ネットワーク経由で回復データを暗号化する

Configuration Manager (現在のブランチ) に適用

BitLocker 管理ポリシーを作成すると、Configuration Managerは復旧サービスを管理ポイントにデプロイします。 BitLocker 管理ポリシーの [クライアント管理 ] ページで、 BitLocker 管理サービスを構成すると、クライアントはキー回復情報をサイト データベースにバックアップします。 この情報には、BitLocker 回復キー、回復パッケージ、TPM パスワード ハッシュが含まれます。 ユーザーが保護されたデバイスからロックアウトされている場合は、この情報を使用して、デバイスへのアクセスを回復するのに役立ちます。

この情報の機密性を考えると、保護する必要があります。

重要

バージョン 2103 以降、復旧サービスの実装が変更されました。 従来の MBAM コンポーネントは使用されなくなりましたが、概念的には 復旧サービスと呼ばれています。 バージョン 2103 のすべてのクライアントは、管理ポイントの メッセージ処理エンジン コンポーネントを復旧サービスとして使用します。 セキュリティで保護されたクライアント通知チャネル経由で回復キーをエスクローします。 この変更により、拡張 HTTP のConfiguration Manager サイトを有効にすることができます。 この構成は、Configuration Managerでの BitLocker 管理の機能には影響しません。

サイトとクライアントの両方がバージョン 2103 以降Configuration Manager実行されている場合、クライアントは、セキュリティで保護されたクライアント通知チャネル経由で管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合、キーをエスクローするには、管理ポイントで HTTPS 対応の復旧サービスが必要です。

HTTPS 証明書の要件

注:

これらの要件は、サイトがバージョン 2010 以前の場合、またはクライアント バージョン 2010 以前Configuration Managerデバイスに BitLocker 管理ポリシーを展開する場合にのみ適用されます。

Configuration Managerでは、ネットワーク経由で転送中のデータを暗号化するために、クライアントと復旧サービスの間のセキュリティで保護された接続が必要です。 次のいずれかのオプションを使用します。

• HTTPS- 管理ポイントロール全体ではなく、復旧サービスをホストする管理ポイントで IIS Web サイトを有効にします。

• HTTPS の管理ポイントを構成します。 管理ポイントのプロパティでは、[ クライアント接続 ] 設定は HTTPS である必要があります。

注:

サイトに複数の管理ポイントがある場合は、BitLocker で管理されるクライアントが通信する可能性があるサイトのすべての管理ポイントで HTTPS を有効にします。 HTTPS 管理ポイントが使用できない場合、クライアントは HTTP 管理ポイントにフェールオーバーした後、回復キーをエスクローに失敗する可能性があります。

この推奨事項は、HTTPS の管理ポイントを有効にするか、管理ポイントで復旧サービスをホストする IIS Web サイトを有効にする両方のオプションに適用されます。

HTTPS の管理ポイントを構成する

以前のバージョンのConfiguration Manager現在のブランチでは、BitLocker 回復サービスを統合するには、管理ポイントを HTTPS で有効にする必要がありました。 HTTPS 接続は、Configuration Manager クライアントから管理ポイントへのネットワーク全体の回復キーを暗号化するために必要です。 管理ポイントとすべてのクライアントを HTTPS 用に構成することは、多くのお客様にとって困難な場合があります。

HTTPS- IIS Web サイトを有効にする

HTTPS 要件は、管理ポイントロール全体ではなく、復旧サービスをホストする IIS Web サイト用です。 この構成により、証明書の要件が緩和され、転送中の回復キーが暗号化されます。

管理ポイントのクライアント接続プロパティには、HTTP または HTTPS を指定できます。 管理ポイントが HTTP 用に構成されている場合は、BitLocker 回復サービスをサポートします。

1. サーバー認証証明書を取得します。 BitLocker 回復サービスをホストする管理ポイントの IIS Web サイトに証明書をバインドします。

2. サーバー認証証明書を信頼するようにクライアントを構成します。 この信頼を実現するには、次の 2 つの方法があります。

   • パブリックでグローバルに信頼された証明書プロバイダーの証明書を使用します。 Windows クライアントには、これらのプロバイダーからの信頼されたルート証明機関 (CA) が含まれています。 これらのプロバイダーのいずれかによって発行されたサーバー認証証明書を使用すると、クライアントは自動的にそれを信頼する必要があります。

   • 組織の公開キー 基盤 (PKI) から CA によって発行された証明書を使用します。 ほとんどの PKI 実装では、信頼されたルート CA が Windows クライアントに追加されます。 たとえば、グループ ポリシーで Active Directory 証明書サービスを使用する場合などです。 クライアントが自動的に信頼しない CA からサーバー認証証明書を発行する場合は、CA 信頼されたルート証明書をクライアントに追加します。

ヒント

復旧サービスと通信する必要があるクライアントは、BitLocker 管理ポリシーを使用してターゲットを設定し、 クライアント管理 規則を含むクライアントのみです。

接続のトラブルシューティング

クライアントで、 BitLockerManagementHandler.log を使用して、この接続のトラブルシューティングを行います。 復旧サービスへの接続の場合、ログにはクライアントが使用している URL が表示されます。 Configuration Managerのバージョンに基づいて、ログ内のエントリを見つけます。

• バージョン 2103 以降では、 Recovery keys escrowed to MP
• バージョン 2010 以前では、エントリは Checking for Recovery Service at

次の手順

データベース内の回復データの暗号化 は、ポリシーを初めてデプロイする前のオプションの前提条件です。

BitLocker 管理クライアントを展開する