BitLocker 向け Application Resilience (自動復活機能) ポリシー
Microsoft BitLocker® (BitLocker) 向け Application Resilience ポリシーを有効にして、Secure Endpoint Agent がBitLocker の機能ステータスに関する情報を収集し、結果をレポートで確認できるようにすることができます。エージェントは、デバイスの BitLocker 設定がお客様の組織のドライブ暗号化ポリシーに適合しているかどうかも検出できます。たとえば、組織が以下の暗号化ポリシーを設定していて、デバイスがそれに準拠しているかどうかを検証したい場合:
- Bitlocker が Microsoft BitLocker Administration and Monitoring (MBAM Microsoft BitLocker Administration and Monitoring (MBAM) とは、展開、主要なリカバリー、およびコンプライアンスのレポートを促進する Microsoft BitLocker Drive Encryption のエンタープライズ管理ツールです。) と統合されている
- オペレーティング・システムのドライブのみが、AES-256 の暗号化強度で暗号化される
また、BitLocker を修復または再インストールするようにポリシーを設定することもできます。
システム要件
BitLocker は Windows オペレーティングシステムの大部分のバージョンに含まれます。
BitLocker 向け Application Resilience (自動復活機能) ポリシーは、以下を実行しているデバイスでサポートされます。
- サポートされているバージョンの Windows オペレーティングシステム
-
PowerShell バージョン 5.1 以降
Microsoft によって課されている PowerShell の制限により、Windows 11 SE を実行しているデバイスでは、このアプリケーションで Application Resilience はサポートされていません。
-
以下のバージョンのスタンドアロン Bitlocker、または Microsoft BitLocker Administration and Monitoring と統合されている BitLocker:
- 2.5.x
Microsoft BitLocker To Go を使用しているデバイスはサポートされません。
健全性チェック
以下の表は、バージョンチェックに加えて実施される健全性チェックの内容について説明します。
以降のバージョンを「適合」とレポートは利用できません。
| コンポーネント | テスト内容 | ||
|---|---|---|---|
| サービス | インストール済み | 動作中 | 署名者 |
| Windows Management Instrumentation (Winmgmt.msc) | P | P | 該当なし |
| パーティション | |||
| 有効なパーティションが見つかりました | |||
MBAM の統合
お客様の組織が BitLocker を管理するために MBAM を使用している場合、次の健全性チェックも実施されます。
| コンポーネント | テスト内容 | |
|---|---|---|
| サービス | インストール済み | 動作中 |
|
P | P |
| MBAM サービスエンドポイントの URL | デバイスのレジストリ内 | |
|
P | |
修復および再インストール
BitLocker 向け Application Resilience ポリシーは、 Application Resilience (RAR) コンポーネント デバイスにインストールされたサードパーティアプリケーションのステータスを検出する、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。このコンポーネントがサードパーティアプリケーションを修復するように試みる場合もあります (適合していない場合)。RAR コンポーネントは、デバイスがカスタムポリシーグループに関連付けられ、ポリシーグループのApplication Resilience ポリシーがアクティブになった場合のみデバイスに展開されます。 が、BitLocker が機能していない場合は修復し、MBAM クライアントが存在しないまたは修復できない場合は再インストールを試みるように設定できます。
お客様のアカウントに関連付けられているAbsolute 製品ライセンスに応じて、レポートと修復オプションおよびレポート、修復および再インストールオプションが利用できない場合があります。
Secure Endpoint Agent の RAR コンポーネントは、次の問題に対応できます。
| 問題 | 解決策 |
|---|---|
| 修復 | |
| Windows Management Instrumentation (Winmgmt.msc) サービスが適切に機能していない | RAR コンポーネントが Windows Management Instrumentation (WMI) サービスを再起動します。このアクションで WMI を修復できなかった場合、コンポーネントは WMI の再構築を試みます。 |
| 有効なシステムパーティションが見つからない | BitLocker には少なくとも 2 つのパーティションが必要です。システムパーティションが見つからない場合、RARコンポーネントは BitLocker Drive Preparation Tool を使用して第 2 のボリュームを作成し、そのサイズを 300 MB に設定します。 |
スタンドアロンの BitLocker 展開では、RARコンポーネントが修復プロセスの一環としてドライブを暗号化することはできません。
MBAM の統合
お客様の組織が BitLocker を管理するために MBAM を使用している場合、RAR コンポーネントは次の問題の修復も試みます。
| 問題 | 解決策 |
|---|---|
| 修復 | |
| BitLocker Management Client Service が動作していない | RAR コンポーネントがサービスを再起動します。 |
| デバイスのレジストリにある MBAM サービス URL が正しくない、または見つからない | RAR コンポーネントは、BitLocker 向け Application Resilience ポリシーで指定した MBAM サービス URLでデバイスのレジストリを更新します。 |
| 再インストール | |
|
ダウングレードはサポートされていません。デバイスにインストールしたバージョンが想定されるバージョンよりも新しい場合、どのアクションも実行されません。 |
|
| BitLocker MBAM が修復に失敗した、または想定されるバージョンがインストールされていない |
RAR コンポーネントが設定されたバージョンのアプリケーションをダウンロードしてインストールします。 |
インストーラーを準備する
32-bit インストーラーと 64-bit インストーラーのどちらかまたは両方を追加することができます。インストーラーの注意事項:
-
exe ファイルでなければなりません
-
ファイル名は任意です
インストーラーをプリキャッシュする
RAR コンポーネントは、プリキャッシュされたインストーラーを確認する際に、以下のファイル名を探します:
| コンポーネント | ファイル名 |
|---|---|
| インストーラー | MBAMClient.exe |
Application Resilience ポリシーを設定する
Application Resilience ポリシーをアクティブ化する前に、ポリシーを設定する必要があります。Application Resilience ポリシーを設定するの設定に加えて、これらの設定も行います。
BitLocker に固有の設定を行うには:
-
BitLocker のセットアップの下で、次のいずれかのオプションを選択します。
-
スタンドアロン BitLocker:このオプションは、以下のいずれかの設定が該当する場合に選択します。
- お客様の組織がデバイス上の BitLocker を管理するための管理ツールを使用していない
-
お客様の組織が、デバイス上の BitLocker を管理するために、Microsoft System Center Configuration Manager (SCCM) や Microsoft Intune など、別の管理ツールを使用している
SCCM を使用して BitLocker を管理している場合、SCCM の修復と再インストールを行うよう、SCCM 向け Application Resilience ポリシーを設定することもできます。
- BitLocker とスタンドアロン MBAM:お客様の組織がデバイス上の BitLocker を管理するために MBAM Microsoft BitLocker Administration and Monitoring (MBAM) とは、展開、主要なリカバリー、およびコンプライアンスのレポートを促進する Microsoft BitLocker Drive Encryption のエンタープライズ管理ツールです。 を使用している場合、このオプションを選択します。
-
- 暗号化ドライブの下で、デバイス上で暗号化されると考えられるドライブを選択します。OS ドライブがデフォルトで選択されていますが、この選択をクリアすることができます。すべてのドライブが暗号化されると考えられる場合、その他すべてのローカルドライブを選択して両方のオプションを選択します。少なくとも一つのオプションを選択する必要があります。
- 最小パーティションサイズ (MB)の下で、システムパーティションドライブで設定可能な最小サイズを入力します。デフォルト値は 100 MB です。
-
次の暗号化強度のいずれかを選択します。これは、デバイスのドライブを暗号化するために使用された強度によって異なります。
- AES-128
- AES-256
- 任意の暗号化強度
-
BitLocker セットアップフィールドで BitLocker とスタンドアロン MBAM を選択した場合、MBAM グループポリシー設定で設定した MBAM サービスエンドポイントの場所を指定します。
-
MBAM 回復およびハードウェアサービスエンドポイントの位置フィールドで、以下の URI を入力します:
<protocol>://<hostname>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc
変数は次のように定義されています。
- <protocol> は http または https です。
- <hostname> は MBAM Administration and Monitoring サーバー名です。
- <port> は Web サービスによって使用されるポート番号です。[オプション]
- URI に移動をクリックして、URI を正しく入力したかテストします。Windows Communication Foundation Service ページが開いたら、URIは正しく設定されています。
-
MBAM ステータスレポートのサービスエンドポイントの位置フィールドで、以下の URI を入力します:
<protocol>://<hostname>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
変数は次のように定義されています。
- <protocol> は http または https です。
- <hostname> は MBAM Administration and Monitoring サーバー名です。
- <port> は Web サービスによって使用されるポート番号です。[オプション]
- URI に移動をクリックして、URI を正しく入力したかテストします。Windows Communication Foundation Service ページが開いたら、URIは正しく設定されています。
-
-
[オプション] BitLocker のセットアップフィールドで BitLocker とスタンドアロン MBAM を選択し、レポート、修復、および再インストールオプションを選択している場合、インストール完了コマンド の下で、該当するインストール用のコマンドラインパラメーターを入力して、ポリシー設定でカバーされていない設定を構成します。
例えば、/quiet または /acceptEula=Yes (バージョンに応じて) を追加してサイレントインストールすることができます。そうでない場合、インストールプロセスにはユーザーの操作が必要になります。利用できるコマンドラインパラメーターの詳細については、Microsoft MBAM のマニュアルを参照してください。
