをイメージ化する企業は、Windows プレインストール環境 (WinPE) の間に既存のタスク シーケンスを使用して BitLocker 暗号化を事前プロビジョニングし、保護を有効にすることができます。 オペレーティング システムの展開中のこれらの手順は、ユーザーがコンピューターを受け取る前でも、コンピューターが最初から暗号化されるようにするのに役立ちます。 また、イメージング プロセスの一環として、Configuration Managerを使用して必要な BitLocker グループ ポリシーを事前に設定することもできます。

企業は 、Microsoft BitLocker の管理と監視 (MBAM) を使用して、 2019 年 7 月にメインストリーム サポートが終了するか、2026 年 4 月まで延長サポートを受けることができるまで、オンプレミスでドメインに参加している BitLocker を使用してクライアント コンピューターを管理できます。 したがって、今後数年間で、企業にとって良い戦略は、BitLocker のクラウドベースの管理を計画して移行することです。 Azure Active Directory (Azure AD) に回復キーを格納する方法については、 PowerShell の例 を参照してください。

重要

Microsoft BitLocker 管理および監視 (MBAM) 機能は、Configuration Manager BitLocker 管理を通じて提供されます。 詳細については、Configuration Managerドキュメントの「BitLocker 管理の計画」を参照してください。

Azure Active Directory に参加しているデバイスの管理

Azure AD に参加しているデバイスは、Microsoft Intuneなどの MDM ソリューションから Mobile デバイス管理 (MDM) ポリシーを使用して管理されます。 Windows 10 Version 1809より前の場合、Intune ポリシーを使用して BitLocker を有効にできるのはローカル管理者だけです。 Windows 10 Version 1809以降、Intune標準ユーザーに対して BitLocker を有効にすることができます。 BitLocker デバイス暗号化 の状態は、デバイスで BitLocker デバイス暗号化が有効になっているかどうかを報告する ポリシー構成設定プロバイダー (CSP) を使用して、マネージド マシンから照会できます。 BitLocker デバイスの暗号化ポリシーへの準拠は、Exchange Online や SharePoint Online などのサービスで条件付きアクセスを利用する場合の要件になることがあります。

バージョン 1703 Windows 10以降、BitLocker の有効化は、ポリシー CSP または BitLocker CSP によって MDM 経由でトリガーできます。 BitLocker CSP は、暗号化が行われたことを確認する以外のポリシー オプションを追加し、Windows 11、Windows 10、および Windows 電話を実行するコンピューターで使用できます。

モダン スタンバイと HSTI に準拠しているハードウェアの場合、これらの機能のいずれかを使用すると、ユーザーがデバイスを Azure AD に参加させるたびに BitLocker デバイス暗号化 が自動的にオンになります。 Azure AD には、回復キーもバックアップされるポータルが用意されているため、ユーザーは必要に応じてセルフサービス用に独自の回復キーを取得できます。 Windows 10 バージョン 1703 以降、まだ暗号化されていない古いデバイスの場合、管理者は BitLocker CSP を使用して暗号化をトリガーし、Azure AD に回復キーを格納できます。 このプロセスと機能は、Azure Hybrid AD にも適用されます。

職場に参加している PC と電話の管理

職場または学校アカウントへの接続を使用して登録されている Windows PC と Windows Phone の場合、BitLocker Device Encryption は、Azure AD に参加しているデバイスと同じように MDM 経由で管理されます。

サーバーの管理

多くの場合、サーバーは PowerShell を使用してインストール、構成、デプロイされます。そのため、PowerShell を使用して サーバーで BitLocker を有効にすることも推奨されます。理想的には、初期セットアップの一部として使用します。 BitLocker は、Windows Server の省略可能なコンポーネント (OC) です。そのため、「 BitLocker: Windows Server 2012 以降に展開する方法 」の指示に従って、BitLocker OC を追加します。

いくつかの BitLocker 管理ツールでは、最小サーバー インターフェイスが前提条件となっています。 Server Core のインストールでは、最初に必要な GUI コンポーネントを追加する必要があります。 Server Core にシェル コンポーネントを追加する手順は、更新されたシステムや修正プログラムを適用したイメージでのオンデマンド機能の使用に関する記事と、ローカル ソース メディアを更新して役割と機能を追加する方法に関する記事で説明されています。

スタンドアロン サーバーなど、サーバーを手動でインストールする場合は、GUI を Server Core に追加する手順を実行しないため、[ デスクトップ エクスペリエンスを使用 したサーバー] を選択するのが最も簡単なパスです。

さらに、ライトアウト データ センターでは、必要に応じて BitLocker (TPM+PIN) と BitLocker ネットワーク ロック解除を組み合わせて使用することで、再起動中のユーザー介入の必要性を回避しながら、2 番目の要素の強化されたセキュリティを利用できます。 BitLocker ネットワーク ロック解除には、信頼された場所でのハードウェア保護、位置依存性、自動ロック解除の利点が集約されています。 構成手順については、「BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。 詳細については、BitLocker の FAQ に関する記事と 関連記事のその他の便利なリンクを参照してください。

PowerShell の例

仮想マシンを含む Azure AD に参加しているコンピューターの場合は、回復パスワードを Azure AD に格納する必要があります。

: PowerShell を使用して回復パスワードを追加し、BitLocker を有効にする前に Azure AD にバックアップする

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

ドメインに参加しているコンピューターでは、サーバーも含めて、回復パスワードを Active Directory Domain Services (AD DS) に格納する必要があります。

: PowerShell を使用して回復パスワードを追加し、BitLocker を有効にする前に AD DS にバックアップする

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

その後、PowerShell を使用して BitLocker を有効にすることができます。

: PowerShell を使用して TPM 保護機能を使用して BitLocker を有効にする

Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

: PowerShell を使用して TPM +PIN 保護機能を使用して BitLocker を有効にします。この場合、PIN を 123456 に設定します

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Windows Server セットアップ ツール

PowerShell