BitLocker 回復サービスについて

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2103 以降、復旧サービスの実装が変更されました。 従来の MBAM コンポーネントは使用されなくなりましたが、概念的には 復旧サービスと呼ばれています。 バージョン 2103 のすべてのクライアントは、管理ポイントの メッセージ処理エンジン コンポーネントを復旧サービスとして使用します。 セキュリティで保護されたクライアント通知チャネル経由で回復キーをエスクローします。 この変更により、拡張 HTTP のConfiguration Manager サイトを有効にすることができます。 この構成は、Configuration Managerでの BitLocker 管理の機能には影響しません。

サイトとクライアントの両方がバージョン 2103 以降Configuration Manager実行されている場合、クライアントは、セキュリティで保護されたクライアント通知チャネル経由で管理ポイントに回復キーを送信します。 バージョン 2010 以前のクライアントがある場合、キーをエスクローするには、管理ポイントで HTTPS 対応の復旧サービスが必要です。

BitLocker 回復サービスは、Configuration Manager クライアントから BitLocker 回復データを受信するサーバー コンポーネントです。 BitLocker 管理ポリシーを作成すると、サイトによって復旧サービスが展開されます。 Configuration Managerは、HTTPS が有効な Web サイトを使用して、各管理ポイントに復旧サービスを自動的にインストールします。

Configuration Managerは、復旧情報をサイト データベースに格納します。 BitLocker 管理暗号化証明書がない場合、Configuration Managerはキー回復情報をプレーン テキストで格納します。 詳細については、「 データベース内の復旧データを暗号化する」を参照してください。

バージョン 2010 以降では、クラウド管理ゲートウェイ (CMG) 経由で BitLocker ポリシーとエスクロー回復キーを管理できます。 ドメインに参加しているクライアントが CMG を介して通信する場合、レガシ復旧サービスは使用せず、管理ポイントのメッセージ処理エンジン コンポーネントを使用します。 ハイブリッド参加済みデバイスMicrosoft Entraは、メッセージ処理エンジンも使用します。

バージョン 2103 以降、サポートされているすべてのクライアントは、管理ポイントのメッセージ処理エンジン コンポーネントを復旧サービスとして使用します。 この変更により、レガシ MBAM コンポーネントへの依存関係が減り、 拡張 HTTP のサポートが可能になります。

注:

バージョン 2010 の場合、メッセージ処理エンジン チャネルは OS と固定ドライブ ボリュームのキーのみをエスクローします。 リムーバブル ドライブまたは TPM パスワード ハッシュの回復キーはサポートされていません。

バージョン 2103 以降、CMG に対する BitLocker 管理ポリシーでは、次の機能がサポートされています。

  • リムーバブル ドライブの回復キー
  • TPM パスワード ハッシュ (TPM 所有者の承認と呼ばれる)

キーを回転させる

セルフサービス ポータルまたはヘルプデスク ポータルを使用してキーを回復する場合、公開されているため、Configuration Managerはクライアントがキーをローテーションする必要があります。 キーのローテーションは、クライアントが BitLocker 回復用の新しいキーを生成することを意味します。 その後、新しいキーを 復旧サービスにエスクローします。

注:

MBAM から移行すると、デバイスが Configuration Manager から BitLocker 管理ポリシーを受け取ると、最初にキーがローテーションされます。 次に、新しいキーをConfiguration Manager回復サービスに送信します。

次の手順

MBAM からの移行

BitLocker レポートとポータルを設定する