none
ビットロッカーの回復キーの管理の仕方について RRS feed

  • 質問

  • ビットロッカーを利用する場合、管理者が回復キーを集中管理する必要がありますが、

    良い鍵管理のプラクティスについて教えてください。

    2017年6月9日 0:01

回答

すべての返信

  • ADで管理することができます。

    BitLocker および TPM の回復情報が AD DS へのバックアップ
    https://technet.microsoft.com/ja-jp/library/dd875529(v=ws.10).aspx

    BitLocker グループ ポリシー設定
    https://technet.microsoft.com/ja-jp/library/mt404672(v=vs.85).aspx

    BitLocker Active Directory 回復パスワード ビューアーの概要
    https://technet.microsoft.com/ja-jp/library/dd759200(v=ws.11).aspx

    Windows10であればAzureも選択肢になります。

    BitLocker の新機能
    https://technet.microsoft.com/ja-jp/library/mt403325(v=vs.85).aspx

    そのほか、サードパーティー製品にもBitlockerの管理機能を提供している製品があるようです。

    2017年6月9日 1:48
  • 一般的なのは、AD DS BitLocker 回復情報が保存可能な様に構成した上で、グループポリシーによってクライアントが BitLocker 回復情報を AD DS に保存する様に構成する方法です。

    (回復パスワードと回復キーで AD DS からの取得方法が異なりますので注意して下さい)

     

    BitLocker および TPM の回復情報が AD DS へのバックアップ

    https://technet.microsoft.com/ja-jp/library/dd875529(v=ws.10).aspx

     

    BitLocker の回復ガイド

    https://msdn.microsoft.com/ja-jp/library/dn383583(v=ws.11).aspx#BKMK_AppendixC

     

    他にも MDOP (Microsoft Desktop Optimization Pack) MBAM (Microsoft BitLocker Administration and Monitoring) と言う製品も有り、ワンタイムパスワードやユーザー用Webサイト等の機能が提供可能ですが、別途システム構築が必要だったりするので、回復キーの管理だけがしたいのであれば、AD DS に保存するのが良いかと思います。

     

    Microsoft BitLocker Administration and Monitoring

    https://technet.microsoft.com/ja-jp/windows/hh826072.aspx


    2017年6月9日 2:11
  • ありがとうございます。

    ビットロッカーでTPMのみの暗号化にしたばあい、端末を再起動すると

    普通のWindowsログイン画面になるのでしょうか?

    PIN認証も追加したばあい、どうでしょうか?

    再起動後も端末のそばにいるユーザの介入なしにリモートからの端末管理

    業務を行いたいです。

    現在他社暗号化製品をつかっており、リモートから再起動すると

    windowsログイン画面にいかないようになっており、リモートからのクライアント管理に

    困っております。

    2017年6月9日 3:33
  • ビットロッカーでTPMのみの暗号化にしたばあい、端末を再起動すると

    >普通のWindowsログイン画面になるのでしょうか?

    TPM のみの場合、再起動後はログオン画面まで進みます。

     

    >PIN認証も追加したばあい、どうでしょうか?

    OS 起動時に PIN 入力が求められますので、再起動すると PIN の入力画面で停止します。 (Windows 8 以降は PIN 入力画面で一定時間経過すると電源が落ちる)

     

    >再起動後も端末のそばにいるユーザの介入なしにリモートからの端末管理

    >業務を行いたいです。

    >現在他社暗号化製品をつかっており、リモートから再起動すると

    >windowsログイン画面にいかないようになっており、リモートからのクライアント管理に

    >困っております。

    PIN 認証が有効な場合でも、再起動前に BitLocker の「保護の中断」を行っておけば OS 起動時の PIN 入力を回避する事が可能です。

    ただし、Windows 7 の場合は自動的に BitLocker は再開されませんので、OS 起動後に BitLocker の再開を忘れない様にして下さい。(中断のままだと BitLocker の意味が有りません)

    Windows 8 以降では、「保護の中断」をしても、再起動後に自動的に再開されます。

    2017年6月9日 4:47
  • フォーラムオペレーターの栗下 望です。
    blackjack08 さん、こんにちは。

    ご質問いただいた内容についてですが、
    その後いかがですか?

    Lapivy さんから追加の情報が寄せらておりますので、
    確認していただき参考になりましたら[回答としてマーク]をご設定くださいね。

    どうぞよろしくお願いいたします。


    MSDN/TechNet Community Support 栗下 望

    2017年6月16日 7:47
    モデレータ
  • ありがとう。ございます。(o^^o)

    鍵の回復はドメイン管理者がスクリプト実行して取得する感じでしょうか?

    2017年6月16日 9:41
  • 回復パスワードを参照するには [Active Directory ユーザーとコンピューター] から、対象PCのオブジェクトの [BitLocker 回復] タブで確認する方法と、[BitLocker 回復パスワードの検索] からパスワード ID (回復パスワード入力画面で表示されるID) を元に検索する方法が有ります。

     

    シナリオ 15: BitLocker Active Directory 回復パスワード ビューアーを使用して回復パスワードを表示する

    https://technet.microsoft.com/ja-jp/library/ee523220(v=ws.10).aspx

     

    また、既定では回復パスワードを参照する権限はドメイン管理者のみに与えられています。

    もし、特定のユーザーやグループに回復パスワードの参照を許可したい様な場合は、以下で解説されている方法で可能です。

     

    Delegating access in AD to BitLocker recovery information

    https://blogs.technet.microsoft.com/craigf/2011/01/26/delegating-access-in-ad-to-bitlocker-recovery-information/

    2017年6月16日 13:34