次の方法で共有

Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法

  • [アーティクル]

重要

これらの手順は、Configuration Manager BitLocker Management には適用されません。 Invoke-MbamClientDeployment.ps1 PowerShell スクリプトは、Configuration Manager で BitLocker Management で使用するためにサポートされていません。 これには、Configuration Manager タスク シーケンス中の BitLocker 回復キーのエスクローが含まれます。

Configuration Manager バージョン 2103 以降、Configuration Manager BitLocker Management では、MBAM キー回復サービス サイトを使用してキーをエスクローすることがなくなりました。 Configuration Manager バージョン 2103 以降で Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用しようとすると、Configuration Manager サイトで重大な問題が発生する可能性があります。 既知の問題には、すべてのデバイスを対象とする大量のポリシーの作成が含まれます。これにより、ポリシー ストームが発生する可能性があります。 この動作により、主に SQL と管理ポイントの Configuration Manager のパフォーマンスが大幅に低下します。 詳細については、「 MBAM エージェントを使用して BitLocker 回復キーをエスクローする」を参照すると、Configuration Manager バージョン 2103 で過剰なポリシーが生成されます

Configuration Manager バージョン 2203 以降の BitLocker 管理では、タスク シーケンス中の BitLocker キーのエスクロー処理がネイティブにサポートされています。[BitLocker を有効にする] タスク シーケンス タスクでは、[回復キーを自動的に保存する] オプションを使用>Configuration Manager データベース。 詳細については、「 タスク シーケンス中のサイトへの BitLocker 回復パスワードのエスクロー」を参照してください。

Configuration Manager とのスタンドアロン MBAM 統合は、Configuration Manager バージョン 1902 でのみサポートされていました。 Configuration Manager バージョン 1902 はサポート対象外であるため、スタンドアロン MBAM と、現在サポートされているバージョンの Configuration Manager を含む Invoke-MbamClientDeployment.ps1 PowerShell スクリプトはサポートされなくなりました。 詳細については、「 MBAM でサポートされる Configuration Manager のバージョン」を参照してください。 Configuration Manager でスタンドアロン MBAM を使用しているお客様は、 Configuration Manager BitLocker Management に移行する必要があります。

この記事では、Windows のイメージングと展開プロセスの一部として Microsoft BitLocker の管理と監視 (MBAM) を使用して、ユーザーのコンピューターで BitLocker を有効にする方法について説明します。

ドライブのロックを解除できないことを示すインストール フェーズが終了した後に再起動時に黒い画面が表示される場合は、「Windows 10 バージョン 1511 で BitLocker を事前プロビジョニングする」を使用している場合は、「Windows と Configuration Manager のセットアップ」ステップの後に以前のバージョンが開始されないに関するページを参照してください。

前提条件

  • 既存の Windows イメージの展開プロセス ( Microsoft Deployment Toolkit (MDT)、Microsoft System Center Configuration Manager、またはその他のイメージング ツールまたはプロセス) が配置されている必要があります

  • BIOS で TPM を有効にし、OS に表示する必要があります

  • MBAM サーバー インフラストラクチャは、所定の場所にあり、アクセス可能である必要があります

  • BitLocker で必要なシステム パーティションを作成する必要があります

  • MBAM で BitLocker が完全に有効になる前に、マシンがイメージング中にドメインに参加している必要があります

Windows 展開の一部として MBAM 2.5 SP1 を使用して BitLocker を有効にするには

Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用して Windows の展開中に BitLocker を有効にする

MBAM 2.5 SP1 では、Windows 展開中に BitLocker を有効にすることをお勧めします。これは、 Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用することです。

  • Invoke-MbamClientDeployment.ps1 スクリプトでは、イメージング プロセス中に BitLocker が適用されます。 BitLocker ポリシーで必要な場合、MBAM エージェントは、イメージ化後にドメイン ユーザーが最初にログオンしたときに、ドメイン ユーザーに PIN またはパスワードの作成をすぐに求めます。

  • MDT、System Center Configuration Manager、またはスタンドアロン イメージング プロセスで使いやすい

  • PowerShell 2.0 以降と互換性がある

  • TPM キー 保護機能を使用して OS ボリュームを暗号化する

  • BitLocker の事前プロビジョニングを完全にサポート

  • 必要に応じて FDD を暗号化する

  • Escrow TPM OwnerAuth

    • Windows 7 の場合、エスクローを実行するには、MBAM が TPM を所有している必要があります。
    • Windows 8.1、Windows 10 RTM、Windows 10 バージョン 1511 では、TPM OwnerAuth のエスクローがサポートされています。
    • Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 TPM をプロビジョニングすると、Windows は TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード」を参照してください。

  • Escrow 回復キーと回復キー パッケージ

  • 暗号化の状態を直ちに報告する

  • 新しい WMI プロバイダー

  • 詳細なログ記録

  • 堅牢なエラー処理

Invoke-MbamClientDeployment.ps1 スクリプトは、MBAM クライアントデプロイ スクリプトからダウンロードできます。 このダウンロードは、MbAM サーバーを使用して BitLocker ドライブの暗号化とレコード回復キーを構成するために、展開システムが呼び出すメイン スクリプトです。

MBAM の WMI 展開方法

Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用した BitLocker の有効化をサポートするために、MBAM 2.5 SP1 には次の WMI メソッドが含まれています。

MBAM_Machine WMI クラス

  • PrepareTpmAndEscrowOwnerAuth: TPM OwnerAuth を読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。 TPM が所有されておらず、自動プロビジョニングがオンになっていない場合は、TPM OwnerAuth が生成され、所有権が取得されます。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。

    Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 さらに、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード」を参照してください。

    パラメーター 説明
    RecoveryServiceEndPoint MBAM 回復サービス エンドポイントを指定する文字列。

    一般的なエラー メッセージの一覧を次に示します。

    一般的な戻り値 エラー メッセージ
    S_OK
    0 (0x0)    		 メソッドは成功しました。
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 TPM がコンピューターに存在しないか、BIOS 構成で無効になっています。
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 TPM が正しい状態ではありません (有効、アクティブ化、所有者のインストールが許可されています)。
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 自動プロビジョニングが保留中であるため、MBAM は TPM の所有権を取得できません。 自動プロビジョニングが完了したら、もう一度やり直してください。
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 MBAM は TPM 所有者の承認値を読み取ることはできません。 値は、エスクローが成功した後に削除される可能性があります。 Windows 7 では、他のユーザーが TPM を所有している場合、MBAM は値を読み取ることはできません。
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 TPM を正しい状態に設定するには、コンピューターを再起動する必要があります。 コンピューターを手動で再起動する必要がある場合があります。
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 TPM を正しい状態に設定するには、コンピューターをシャットダウンして電源を入れ直す必要があります。 コンピューターを手動で再起動する必要がある場合があります。
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 リモート エンドポイントがアクセスを拒否しました。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 リモート エンドポイントが存在しないか、見つかりませんでした。
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 リモート エンドポイントが要求を処理できませんでした。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 リモート エンドポイントに到達できませんでした。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) エンドポイント アドレス URL が無効です。 URL は、 http または httpsで始まる必要があります。

  • ReportStatus: ボリュームのコンプライアンス状態を読み取り、MBAM 状態レポート サービスを使用して MBAM コンプライアンス状態データベースに送信します。 状態には、暗号強度、保護機能の種類、保護機能の状態、および暗号化状態が含まれます。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。

    パラメーター 説明
    ReportingServiceEndPoint MBAM 状態レポート サービス エンドポイントを指定する文字列。

    一般的なエラー メッセージの一覧を次に示します。

    一般的な戻り値 エラー メッセージ
    S_OK
    0 (0x0)    		 メソッドが成功しました
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 リモート エンドポイントがアクセスを拒否しました。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 リモート エンドポイントが存在しないか、見つかりませんでした。
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 リモート エンドポイントが要求を処理できませんでした。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 リモート エンドポイントに到達できませんでした。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 エンドポイント アドレス URL が無効です。 URL は、 http または httpsで始まる必要があります。

MBAM_Volume WMI クラス

  • EscrowRecoveryKey: ボリュームの復旧数値パスワードとキー パッケージを読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。

    パラメーター 説明
    RecoveryServiceEndPoint MBAM 回復サービス エンドポイントを指定する文字列。

    一般的なエラー メッセージの一覧を次に示します。

    一般的な戻り値 エラー メッセージ
    S_OK
    0 (0x0)    		 メソッドが成功しました
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 ボリュームがロックされています。
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 ボリュームに数値パスワード 保護機能が見つかりませんでした。
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 リモート エンドポイントがアクセスを拒否しました。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 リモート エンドポイントが存在しないか、見つかりませんでした。
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 リモート エンドポイントが要求を処理できませんでした。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 リモート エンドポイントに到達できませんでした。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 エンドポイント アドレス URL が無効です。 URL は、 http または httpsで始まる必要があります。

Microsoft Deployment Toolkit (MDT) と PowerShell を使用して MBAM をデプロイする

  1. MDT で、新しいデプロイ共有を作成するか、既存のデプロイ共有を開きます。

    Invoke-MbamClientDeployment.ps1 PowerShell スクリプトは、任意のイメージング プロセスまたはツールで使用できます。 このセクションでは、MDT を使用して統合する方法を示しますが、手順は他のプロセスやツールとの統合に似ています。

    注意

    Windows PE で BitLocker の事前プロビジョニングを使用し、TPM 所有者の承認値を維持する場合は、インストールが完全な OS に再起動される直前に、Windows PE で SaveWinPETpmOwnerAuth.wsf スクリプトを追加する必要があります。 このスクリプトを使用しない場合は、再起動時に TPM 所有者の承認値が失われます。

  2. Invoke-MbamClientDeployment.ps1<DeploymentShare>\Scriptsにコピーします。 事前プロビジョニングを使用している場合は、 SaveWinPETpmOwnerAuth.wsf ファイルを <DeploymentShare>\Scripts にコピーします。

  3. デプロイ共有の [アプリケーション] ノードに MBAM 2.5 SP1 クライアント アプリケーションを追加します。

    1. [アプリケーション] ノード 、[ 新しいアプリケーション] を選択します。
    2. [ ソース ファイルを含むアプリケーション] を選択します[次へ] を選択します。
    3. [ アプリケーション名] に「MBAM 2.5 SP1 クライアント」と入力します。 [次へ] を選択します。
    4. MBAMClientSetup-<Version>.msiを含むディレクトリを参照します。 [次へ] を選択します。
    5. 作成するディレクトリとして「MBAM 2.5 SP1 Client」と入力します。 [次へ] を選択します。
    6. コマンド ラインに「 msiexec /i MBAMClientSetup-<Version>.msi /quiet 」と入力します。 [次へ] を選択します。
    7. 残りの既定値をそのまま使用して、新しいアプリケーション ウィザードを完了します。

  4. MDT で、展開共有の名前を右クリックし、[プロパティ] を選択 します。 [ ルール ] タブを選択します。次の行を追加します。

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    [OK] を選択してウィンドウを閉じます。

  5. [タスク シーケンス] ノードで、Windows 展開に使用する既存のタスク シーケンスを編集します。 必要に応じて、[タスク シーケンス] ノードを右クリックし、[新しいタスク シーケンス ] を選択してウィザードを完了することで、 新しいタスク シーケンスを作成できます。

    選択した タスク シーケンスの [タスク シーケンス ] タブで、次の手順を実行します。

    1. [プレインストール] フォルダーで、使用領域のみを暗号化する WinPE で BitLocker を有効にする場合は、省略可能なタスク [BitLocker (オフライン)] を有効にします。

    2. 事前プロビジョニングを使用するときに TPM OwnerAuth を保持し、後で MBAM でエスクローできるようにするには、次の操作を行います。

      1. オペレーティング システムのインストール手順を見つける

      2. その後に新しい コマンド ラインの実行 ステップを追加する

      3. [TPM OwnerAuth を永続化する] ステップに名前を付けます

      4. コマンド ラインを に設定します。 cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 TPM をプロビジョニングするとき、Windows は TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード」を参照してください。

    3. [状態の復元] フォルダーで、[BitLocker を有効にする] タスクを削除します。

    4. [カスタム タスク] の [状態の復元] フォルダーで、新しい [アプリケーションのインストール] タスクを作成し、[MBAM エージェントのインストール] という名前を付けます。 [ 単一アプリケーションのインストール ] ラジオ ボタンを選択し、先ほど作成した MBAM 2.5 SP1 クライアント アプリケーションを参照します。

    5. [ 状態の復元 ] フォルダーの [ カスタム タスク] で、次の設定を使用して (MBAM 2.5 SP1 クライアント アプリケーション ステップの後に) 新しい PowerShell スクリプトの実行 タスクを作成します (環境に応じてパラメーターを更新します)。

      • 名前: MBAM 用に BitLocker を構成する

      • PowerShell スクリプト: Invoke-MbamClientDeployment.ps1

      • パラメーター:

        パラメーター 要件 説明
        -RecoveryServiceEndpoint 必須 MBAM 回復サービス エンドポイント。
        -StatusReportingServiceEndpoint 省略可能 MBAM 状態レポート サービス エンドポイント。
        -EncryptionMethod 省略可能 暗号化方法 (既定値: AES 128)。
        -EncryptAndEscrowDataVolume スイッチ データ ボリュームとエスクロー データ ボリューム回復キーを暗号化するには、 を指定します。
        -WaitForEncryptionToComplete スイッチ 暗号化が完了するまで待機するように指定します。
        -DoNotResumeSuspendedEncryption スイッチ デプロイ スクリプトが一時停止された暗号化を再開しないように指定します。
        -IgnoreEscrowOwnerAuthFailure スイッチ TPM 所有者認証エスクローエラーを無視するように指定します。 これは、MBAM が TPM 所有者認証を読み取ることができないシナリオで使用する必要があります。たとえば、TPM の自動プロビジョニングが有効になっている場合などです。
        -IgnoreEscrowRecoveryKeyFailure スイッチ ボリューム回復キーエスクローエラーを無視するように指定します。
        -IgnoreReportStatusFailure スイッチ 状態報告エラーを無視するように指定します。

Windows 展開の一部として MBAM 2.5 以前を使用して BitLocker を有効にするには

  1. MBAM クライアントをインストールします。 手順については、「 コマンド ラインを使用して MBAM クライアントをデプロイする方法」を参照してください。

  2. コンピューターをドメインに参加させる (推奨)。

    • コンピューターがドメインに参加していない場合、回復パスワードは MBAM Key Recovery サービスに格納されません。 既定では、MBAM では、回復キーを格納できない限り、暗号化の実行は許可されません。

    • 回復キーが MBAM サーバーに格納される前にコンピューターが回復モードで起動する場合、回復方法は使用できません。コンピューターを再イメージ化する必要があります。

  3. 管理者としてコマンド プロンプトを開き、MBAM サービスを停止します。

  4. 次のコマンドを入力して、サービスを [手動] または [オンデマンド ] に設定します。

    net stop mbamagent

    sc config mbamagent start= demand

  5. MBAM クライアントがグループ ポリシー設定を無視するようにレジストリ値を設定し、代わりに Windows がそのクライアント コンピューターに展開された時刻に暗号化を設定します。

    注意

    この手順では、Windows レジストリを変更する方法について説明します。 レジストリ エディターを誤って使用すると、Windows を再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの誤った使用に起因する問題を解決できることを保証することはできません。 レジストリ エディターは自己責任で使用してください。

    1. オペレーティング システムのみの暗号化に TPM を設定し、Regedit.exe を実行してから、レジストリ キー テンプレートをC:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.regからインポートします。

    2. Regedit.exe で、[ HKLM\SOFTWARE\Microsoft\MBAM] に移動し、次の表に示す設定を構成します。

      MBAM に関連するグループ ポリシー設定またはレジストリ値は、こちらで設定できます。 これらの設定は、以前に設定した値をオーバーライドします。

      レジストリ エントリ 構成設定
      DeploymentTime 0 = Off
      1 = 展開時間ポリシー設定を使用する (既定値) - この設定を使用して、Windows がクライアント コンピューターに展開されるときに暗号化を有効にします。
      UseKeyRecoveryService 0 = キー エスクローを使用しないでください。 この場合、次の 2 つのレジストリ エントリは必要ありません。
      1 = Key Recovery システムでキー エスクローを使用する (既定値)
      この設定をお勧めします。これにより、MBAM で回復キーを格納できます。 コンピューターは MBAM Key Recovery サービスと通信できる必要があります。 続行する前に、コンピューターがサービスと通信できることを確認します。
      KeyRecoveryOptions 0 = 回復キーのアップロードのみ
      1 = 回復キーとキー回復パッケージをアップロードする (既定値)
      KeyRecoveryServiceEndPoint この値を、Key Recovery サービスを実行しているサーバーの URL (たとえば、 https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc) に設定します。

  6. MBAM クライアントは、MBAM クライアントのデプロイ中にシステムを再起動します。 この再起動の準備ができたら、管理者としてコマンド プロンプトで次のコマンドを実行します。

    net start mbamagent

  7. コンピューターが再起動し、BIOS からメッセージが表示されたら、TPM の変更を受け入れます。

  8. Windows クライアント オペレーティング システムのイメージング プロセス中に、暗号化を開始する準備ができたら、管理者としてコマンド プロンプトを開き、次のコマンドを入力して、開始を [自動] に設定し、MBAM クライアント エージェントを再起動します。

    sc config mbamagent start= auto

    net start mbamagent

  9. バイパス レジストリ値を削除するには、Regedit.exe を実行し、 HKLM\SOFTWARE\Microsoft レジストリ エントリに移動します。 MBAM ノードを右クリックし、[削除] を選択します

MBAM 2.5 クライアントのデプロイ

MBAM 2.5 クライアント展開の計画