top of page
  • エンジニアY.K

ADでのBitlocker管理方法

業務の中で、クライアント端末のBitlocker回復キーをADで一括管理するという

作業をしたので、忘備録として残しておこうと思います。


~はじめに~

ADで管理する際は、TPM (Trusted Platform Module)が必要になります。

TPMはコンピューターのマザーボードに組み込まれており、暗号化キーの生成と保存ができます。この生成されたキーをADで参照できるようにするという内容です。


1.ADで管理機能の追加

 サーバーマネージャーにて、以下の機能を追加することによりAD上でクライアント端末の

  回復キーが参照できるようになります。


 Active Directory ユーザーとコンピューターで任意のコンピューターを右クリックし、[プロパティ]

 を参照すると「Bitlocker 回復」というタブが追加されます。

 ※ADを2台以上で冗長化しているような場合は、それぞれのAD上で管理機能の追加をします。


2.グループポリシーを設定

 1では参照する機能を追加しただけなので、次にGPO(グループポリシー)を設定します。

 内容としては、①ADへ回復キーを保存する設定、②有効化のタイミング、③クライアント

 端末のログイン時に認証を要求するか、です。ここが重要になります。


 ①GPOの作成とOUへの割り当て

  サーバーマネージャーの「ツール」から 「グループポリシーの管理」を選択します。

  「グループポリシーオブジェクト」を右クリックして「新規」をクリックし、任意の名前でGPOを

  作成します。そして、Bitlockerを有効化したい端末が所属しているOUにGPOを割り当てます。

 


 ②ADへ回復キーを保存する設定

  作成したGPOを右クリックし、編集をクリックします。

  コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化

  にある「Active Directory ドメイン サービスに Bitlocker 回復情報を保存する」という項目を有効にします。

  ※「AD DSへのBitlockerバックアップが必要」の項目に追加で☑をつけます。


②有効化のタイミング設定

 コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化

 →オペレーティングシステムのドライブにある「Bitlockerで保護されているオペレーティングシステムドライブ

 の回復方法を選択する」という項目を有効にします。

 ※「オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない」

  の項目に追加で☑をつけます。


③クライアント端末ログイン時の認証要求

 コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→BitLockerドライブ暗号化

 →オペレーティングシステムのドライブ→「スタートアップ時に追加の承認を要求する」という項目を

 有効にします。

 ※「互換性のあるTPMが装備されていないBitlockerを許可する(USBフラッシュドライブでパスワードまたは

  スタートアップキーが必要)」の項目に追加で☑をつけます。

 ※以下の設定に変更します。

  TPMを要求する

  TPMでスタートアップPINを許可しない

  TPMでスタートアップキーを許可しない

  TPMでスタートアップキーとPINを許可しない


3.Bitlockerの有効化

 2までの設定ができたら、Bitlockerの有効化に移ります。

 この際注意しなければいけないことがあります。それは、

 GPOを任意のOUに割り当ててからBitlockerを有効化する

 ということです。そうでないとクライアント端末でBitlockerを有効化しても回復キーはADに保存されません。

 1の手順で実施しているとは思いますが、有効化前に念の為もう一度確認しておいたほうがいいですね。

 しっかり割り当てができていると、Bitlockerを有効化後にADで以下のように確認できるはずです。

 (セキュリティ上パスワードIDや回復パスワードは編集で隠しています。)


ADで回復キーを管理すれば、わざわざ個人個人で管理せずに済むので便利ですね。

万が一の時もリスクは減らせそうです。


また何かの知識が増えたら忘備録として残そうと思います。




閲覧数:76回0件のコメント

最新記事

すべて表示

就職する企業への考え方

今年は様々な学校様宛に求人票を出させて頂いたので、就活でCCFを気になって この記事を見てくれる方々がたくさんいると信じ…就活生向けに書いてみたいと思います。 就職において、大きな柱として考えるものは人さまざまだとは思いますが 「やりがい」、「雰囲気」、「給料」ここらへんは多くの人が柱として考えるものに なるんじゃないかなぁ、と思います。 私自身も、先ほど挙げた3つは入社してからも大事だなとは感じ

Pythonにハマった件

ここ数年流行っているPythonですが、僕もご多分に漏れず4年ほど前からハマりました!! それまではインフラエンジニアらしく、AzureやMicrosoft 365向けにはPowerShell、データ解析にはbash/zshなどを使ってきました。しかし、5年前からはデータ解析にはほぼPythonで、ここ2年ぐらいはAzureでもPythonになりました。 今回はなぜ、PowerShellやBash

コメント


bottom of page