エンドユーザーへのプロンプトなしでBitLockerを有効にする方法

すべてのオプションが設定され、回復キーがActive Directoryに格納されるように、グループポリシーでBitLockerとTPMの設定を構成しました。すべてのマシンでWindows 7を標準の企業イメージで実行しており、TPMチップが有効になっていてBIOSでアクティブになっています。

私の目標は、ユーザーがしなければならないすべてが[BitLockerを有効にする]をクリックするだけで済むようにすることです。マイクロソフトは、スクリプトを介して展開できる自動化サンプルも提供しています。しかし、これをスムーズなプロセスにするための小さな問題があります。

GUIでは、ユーザーがBitLockerを有効にすると、自動的に生成される所有者パスワードでTPMを初期化する必要があります。ただし、回復パスワードはユーザーに表示され、テキストファイルに保存するように求められます。このダイアログを抑制できないようで、ステップをスキップできません。キーがADに正常にバックアップされるため、これは不要な（そして不要な）プロンプトです。

展開をスクリプト化する場合、TPMを初期化するときにスクリプトで所有者パスワードを指定する必要があり、GUIのようにランダムに生成されるようにします。

BitLockerの展開を本当に希望どおりにゼロタッチする方法はありますか？

グループポリシーを介してこれを行うことができます。ADにバックアップするように回復キー/パッケージを既に構成している場合は、ADへのバックアップを構成したのと同じ画面で[BitLockerセットアップウィザードからの回復オプションを除外する]チェックボックスをオンにするだけです。この設定は、ドライブの種類（OS、固定、リムーバブル）ごとに異なります。OSドライブだけでなく、暗号化する場合は、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブ暗号化]の各ノードでポリシーを設定する必要があります。このチェックボックスは、ウィザードからページを削除するだけであることに注意してください。ユーザーが暗号化後に回復キーをエクスポートできないようにしたい場合は、両方の回復オプションも無効にする必要があります。

また、これらのポリシーがサポートされているプラ​​ットフォームに注意してください。ここには、Vista / Server2008用と7 / Server2012以降用の2セットのポリシー設定があります。引き続きVistaを使用している場合は、「ユーザーがBitLockerで保護されたドライブを回復する方法を選択する」ポリシーを使用し、両方の方法を[許可しない]に設定してから、[Active DirectoryドメインサービスにBitLocker回復情報を保存する]ポリシーを有効にする必要があります。 。

Microsoft BitLockerの管理と監視を見てみましたか？コンピュータ上でリモートで実行する静かなサービスです。このソースから取得：

http://blogs.technet.com/b/deploymentguys/archive/2012/02/20/using-mbam-to-start-bitlocker-encryption-in-a-task-sequence.aspx

これには、エンドユーザー側でのノータッチ展開など、必要なものが含まれており、理想的には1つのコンソールに配置します。

お役に立てれば！

MBAMが機能するには、PS TPMがアクティブである必要があります。