MBAM 2.5 SP1 の概要

適用対象: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1 には、BitLocker ドライブ暗号化機能を管理する使いやすいインターフェイスが搭載されています。また、紛失または盗難されたコンピューターのデータの盗難や流出に対する保護が強化されています。BitLocker は、Windows オペレーティング システムとドライブ、および構成されたデータ ドライブに保存されているすべてのデータを暗号化します。

MBAM の概要

MBAM 2.5 SP1 には次の機能があります。

• 社内のクライアント コンピューター上のボリュームを暗号化するプロセスを管理者が自動化できます。

• 個々のコンピューターの準拠状態から全社的な準拠状態までセキュリティ責任者がすばやく特定できます。

• Microsoft System Center Configuration Manager によってレポートとハードウェアの管理を一元化できます。

• エンド ユーザーからの BitLocker の PIN や回復キーに関する要求をサポートするヘルプ デスクのワークロードを軽減します。

• 暗号化されたデバイスをエンド ユーザーがセルフサービス ポータルを使い独力で回復できます。

• 回復キーの情報に対するアクセスをセキュリティ責任者が容易に監査できます。

• Windows Enterprise のユーザーが外出先で仕事をするときも、会社のデータを確実に保護することができます。

MBAM は、会社用に設定した BitLocker 暗号化ポリシーのオプションを実行し、クライアント コンピューターがそのポリシーに準拠していることを監視して、会社全体と個々のコンピューターについて暗号化の状態をレポートします。さらに、MBAM を使用すると、ユーザーがパスワードや暗証番号 (PIN) を忘れたり、BIOS やブート レコードが変わったりしたときに必要な回復キー情報にアクセスすることもできます。

次のようなグループに、MBAM を使用して BitLocker を管理することをお勧めします。

• 機密データが不正に流出することを防ぐ責任を負う管理者、IT セキュリティの専門家、および法令遵守責任者

• リモートまたは支店のコンピューターのセキュリティの責任を負う管理者

• Windows を実行しているクライアント コンピューターの責任を負う管理者

MBAM 2.5 SP1 の新機能

ここでは、MBAM 2.5 SP1 の新機能について説明します。

MBAM 2.5 SP1 Client で新しくサポートされた言語

MBAM 2.5 SP1 では、MBAM Client のみを対象に、次の言語サポートが新しく追加されました。セルフサービスポータルでもサポートされます。

• チェコ語 (チェコ共和国) cs-CZ

• デンマーク語 (デンマーク) da-DK

• オランダ語 (オランダ) nl-NL

• フィンランド語 (フィンランド) fi-FI

• ギリシャ語 (ギリシャ) el-GR

• ハンガリー語 (ハンガリー) hu-HU

• ノルウェー語、ブークモール (ノルウェー) nb-NO

• ポーランド語 (ポーランド) pl-PL

• ポルトガル語 (ポルトガル) pt-PT

• スロバキア語 (スロバキア) sk-SK

• スロベニア語 (スロベニア) sl-SL

• スウェーデン語 (スウェーデン) sv-SE

• トルコ語 (トルコ) tr-TR

MBAM 2.5 と MBAM 2.5 SP1 でクライアントとサーバーを対象にサポートされる全言語の一覧が必要な場合、「MBAM 2.5 がサポートされる構成」を参照してください。

Windows 10 のサポート

以前のバージョンの MBAM でサポートされていたソフトウェアに加え、MBAM 2.5 SP1 では新たに Microsoft 10 がサポートされます。

Windows 10 は MBAM 2.5 と MBAM 2.5 SP1 の両方でサポートされます。

Microsoft SQL Server 2014 SP1 のサポート

以前のバージョンの MBAM でサポートされていたソフトウェアに加え、MBAM 2.5 SP1 では新たに Microsoft SQL Server 2014 SP1 がサポートされます。

MBAM に別個の MSI が付属しない

MBAM 2.5 SP1 より、別個の MSI は MBAM 製品に含まれなくなります。ただし、製品に含まれている実行可能ファイル (.exe) から MSI を抽出できます。

MBAM では、TPM を所有しなくても、OwnerAuth パスワードをエスクローできる

以前は、MBAM は TPM を所有せず、TPM OwnerAuth を MBAM データベースにエスクローできませんでした。TPM を所有し、パスワードを保存するように MBAM を設定するには、TPM 自動プロビジョニングを無効にし、クライアント コンピューターの TPM を消去する必要がありました。

Windows 8 以降では、MBAM 2.5 SP1 は TPM を所有しなくても OwnerAuth パスワードをエスクローできるようになりました。サービスの起動中、MBAM は TPM が所有されているか確認し、所有されていれば、オペレーティング システムからパスワードを要求します。パスワードは MBAM データベースにエスクローされます。さらに、OwnerAuth がローカルで削除されることを防ぐためにグループ ポリシーを設定する必要があります。

Windows 7 の場合、MBAM は TPM を所有し、MBAM データベースの TPM OwnerAuth 情報を自動エスクローする必要があります。MBAM が TPM を所有せず、TPM の Active Directory (AD) バックアップがグループ ポリシーを介して構成される場合、MBAM Active Directory (AD) データ インポート コマンドレットを使用し、AD から MBAM データベースに TPM OwnerAuth をコピーする必要があります。これらは Active Directory に保存されているボリューム回復と TPM 所有者の情報を MBAM データベースに事前入力する 5 つの新しい PowerShell コマンドレットです。

詳細については、「Configure MBAM to escrow the TPM and store OwnerAuth passwords」をご覧ください。

MBAM は、ロックアウト後、TPM のロックを自動的に解除する

これで、TPM 1.2 を実行するコンピューターで、ロックアウトの発生時に TPM のロックを自動的に解除するように MBAM を構成できます。TPM ロックアウトの自動リセット機能が有効になっている場合、MBAM はユーザーがロックアウトされていることを検出し、ユーザーに代わって MBAM データベースから OwnerAuth パスワードを取得し、TPM のロックを自動解除できます。

この機能はクライアント側で有効にし、かつ、サーバー側のグループ ポリシーで有効にする必要があります。詳細については、「Configure MBAM to automatically unlock the TPM after a lockout」をご覧ください。

FIPS 準拠 BitLocker 数字パスワード保護機能のサポート

MBAM 2.5 では、Windows 8.1 オペレーティング システムを実行するデバイスでは、Federal Information Processing Standard (FIPS) に準拠した BitLocker 回復キーのサポートが追加されました。ただし、Windows では、Windows 7 で FIPS 準拠の回復キーは実装されませんでした。そのため、Windows 7 デバイスと Windows 8 デバイスでは、回復にデータ回復エージェント (DRA) 保護機能を引き続き必要とします。

Windows チームは修正プログラムで FIPS 準拠の回復キーをバックポートしました。MBAM 2.5 SP1 ではそのサポートも追加しています。

組織内で FIPS 準拠を徹底するためには、Federal Information Processing Standard (FIPS) グループ ポリシーの設定が不可欠です。構成手順については、「BitLocker Group Policy Settings (BitLocker グループ ポリシー設定)」をご覧ください。

新しいグループ ポリシー設定でプリブートの回復メッセージと URL をカスタマイズする

新しいグループ ポリシー設定の [プリブート回復メッセージと URL を構成する] では、カスタムの回復メッセージを構成したり、OS ドライブのロック時にプリブート BitLocker 回復画面に表示される URL を指定したりできます。この設定は、Windows 10 を搭載するクライアント コンピューターでのみ使用できます。

このポリシー設定を有効にした場合、プリブート回復メッセージに次のオプションのいずれかを選択できます。

• [カスタム回復メッセージを使用する]:プリブート BitLocker 回復画面にカスタム メッセージを追加するにはこのオプションを選択します。

• [カスタム回復 URL を使用する]:プリブート BitLocker 回復画面に表示する既定の URL を置換するにはこのオプションを選択します。

• [既定の回復メッセージと URL を使用する]:プリブート BitLocker 回復画面に既定の BitLocker 回復メッセージと URL を表示するにはこのオプションを選択します。以前にカスタムの回復メッセージまたは URL を構成したが、既定のメッセージに戻す場合、このポリシーを有効にし、このオプションを選択する必要があります。

新しいグループ ポリシー設定は、次の GPO ノードにあります。[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [MDOP (BitLocker Management)] > [オペレーティング システム ドライブ]。詳細については、「MBAM 2.5 グループ ポリシー要件の計画」をご覧ください。

MBAM では使用領域暗号化のサポートが追加

MBAM 2.5 SP1 では、BitLocker のグループ ポリシーで使用領域暗号化を有効にすると、MBAM クライアントはそれに従います。

このグループ ポリシー設定は [オペレーティング システム ドライブに特定の種類のドライブ暗号化を適用する] という名前で、次の GPO ノードにあります。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブの暗号化] > [オペレーティング システムのドライブ]。このポリシーを有効にし、暗号化の種類として [使用領域のみの暗号化] を選択した場合、MBAM はポリシーに従って、BitLocker はボリューム上で使用されているディスク領域のみを暗号化します。

詳細については、「MBAM 2.5 グループ ポリシー要件の計画」をご覧ください。

暗号化ハード ドライブにおける MBAM クライアントのサポート

MBAM では、Opal と IEEE 1667 標準に対する TCG の仕様要件を満たす暗号化ハード ドライブの BitLocker をサポートします。これらのデバイスで BitLocker が有効な場合、キーを生成して暗号化されたドライブで管理機能を実行します。詳細については、「Encrypted Hard Drive (暗号化ハード ドライブ)」をご覧ください。

SPN の登録時に委任構成は不要に

MBAM 2.5 SP1 では、アプリケーション プール アカウントに登録する SPN の制約付き委任を構成する必要がなくなりました。ただし、MBAM 2.5 の場合、引き続き必須要件となります。

Windows 展開の一部として MBAM を使用し、BitLocker を有効にする

MBAM 2.5 SP1 では、PowerShell スクリプトを使用し、BitLocker ドライブ暗号化を構成し、回復キーを MBAM サーバーにエスクローできます。

詳細については、「Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法」をご覧ください。

セルフサービス ポータルを PowerShell または SSP カスタマイズ ウィザードを使用してカスタマイズ可能

MBAM 2.5 SP1 より、カスタマイズ ウィザードや PowerShell を利用してセルフサービス ポータルを構成できます。「MBAM 2.5 Web アプリケーションを構成する方法」をご覧ください。

Web ブラウザーが意図せず管理者として実行されることがなくなる

MBAM 2.5 のある問題により、サーバー構成ツールのヘルプ リンクをクリックすると、ブラウザー ウィンドウが管理者特権で開きました。この問題は MBAM 2.5 SP1 で解消されました。

CDN にアクセスできないとき、セルフサービス ポータルを構成するために JavaScript ファイルをダウンロードする必要がなくなる

MBAM 2.5 以前は、セルフサービス ポータルにアクセスするクライアントでインターネット アクセスがない場合、セルフサービス ポータルの構成に必要な jQuery ファイルを CDN から事前にダウンロードする必要がありました。MBAM 2.5 SP1 では、すべての JavaScript ファイルが製品に含まれ、ダウンロードの必要がなくなりました。

レポート ビルダー 3.0 でレポートを開くことができます。

MBAM 2.5 SP1 では、レポートが最新のレポート定義言語スキーマに更新されました。レポート ビルダー 3.0 でレポートを開いてカスタマイズし、すぐに保存できます。レポート ファイルを壊すことがありません。

新しい PowerShell コマンドレット

MBAM 2.5 SP1 の新しい PowerShell コマンドレットを利用し、データベース、レポート、Web アプリケーションなど、さまざまな MBAM 機能を構成し、管理できます。それぞれの機能には、対応する PowerShell コマンドレットがあり、それらのコマンドレットを使って機能の有効/無効を切り替えたり、機能に関する情報を入手したりすることができます。

次のコマンドレットが MBAM 2.5 SP1 に実装されました。

• Write-MbamTpmInformation

• Write-MbamRecoveryInformation

• Read-ADTpmInformation

• Read-ADRecoveryInformation

• Write-MbamComputerUser

MBAM 2.5 SP1 では、次のパラメーターが Enable-MbamWebApplication コマンドレットと Test-MbamWebApplication コマンドレットに実装されました。

• DataMigrationAccessGroup

• TpmAutoUnlock

コマンドレットの詳細については、「MBAM 2.5 のセキュリティ上の考慮事項」と「Microsoft Bitlocker の管理と監視のコマンドレットのヘルプ」を参照してください。

MBAM エージェントがプレゼンテーション モードを検出

MBAM エージェントはコンピューターがプレゼンテーション モードになったことを検出し、その時点で MBAM UI の呼び出しを回避します。

遅延開始を利用するように MBAM エージェント サービスが構成された

インストールが完了すると、このサービスは遅延開始を使用するように MBAM エージェント サービスを設定し、Windows の起動にかかる時間を短縮します。

「固定データがロックされた」ボリュームが「準拠」としてレポートされる

「固定データがロックされた」ボリュームの準拠性計算ロジックがこのボリュームを「準拠」としてレポートするように変更されました。ただし、保護機能の状態と暗号化の状態が「不明」となり、準拠状態の詳細が「ボリュームはロックされています」になります。以前、ロックされたボリュームは「非準拠」として、保護機能の状態は「暗号化」として、暗号化の状態は「不明」、準拠状態の詳細は「不明エラー」としてレポートされていました。

MDOP テクノロジを入手する方法

MBAM は、Microsoft Desktop Optimization Pack (MDOP) に含まれています。MDOP は、マイクロソフト ソフトウェア アシュアランス プログラムの一部です。マイクロソフト ソフトウェア アシュアランス プログラムの詳細および MDOP を取得する方法については、「How Do I Get MDOP? (MDOP を取得する方法)」をご覧ください。

MBAM 2.5 SP1 リリース ノート

詳細情報とこのドキュメントに記載されていない最新情報については、「MBAM 2.5 SP1 のリリース ノート」をご覧ください。

MBAM への提案はございますか。

こちらから提案を追加するか、提案に投票してください。MBAM の問題については、「MBAM に関する TechNet フォーラム」を利用してください。

関連項目

概念

Microsoft BitLocker Administration and Monitoring 2.5

その他の参照情報

MBAM 2.5 をお使いになる前に