BitLocker 回復キーを Active Directory に安全に保存および管理する

ダウンロード ファイルをクリックして X インストールします

BitLocker キーを Active Directory に保存すると、デバイスの回復が簡素化され、暗号化されたドライブが管理可能になります。このガイドでは、ストレージを有効にし、キーのバックアップを検証し、必要に応じてキーを回復する方法について説明します。

目次

• BitLocker キーを Active Directory に保存するにはどうすればよいですか?
  • キーを AD に保存するようにグループ ポリシーを構成する
  • AD で BitLocker キーを確認する
  • AD から BitLocker キーを回復する
  • 既存のデバイスにキーのアップロードを強制する
  • PowerShell を使用して保存されたキーを確認する
  • よくある質問

BitLocker キーを Active Directory に保存するにはどうすればよいですか?

キーを AD に保存するようにグループ ポリシーを構成する

BitLocker は、正しいポリシーがアクティブな場合にのみ、回復キーを Active Directory にアップロードします。

<オル>

グループ ポリシー管理コンソールを開きます。 ドメイン コントローラー上で。

[コンピュータの構成]> [管理用テンプレート]> [Windows コンポーネント]> [BitLocker ドライブ暗号化] に移動します。 。
 

Select Enabled 。

バックアップ リカバリ パスワードとキー パッケージをオンにします。 .

Click Apply をクリックしてOKします。 .

Run gpupdate /force クライアントマシン上で。

また、デバイスが既にロックされている場合に、パスワードや回復キーを使用せずに BitLocker のロックを解除する方法に関する詳細なガイドを読むこともできます。

AD で BitLocker キーを確認する

管理者は、暗号化後に BitLocker キーが Active Directory に表示されることを確認する必要があります。

<オル>

Active Directory ユーザーとコンピュータを開きます。 .

[表示] を選択します。 をクリックし、高度な機能を有効にします。 .

コンピュータ オブジェクトを参照します。

右クリックして [プロパティ] を選択します。 .

BitLocker リカバリを開きます タブ。

保存されている回復パスワードとキー パッケージを確認します。

CMD から BitLocker 回復キーを取得するこのガイドでは、コマンド ラインからキーを見つける方法を学ぶこともできます。

Recover a BitLocker key from AD

デバイスが起動中に BitLocker 回復キーを要求した場合、Active Directory から直接 BitLocker 回復キーを取得できます。

<オル>

Active Directory ユーザーとコンピュータを開きます。 .

Search for the locked computer.

そのプロパティを開きます ウィンドウ。

[BitLocker リカバリ] をクリックします。 タブ。

Choose the correct recovery entry.

48 桁の回復キーをコピーします。 and enter it on the affected PC.

Force existing devices to upload keys

古い暗号化デバイスでは、バックアップをトリガーするまでキーを Active Directory に送信できない場合があります。

<オル>

manage-bde -protectors -get C: を実行します。 コマンドプロンプトで。

出力から Key Protector ID をコピーします。

manage-bde -protectors -adbackup C:-id {ProtectorID} を実行します。 .

Active Directory でデバイス エントリを再度開いて、新しいアップロードを確認します。

このプロセスは、Windows 11 BitLocker 回復キーを紛失した場合の対処方法に関するこのガイドの手順に従う場合にも役立ちます。

Check stored keys with PowerShell

PowerShell を使用すると、Active Directory に保存されているすべての BitLocker 回復オブジェクトを監査できます。

<オル>

Open PowerShell 管理者として。

実行:Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -Properties msFVE-RecoveryPassword

各デバイスに対して返されたリカバリ オブジェクトを確認し、キーがレコードと一致していることを確認します。

よくある質問

BitLocker ではキーを保存するために Active Directory が必要ですか?

いいえ。BitLocker はローカル キー ストレージと連携できますが、Active Directory を使用するとドメイン デバイスを一元管理し、簡単にリカバリできます。

TPM 所有者情報も AD に保存できますか?

はい。 Windows が Active Directory 内の BitLocker データの隣に TPM 所有者情報を保存するように、関連するグループ ポリシー設定を構成できます。

これを動作させるには Windows Server が必要ですか?

はい。 Windows Server 上の Active Directory ドメイン サービス、またはドメインに参加しているコンピュータを管理する互換性のある環境が必要です。

Azure AD は、BitLocker キーのオンプレミス AD を置き換えることができますか?

はい。 Azure AD は、Azure に参加している Windows デバイスの BitLocker 回復キーを保存でき、それらを取得するためのクラウド ベースの方法を提供します。

BitLocker キー用の Active Directory ストレージにより、暗号化設定が整理され、安全に保たれます。グループ ポリシー設定を有効にした後、デバイスごとにキーを確認し、ロックアウト中の予期せぬ事態を避けるために取得をテストします。このアプローチは、IT チームがダウンタイムを削減し、データを保護し、すべての暗号化されたマシンの明確な回復プロセスを維持するのに役立ちます。

ミラン・スタノイェビッチ

Windows トラブルシューティング エキスパート

ミランは幼少の頃からテクノロジーに熱中しており、それがきっかけで PC 関連のあらゆるテクノロジーに興味を持つようになりました。彼は PC 愛好家で、ほとんどの時間をコンピューターとテクノロジについて学ぶことに費やしています。WindowsReport に入社する前は、フロントエンド Web 開発者として働いていました。現在、彼は Windows のエラーとソフトウェアの問題を専門とする、当社のワールドワイド チームのトラブルシューティング エキスパートの 1 人です。

読者は Windows レポートのサポートに協力します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。

Windows Report の編集チームの維持にどのように貢献できるかについては、開示ページをご覧ください。続きを読む