BitLockerをADで管理する~その2~


今回は、BitLockerの回復キーをAD上に保存するためのGPOを設定していきます。
[グループポリシーの管理]を起動します。
新しいグループポリシーオブジェクトを作成し、以下のように設定していきます。

[コンピュータの構成]→[ポリシー]→[管理用テンプレート]→[Windowsコンポーネント]
→[BitLockerドライブ暗号化]を開きます。
[Active DirectoryドメインサービスにBitLocker回復情報を保存する]の
ポリシーを開き、[有効]を選択します。
[AD DSへのBitLockerバックアップが必要]にチェックを入れます。
【OK】をクリックします。
ADGPO

 


[オペレーティングシステムのドライブ]を選択します。
gpo

[BitLockerで保護されているオペレーティングシステムドライブの回復方法を選択する]ポリシーを開きます。
[有効]を選択します。
必要に応じて、[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] のチェックを入れます。
※チェックした場合、AD DS上に回復キーが保存されるまではBitLockerが有効になりません。
bit03

BitLocker利用時にPINを利用する場合に(外部キー等)は、必要に応じて下記ポリシーを有効にします。
[スタートアップ時に追加の認証を要求する]のポリシーを開きます。
[有効]を選択します。
下記のように設定します。

[互換性のある~]にチェックを入れる
[TPMを許可しない]
[TPMスタートアップPINを許可しない]
[TPMでスタートアップキーを要求する]
[TPMでスタートアップキーとPINを許可しない]
bit02
[コンピュータの構成]→[ポリシー]→[管理用テンプレート]→[システム]
→[トラステッドプラットフォームモジュールサービス]を選択します。
[Active DirectoryドメインサービスへのTPMバックアップを有効にする]のポリシーを開きます。
[有効]を選択します。
[AD DSへのTPMバックアップが必要]にチェックを入れ、【OK】をクリックします。
tpm

これでポリシーの準備が整いましたので、暗号化をかけるコンピュータ用のOUに
作成したGPOを適用してください。

次回は、クライアント側でBitLockerを有効化していきます。

 

この記事が気に入ったら
フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次