ユーザー BitLocker 暗号化の除外を管理する方法

  • [アーティクル]

Microsoft BitLocker の管理と監視 (MBAM) を使用すると、BitLocker ドライブ暗号化の要件からユーザーを除外できます。

BitLocker 保護からユーザーを除外するには、次の手順を実行する必要があります。

  • 除外されたユーザーをサポートするインフラストラクチャを作成します。 このインフラストラクチャの例としては、ユーザーが除外を要求するために使用できる連絡先電話番号、Web ページ、または郵送先住所をユーザーに提供することが含まれます。

  • 除外されたユーザー専用に構成されたグループ ポリシー オブジェクトのセキュリティ グループに、除外されたユーザーを追加します。 このセキュリティ グループのメンバーがコンピューターにサインインすると、ユーザーのグループ ポリシー設定によって、ユーザーは BitLocker 保護から除外されます。 ユーザーのグループ ポリシー設定によってコンピューター ポリシーが上書きされ、コンピューターは BitLocker 暗号化から除外されたままになります。

    コンピューターが既に BitLocker で保護されていて、ユーザーが除外されている場合、MBAM は暗号化ポリシーを適用しません。 ただし、暗号化ポリシーから除外されていない別のユーザーがコンピューターにサインインすると、暗号化が開始されます。

次の手順では、エンド ユーザーが MBAM クライアントまたは組織が使用するプロセスを通じて BitLocker ドライブ暗号化除外プロセスの除外を要求した場合の動作について説明します。 エンド ユーザーが BitLocker ドライブ暗号化の除外を要求できるように、MBAM グループ ポリシー設定を構成する必要があります。

  1. エンド ユーザーは、暗号化が必要なコンピューターにサインインすると、コンピューターが暗号化されることを示す通知を受け取ります。 [ 除外の要求 ] を選択し、[延期] を選択して暗号化を 延期するか、[ 暗号化の開始 ] を選択して BitLocker 暗号化を受け入れます。

    [ 除外の要求 ] を選択すると、ユーザー除外ポリシーで設定されている最大時間まで BitLocker 保護が延期されます。

  2. エンド ユーザーが [除外の要求] を選択すると、組織の BitLocker 管理グループに連絡するように通知されます。 ユーザー除外ポリシーの構成方法に応じて、ユーザーには次の 1 つ以上の問い合わせ方法が提供されます。

    • 電話番号

    • Web ページ URL

    • 住所

  3. 除外要求を受け取った後、MBAM 管理者は、BitLocker の除外 Active Directory Domain Services (ADDS) グループにユーザーを追加するかどうかを決定します。

  4. エンド ユーザーが除外要求を送信すると、MBAM クライアントはユーザーを "一時的に除外" と報告します。次に、クライアントは、IT 管理者が構成する指定された日数待ってから、コンピューターのコンプライアンスを再度確認します。 MBAM 管理者が除外要求を拒否した場合、除外要求オプションは非アクティブ化され、ユーザーは再び除外を要求できなくなります。

BitLocker ドライブ暗号化からユーザーを除外するには

  1. BitLocker 暗号化要件からのユーザーの除外を管理するための ADDS セキュリティ グループを作成します。

  2. Microsoft BitLocker 管理および監視グループ ポリシー テンプレートを使用して、グループ ポリシー オブジェクトを作成します。

  3. グループ ポリシー オブジェクトを、前の手順で作成した ADDS グループに関連付けます。 ユーザーを除外するポリシー設定は、 UserConfiguration>Administrative Templates>Windows コンポーネント>MDOP MBAM (BitLocker Management) にあります

  4. BitLocker 除外ユーザー用に作成したセキュリティ グループに、除外を要求しているユーザーの名前を追加します。

    ユーザーが BitLocker によって制御されるコンピューターにサインインすると、MBAM クライアントはユーザー除外ポリシー設定を確認します。 コンピューターが既に暗号化されている場合、BitLocker 保護は中断されません。 コンピューターが暗号化されていない場合、MBAM はユーザーに暗号化を求めません。

    共有コンピューターのシナリオでは、BitLocker ユーザーの除外を使用する場合に特別な考慮事項が必要です。 除外されていないユーザーが、除外ユーザーと共有されているコンピューターにサインインすると、そのコンピューターが暗号化される可能性があります。

MBAM 2.5 機能の管理

MBAM 2.5 グループ ポリシー要件の計画