Windows 展開の一部として MBAM を使用して BitLocker を有効にする方法
重要
これらの手順は、Configuration Manager BitLocker 管理には関係ありません。 Invoke-MbamClientDeployment.ps1 PowerShell スクリプトは、Configuration Manager の BitLocker Management で使用するためにサポートされていません。 これには、Configuration Manager タスク シーケンス中の BitLocker 回復キーのエスクローが含まれます。
さらに、Configuration Manager バージョン 2103 以降、Configuration Manager BitLocker Management では、MBAM キー回復サービス サイトを使用してキーをエスクローすることがなくなりました。 Configuration Manager バージョン 2103 以降で Invoke-MbamClientDeployment.ps1 PowerShell スクリプトを使用しようとすると、Configuration Manager サイトで重大な問題が発生する可能性があります。 既知の問題には、ポリシー ストームを引き起こす可能性があるすべてのデバイスを対象とする大量のポリシーの作成が含まれます。 これにより、主に SQL と管理ポイントの Configuration Manager のパフォーマンスが大幅に低下します。 詳細については、「 MBAM エージェントを使用して BitLocker 回復キーをエスクローする」を参照すると、Configuration Manager バージョン 2103 で過剰なポリシーが生成されます。
Configuration Manager バージョン 2203 以降の BitLocker 管理では、タスク シーケンス中の BitLocker キーのエスクロー処理がネイティブにサポートされています。[BitLocker を有効にする] タスク シーケンス タスクでは、[回復キーを自動的に保存する] オプションを使用>Configuration Manager データベース。 詳細については、「 タスク シーケンス中のサイトへの BitLocker 回復パスワードのエスクロー」を参照してください。
また、スタンドアロン MBAM と Configuration Manager の統合は、Configuration Manager バージョン 1902 でのみサポートされていたことに注意してください。 Configuration Manager バージョン 1902 はサポート対象外であるため、スタンドアロン MBAM と、現在サポートされているバージョンの Configuration Manager を含む Invoke-MbamClientDeployment.ps1 PowerShell スクリプトはサポートされなくなりました。 詳細については、「 MBAM でサポートされる Configuration Manager のバージョン」を参照してください。 Configuration Manager でスタンドアロン MBAM を使用しているお客様は、 Configuration Manager BitLocker Management に移行する必要があります。
このトピックでは、Windows イメージングと展開プロセスの一部として MBAM を使用して、エンド ユーザーのコンピューターで BitLocker を有効にする方法について説明します。 再起動時 (インストール フェーズが終了した後) にドライブのロックを解除できないことを示す黒い画面が表示される場合は、「Windows 10 バージョン 1511 で BitLocker を事前プロビジョニングする」を使用している場合は、「Windows と Configuration Manager のセットアップ」の手順の後に以前のバージョンの Windows が起動しないに関するページを参照してください。
前提 条件:
既存の Windows イメージ展開プロセス (Microsoft Deployment Toolkit (MDT)、Microsoft System Center Configuration Manager、またはその他のイメージング ツールまたはプロセス) を配置する必要があります
BIOS で TPM を有効にし、OS に表示する必要があります
MBAM サーバー インフラストラクチャは、所定の場所にあり、アクセス可能である必要があります
BitLocker で必要なシステム パーティションを作成する必要があります
MBAM で BitLocker が完全に有効になる前に、マシンがイメージング中にドメインに参加している必要があります
Windows 展開の一部として MBAM 2.5 SP1 を使用して BitLocker を有効にするには
MBAM 2.5 SP1 では、Windows 展開中に BitLocker を有効にすることをお勧めします。これは、
Invoke-MbamClientDeployment.ps1PowerShell スクリプトを使用することです。Invoke-MbamClientDeployment.ps1スクリプトでは、イメージング プロセス中に BitLocker が適用されます。 BitLocker ポリシーで必要な場合、MBAM エージェントは、イメージ化後にドメイン ユーザーが最初にログオンしたときに、ドメイン ユーザーに PIN またはパスワードの作成をすぐに求めます。MDT、System Center Configuration Manager、またはスタンドアロン イメージング プロセスで使いやすい
PowerShell 2.0 以降と互換性がある
TPM キー 保護機能を使用して OS ボリュームを暗号化する
BitLocker の事前プロビジョニングを完全にサポート
必要に応じて FDD を暗号化する
Escrow TPM OwnerAuth Windows 7 の場合、エスクローを実行するには MBAM が TPM を所有している必要があります。 Windows 8.1、Windows 10 RTM、Windows 10 バージョン 1511 では、TPM OwnerAuth のエスクローがサポートされています。 Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 さらに、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード 」を参照してください。
Escrow 回復キーと回復キー パッケージ
暗号化の状態を直ちに報告する
新しい WMI プロバイダー
詳細なログ記録
堅牢なエラー処理
Invoke-MbamClientDeployment.ps1スクリプトは、ダウンロード センター Microsoft.com からダウンロードできます。 これは、デプロイ システムが呼び出して BitLocker ドライブの暗号化を構成し、MBAM サーバーで回復キーを記録するメイン スクリプトです。MBAM の WMI 展開方法: 次の WMI メソッドが MBAM 2.5 SP1 に追加され、
Invoke-MbamClientDeployment.ps1PowerShell スクリプトを使用した BitLocker の有効化がサポートされています。MBAM_MACHINE WMI クラスPrepareTpmAndEscrowOwnerAuth: TPM OwnerAuth を読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。 TPM が所有されておらず、自動プロビジョニングがオンでない場合は、TPM OwnerAuth が生成され、所有権が取得されます。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。
手記 Windows 10 バージョン 1607 以降の場合、TPM の所有権を取得できるのは Windows のみです。 さらに、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード 」を参照してください。
| パラメーター | 説明 |
|---|---|
| RecoveryServiceEndPoint | MBAM 回復サービス エンドポイントを指定する文字列。 |
一般的なエラー メッセージの一覧を次に示します。
| 一般的な戻り値 | エラー メッセージ |
|---|---|
| S_OK 0 (0x0) |
メソッドは成功しました。 |
| MBAM_E_TPM_NOT_PRESENT 2147746304 (0x80040200) |
TPM がコンピューターに存在しないか、BIOS 構成で無効になっています。 |
| MBAM_E_TPM_INCORRECT_STATE 2147746305 (0x80040201) |
TPM が正しい状態ではありません (有効、アクティブ化、所有者のインストールが許可されています)。 |
| MBAM_E_TPM_AUTO_PROVISIONING_PENDING 2147746306 (0x80040202) |
自動プロビジョニングが保留中であるため、MBAM は TPM の所有権を取得できません。 自動プロビジョニングが完了したら、もう一度お試しください。 |
| MBAM_E_TPM_OWNERAUTH_READFAIL 2147746307 (0x80040203) |
MBAM は TPM 所有者の承認値を読み取ることができません。 値は、エスクローが成功した後に削除された可能性があります。 Windows 7 では、TPM が他のユーザーによって所有されている場合、MBAM は値を読み取ることができません。 |
| MBAM_E_REBOOT_REQUIRED 2147746308 (0x80040204) |
TPM を正しい状態に設定するには、コンピューターを再起動する必要があります。 コンピューターを手動で再起動する必要がある場合があります。 |
| MBAM_E_SHUTDOWN_REQUIRED 2147746309 (0x80040205) |
TPM を正しい状態に設定するには、コンピューターをシャットダウンして電源を入れ直す必要があります。 コンピューターを手動で再起動する必要がある場合があります。 |
| WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
リモート エンドポイントによってアクセスが拒否されました。 |
| WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
リモート エンドポイントが存在しないか、見つかりませんでした。 |
| **WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
リモート エンドポイントが要求を処理できませんでした。 |
| WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
リモート エンドポイントに到達できませんでした。 |
| WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。 |
| WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) | エンドポイント アドレス URL が無効です。 URL は、"http" または "https" で始まる必要があります。 |
ReportStatus: ボリュームのコンプライアンス状態を読み取り、MBAM 状態レポート サービスを使用して MBAM コンプライアンス状態データベースに送信します。 状態には、暗号強度、保護機能の種類、保護機能の状態、暗号化状態が含まれます。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。
| パラメーター | 説明 |
|---|---|
| ReportingServiceEndPoint | MBAM 状態レポート サービス エンドポイントを指定する文字列。 |
一般的なエラー メッセージの一覧を次に示します。
| 一般的な戻り値 | エラー メッセージ |
|---|---|
| S_OK 0 (0x0) |
メソッドが成功しました |
| WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
リモート エンドポイントによってアクセスが拒否されました。 |
| WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
リモート エンドポイントが存在しないか、見つかりませんでした。 |
| WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
リモート エンドポイントが要求を処理できませんでした。 |
| WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
リモート エンドポイントに到達できませんでした。 |
| WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。 |
| WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) |
エンドポイント アドレス URL が無効です。 URL は、"http" または "https" で始まる必要があります。 |
MBAM_VOLUME WMI クラスEscrowRecoveryKey: ボリュームの回復数値パスワードとキー パッケージを読み取り、MBAM 回復サービスを使用して MBAM 回復データベースに送信します。 失敗した場合は、トラブルシューティングのためにエラー コードが返されます。
| パラメーター | 説明 |
|---|---|
| RecoveryServiceEndPoint | MBAM 回復サービス エンドポイントを指定する文字列。 |
一般的なエラー メッセージの一覧を次に示します。
| 一般的な戻り値 | エラー メッセージ |
|---|---|
| S_OK 0 (0x0) |
メソッドが成功しました |
| FVE_E_LOCKED_VOLUME 2150694912 (0x80310000) |
ボリュームがロックされています。 |
| FVE_E_PROTECTOR_NOT_FOUND 2150694963 (0x80310033) |
ボリュームの数値パスワード 保護機能が見つかりませんでした。 |
| WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005) |
リモート エンドポイントによってアクセスが拒否されました。 |
| WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D) |
リモート エンドポイントが存在しないか、見つかりませんでした。 |
| WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F) |
リモート エンドポイントが要求を処理できませんでした。 |
| WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010) |
リモート エンドポイントに到達できませんでした。 |
| WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013) |
エラーを含むメッセージがリモート エンドポイントから受信されました。 正しいサービス エンドポイントに接続していることを確認します。 |
| WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) |
エンドポイント アドレス URL が無効です。 URL は、"http" または "https" で始まる必要があります。 |
Microsoft Deployment Toolkit (MDT) と PowerShell を使用して MBAM をデプロイする
MDT で、新しいデプロイ共有を作成するか、既存のデプロイ共有を開きます。
手記
Invoke-MbamClientDeployment.ps1PowerShell スクリプトは、任意のイメージング プロセスまたはツールで使用できます。 このセクションでは、MDT を使用して統合する方法を示しますが、手順は他のプロセスやツールとの統合に似ています。注意 BitLocker 事前プロビジョニング (WinPE) を使用していて、TPM 所有者の承認値を維持する場合は、インストールが完全なオペレーティング システムに再起動する直前に、WinPE で
SaveWinPETpmOwnerAuth.wsfスクリプトを追加する必要があります。 このスクリプトを使用しない場合、再起動時に TPM 所有者の承認値が失われます。Invoke-MbamClientDeployment.ps1を <DeploymentShare>\Scripts にコピーします。 事前プロビジョニングを使用している場合は、SaveWinPETpmOwnerAuth.wsfファイルを <DeploymentShare>\Scripts にコピーします。デプロイ共有の [アプリケーション] ノードに MBAM 2.5 SP1 クライアント アプリケーションを追加します。
[アプリケーション] ノード の [ 新しいアプリケーション] をクリックします。
[ ソース ファイルを含むアプリケーション] を選択します。 [次へ] をクリックします。
[ アプリケーション名] に「MBAM 2.5 SP1 クライアント」と入力します。 [次へ] をクリックします。
MBAMClientSetup-<Version>.msiを含むディレクトリを参照します。 [次へ] をクリックします。作成するディレクトリとして「MBAM 2.5 SP1 Client」と入力します。 [次へ] をクリックします。
コマンド ラインに「
msiexec /i MBAMClientSetup-<Version>.msi /quiet」と入力します。 [次へ] をクリックします。残りの既定値をそのまま使用して、新しいアプリケーション ウィザードを完了します。
MDT で、展開共有の名前を右クリックし、[ プロパティ] をクリックします。 [ ルール ] タブをクリックします。次の行を追加します。
SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES[OK] をクリックしてウィンドウを閉じます。
[タスク シーケンス] ノードで、Windows 展開に使用する既存のタスク シーケンスを編集します。 必要に応じて、[タスク シーケンス] ノードを右クリックし、[新しいタスク シーケンス ] を選択してウィザードを完了することで、 新しいタスク シーケンスを作成できます。
選択した タスク シーケンスの [タスク シーケンス ] タブで、次の手順を実行します。
[プレインストール] フォルダーで、使用領域のみを暗号化する WinPE で BitLocker を有効にする場合は、省略可能なタスク [BitLocker (オフライン)] を有効にします。
事前プロビジョニングを使用するときに TPM OwnerAuth を保持し、後で MBAM でエスクローできるようにするには、次の操作を行います。
オペレーティング システムのインストール手順を見つける
その後に新しい コマンド ラインの実行 ステップを追加する
[TPM OwnerAuth を永続化する] ステップに名前を付けます
コマンド ラインを
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"注: Windows 10 バージョン 1607 以降の場合、Windows のみが TPM の所有権を取得できます。 さらに、Windows は TPM をプロビジョニングするときに TPM 所有者パスワードを保持しません。 詳細については、「 TPM 所有者パスワード 」を参照してください。
[状態の復元] フォルダーで、[BitLocker を有効にする] タスクを削除します。
[カスタム タスク] の [状態の復元] フォルダーで、新しい [アプリケーションのインストール] タスクを作成し、[MBAM エージェントのインストール] という名前を付けます。 [ 単一アプリケーションのインストール ] ラジオ ボタンをクリックし、先ほど作成した MBAM 2.5 SP1 クライアント アプリケーションを参照します。
[ 状態の復元 ] フォルダーの [ カスタム タスク] で、次の設定を使用して (MBAM 2.5 SP1 クライアント アプリケーション ステップの後に) 新しい PowerShell スクリプトの実行 タスクを作成します (環境に応じてパラメーターを更新します)。
名前: MBAM 用に BitLocker を構成する
PowerShell スクリプト:
Invoke-MbamClientDeployment.ps1パラメーター:
-RecoveryServiceEndpoint
必須
MBAM 回復サービス エンドポイント
-StatusReportingServiceEndpoint
省略可能
MBAM 状態レポート サービス エンドポイント
-EncryptionMethod
省略可能
暗号化方法 (既定値: AES 128)
-EncryptAndEscrowDataVolume
スイッチ
データ ボリュームとエスクロー データ ボリューム回復キーを暗号化する場合に指定します
-WaitForEncryptionToComplete
スイッチ
暗号化が完了するまで待機するように指定します
-DoNotResumeSuspendedEncryption
スイッチ
デプロイ スクリプトが一時停止された暗号化を再開しないように指定する
-IgnoreEscrowOwnerAuthFailure
スイッチ
TPM 所有者認証エスクローエラーを無視するように指定します。 これは、TPM の自動プロビジョニングが有効になっている場合など、MBAM が TPM 所有者認証を読み取ることができないシナリオで使用する必要があります
-IgnoreEscrowRecoveryKeyFailure
スイッチ
ボリューム回復キーエスクローエラーを無視するように指定します
-IgnoreReportStatusFailure
スイッチ
状態レポートエラーを無視するように指定します
Windows 展開の一部として MBAM 2.5 以前を使用して BitLocker を有効にするには
MBAM クライアントをインストールします。 手順については、「 コマンド ラインを使用して MBAM クライアントをデプロイする方法」を参照してください。
コンピューターをドメインに参加させる (推奨)。
コンピューターがドメインに参加していない場合、回復パスワードは MBAM Key Recovery サービスに格納されません。 既定では、MBAM では、回復キーを格納できない限り、暗号化の実行は許可されません。
回復キーが MBAM サーバーに格納される前にコンピューターが回復モードで起動する場合、回復方法は使用できません。コンピューターを再イメージ化する必要があります。
管理者としてコマンド プロンプトを開き、MBAM サービスを停止します。
次のコマンドを入力して、サービスを [手動] または [オンデマンド ] に設定します。
net stop mbamagent
sc config mbamagent start= demand
MBAM クライアントがグループ ポリシー設定を無視するようにレジストリ値を設定し、代わりに、Windows がそのクライアント コンピューターに展開された時刻に暗号化を設定します。
注意 この手順では、Windows レジストリを変更する方法について説明します。 レジストリ エディターを誤って使用すると、Windows を再インストールする必要がある重大な問題が発生する可能性があります。 レジストリ エディターの誤った使用に起因する問題を解決できることを保証することはできません。 レジストリ エディターは自己責任で使用してください。
オペレーティング システムのみの暗号化に TPM を設定し、Regedit.exe を実行し、C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg からレジストリ キー テンプレートをインポートします。
Regedit.exe で、HKLM\SOFTWARE\Microsoft\MBAM に移動し、次の表に示す設定を構成します。
手記 MBAM に関連するグループ ポリシー設定またはレジストリ値は、こちらで設定できます。 これらの設定は、以前に設定した値をオーバーライドします。
レジストリ エントリの構成設定
DeploymentTime
0 = Off
1 = 展開時間ポリシー設定を使用します (既定値) – この設定を使用して、Windows がクライアント コンピューターに展開されるときに暗号化を有効にします。
UseKeyRecoveryService
0 = キー エスクローを使用しないでください (この場合、次の 2 つのレジストリ エントリは必要ありません)
1 = Key Recovery システムでキー エスクローを使用する (既定値)
これは、MBAM が回復キーを格納できるようにする推奨設定です。 コンピューターは MBAM Key Recovery サービスと通信できる必要があります。 続行する前に、コンピューターがサービスと通信できることを確認します。
KeyRecoveryOptions
0 = 回復キーのアップロードのみ
1 = 回復キーとキー回復パッケージをアップロードする (既定値)
KeyRecoveryServiceEndPoint
この値を、Key Recovery サービスを実行しているサーバーの URL (たとえば、http://<コンピューター名>/MBAMRecoveryAndHardwareService/CoreService.svc) に設定します。
MBAM クライアントは、MBAM クライアントのデプロイ中にシステムを再起動します。 この再起動の準備ができたら、管理者としてコマンド プロンプトで次のコマンドを実行します。
net start mbamagent
コンピューターが再起動し、BIOS からメッセージが表示されたら、TPM の変更を受け入れます。
Windows クライアント オペレーティング システムのイメージング プロセス中に、暗号化を開始する準備ができたら、管理者としてコマンド プロンプトを開き、次のコマンドを入力して、開始を [自動] に設定し、MBAM クライアント エージェントを再起動します。
sc config mbamagent start= auto
net start mbamagent
バイパス レジストリ値を削除するには、Regedit.exe を実行し、HKLM\SOFTWARE\Microsoft レジストリ エントリに移動します。 MBAM ノードを右クリックし、[削除] をクリックします。
関連トピック
MBAM の提案はありますか?
- MBAM の問題については、 MBAM TechNet フォーラムを使用してください。