We use cookies to ensure that we give you the best experience on our website.

クラウド データ セキュリティのための AAD/MDM を使用した Bitlocker 暗号化

Windows Speedup Tool をダウンロードしてエラーを修正し、PC の動作を高速化します。

Windows 10 の新機能により、ユーザーの生産性は飛躍的に向上しました。それは、Windows 10はそのアプローチを「モバイルファースト、クラウドファースト」と紹介しました。それはモバイルデバイスとクラウドテクノロジーの統合に他なりません。 Windows 10 は、次のようなクラウドベースのデバイス管理ソリューションを使用して、最新のデータ管理を提供します。Microsoft エンタープライズ モビリティ スイート (EMS)。これにより、ユーザーはいつでもどこからでも自分のデータにアクセスできるようになります。ただし、この種のデータには優れたセキュリティも必要です。ビットロッカー

クラウドデータセキュリティのための Bitlocker 暗号化

Bitlocker 暗号化構成は、Windows 10 モバイル デバイスですでに利用可能です。ただし、これらのデバイスには次の機能が必要です。インスタントゴー構成を自動化する機能。 InstantGo を使用すると、ユーザーはデバイス上の構成を自動化したり、回復キーをユーザーの Azure AD アカウントにバックアップしたりできます。

しかし今後、デバイスは InstantGo 機能を必要としなくなりました。 Windows 10 Creators Update では、すべての Windows 10 デバイスに、使用するハードウェアに関係なく、ユーザーに Bitlocker 暗号化の開始を求めるウィザードが表示されます。これは主に、ユーザーが何もしなくてもこの暗号化を自動化したいという設定に関するユーザーのフィードバックの結果でした。したがって、Bitlocker 暗号化は次のようになりました。自動そしてハードウェアに依存しない

Bitlocker暗号化はどのように機能しますか

エンドユーザーがデバイスを登録し、ローカル管理者である場合、トリガービットロッカー MSIは次のことを行います:

  • 3 つのファイルを C:\Program Files (x86)\BitLockerTrigger\ に展開します。
  • 付属の Enable_Bitlocker.xml に基づいて、新しいスケジュールされたタスクをインポートします

スケジュールされたタスクは毎日午後 2 時に実行され、次のことを実行します。

  • Enable_Bitlocker.vbs を実行します。主な目的は、Enable_BitLocker.ps1 を呼び出し、必ず最小化して実行することです。
  • 次に、Enable_BitLocker.ps1 はローカル ドライブを暗号化し、回復キーを Azure AD と OneDrive for Business (構成されている場合) に保存します。
    • 回復キーは、変更された場合または存在しない場合にのみ保存されます。

ローカル管理者グループに属していないユーザーは、別の手順に従う必要があります。既定では、デバイスを Azure AD に参加させる最初のユーザーは、ローカル管理者グループのメンバーです。同じ AAD テナントの一部である 2 番目のユーザーがデバイスにログオンすると、そのユーザーは標準ユーザーになります。

この分岐は、デバイスをエンドユーザーに引き渡す前に、Device Enrollment Manager アカウントが Azure AD 参加を処理する場合に必要です。このようなユーザーのために、修正された MSI (TriggerBitlockerUser) が Windows チームに与えられました。これは、ローカル管理者ユーザーの場合とは少し異なります。

BitlockerTrigger のスケジュールされたタスクはシステム コンテキストで実行され、次のことを行います。

  • デバイスを AAD に参加させたユーザーの Azure AD アカウントに回復キーをコピーします。
  • 回復キーを一時的に Systemdrive\temp (通常は C:\Temp) にコピーします。

新しいスクリプト MoveKeyToOD4B.ps1 が導入されましたと呼ばれるスケジュールされたタスクを通じて毎日実行されます。MoveKeyToOD4B。このスケジュールされたタスクは、ユーザーのコンテキストで実行されます。回復キーは systemdrive\temp から OneDrive for Business\recovery フォルダーに移動されます。

非ローカル管理シナリオの場合、ユーザーは次の方法で TriggerBitlockerUser ファイルを展開する必要があります。インチューンエンドユーザーのグループに。これは、デバイスを Azure AD に参加させるために使用される Device Enrollment Manager グループ/アカウントにはデプロイされません。

回復キーにアクセスするには、ユーザーは次のいずれかの場所に移動する必要があります。

  • Azure AD アカウント
  • OneDrive for Business の回復フォルダー (構成されている場合)。

ユーザーは、次の方法で回復キーを取得することをお勧めします。https://myapps.microsoft.comプロファイル、または OneDrive for Business\recovery フォルダーに移動します。

Bitlocker 暗号化を有効にする方法の詳細については、次のブログ全体を参照してください。マイクロソフト TechNet

Also Read