top of page
エンジニアY.K

ADでのBitlocker管理方法

業務の中で、クライアント端末のBitlocker回復キーをADで一括管理するという

作業をしたので、忘備録として残しておこうと思います。


~はじめに~

ADで管理する際は、TPM (Trusted Platform Module)が必要になります。

TPMはコンピューターのマザーボードに組み込まれており、暗号化キーの生成と保存ができます。この生成されたキーをADで参照できるようにするという内容です。


1.ADで管理機能の追加

 サーバーマネージャーにて、以下の機能を追加することによりAD上でクライアント端末の

  回復キーが参照できるようになります。


 Active Directory ユーザーとコンピューターで任意のコンピューターを右クリックし、[プロパティ]

 を参照すると「Bitlocker 回復」というタブが追加されます。

 ※ADを2台以上で冗長化しているような場合は、それぞれのAD上で管理機能の追加をします。


2.グループポリシーを設定

 1では参照する機能を追加しただけなので、次にGPO(グループポリシー)を設定します。

 内容としては、①ADへ回復キーを保存する設定、②有効化のタイミング、③クライアント

 端末のログイン時に認証を要求するか、です。ここが重要になります。


 ①GPOの作成とOUへの割り当て

  サーバーマネージャーの「ツール」から 「グループポリシーの管理」を選択します。

  「グループポリシーオブジェクト」を右クリックして「新規」をクリックし、任意の名前でGPOを

  作成します。そして、Bitlockerを有効化したい端末が所属しているOUにGPOを割り当てます。

 


 ②ADへ回復キーを保存する設定

  作成したGPOを右クリックし、編集をクリックします。

  コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化

  にある「Active Directory ドメイン サービスに Bitlocker 回復情報を保存する」という項目を有効にします。

  ※「AD DSへのBitlockerバックアップが必要」の項目に追加で☑をつけます。


②有効化のタイミング設定

 コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→Bitlocker ドライブ暗号化

 →オペレーティングシステムのドライブにある「Bitlockerで保護されているオペレーティングシステムドライブ

 の回復方法を選択する」という項目を有効にします。

 ※「オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない」

  の項目に追加で☑をつけます。


③クライアント端末ログイン時の認証要求

 コンピューターの構成→ポリシー→管理用テンプレート→Windowsコンポーネント→BitLockerドライブ暗号化

 →オペレーティングシステムのドライブ→「スタートアップ時に追加の承認を要求する」という項目を

 有効にします。

 ※「互換性のあるTPMが装備されていないBitlockerを許可する(USBフラッシュドライブでパスワードまたは

  スタートアップキーが必要)」の項目に追加で☑をつけます。

 ※以下の設定に変更します。

  TPMを要求する

  TPMでスタートアップPINを許可しない

  TPMでスタートアップキーを許可しない

  TPMでスタートアップキーとPINを許可しない


3.Bitlockerの有効化

 2までの設定ができたら、Bitlockerの有効化に移ります。

 この際注意しなければいけないことがあります。それは、

 GPOを任意のOUに割り当ててからBitlockerを有効化する

 ということです。そうでないとクライアント端末でBitlockerを有効化しても回復キーはADに保存されません。

 1の手順で実施しているとは思いますが、有効化前に念の為もう一度確認しておいたほうがいいですね。

 しっかり割り当てができていると、Bitlockerを有効化後にADで以下のように確認できるはずです。

 (セキュリティ上パスワードIDや回復パスワードは編集で隠しています。)


ADで回復キーを管理すれば、わざわざ個人個人で管理せずに済むので便利ですね。

万が一の時もリスクは減らせそうです。


また何かの知識が増えたら忘備録として残そうと思います。




閲覧数:5,863回0件のコメント

最新記事

すべて表示

OAuth対応メールリレーサーバのコンテナ構築とメールテスト

社内案件で物理サーバにUbuntuやDockerを構築し、いくつかのコンテナを作成していました。今回は一番苦戦した表題のコンテナ構築手順を紹介していきたいと思います。 前提条件 Docker CEをインストール済み ホストOSに対象コンテナ構築のための必要ファイル(Dock...

SIerとSESのビジネスモデルの変化

最近動画配信サイトなどで、エンジニア転職支援やフリーランス支援などをしている人たちの会話を聞いていて、”この界隈”のエンジニアは、SIerとSES(人材派遣やSE派遣などの総称)の区別がついていないことに驚きました。 私がこの業界に入った頃は、SIer事業とSES事業は共通...

Comments


bottom of page