MBAM 2.5 クライアント展開の計画
Microsoft BitLocker 管理および監視 (MBAM) クライアント ソフトウェアを展開するタイミングに応じて、ユーザーがコンピューターを受信する前または後で、organization内のコンピューターで BitLocker ドライブ暗号化を有効にすることができます。 MBAM スタンドアロントポロジと System Center Configuration Manager統合トポロジの両方で、MBAM のグループ ポリシー設定を構成する必要があります。
MBAM スタンドアロン トポロジを使用する場合は、エンタープライズ ソフトウェア展開システムを使用して、MBAM クライアント ソフトウェアをユーザー コンピューターに展開することをお勧めします。
Configuration Manager統合トポロジを使用して MBAM を展開する場合は、Configuration Managerを使用して、MBAM クライアント ソフトウェアをユーザー コンピューターに展開できます。 Configuration Managerでは、MBAM インストールによって、MBAM で管理できるコンピューターのコレクションが作成されます。 このコレクションには、トラステッド プラットフォーム モジュール (TPM) がないが、Windows 8、Windows 8.1、またはWindows 10が実行されているワークステーションとデバイスが含まれます。
コンピューターをユーザーに配布した後に BitLocker ドライブ暗号化を有効にする MBAM クライアントの展開
グループ ポリシーを構成した後は、Microsoft System Center Configuration Manager などのエンタープライズ ソフトウェア展開システム製品を使用するか、Active Directory Domain Servicesを使用して、MBAM クライアント インストールの Windows インストーラー ファイルをターゲット コンピューターに展開できます。 MBAM クライアントをデプロイするには、32 ビットまたは 64 ビットの MbamClientSetup.exe ファイルまたは MBAM クライアント ソフトウェアで提供される MBAMClient.msi ファイルを使用できます。
注
MBAM 2.5 SP1 以降では、別の MSI は MBAM 製品に含まれなくなりました。 ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。
コンピューターをクライアント コンピューターに配布した後で MBAM クライアントを展開すると、ユーザーはコンピューターの暗号化を求められます。 このアクションにより、MBAM は PIN とパスワード (ポリシーで必要な場合) を含むデータを収集し、暗号化プロセスを開始できます。
注
TPM チップがまだアクティブ化されていない場合、デバイスは TPM チップのアクティブ化と初期化をユーザーに求めます。
コンピューターをユーザーに配布する前に、MBAM クライアントを使用して BitLocker ドライブ暗号化を有効にする
コンピューターが一元的に受信および構成され、コンピューターに準拠した TPM チップがある組織では、MBAM クライアントを使用して、ユーザー データが書き込まれる前に、各コンピューターで BitLocker ドライブ暗号化を管理できます。 このプロセスの利点は、すべてのコンピューターが準拠していることです。 管理者がコンピューターを既に暗号化しているため、このメソッドはエンド ユーザーの操作に依存しません。 このシナリオの主な前提は、コンピューターがユーザーに配信される前に、organizationのポリシーによって企業の Windows イメージがインストールされるということです。
organizationが TPM チップを使用してコンピューターを暗号化する場合、管理者は TPM 保護機能を追加してコンピューターのオペレーティング システム ボリュームを暗号化します。 organizationで TPM チップと PIN 保護機能を使用する場合、管理者は TPM 保護機能を使用してオペレーティング システム ボリュームを暗号化し、ユーザーが初めてサインインするときに PIN を選択します。 organizationが PIN 保護機能のみを使用することを決定した場合、管理者は最初にボリュームを暗号化する必要はありません。 ユーザーがサインインすると、後でコンピューターを再起動するときに使用する PIN、または PIN とパスワードの入力を求めるメッセージが MBAM によって表示されます。
注
TPM 保護機能オプションでは、コンピューターがユーザーに配信される前に、管理者が BIOS プロンプトを受け入れて TPM をアクティブ化して初期化する必要があります。
暗号化されたハード ドライブに対する MBAM クライアントのサポート
MBAM では、Opal および IEEE 1667 標準の TCG 仕様要件を満たす暗号化ハード ドライブの BitLocker がサポートされています。 これらのデバイスで BitLocker を有効にすると、キーが生成され、暗号化されたドライブで管理機能が実行されます。 詳細については、「 暗号化されたハード ドライブ」を参照してください。