ビットロッカーの回復キーの管理の仕方について

すべての返信

• 

  

  0

  サインインして投票

  ADで管理することができます。
  

  BitLocker および TPM の回復情報が AD DS へのバックアップ
  https://technet.microsoft.com/ja-jp/library/dd875529(v=ws.10).aspx

  BitLocker グループ ポリシー設定
  https://technet.microsoft.com/ja-jp/library/mt404672(v=vs.85).aspx

  BitLocker Active Directory 回復パスワード ビューアーの概要
  https://technet.microsoft.com/ja-jp/library/dd759200(v=ws.11).aspx
  

  Windows10であればAzureも選択肢になります。

  BitLocker の新機能
  https://technet.microsoft.com/ja-jp/library/mt403325(v=vs.85).aspx

  そのほか、サードパーティー製品にもBitlockerの管理機能を提供している製品があるようです。

  • 回答の候補に設定 栗下 望Microsoft employee 2017年6月13日 0:22
  • 回答としてマーク 栗下 望Microsoft employee 2017年6月22日 4:22

  2017年6月9日 1:48
• 

  

  1

  サインインして投票

  一般的なのは、AD DS に BitLocker 回復情報が保存可能な様に構成した上で、グループポリシーによってクライアントが BitLocker 回復情報を AD DS に保存する様に構成する方法です。

  (回復パスワードと回復キーで AD DS からの取得方法が異なりますので注意して下さい)

   

  BitLocker および TPM の回復情報が AD DS へのバックアップ

  https://technet.microsoft.com/ja-jp/library/dd875529(v=ws.10).aspx

   

  BitLocker の回復ガイド

  https://msdn.microsoft.com/ja-jp/library/dn383583(v=ws.11).aspx#BKMK_AppendixC

   

  他にも MDOP (Microsoft Desktop Optimization Pack) に MBAM (Microsoft BitLocker Administration and Monitoring) と言う製品も有り、ワンタイムパスワードやユーザー用Webサイト等の機能が提供可能ですが、別途システム構築が必要だったりするので、回復キーの管理だけがしたいのであれば、AD DS に保存するのが良いかと思います。

   

  Microsoft BitLocker Administration and Monitoring

  https://technet.microsoft.com/ja-jp/windows/hh826072.aspx

  
  

  • 回答の候補に設定 栗下 望Microsoft employee 2017年6月13日 0:22
  • 回答としてマーク 栗下 望Microsoft employee 2017年6月22日 4:22

  2017年6月9日 2:11
• 

  

  0

  サインインして投票

  ありがとうございます。

  ビットロッカーでTPMのみの暗号化にしたばあい、端末を再起動すると

  普通のWindowsログイン画面になるのでしょうか？

  PIN認証も追加したばあい、どうでしょうか？

  再起動後も端末のそばにいるユーザの介入なしにリモートからの端末管理

  業務を行いたいです。

  現在他社暗号化製品をつかっており、リモートから再起動すると

  windowsログイン画面にいかないようになっており、リモートからのクライアント管理に

  困っております。

  2017年6月9日 3:33
• 

  

  0

  サインインして投票

  ＞ビットロッカーでTPMのみの暗号化にしたばあい、端末を再起動すると

  ＞普通のWindowsログイン画面になるのでしょうか？

  TPM のみの場合、再起動後はログオン画面まで進みます。

   

  ＞PIN認証も追加したばあい、どうでしょうか？

  OS 起動時に PIN 入力が求められますので、再起動すると PIN の入力画面で停止します。 (Windows 8 以降は PIN 入力画面で一定時間経過すると電源が落ちる)

   

  ＞再起動後も端末のそばにいるユーザの介入なしにリモートからの端末管理

  ＞業務を行いたいです。

  ＞現在他社暗号化製品をつかっており、リモートから再起動すると

  ＞windowsログイン画面にいかないようになっており、リモートからのクライアント管理に

  ＞困っております。

  PIN 認証が有効な場合でも、再起動前に BitLocker の「保護の中断」を行っておけば OS 起動時の PIN 入力を回避する事が可能です。

  ただし、Windows 7 の場合は自動的に BitLocker は再開されませんので、OS 起動後に BitLocker の再開を忘れない様にして下さい。(中断のままだと BitLocker の意味が有りません)

  Windows 8 以降では、「保護の中断」をしても、再起動後に自動的に再開されます。

  • 回答の候補に設定 栗下 望Microsoft employee 2017年6月13日 0:22
  • 回答としてマーク 栗下 望Microsoft employee 2017年6月22日 4:22

  2017年6月9日 4:47
• 

  

  0

  サインインして投票

  フォーラムオペレーターの栗下 望です。
  blackjack08 さん、こんにちは。

  ご質問いただいた内容についてですが、
  その後いかがですか？

  Lapivy さんから追加の情報が寄せらておりますので、
  確認していただき参考になりましたら[回答としてマーク]をご設定くださいね。

  どうぞよろしくお願いいたします。

  ---

  MSDN/TechNet Community Support 栗下 望

  2017年6月16日 7:47
• 

  

  0

  サインインして投票

  ありがとう。ございます。(o^^o)

  鍵の回復はドメイン管理者がスクリプト実行して取得する感じでしょうか？

  2017年6月16日 9:41
• 

  

  0

  サインインして投票

  回復パスワードを参照するには [Active Directory ユーザーとコンピューター] から、対象PCのオブジェクトの [BitLocker 回復] タブで確認する方法と、[BitLocker 回復パスワードの検索] からパスワード ID (回復パスワード入力画面で表示されるID) を元に検索する方法が有ります。

   

  シナリオ 15: BitLocker Active Directory 回復パスワード ビューアーを使用して回復パスワードを表示する

  https://technet.microsoft.com/ja-jp/library/ee523220(v=ws.10).aspx

   

  また、既定では回復パスワードを参照する権限はドメイン管理者のみに与えられています。

  もし、特定のユーザーやグループに回復パスワードの参照を許可したい様な場合は、以下で解説されている方法で可能です。

   

  Delegating access in AD to BitLocker recovery information

  https://blogs.technet.microsoft.com/craigf/2011/01/26/delegating-access-in-ad-to-bitlocker-recovery-information/

  • 回答の候補に設定 栗下 望Microsoft employee 2017年6月19日 0:55
  • 回答としてマーク 栗下 望Microsoft employee 2017年6月22日 4:22

  2017年6月16日 13:34