MBAM 2.5 グループ ポリシー要件の計画
次の情報を使用して、エンタープライズ内の Microsoft BitLocker 管理および監視 (MBAM) クライアント コンピューターを管理するために使用できる BitLocker 保護機能の種類を決定します。
MBAM でサポートされる BitLocker 保護機能の種類
MBAM では、次の種類の BitLocker 保護機能がサポートされています。
| ドライブまたはボリュームの種類 | サポートされている BitLocker 保護機能 |
|---|---|
| オペレーティング システム ボリューム |
-
トラステッド プラットフォーム モジュール (TPM) - TPM + PIN - TPM + USB キー - MBAM がインストールされる前にオペレーティング システム ボリュームが暗号化されている場合にのみサポートされます - TPM + PIN + USB キー - MBAM がインストールされる前にオペレーティング システム ボリュームが暗号化されている場合にのみサポートされます - パスワード - Windows To Go デバイス、固定データ ドライブ、および TPM を持たない Windows 8、Windows 8.1、Windows 10 デバイスでのみサポートされます - 数値パスワード - ボリューム暗号化の一部として自動的に適用され、Windows 7 の FIPS モードを除いて構成する必要はありません - データ復旧エージェント (DRA) |
| 固定データ ドライブ |
-
パスワード - 自動ロック解除 - 数値パスワード - ボリューム暗号化の一部として自動的に適用され、Windows 7 の FIPS モードを除いて構成する必要はありません - データ復旧エージェント (DRA) |
| リムーバブル ドライブ |
-
パスワード - 自動ロック解除 - 数値パスワード - ボリューム暗号化の一部として自動的に適用され、構成する必要はありません - データ復旧エージェント (DRA) |
使用済み領域暗号化 BitLocker ポリシーのサポート
MBAM 2.5 SP1 で、BitLocker グループ ポリシーを使用した使用済み領域暗号化を有効にした場合、MBAM クライアントはそれを受け入れます。
このグループ ポリシー設定は、 オペレーティング システム ドライブにドライブ暗号化の種類を適用 すると呼ばれ、次の GPO ノードにあります: コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブの暗号化>オペレーティング システム ドライブ。 このポリシーを有効にし、暗号化の種類を [使用領域のみ暗号化] として選択した場合、MBAM はポリシーを受け入れ、BitLocker はボリュームで使用されているディスク領域のみを暗号化します。
MBAM グループ ポリシー テンプレートを取得し、設定を編集する方法
必要な MBAM グループ ポリシー設定を構成する準備ができたら、次の手順を実行します。
MDOP グループ ポリシー テンプレートから MBAM グループ ポリシー テンプレート をコピーし、グループ ポリシー管理コンソール (GPMC) または詳細グループ ポリシー管理 (AGPM) を実行できるコンピューターにインストールします。 詳細については、「 MBAM 2.5 グループ ポリシー テンプレートのコピー」を参照してください。
エンタープライズで使用するグループ ポリシー設定を構成します。 詳細については、「 MBAM 2.5 グループ ポリシー設定の編集」を参照してください。
MBAM グループ ポリシー設定の説明
MDOP MBAM (BitLocker Management) GPO ノードには、4 つのグローバル ポリシー設定と 4 つの子 GPO ノード (クライアント管理、固定ドライブ、オペレーティング システム ドライブ、リムーバブル ドライブ) が含まれています。 次のセクションでは、MBAM グループ ポリシー設定の設定について説明し、推奨します。
重要
BitLocker ドライブ暗号化ノードのグループ ポリシー設定を変更しないでください。または MBAM が正しく機能しません。 MBAM は、MDOP MBAM (BitLocker Management) ノードで設定を構成するときに、このノードの設定を自動的に構成します。
グローバル グループ ポリシー定義
このセクションでは、次の GPO ノードの MBAM グローバル グループ ポリシー定義について説明します。 コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management))。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
| ドライブ暗号化方法と暗号強度を選択する |
推奨される構成:有効 特定の暗号化方法と暗号強度を使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、BitLocker は既定の暗号化方法 AES 128 ビットとディフューザーを使用します。 注: BitLocker コンピューターコンプライアンス レポートに関する問題により、既定値を使用している場合でも、暗号強度が "不明" と表示されます。 この問題を回避するには、この設定を有効にし、暗号強度の値を設定してください。 - ディフューザー付き AES 128 ビット - Windows 7 のみ - Windows 8、Windows 8.1、Windows 10、および Windows 11 用の AES 128 |
| 再起動時にメモリの上書きを防ぐ |
推奨される構成:未構成 再起動時にメモリ内の BitLocker シークレットを上書きせずに再起動のパフォーマンスを向上させるには、このポリシーを構成します。 このポリシーが構成されていない場合、コンピューターの再起動時に BitLocker シークレットがメモリから削除されます。 |
| スマート カード証明書の使用規則を検証する |
推奨される構成:未構成 スマートカード証明書ベースの BitLocker 保護を使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、証明書を指定するために既定のオブジェクト識別子 1.3.6.1.4.1.311.67.1.1 が使用されます。 |
| 組織の一意の識別子を指定する |
推奨される構成:未構成 証明書ベースのデータ復旧エージェントまたは BitLocker To Go リーダーを使用するようにこのポリシーを構成します。 このポリシーが構成されていない場合、[ 識別 ] フィールドは使用されません。 会社で高いセキュリティ測定が必要な場合は、[ 識別 ] フィールドを構成して、すべての USB デバイスにこのフィールドが設定されていること、およびこのグループ ポリシー設定と一致していることを確認できます。 |
クライアント管理グループ ポリシーの定義
このセクションでは、次の GPO ノードの MBAM のクライアント管理ポリシー定義について説明します。 コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management)>Client Management)。
スタンドアロンおよび System Center Configuration Manager 統合トポロジに対して同じグループ ポリシー設定を設定できます。ただし、次の表に示すように、Configuration Manager 統合トポロジを使用している場合は、[ MBAM サービスの構成] > MBAM 状態レポート サービス エンドポイント の設定を無効にします。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
| MBAM サービスを構成する |
推奨される構成:有効 - MBAM 回復およびハードウェア サービス エンドポイント: この設定を使用して、MBAM クライアント BitLocker 暗号化管理を有効にします。 次の例のようなエンドポイントの場所を入力します。 http(s)://<MBAM 管理と監視サーバー名>:< Web サービスがバインドされているポート>/MBAMRecoveryAndHardwareService/CoreService.svc。 - 保存する BitLocker 回復情報を選択します。このポリシー設定を使用すると、BitLocker 回復情報をバックアップするようにキー回復サービスを構成できます。 また、レポートを収集するための状態レポート サービスを構成することもできます。 このポリシーは、重要な情報がないためにデータが失われるのを防ぐために、BitLocker によって暗号化されたデータを回復する管理方法を提供します。 状態レポートとキー回復アクティビティは、構成済みのレポート サーバーの場所に自動的かつサイレントで送信されます。 このポリシー設定を構成しない場合、または無効にした場合、キー回復情報は保存されず、状態レポートとキー回復アクティビティはサーバーに報告されません。 この設定が [回復パスワードとキー パッケージ] に設定されている場合、回復パスワードとキー パッケージは自動的に自動的に、構成されたキー回復サーバーの場所にサイレント バックアップされます。 - クライアント チェック状態の頻度を分単位で入力する: このポリシー設定は、クライアント コンピューターで BitLocker 保護ポリシーと状態をクライアントがチェックする頻度を管理します。 このポリシーは、クライアント コンプライアンス状態がサーバーに保存される頻度も管理します。 クライアントは、クライアント コンピューターの BitLocker 保護ポリシーと状態を確認し、構成された頻度でクライアント回復キーもバックアップします。 この頻度は、コンピューターのコンプライアンス状態を確認する頻度と、クライアント回復キーをバックアップする頻度について、会社が設定した要件に基づいて設定します。 - MBAM 状態レポート サービス エンドポイント: - スタンドアロン トポロジの MBAM の場合: MBAM クライアント BitLocker 暗号化管理を有効にするには、この設定を構成する必要があります。 次の例のようなエンドポイントの場所を入力します。 http(s)://<MBAM 管理と監視サーバー名>:< Web サービスがバインドされているポート>/MBAMComplianceStatusService/StatusReportingService.svc。 - Configuration Manager 統合トポロジの MBAM の場合: この設定を無効にします。 |
| ユーザー除外ポリシーを構成する |
推奨される構成:未構成 このポリシー設定を使用すると、BitLocker 暗号化の除外を要求するようにユーザーに指示する Web サイトのアドレス、電子メール アドレス、または電話番号を構成できます。 このポリシー設定を有効にし、Web サイトのアドレス、電子メール アドレス、または電話番号を指定すると、BitLocker 保護の除外を申請する方法に関する手順が表示されるダイアログ ボックスが表示されます。 ユーザーに対して BitLocker 暗号化の除外を有効にする方法の詳細については、「ユーザー の BitLocker 暗号化の除外を管理する方法」を参照してください。 このポリシー設定を無効にするか、構成しなかった場合、除外要求の指示はユーザーに表示されません。 注: ユーザーの除外は、コンピューターごとにではなく、ユーザーごとに管理されます。 複数のユーザーが同じコンピューターにサインインし、1 人のユーザーが除外されていない場合、コンピューターは暗号化されます。 |
| カスタマー エクスペリエンス向上プログラムを構成する |
推奨される構成:有効 このポリシー設定を使用すると、MBAM ユーザーがカスタマー エクスペリエンス向上プログラムに参加する方法を構成できます。 このプログラムは、コンピューターのハードウェアとユーザーが作業を中断せずに MBAM を使用する方法に関する情報を収集します。 この情報は、Microsoft が改善する MBAM 機能を特定するのに役立ちます。 Microsoft では、この情報を使用して MBAM ユーザーを特定したり、連絡したりすることはありません。 このポリシー設定を有効にすると、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できます。 このポリシー設定を無効にした場合、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できません。 このポリシー設定を構成しない場合、ユーザーはカスタマー エクスペリエンス向上プログラムに参加できます。 |
| [セキュリティ ポリシー] リンクの URL を指定します |
推奨される構成:有効 このポリシー設定を使用して、エンド ユーザーに表示される URL を "会社のセキュリティ ポリシー" という名前のリンクとして指定します。リンクは、会社の内部セキュリティ ポリシーを指し示し、エンド ユーザーに暗号化要件に関する情報を提供します。 このリンクは、ユーザーが MBAM からドライブを暗号化するように求められたときに表示されます。 このポリシー設定を有効にした場合は、[セキュリティ ポリシー] リンクの URL を構成できます。 このポリシー設定を無効にした場合、または構成しなかった場合、セキュリティ ポリシー リンクはユーザーに表示されません。 |
ドライブ グループ ポリシー定義を修正しました
このセクションでは、次の GPO ノードでの Microsoft BitLocker 管理と監視の固定ドライブ ポリシー定義について説明します: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management)>Fixed Drive。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
| 固定データ ドライブの暗号化設定 |
推奨される構成:有効 このポリシー設定を使用すると、固定データ ドライブを暗号化する必要があるかどうかを管理できます。 オペレーティング システム ボリュームを暗号化する必要がある場合は、[ 固定データ ドライブの自動ロック解除を有効にする] を選択します。 このポリシーを有効にする場合は、 固定データ ドライブの 自動アンロックを有効にするか、または使用する必要がない限り、[固定データ ドライブのパスワードの使用を構成する] ポリシーを無効にしないでください。 固定データ ドライブに autounlock を使用する必要がある場合は、暗号化するオペレーティング システム ボリュームを構成する必要があります。 このポリシー設定を有効にした場合、ユーザーはすべての固定データ ドライブを BitLocker 保護の下に配置する必要があり、データ ドライブは暗号化されます。 このポリシー設定を構成しない場合、ユーザーは固定データ ドライブを BitLocker 保護の下に配置する必要はありません。 固定データ ドライブが暗号化された後にこのポリシーを適用すると、MBAM エージェントは暗号化された固定データ ドライブの暗号化を解除します。 このポリシー設定を無効にした場合、ユーザーは固定データ ドライブを BitLocker 保護の下に配置できません。 |
| BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する |
推奨される構成:未構成 このポリシー設定は、固定データ ドライブをコンピューター上で書き込み可能にするために BitLocker 保護が必要かどうかを決定します。 このポリシー設定は、BitLocker をオンにするときに適用されます。 ポリシーが構成されていない場合、コンピューター上のすべての固定データ ドライブが読み取り/書き込みアクセス許可でマウントされます。 |
| 以前のバージョンの Windows から BitLocker で保護された固定ドライブへのアクセスを許可する |
推奨される構成:未構成 このポリシーを有効にすると、FAT ファイル システムを持つ固定ドライブのロックを解除し、Windows Server 2008、Windows Vista、SP3 の Windows XP、または SP2 で Windows XP を実行しているコンピューターで表示できます。 ポリシーが有効になっているか未構成の場合、FAT ファイル システムでフォーマットされた固定ドライブのロックを解除し、そのコンテンツを Windows Server 2008、Windows Vista、Windows XP WITH SP3、または SP2 で Windows XP を実行しているコンピューターで表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブに対する読み取り専用アクセス許可があります。 ポリシーが無効になっている場合、FAT ファイル システムでフォーマットされた固定ドライブのロックを解除することはできません。また、Windows Server 2008、Windows Vista、Windows XP と SP3、または SP2 を使用する Windows XP を実行しているコンピューターでは、そのコンテンツを表示できません。 |
| 固定ドライブのパスワードの使用を構成する |
推奨される構成:未構成 このポリシーを使用して、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定します。 このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 BitLocker を使用すると、ユーザーはドライブで使用可能な保護機能を使用してドライブのロックを解除できます。 これらの設定は、ボリュームのロックを解除するときではなく、BitLocker をオンにするときに適用されます。 このポリシー設定を無効にした場合、ユーザーはパスワードの使用を許可されません。 ポリシーが構成されていない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 セキュリティを強化するには、このポリシーを有効にし、[ 固定データ ドライブにパスワードを要求する] を選択し、[ パスワードの複雑さを要求する] を選択し、必要な 最小パスワード長 を設定します。 このポリシー設定を無効にした場合、ユーザーはパスワードの使用を許可されません。 このポリシー設定を構成しない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 |
| BitLocker で保護された固定ドライブを回復する方法を選択する |
推奨される構成:未構成 BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存するように、このポリシーを構成します。 ポリシーが構成されていない場合、BitLocker データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM では、回復情報を AD DS にバックアップする必要はありません。 |
| 暗号化ポリシーの適用設定 |
推奨される構成:有効 このポリシー設定を使用して、固定データ ドライブが MBAM ポリシーに強制的に準拠するまで非準拠のままでいられる日数を構成します。 ユーザーは、猶予期間後に必要なアクションを延期したり、除外を要求したりすることはできません。 猶予期間は、固定データ ドライブが非準拠であると判断されたときに開始されます。 ただし、固定データ ドライブ ポリシーは、オペレーティング システム ドライブが準拠するまで適用されません。 猶予期間の有効期限が切れ、固定データ ドライブがまだ準拠していない場合、ユーザーは延期または除外を要求するオプションがありません。 暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を提供するまで閉じることができないダイアログ ボックスが表示されます。 オペレーティング システム ドライブの猶予期間が切れた直後に暗号化プロセスを強制的に開始するように固定ドライブの非準拠猶予期間日数を構成するに「0」と入力します。 この設定を無効にした場合、または構成しなかった場合、ユーザーは MBAM ポリシーに準拠することを強制されません。 保護機能を追加するためにユーザーの操作が必要ない場合は、猶予期間の有効期限が切れた後、バックグラウンドで暗号化が開始されます。 |
オペレーティング システム ドライブ グループ ポリシーの定義
このセクションでは、次の GPO ノードでの Microsoft BitLocker 管理と監視のオペレーティング システム ドライブ ポリシー定義について説明します: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management)>システム ドライブの操作。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
| オペレーティング システム ドライブの暗号化設定 |
推奨される構成:有効 このポリシー設定を使用すると、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。 セキュリティを強化するには、TPM + PIN 保護機能を使用して有効にするときに、 System>Power Management>Sleep Settings で次のポリシー設定を無効にすることを検討してください。
互換性のある TPM を持つコンピューターでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を必要とすることもできます。 このポリシー設定を有効にした場合、ユーザーはオペレーティング システム ドライブを BitLocker 保護の下に置く必要があり、ドライブは暗号化されます。 このポリシーを無効にした場合、ユーザーはオペレーティング システム ドライブを BitLocker 保護の下に配置できません。 オペレーティング システム ドライブの暗号化後にこのポリシーを適用すると、ドライブは暗号化解除されます。 このポリシーを構成しない場合は、オペレーティング システム ドライブを BitLocker 保護の下に配置する必要はありません。 |
| 起動時に拡張 PIN を許可する |
推奨される構成:未構成 このポリシー設定を使用して、拡張スタートアップ PIN を BitLocker で使用するかどうかを構成します。 拡張スタートアップ PIN を使用すると、大文字と小文字、記号、数字、スペースなどの文字を使用できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN セットを使用すると、エンド ユーザーは拡張 PIN を作成できるようになります。 ただし、すべてのコンピューターがプレブート環境で拡張 PIN をサポートできるわけではありません。 管理者は、使用を有効にする前に、システムがこの機能と互換性があるかどうかを評価することを強くお勧めします。 [ ASCII 専用 PIN が必要 ] チェック ボックスをオンにすると、拡張 PIN とプレブート環境で入力できる文字数を制限するコンピューターとの互換性が向上します。 このポリシー設定を無効にした場合、または構成しなかった場合、拡張 PIN は使用されません。 |
| BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する |
推奨される構成:未構成 BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存するように、このポリシーを構成します。 このポリシーが構成されていない場合、データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM 操作では、回復情報を AD DS にバックアップする必要はありません。 |
| オペレーティング システム ドライブのパスワードの使用を構成する |
推奨される構成:未構成 このポリシー設定を使用して、BitLocker で保護されたオペレーティング システム ドライブのロックを解除するために使用されるパスワードの制約を設定します。 オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワードをプロビジョニングし、パスワードに複雑さの要件を適用し、パスワードの最小長を構成できます。 複雑さの要件設定を有効にするには、[コンピューターの構成] > [Windows 設定] > [セキュリティ設定] > [アカウント ポリシー] > [パスワード ポリシー] にあるグループ ポリシー設定 [パスワードが複雑な要件を満たす必要があります] も有効にする必要があります。 手記: これらの設定は、ボリュームのロックを解除するときではなく、BitLocker をオンにするときに適用されます。 BitLocker を使用すると、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。 このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。 パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。 |
| BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する |
推奨される構成:未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。 大事な: このグループ ポリシー設定は、BIOS 構成を持つコンピューター、または互換性サービス モジュール (CSM) が有効になっている UEFI ファームウェアを持つコンピューターにのみ適用されます。 ネイティブ UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。 "ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する" グループ ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。 BitLocker をオンにする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker は既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。 |
| TPM プラットフォーム検証プロファイルを構成する |
推奨される構成:未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。 BitLocker をオンにする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。 |
| ネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する |
推奨される構成:未構成 このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。 このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護で BitLocker が既にオンになっている場合は適用されません。 大事な: このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューターにのみ適用されます。 BitLocker を有効にする前にこのポリシー設定を有効にした場合は、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。 BitLocker 保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターに BitLocker 回復コンソールが表示され、ドライブのロックを解除するには回復パスワードまたは回復キーを指定する必要があります。 このポリシー設定を無効にするか、構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルが使用されます。 |
| BitLocker の回復後にプラットフォーム検証データをリセットする |
推奨される構成:未構成 このポリシー設定を使用して、BitLocker 回復後に Windows を起動したときにプラットフォーム検証データを更新するかどうかを制御します。 このポリシー設定を有効にした場合、BitLocker の復旧後に Windows を起動すると、プラットフォーム検証データが更新されます。 このポリシー設定を無効にした場合、BitLocker の回復後に Windows を起動しても、プラットフォーム検証データは更新されません。 このポリシー設定を構成しない場合、BitLocker の回復後に Windows が起動すると、プラットフォーム検証データが更新されます。 |
| 拡張ブート構成データ検証プロファイルを使用する |
推奨される構成:未構成 このポリシー設定を使用すると、プラットフォームの検証中に検証する特定のブート構成データ (BCD) 設定を選択できます。 このポリシー設定を有効にした場合は、他の設定を追加するか、既定の設定を削除するか、またはその両方を削除できます。 このポリシー設定を無効にすると、コンピューターは、Windows 7 で使用される既定の BCD プロファイルと同様の BCD プロファイルに戻ります。 このポリシー設定を構成しない場合、コンピューターは既定の Windows BCD 設定を確認します。 手記: BitLocker でプラットフォームとブート構成データ (BCD) の整合性検証にセキュア ブートが使用されている場合は、"整合性検証のためにセキュア ブートを許可する" ポリシーで定義されている場合、[拡張ブート構成データ検証プロファイルの使用] ポリシーは無視されます。 ブート デバッグ (0x16000010) を制御する設定は常に検証され、指定されたフィールドに含まれている場合は効果がありません。 |
| 暗号化ポリシーの適用設定 |
推奨される構成:有効 このポリシー設定を使用して、ユーザーがオペレーティング システム ドライブの MBAM ポリシーへの準拠を延期できる日数を構成します。 猶予期間は、オペレーティング システムが最初に非準拠として検出されたときに開始されます。 この猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。 暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を提供するまで閉じることができないダイアログ ボックスが表示されます。 この設定を無効にした場合、または構成しなかった場合、ユーザーは MBAM ポリシーに準拠することを強制されません。 保護機能を追加するためにユーザーの操作が必要ない場合は、猶予期間の有効期限が切れた後、バックグラウンドで暗号化が開始されます。 |
| プレブート回復メッセージと URL を構成する |
推奨される構成:未構成 このポリシー設定を有効にして、カスタム回復メッセージを構成するか、OS ドライブがロックされているときにプリブート BitLocker 回復画面に表示される URL を指定します。 この設定は、Windows 11 と Windows 10 を実行しているクライアント コンピューターでのみ使用できます。 このポリシーが有効になっている場合は、プリブート回復メッセージに対して次のいずれかのオプションを選択できます。
|
リムーバブル ドライブ グループ ポリシー定義
このセクションでは、次の GPO ノードでの Microsoft BitLocker 管理と監視のリムーバブル ドライブ グループ ポリシー定義について説明します: コンピューターの構成>Policies>管理用テンプレート>Windows コンポーネント>MDOP MBAM (BitLocker Management)>移動可能ドライブ。
| ポリシー名 | 概要と推奨されるグループ ポリシー設定 |
|---|---|
| リムーバブル ドライブでの BitLocker の使用を制御する |
推奨される構成:有効 このポリシーは、リムーバブル データ ドライブでの BitLocker の使用を制御します。 [ リムーバブル データ ドライブに BitLocker 保護を適用することをユーザーに許可 する] を選択して、ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします。 [ リムーバブル データ ドライブの BitLocker の一時停止と暗号化解除をユーザーに許可 する] を選択すると、ユーザーはドライブから BitLocker ドライブの暗号化を削除したり、メンテナンスの実行中に暗号化を中断したりできます。 このポリシーを有効にし、[ ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用できるようにする] を選択すると、MBAM クライアントはリムーバブル ドライブに関する回復情報を MBAM キー回復サーバーに保存し、パスワードが失われた場合にドライブを回復できるようにします。 |
| BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する |
推奨される構成:未構成 BitLocker で保護されたドライブへの書き込みアクセス許可のみを許可するには、このポリシーを有効にします。 このポリシーを有効にすると、書き込みアクセス許可が許可される前に、コンピューター上のすべてのリムーバブル データ ドライブで暗号化が必要になります。 |
| 以前のバージョンの Windows から BitLocker で保護されたリムーバブル ドライブへのアクセスを許可する |
推奨される構成:未構成 このポリシーを有効にすると、FAT ファイル システムを持つ固定ドライブのロックが解除され、Windows Server 2008、Windows Vista、SP3 の Windows XP、または SP2 で Windows XP が実行されているコンピューターで表示できるようになります。 このポリシーが構成されていない場合、FAT ファイル システムでフォーマットされたリムーバブル ドライブは、Windows Server 2008、Windows Vista、Windows XP と SP3、または SP2 の Windows XP を実行しているコンピューターでロックを解除でき、そのコンテンツを表示できます。 これらのオペレーティング システムには、BitLocker で保護されたドライブに対する読み取り専用アクセス許可があります。 ポリシーが無効になっている場合、FAT ファイル システムでフォーマットされたリムーバブル ドライブのロックを解除することはできません。また、Windows Server 2008、Windows Vista、Windows XP と SP3、または SP2 を使用する Windows XP を実行しているコンピューターでは、そのコンテンツを表示できません。 |
| リムーバブル データ ドライブのパスワードの使用を構成する |
推奨される構成:未構成 リムーバブル データ ドライブでパスワード保護を構成するには、このポリシーを有効にします。 このポリシーが構成されていない場合、パスワードは既定の設定でサポートされます。パスワードの複雑さの要件は含まれていないため、必要な文字数は 8 文字のみです。 セキュリティを強化するには、このポリシーを有効にし、[ リムーバブル データ ドライブにパスワードを要求する] を選択し、[ パスワードの複雑さを要求する] を選択し、推奨される 最小パスワード長を設定します。 |
| BitLocker で保護されたリムーバブル ドライブを回復する方法を選択する |
推奨される構成:未構成 BitLocker データ復旧エージェントを有効にするか、BitLocker 回復情報を Active Directory Domain Services (AD DS) に保存するように、このポリシーを構成します。 [未構成] に設定すると、データ復旧エージェントは許可され、回復情報は AD DS にバックアップされません。 MBAM 操作では、回復情報を AD DS にバックアップする必要はありません。 |
関連記事
スタンドアロン トポロジおよび Configuration Manager 統合トポロジの MBAM 2.5 サーバー前提条件