ドメインに参加している多数のマシンを管理している場合、BitLocker回復キーをActive Directoryに取り込むことは非常に便利です。Windowsがポリシーを調整しない限りこれらのキーを自動的にダンプしないのは少々奇妙ですが、一度設定してしまえば、回復がはるかに簡単になります。さらに、デバイスの起動時に回復プロンプトが表示された場合、システムを混乱させたりリセットしたりする代わりに、Active Directoryにアクセスしてキーを取得できるのは便利です。つまり、これは単に整理整頓するためだけでなく、ドライブが突然ロックダウンして回復画面に悩まされるようなパニックを防ぐことにもつながります。
もちろん、設定は簡単ではありません。特に古いデバイスやグループポリシーが連携されていない場合など、いくつか問題が発生するかもしれません。しかし、適切な場所を少し調べれば、回復キーが適切にバックアップされ、必要なときに簡単に取得できるようになります。ここでは、後々面倒なことになるのを防ぐため、いくつか追加情報も交えて設定方法を説明します。
BitLocker キーを Active Directory に保存するにはどうすればよいですか?
ADにキーを保存するためのグループポリシーを構成する
これはステップ1です。ポリシーが適用されないと、回復キーはアップロードされません。これは非常に重要です。適切なポリシーが適用されないと、回復キーはデバイス上に残ってしまいます。通常、これは管理環境下でドメインに参加しているマシンでBitLockerを有効にする場合、またはデバイスの回復が必要な場合に当てはまります。
- ドメインコントローラーでグループポリシー管理コンソールを開きます。通常、サーバーマネージャー > ツール > グループポリシー管理にあります。
- [コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブ暗号化]に移動します。
- 「設定を選択してください」を見つけてダブルクリックします。 「有効」に設定します。
- バックアップ回復パスワードとキー パッケージを有効にします。これにより、回復情報が実際に AD に保存されるようになります。
- [適用]と[OK]をクリックします。
- 新しいポリシーをすぐにプッシュするには、
gpupdate /forceクライアントマシンで管理者特権のコマンドプロンプトまたはPowerShellから実行してください。これによりポリシーの更新が強制的に実行されます。そうしないと、次回の更新サイクルまで待たされる可能性があります。
これを無効にしておくと、回復キーはローカル マシン上にのみ残り、ユーザーがパスワードを忘れたり、ドライブが故障したりした場合には役に立たなくなるため、役立ちます。
Active Directory で BitLocker キーを確認する
ポリシーを設定したら、鍵が適切な場所に保存されているか再度確認することをお勧めします。ポリシーが有効になっているように見えても、タイミングの問題や暗号化中のエラーにより、回復情報がまだアップロードされていない場合があります。
- Active Directory ユーザーとコンピューターを開きます。管理者として実行したり、サーバーから実行したりする必要がある場合があります。
- メニュー バーで、[表示] > [高度な機能] に移動します。これにより、オブジェクト内の追加のタブと情報が表示されます。
- 興味のあるコンピュータ オブジェクトを見つけます。必要に応じて検索バーを使用できます。
- それを右クリックして、[プロパティ]を選択します。
- 「BitLocker 回復」タブに移動します。このタブが表示されない場合は、ポリシーが正しく機能していないか、デバイスがまだ暗号化されていない可能性があります。
- 表示されている回復パスワードとキーパッケージの情報を確認してください。表示されている場合は問題ありませんが、表示されていない場合は、ポリシーまたは暗号化ステータスのトラブルシューティングが必要になる可能性があります。
ADからBitLockerキーを回復する
これが、鍵をADに保存する主な理由です。マシンが回復キーを要求した場合、直接取得する方が簡単だからです。正直なところ、ユーザーのデバイスやメールで回復キーを探すのは理想的とは言えません。
- Active Directory ユーザーとコンピューターを開きます。
- 問題のあるデバイスを検索します。これは、名前または OU を参照して行うことができます。
- 右クリックして「プロパティ」を選択します。
- 「BitLocker 回復」タブに移動します。(表示されない場合は、ポリシーが正しく適用され、デバイスが暗号化されていることを確認してください。)
- 関連する回復エントリを見つけて選択します。通常、タイムスタンプや説明が表示されるので、適切なものを選ぶのに役立ちます。
- 48 桁の回復キーをコピーし、回復プロンプトで影響を受ける PC に入力します。
既存のデバイスにキーのアップロードを強制する
しばらく前にBitLockerを設定して、回復情報をADに取り込んでいない場合、これは面倒な作業になる可能性があります。このプロセスは多少手作業ですが、暗号化されたすべてのデバイスが確実に管理されていることを確認する必要がある場合は、実行する価値があります。
- クライアント マシンで管理者特権のコマンド プロンプトまたは PowerShell ウィンドウを開きます。
- 入力:
manage-bde -protectors -get C:。C: が暗号化されたドライブ文字であることを確認してください。 - 出力でキー プロテクター IDを探します。
- PowerShell または CMD に戻り、次を実行します:
manage-bde -protectors -adbackup C: -id {ProtectorID}。{ProtectorID}先ほど見つけたものに置き換えます。 - 完了したら、Active Directory でキー情報が表示されるかどうかを確認します。数分または更新に時間がかかる場合があります。
これは環境によってうまくいくかどうかは微妙ですが、ある環境では最初は失敗しましたが、再起動後にうまくいきました。Windowsは時々必要以上に難しくすることもあるので、仕方ないですね。
PowerShellで保存されたキーを確認する
より包括的な確認が必要ですか? PowerShell では AD 内のすべての回復オブジェクトを監査できます。これは、多数のマシンを操作している場合に特に便利です。
- PowerShell を管理者として実行します — アイコンを右クリックし、[管理者として実行]を選択します。
- 次のコマンドを実行します:
Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -Properties msFVE-RecoveryPassword。 - 出力を確認してください。保存されているすべての復旧情報がリストされているはずです。不足している情報や古い情報があれば、どこに重点的に取り組めばよいかがわかります。
よくある質問
必ずしもそうではありません。BitLocker はローカルストレージで動作しますが、集中管理と容易なリカバリが必要な場合は、特にエンタープライズ環境では AD が確実な選択肢となります。
はい、TPM所有者情報をBitLocker回復キーと一緒に保存するようにポリシーを設定できます。TPMとBitLockerのグループポリシー設定を確認してください。
はい、Active DirectoryドメインサービスはWindows Serverまたは互換環境で実行されている必要があります。ADは不要で、回復キーの集中管理も不要です。
もちろんです。Azure AD は Azure に参加している Windows デバイスの回復キーを保存できるため、ローカル ドメインも必要ありません (クラウド管理スタイル)。
この設定により、回復キーの管理が容易になり、IT部門の負担が軽減されるだけでなく、ドライブが故障した際のトラブルも大幅に軽減されます。ポリシーを設定し、ストレージを検証するだけで、万事解決です。少なくとも、理論上はそうなります。