BitLocker グループ ポリシー設定

  • [アーティクル]

IT 担当者向けのこのトピックでは、BitLocker ドライブ暗号化を管理するために使用される各グループ ポリシー設定の機能、場所、および効果について説明します。

ユーザーが Windows コントロール パネルから実行できるドライブ暗号化タスクを制御したり、他の構成オプションを変更するには、グループ ポリシー管理用テンプレートまたはローカル コンピューター ポリシーの設定を使用できます。これらのポリシー設定を構成する方法は、BitLocker の実装方法と、許可されるユーザー操作のレベルによって異なります。

  

トラステッド プラットフォーム モジュール (TPM) の使用は、別のグループ ポリシー設定セットによってサポートされています。これらの設定の詳細については、「トラステッド プラットフォーム モジュールのグループ ポリシーの設定」を参照してください。

 

BitLocker のグループ ポリシー設定は、ローカル グループ ポリシー エディターおよびグループ ポリシー管理コンソール (GPMC) のコンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化でアクセスできます。

BitLocker のほとんどのグループ ポリシー設定は、ドライブに対して BitLocker を最初に有効にするときに適用されます。コンピューターが既存のグループ ポリシー設定に準拠していない場合、コンピューターが準拠状態になるまで、BitLocker を有効にしたり変更したりすることはできません。ドライブがグループ ポリシーの設定に準拠していない場合 (たとえば、組織への BitLocker の初期展開後にグループ ポリシーの設定が変更され、その後で以前に暗号化されたドライブに設定が適用された場合)、そのドライブの BitLocker の構成に対して行うことができる変更は、ドライブを準拠状態にする変更だけです。

ドライブを準拠状態にするために複数の変更が必要な場合は、BitLocker の保護をいったん中断し、必要な変更を行った後、保護を再開する必要があります。このような状況はたとえば、パスワードを使用してロックを解除するようにリムーバブル ドライブを最初に構成した後、パスワードをやめてスマート カードを使用するようにグループ ポリシーの設定を変更するような場合に、発生する可能性があります。このような場合は、Manage-bde コマンド ライン ツールを使用して BitLocker の保護を中断し、パスワードによるロック解除方法を削除した後、スマート カードの方法を追加する必要があります。これが完了すると、BitLocker はグループ ポリシーの設定に準拠するようになり、ドライブでの BitLocker の保護を再開できます。

BitLocker グループ ポリシー設定

以下のセクションでは、BitLocker のグループ ポリシー設定を用途別にまとめて示します。BitLocker のグループ ポリシーの設定は、特定のドライブ種類 (オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブ) に対する設定と、すべてのドライブに適用される設定があります。

次のポリシー設定は、BitLocker で保護されたドライブのロックを解除する方法を指定するために使用できます。

  • スタートアップ時にネットワーク ロック解除を許可する

  • スタートアップ時に追加の認証を要求する

  • スタートアップの拡張 PIN を許可する

  • スタートアップに対する PIN の長さの最小値を構成する

  • 標準ユーザーによる PIN やパスワードの変更を禁止する

  • オペレーティング システム ドライブのパスワードの使用を構成する

  • スタートアップ時に追加の認証を要求する (Windows Server 2008 および Windows Vista)

  • 固定データ ドライブでのスマート カードの使用を構成する

  • 固定データ ドライブのパスワードの使用を構成する

  • リムーバブル データ ドライブでのスマート カードの使用を構成する

  • リムーバブル データ ドライブのパスワードの使用を構成する

  • スマート カード証明書の使用規則の準拠を検証する

  • スレートでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする

次のポリシー設定は、ユーザーがドライブにアクセスする方法、およびユーザーがコンピューター上の BitLocker を使用する方法を制御するために使用します。

  • BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

  • BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

  • リムーバブル ドライブでの BitLocker の使用を制御する

次のポリシー設定は、BitLocker で使用される暗号化方法と暗号化の種類を決定します。

  • ドライブの暗号化方法と暗号強度を選択する

  • 固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

  • オペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を構成する

  • リムーバブル データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

  • 固定データ ドライブに特定の種類のドライブ暗号化を適用する

  • オペレーティング システム ドライブに特定の種類のドライブ暗号化を適用する

  • リムーバブル データ ドライブに特定の種類のドライブ暗号化を適用する

次のポリシー設定は、認証方法が失敗した場合または使用できない場合に、BitLocker で保護されたドライブへのアクセスを復元するために使用できる回復方法を定義します。

  • BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

  • BitLocker で保護されているドライブの回復方法を選択する (Windows Server 2008 および Windows Vista)

  • Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)

  • 回復パスワードの既定のフォルダーを選択する

  • BitLocker で保護されている固定ドライブの回復方法を選択する

  • BitLocker で保護されているリムーバブル ドライブの回復方法を選択する

  • プリブート回復メッセージと URL を構成する

次のポリシーは、組織のカスタマイズされた展開シナリオをサポートするために使用されます。

  • セキュア ブートによる整合性の検証を許可する

  • 組織に一意の識別子を提供する

  • 再起動時のメモリ上書きの回避

  • BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

  • TPM プラットフォーム検証プロファイルを構成する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)

  • ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

  • BitLocker 回復の実行後にプラットフォームの検証データをリセットする

  • 拡張ブート構成データ検証プロファイルを使用する

  • BitLocker で保護されている固定データ ドライブに対する以前のバージョンの Windows からのアクセスを許可する

  • BitLocker で保護されているリムーバブル データ ドライブに対する以前のバージョンの Windows からのアクセスを許可する

スタートアップ時にネットワーク ロック解除を許可する

このポリシーは、BitLocker でネットワーク ロック解除機能の動作の部分を制御します。このポリシーは、BitLocker を実行しているクライアントが暗号化の間に必要なネットワーク キー保護機能を作成することを許可するので、ネットワークで BitLocker ネットワーク ロック解除を有効にするために必要です。信頼されたネットワークに接続されているシステムがネットワーク ロック解除機能を適切に利用できるようにするには、「BitLocker ドライブ暗号化ネットワーク ロック解除証明書」セキュリティ ポリシー ([ローカル コンピューター ポリシー] の [公開キーのポリシー] フォルダーにあります) に加えて、このポリシーを使用します。

ポリシーの説明

このポリシー設定を使用すると、信頼されたローカル エリア ネットワークに接続されてドメインに参加している BitLocker で保護されたコンピューターで、TPM が有効なコンピューターに対するネットワーク キー保護機能を作成および使用して、そのコンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

BitLocker ネットワーク ロック解除証明書が構成されたクライアントは、ネットワーク キー保護機能を作成および使用できます。

無効時または未構成時

クライアントはネットワーク キー保護機能を作成および使用できません。

 

参考

コンピューターのロック解除にネットワーク キー保護機能を使用するには、コンピューターと BitLocker ドライブ暗号化ネットワーク ロック解除をホストするサーバーの両方で、ネットワーク ロック解除証明書を用意する必要があります。ネットワーク ロック解除証明書は、ネットワーク キー保護機能を作成し、コンピューターのロックを解除するためにサーバーと交換される情報を保護するために使用されます。この証明書は、ドメイン コントローラーの [コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\BitLocker ドライブ暗号化ネットワーク ロック解除証明書] グループ ポリシー設定を使用して組織のコンピューターに配布できます。このロック解除方法はコンピューター上の TPM を使用するため、TPM がないコンピューターでは、ネットワーク ロック解除を使用して自動的にロックを解除するためのネットワーク キー保護機能を作成できません。

  

信頼性とセキュリティを高めるために、コンピューターが有線ネットワークから切断されているとき、またはスタートアップ時にドメイン コントローラーに接続できないときに使用できる、TPM スタートアップ PIN も構成しておく必要があります。

 

ネットワーク ロック解除の詳細については、「BitLocker: ネットワーク ロック解除を有効にする方法」を参照してください。

スタートアップ時に追加の認証を要求する

このポリシー設定は、オペレーティング システム ドライブで使用できるロック解除オプションを制御するために使用されます。

ポリシーの説明

このポリシー設定を使うと、コンピューターを起動するたびに BitLocker で追加の認証を要求するかどうかと、BitLocker をトラステッド プラットフォーム モジュール (TPM) と併用するかどうかを構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

1 つの認証方法が必須になっている場合、他の方法を許可することはできません。

[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定が有効になっている場合、BitLocker と TPM スタートアップ キーの併用または BitLocker と TPM スタートアップ キーおよび PIN の併用は許可しないようにする必要があります。

有効時

ユーザーは、BitLocker セットアップ ウィザードで詳細なスタートアップ オプションを構成できます。

無効時または未構成時

ユーザーは、TPM 搭載コンピューターで基本オプションのみを構成できます。

スタートアップ時に要求できる追加の認証オプションは 1 つだけです。複数要求すると、ポリシー エラーが発生します。

 

参考

複数のオプションを追加すると、ポリシー エラーが発生します。TPM が装備されていないコンピューターで BitLocker を使用する場合は、[互換性のある TPM が装備されていない BitLocker を許可する] チェック ボックスをオンにします。このモードでは、USB ドライブがスタートアップに必要です。ドライブの暗号化に使用されるキー情報は、USB ドライブに格納され、それによって USB キーが作成されます。USB キーが挿入されると、ドライブへのアクセスが認証され、ドライブにアクセスできるようになります。USB キーが失われたり、使用できなくなった場合は、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。

互換性のある TPM が装備されているコンピューターでは、スタートアップ時に 4 種類の認証方法を使用して暗号化されたデータの保護を強化できます。コンピューターの起動時は以下を使用できます。

  • 認証に TPM のみ

  • スタートアップ キーを含む USB フラッシュ ドライブの挿入

  • 4 桁から 20 桁の暗証番号 (PIN) の入力

  • PIN と USB フラッシュ ドライブの組み合わせ

TPM が有効なコンピューターまたはデバイスには 4 つのオプションがあります。

  • TPM スタートアップの構成

    • TPM を許可する

    • TPM を要求する

    • TPM を許可しない

  • TPM スタートアップ PIN の構成

    • TPM でスタートアップ PIN を許可する

    • TPM でスタートアップ PIN を要求する

    • TPM でスタートアップ PIN を許可しない

  • TPM スタートアップ キーの構成

    • TPM でスタートアップ キーを許可する

    • TPM でスタートアップ キーを要求する

    • TPM でスタートアップ キーを許可しない

  • TPM スタートアップ キーと PIN の構成

    • PIN で TPM スタートアップ キーを許可する

    • TPM でスタートアップ キーと PIN を要求する

    • PIN で TPM スタートアップ キーを許可しない

スタートアップの拡張 PIN を許可する

このポリシー設定は、PIN を含むロック解除方法を使用するときに、拡張 PIN の使用を許可します。

ポリシーの説明

このポリシー設定では、BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

新しく設定されるすべての BitLocker スタートアップ PIN が拡張 PIN になります。標準スタートアップ PIN を使用して保護されていた既存のドライブには反映されません。

無効時または未構成時

拡張 PIN は使用されません。

 

参考

拡張スタートアップ PIN では、文字 (大文字と小文字、記号、数字、空白など) を使用できます。このポリシー設定は、BitLocker を有効にすると適用されます。

重要  

プリブート環境での拡張 PIN 文字をサポートしていないコンピューターもあります。BitLocker のセットアップ中にシステム チェックを実行して、拡張 PIN 文字を使用できることを確認することを強くお勧めします。

 

スタートアップに対する PIN の長さの最小値を構成する

このポリシー設定は、PIN を含むロック解除方法を使用するときに、PIN の長さの最小値を設定するために使用します。

ポリシーの説明

このポリシー設定を使用すると、TPM スタートアップ PIN の最小の長さを構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。スタートアップ PIN の長さの許容範囲は、4 ~ 20 桁です。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

スタートアップ PIN を設定するときに、最小値以上の桁数を入力するようにユーザーに要求できます。

無効時または未構成時

ユーザーは、4 ~ 20 桁の範囲で任意の長さのスタートアップ PIN を構成できます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。スタートアップ PIN の長さの許容範囲は、4 ~ 20 桁です。

標準ユーザーによる PIN やパスワードの変更を禁止する

このポリシー設定を使用すると、オペレーティング システム ドライブの保護に使用される PIN またはパスワードを標準ユーザーが変更できるかどうかを構成できます。

ポリシーの説明

このポリシー設定を使用すると、オペレーティング システム ドライブの保護に使用される PIN またはパスワードを標準ユーザーが変更できるかどうかを構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

標準ユーザーは、BitLocker の PIN またはパスワードを変更できません。

無効時または未構成時

標準ユーザーは、BitLocker の PIN またはパスワードを変更できます。

 

参考

PIN またはパスワードを変更するには、ユーザーは現在の PIN またはパスワードを指定できる必要があります。このポリシー設定は、BitLocker を有効にすると適用されます。

オペレーティング システム ドライブのパスワードの使用を構成する

このポリシーは、TPM を使用していないシステムがパスワード保護機能を利用する方法を制御します。[複雑さの要件を満たす必要があるパスワード] ポリシーと組み合わせてこのポリシーを使用すると、管理者はパスワード保護機能を使用するためのパスワードの長さと複雑さを要求できます。既定では、パスワードは 8 文字でなければなりません。複雑さ構成オプションは、クライアントに対するドメイン接続の重要さを決定します。最強のパスワード セキュリティの場合は、ドメイン接続が必要であるため管理者は [パスワードの複雑さを必要とする] を選択する必要があり、BitLocker のパスワードはドメイン サインイン パスワードと同じパスワードの複雑さ要件を満たしている必要があります。

ポリシーの説明

このポリシー設定を使用すると、BitLocker で保護されているオペレーティング システム ドライブのロック解除に使用するパスワードに対する制約を指定できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

FIPS 準拠が有効な場合は、パスワードを使用できません。

  

FIPS 準拠を有効にするかどうかは、[コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション] にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定します。

 

有効時

ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。

無効時または未構成時

オペレーティング システム ドライブのパスワードの長さの制約は既定の 8 文字になり、複雑さのチェックは行われません。

 

参考

オペレーティング システム ドライブで TPM 以外の保護機能を使用できる場合、パスワードを設定したり、パスワードに複雑さの要件を強制したり、パスワードの長さの最小値を構成したりできます。複雑さの要件の設定を有効にするには、[コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー] にある [複雑さの要件を満たす必要があるパスワード] グループ ポリシー設定も有効にする必要があります。

  

これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

 

[複雑さを要求する] に設定すると、BitLocker が有効な場合に、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必須になります。[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメイン コントローラーへの接続が試行されます。ドメイン コントローラーが見つからなかった場合、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。

パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。

このポリシー設定を有効にした場合、[オペレーティング システム ドライブのパスワードの複雑さを構成する] オプションを以下に設定できます。

  • パスワードの複雑さを許可する

  • パスワードの複雑さを許可しない

  • パスワードの複雑さを必要とする

スタートアップ時に追加の認証を要求する (Windows Server 2008 および Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を搭載するコンピューターで使用できるロック解除オプションを制御するために使用します。

ポリシーの説明

このポリシー設定を使用すると、Windows Vista または Windows Server 2008 搭載コンピューターの BitLocker セットアップ ウィザードで、コンピューターを起動するたびに要求される追加の認証方法をセットアップできるかどうかを制御できます。

導入

Windows Server 2008、Windows Vista

ドライブの種類

オペレーティング システム ドライブ (Windows Server 2008、Windows Vista)

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

追加の認証方法を必要とする場合は、他の認証方法を許可できません。

有効時

BitLocker セットアップ ウィザードに、BitLocker の詳細なスタートアップ オプションを構成できるページが表示されます。TPM が装備されているコンピューターまたは TPM が装備されていないコンピューターについて、さらに設定オプションを構成できます。

無効時または未構成時

BitLocker セットアップ ウィザードには、TPM を備えるコンピューターで BitLocker を有効にできる基本的な手順が表示されます。この基本のウィザードでは、追加のスタートアップ キーまたはスタートアップ PIN は構成できません。

 

参考

互換性のある TPM が装備されているコンピューターでは、スタートアップ時に 2 種類の認証方法を使用して暗号化されたデータの保護を強化できます。コンピューターは起動時に、ユーザーにスタートアップ キーが格納された USB ドライブを挿入するように要求できます。また、4 ~ 20 桁のスタートアップ PIN を入力するように要求することもできます。

互換性のある TPM が装備されていないコンピューターでは、スタートアップ キーを含む USB ドライブが必要です。TPM が装備されていない場合、BitLocker 暗号化データは、この USB ドライブのキー マテリアルのみで保護されます。

TPM が有効なコンピューターまたはデバイスには 2 つのオプションがあります。

  • TPM スタートアップ PIN の構成

    • TPM でスタートアップ PIN を許可する

    • TPM でスタートアップ PIN を要求する

    • TPM でスタートアップ PIN を許可しない

  • TPM スタートアップ キーの構成

    • TPM でスタートアップ キーを許可する

    • TPM でスタートアップ キーを要求する

    • TPM でスタートアップ キーを許可しない

これらのオプションを同時に指定することはできません。スタートアップ キーが必要な場合は、スタートアップ PIN を許可しないようにする必要があります。スタートアップ PIN が必要な場合は、スタートアップ キーを許可しないようにする必要があります。そうしなければ、ポリシー エラーが発生します。

TPM が有効なコンピューターまたはデバイスで詳細ページが表示されないようにするには、スタートアップ キーおよびスタートアップ PIN に対するこれらのオプションを [許可しない] に設定します。

固定データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、固定データ ドライブでのスマート カードの使用を要求、許可、禁止するために使用します。

ポリシーの説明

このポリシー設定を使用すると、コンピューター上の BitLocker で保護されている固定データ ドライブに対するユーザー アクセスの認証にスマート カードを使用できるようにするかどうかを指定できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

BitLocker でスマート カードを使用するには、[コンピューターの構成\管理用テンプレート\BitLocker ドライブ暗号化\スマート カード証明書の使用規則の準拠を検証する] ポリシー設定のオブジェクト識別子の設定を、スマート カード証明書のオブジェクト識別子と一致するように変更することも必要な場合があります。

有効時

ドライブに対するユーザー アクセスの認証にスマート カードを使用できます。スマート カード認証を必須にするには、[固定データ ドライブでスマート カードを必ず使用する] チェック ボックスをオンにします。

無効時

ユーザーは BitLocker で保護された固定データ ドライブへのアクセスの認証にスマート カードを使用できません。

未構成時

BitLocker で保護されたドライブへのユーザー アクセスの認証にスマート カードを使用できます。

 

参考

  

これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

 

固定データ ドライブのパスワードの使用を構成する

このポリシー設定は、固定データ ドライブでのパスワードの使用を要求、許可、禁止するために使用します。

ポリシーの説明

このポリシー設定を使用すると、BitLocker で保護されている固定データ ドライブのロックを解除するときにパスワードを要求するかどうかを指定できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

パスワードの複雑さを使用するには、[コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー\複雑さの要件を満たす必要があるパスワード] ポリシー設定も有効にする必要があります。

有効時

ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの使用を必須にするには、[固定データ ドライブに対してパスワードを要求する] を選択します。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。

無効時

ユーザーはパスワードを使用できません。

未構成時

パスワードは、既定の設定 (パスワードの複雑さの要件なし、長さの最小値は 8 文字) でサポートされます。

 

参考

[複雑さを要求する] に設定すると、BitLocker が有効なときは、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必須になります。

[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメイン コントローラーへの接続が試行されます。ただし、ドメイン コントローラーが見つからない場合は、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。

[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。

パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。

  

これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

 

複雑さの要件の設定を有効にするには、[コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー\複雑さの要件を満たす必要があるパスワード] グループ ポリシー設定も有効にする必要があります。

このポリシー設定はコンピューターごとに構成します。つまり、ローカル ユーザー アカウントとドメイン ユーザー アカウントに適用されます。パスワードの複雑さの検証に使用されるパスワード フィルターはドメイン コント ローラー上にあり、ローカル ユーザー アカウントはドメイン アクセスを認証されないため、ローカル ユーザー アカウントはパスワード フィルターにアクセスできません。このポリシー設定が有効になっている場合、ローカル ユーザー アカウントでサインインして、ドライブの暗号化または既存の BitLocker で保護されたドライブのパスワードの変更を試みると、「アクセス拒否」エラー メッセージが表示されます。この場合、パスワード キー保護機能をドライブに追加することはできません。

このポリシー設定を有効にするには、BitLocker で保護されたドライブにパスワード キー保護機能を追加する前に、ドメインへの接続を確立する必要があります。リモートで作業していて、ドメインに接続できない時間があるユーザーは、BitLocker を有効にしたり、BitLocker で保護されたデータ ドライブのパスワードを変更したりするためにドメインに接続する時間帯をスケジュールできるよう、この要件に注意してください

重要  

FIPS 準拠が有効な場合は、パスワードを使用できません。FIPS 準拠を有効にするかどうかは、[コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション] にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定します。

 

リムーバブル データ ドライブでのスマート カードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのスマート カードの使用を要求、許可、禁止するために使用します。

ポリシーの説明

このポリシー設定を使用すると、コンピューター上の BitLocker で保護されているリムーバブル データ ドライブに対するユーザー アクセスの認証にスマート カードを使用できるようにするかどうかを指定できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

BitLocker でスマート カードを使用するには、[コンピューターの構成\管理用テンプレート\BitLocker ドライブ暗号化\スマート カード証明書の使用規則の準拠を検証する] ポリシー設定のオブジェクト識別子の設定を、スマート カード証明書のオブジェクト識別子と一致するように変更することも必要な場合があります。

有効時

ドライブに対するユーザー アクセスの認証にスマート カードを使用できます。スマート カード認証を必須にするには、[リムーバブル データ ドライブでスマート カードを必ず使用する] チェック ボックスをオンにします。

無効時または未構成時

ユーザーは、BitLocker で保護されているリムーバブル データ ドライブに対するアクセスの認証にスマート カードを使用できません。

未構成時

BitLocker で保護されているリムーバブル データ ドライブに対するユーザー アクセスの認証にスマート カードを使用できます。

 

参考

  

これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

 

リムーバブル データ ドライブのパスワードの使用を構成する

このポリシー設定は、リムーバブル データ ドライブでのパスワードの使用を要求、許可、禁止するために使用します。

ポリシーの説明

このポリシー設定を使用すると、BitLocker で保護されているリムーバブル データ ドライブのロックを解除するときにパスワードを要求するかどうかを指定できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

パスワードの複雑さを使用するには、[コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー] にある [複雑さの要件を満たす必要があるパスワード] ポリシー設定も有効にする必要があります。

有効時

ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの使用を必須にするには、[リムーバブル データ ドライブに対してパスワードを要求する] を選択します。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。

無効時

ユーザーはパスワードを使用できません。

未構成時

パスワードは、既定の設定 (パスワードの複雑さの要件なし、長さの最小値は 8 文字) でサポートされます。

 

参考

パスワードを使用する場合は、パスワードを必須にしたり、複雑さの要件を強制したり、長さの最小値を構成したりすることができます。複雑さの要件の設定を有効にするには、[コンピューターの構成\Windows の設定\セキュリティの設定\アカウント ポリシー\パスワードのポリシー] にある [複雑さの要件を満たす必要があるパスワード] グループ ポリシー設定も有効にする必要があります。

  

これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

 

パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。

[複雑さを要求する] に設定すると、BitLocker が有効な場合に、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必須になります。

[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメイン コントローラーへの接続が試行されます。ただし、ドメイン コントローラーが見つからなかった場合でも、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。

[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。

  

FIPS 準拠が有効な場合は、パスワードを使用できません。FIPS 準拠を有効にするかどうかは、[コンピューターの構成\Windows の設定\セキュリティの設定\ローカル ポリシー\セキュリティ オプション] にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定します。

 

この設定については、システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使うに関するページを参照してください。

スマート カード証明書の使用規則の準拠を検証する

このポリシー設定は、BitLocker で使用する証明書を決定するために使用します。

ポリシーの説明

このポリシー設定を使用すると、スマート カード証明書のオブジェクト識別子 (OID) を、BitLocker で保護されているドライブに関連付けることができます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ、リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

なし

有効時

[オブジェクトの識別子] の設定で指定されている OID が、スマート カード証明書の OID と一致する必要があります。

無効時または未構成時

既定のオブジェクト識別子が使用されます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

OID は、証明書の拡張キー使用法 (EKU) で指定されます。BitLocker は、証明書の OID と、このポリシー設定で定義されている OID を照合することにより、BitLocker で保護されているドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。

既定のオブジェクト識別子は、1.3.6.1.4.1.311.67.1.1 です。

  

証明書に EKU 属性があることは BitLocker において必須ではありません。ただし、証明書に対して EKU 属性が構成されている場合は、BitLocker 用に構成したオブジェクト識別子と同じオブジェクト識別子に設定されている必要があります。

 

スレートでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする

このポリシー設定を使うと、プラットフォームにプリブート入力機能がない場合でもプリブート環境からのユーザー入力を要求する認証オプションを有効にできるようになります。

ポリシーの説明

このポリシー設定を使用すると、プラットフォームにプリブート入力機能がない場合でもプリブート環境からのユーザー入力を要求する認証オプションを有効にできます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システムのドライブ

競合

なし

有効時

デバイスでは、プリブート入力に代わる方法 (接続された USB キーボードなど) が必要になります。

無効時または未構成時

BitLocker 回復パスワードの入力をサポートするためにタブレットで Windows 回復環境を有効にする必要があります。

 

参考

BitLocker で PIN やパスワードなどの追加の情報が要求されるプリブート環境では、Windows タッチ キーボード (タブレットで使用されるものなど) は使用できません。

このポリシーは、プリブート入力の代替手段 (USB キーボードの接続など) があることが確認されているデバイスに対してのみ有効にすることをお勧めします。

Windows 回復環境が無効になっていて、このポリシーも無効になっている場合、Windows タッチ キーボードを使用するデバイスで BitLocker を有効にすることはできません。

このポリシー設定を有効にしないと、[スタートアップ時に追加の認証を要求する] ポリシーの以下のオプションを使用できない場合があります。

  • TPM スタートアップ PIN の構成: 要求および許可

  • TPM スタートアップ キーと PIN の構成: 要求および許可

  • オペレーティング システム ドライブのパスワードの使用を構成する

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセスを許可する前に固定ドライブの暗号化を要求するために使用します。

ポリシーの説明

このポリシー設定を使用すると、固定データ ドライブをコンピューターで書き込み可能にするために BitLocker の保護が必要かどうかを設定できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

「参考」セクションの競合に関する説明を参照してください。

有効時

BitLocker で保護されていないすべての固定データ ドライブは、読み取り専用としてマウントされます。ドライブが BitLocker で保護されている場合は、読み取り/書き込みアクセスでマウントされます。

無効時または未構成時

コンピューター上のすべての固定データ ドライブは、読み取り/書き込みアクセスでマウントされます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

競合に関する考慮事項は次のとおりです。

  1. このポリシー設定を有効にした場合、暗号化されていない固定データ ドライブにデータを保存しようとすると、「アクセス拒否」エラー メッセージが表示されます。「参考」セクションでその他の競合について参照してください。

  2. このポリシー設定が有効になっているコンピューターで BdeHdCfg.exe を実行すると、次の問題が発生する可能性があります。

    • ドライブのサイズを縮小して、システム ドライブを作成しようとした場合、ドライブのサイズは正常に小さくなり、初期化されていないパーティションが作成されます。ただし、初期化されていないパーティションはフォーマットされていません。次のエラー メッセージが表示されます。「新しいアクティブ ドライブをフォーマットできません。ドライブを BitLocker 用に手動で準備する必要がある可能性があります。」

    • 割り当てられていない領域を使用してシステム ドライブを作成しようとすると、初期化されていないパーティションが作成されます。ただし、初期化されていないパーティションはフォーマットされていません。次のエラー メッセージが表示されます。「新しいアクティブ ドライブをフォーマットできません。ドライブを BitLocker 用に手動で準備する必要がある可能性があります。」

    • 既存のドライブをシステム ドライブにマージしようとした場合、ツールはシステム ドライブを作成するために必要なブート ファイルを対象となるドライブにコピーできません。次のエラー メッセージが表示されます。「BitLocker セットアップはブート ファイルをコピーできませんでした。ドライブを BitLocker 用に手動で準備する必要がある可能性があります。」

  3. このポリシー設定を適用した場合、ドライブが保護されるため、ハード ドライブを再パーティション分割することはできません。組織内のコンピューターを以前のバージョンの Windows からアップグレードしていて、コンピューターが単一パーティションで構成されている場合、コンピューターにこのポリシー設定を適用する前に、必要な BitLocker システム パーティションを作成する必要があります。

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

このポリシー設定は、書き込みアクセスを許可する前にリムーバブル ドライブを暗号化するように要求し、別の組織で構成された BitLocker で保護されたリムーバブル ドライブを書き込みアクセスで開くことができるようにするかどうかを制御するために、使用されます。

ポリシーの説明

このポリシー設定を使用すると、コンピューターでリムーバブル データ ドライブにデータを書き込む際に BitLocker 保護を必須にするかどうかを構成できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

「参考」セクションの競合に関する説明を参照してください。

有効時

BitLocker で保護されていないすべてのリムーバブル データ ドライブは、読み取り専用としてマウントされます。ドライブが BitLocker で保護されている場合は、読み取り/書き込みアクセスでマウントされます。

無効時または未構成時

コンピューター上のすべてのリムーバブル データ ドライブは、読み取り/書き込みアクセスでマウントされます。

 

参考

[別の組織で構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合は、ID フィールドがコンピューターの ID フィールドと一致するドライブだけに書き込みアクセスが付与されます。リムーバブル データ ドライブへのアクセス時に、有効な ID フィールドと許可された ID フィールドが確認されます。これらのフィールドは [組織の一意な識別子を指定する] ポリシー設定で定義されます。

  

このポリシー設定は、[ユーザーの構成\管理用テンプレート\システム\リムーバブル記憶域へのアクセス] のポリシー設定でオーバーライドできます。[リムーバブル ディスク: 書き込みアクセスの拒否] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。

 

競合に関する考慮事項は次のとおりです。

  1. [BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定が有効になっている場合、BitLocker と TPM およびスタートアップ キーの併用または BitLocker と TPM、PIN、スタートアップ キーの併用は許可しないようにする必要があります。

  2. [BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にした場合は、回復キーの使用を許可しないようにする必要があります。

  3. 別の組織で構成されたドライブへの書き込みアクセスを拒否する場合、[組織に一意の識別子を提供する] ポリシー設定を有効にする必要があります。

リムーバブル ドライブでの BitLocker の使用を制御する

このポリシー設定は、ユーザーがリムーバブル データ ドライブの BitLocker を有効または無効にできないようにするために使用します。

ポリシーの説明

このポリシー設定を使用すると、リムーバブル データ ドライブでの BitLocker の使用を制御できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

なし

有効時

ユーザーは BitLocker を構成する方法を制御するプロパティ設定を選択できます。

無効時

ユーザーはリムーバブル データ ドライブで BitLocker を使用できません。

未構成時

ユーザーはリムーバブル データ ドライブで BitLocker を使用できます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

BitLocker の保護を中断する方法の詳細については、「BitLocker の基本的な展開」を参照してください。

ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択するためのオプションは次のとおりです。

  • [リムーバブル データ ドライブに BitLocker 保護を適用できるようにする]   ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにします。

  • [リムーバブル データ ドライブの BitLocker 保護を中断および暗号化解除できるようにする]   ユーザーがドライブから BitLocker を削除したり、メンテナンスの実行時に暗号化を中断したりできるようにします。

ドライブの暗号化方法と暗号強度を選択する

このポリシー設定は、暗号化の方法および暗号の強度を制御するために使用します。

ポリシーの説明

このポリシー設定を使用すると、ドライブの暗号化の方法および強度を制御できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

すべてのドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

なし

有効時

BitLocker がドライブの暗号化に使用する暗号化アルゴリズムおよびキーの暗号強度を選択できます。

無効時または未構成時

BitLocker は、AES 128 ビットの既定の暗号化方法か、セットアップ スクリプトで指定された暗号化方法を使用します。

 

参考

既定では、BitLocker は AES 128 ビット暗号化を使用します。使用できるオプションは、AES-128 と AES-256 です。このポリシーの値は、BitLocker が暗号化に使用する暗号の強度を決定します。セキュリティを強化するための暗号化レベルの制御が必要になることがあります (AES-256 は AES-128 より強力)。

ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化方法を変更しても影響はありません。このような場合、このポリシー設定は無視されます。

警告  

このポリシーは、暗号化されているドライブには適用されません。暗号化されたドライブは、パーティション分割中にドライブによって設定された固有のアルゴリズムを使用します。

 

このポリシー設定を無効にすると、BitLocker は [ドライブの暗号化方法と暗号強度を選択する (Windows Vista、Windows Server 2008、Windows 7)] ポリシー設定で指定されているものと同じビット強度 (128 ビットまたは 256 ビット) の AES を使用します。いずれのポリシーも設定されていない場合、BitLocker は、既定の暗号化方法 (AES-128) またはセットアップ スクリプトで指定された暗号化方法を使用します。

固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、暗号化されたドライブが固定データ ボリュームとして使用されるシステムへの BitLocker の対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。

ポリシーの説明

このポリシー設定を使用すると、BitLocker による固定データ ドライブに対するハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で BitLocker が使用できる暗号化アルゴリズムを指定できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

なし

有効時

ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化の代わりに BitLocker のソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。また、ハードウェア ベースの暗号化で使用する暗号化アルゴリズムおよび暗号スイートを制限するかどうかも指定できます。

無効時

BitLocker は固定データ ドライブでハードウェア ベースの暗号化を使用できず、ドライブが暗号化されるときは既定で BitLocker のソフトウェア ベースの暗号化が使用されます。

未構成時

BitLocker は、ドライブに設定されている暗号化アルゴリズムでハードウェア ベースの暗号化を使用します。ハードウェア ベースの暗号化を使用できない場合は、BitLocker のソフトウェア ベースの暗号化が代わりに使用されます。

 

参考

  

ハードウェア ベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。

 

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。この設定の [ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションを指定すると、BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムを制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェア ベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。以下はその例です。

  • 暗号ブロック チェーン (CBC) モードの Advanced Encryption Standard (AES) 128 の OID: 2.16.840.1.101.3.4.1.2

  • CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42

オペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、暗号化されたドライブがオペレーティング システム ドライブとして使用されるときの BitLocker の対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。

ポリシーの説明

このポリシー設定を使用すると、BitLocker によるオペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化の代わりに BitLocker のソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。また、ハードウェア ベースの暗号化で使用する暗号化アルゴリズムおよび暗号スイートを制限するかどうかも指定できます。

無効時

BitLocker はオペレーティング システム ドライブでハードウェア ベースの暗号化を使用できず、ドライブが暗号化されるときは既定で BitLocker のソフトウェア ベースの暗号化が使用されます。

未構成時

BitLocker は、ドライブに設定されている暗号化アルゴリズムでハードウェア ベースの暗号化を使用します。ハードウェア ベースの暗号化を使用できない場合は、BitLocker のソフトウェア ベースの暗号化が代わりに使用されます。

 

参考

ハードウェア ベースの暗号化を使用できない場合は、BitLocker のソフトウェア ベースの暗号化が代わりに使用されます。

  

ハードウェア ベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。

 

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。この設定の [ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションを指定すると、BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムを制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェア ベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。以下はその例です。

  • 暗号ブロック チェーン (CBC) モードの Advanced Encryption Standard (AES) 128 の OID: 2.16.840.1.101.3.4.1.2

  • CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42

リムーバブル データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

このポリシーは、暗号化されたドライブがリムーバブル データ ドライブとして使用されるときの BitLocker の対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。

ポリシーの説明

このポリシー設定を使用すると、BitLocker によるリムーバブル データ ドライブに対するハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

なし

有効時

ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化の代わりに BitLocker のソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。また、ハードウェア ベースの暗号化で使用する暗号化アルゴリズムおよび暗号スイートを制限するかどうかも指定できます。

無効時

BitLocker はリムーバブル データ ドライブでハードウェア ベースの暗号化を使用できず、ドライブが暗号化されるときは既定で BitLocker のソフトウェア ベースの暗号化が使用されます。

未構成時

BitLocker は、ドライブに設定されている暗号化アルゴリズムでハードウェア ベースの暗号化を使用します。ハードウェア ベースの暗号化を使用できない場合は、BitLocker のソフトウェア ベースの暗号化が代わりに使用されます。

 

参考

ハードウェア ベースの暗号化を使用できない場合は、BitLocker のソフトウェア ベースの暗号化が代わりに使用されます。

  

ハードウェア ベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。

 

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブがパーティション分割されるときに設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。この設定の [ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションを指定すると、BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムを制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェア ベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。以下はその例です。

  • 暗号ブロック チェーン (CBC) モードの Advanced Encryption Standard (AES) 128 の OID: 2.16.840.1.101.3.4.1.2

  • CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42

固定データ ドライブに特定の種類のドライブ暗号化を適用する

このポリシーは、固定データ ドライブが使用領域のみの暗号化と完全な暗号化のどちらを使用するかを制御します。また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択がユーザーに対して表示されなくなります。

ポリシーの説明

このポリシー設定を使用すると、BitLocker によって使用される暗号化の種類を構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

なし

有効時

BitLocker がドライブを暗号化するときに使用する暗号化の種類はこのポリシーによって定義され、BitLocker セットアップ ウィザードには暗号化の種類のオプションが表示されなくなります。

無効時または未構成時

BitLocker セットアップ ウィザードは、BitLocker を有効にする前に、暗号化の種類の選択をユーザーに求めます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化の種類を変更しても影響はありません。BitLocker を有効にしたときにドライブ全体が暗号化されるようにするには、完全な暗号化を選択します。BitLocker を有効にしたときにデータの格納に使用されるドライブ領域だけが暗号化されるようにするには、使用領域のみの暗号化を選択します。

  

ボリュームを圧縮または拡張し、BitLocker ドライバーが現在の暗号化方法を使用してするときは、このポリシーは無視されます。たとえば、使用領域のみの暗号化を使用しているドライブを拡張すると、完全な暗号化を使用しているドライブの場合とは異なり、新しい空き領域は消去されません。使用領域のみの暗号化を使用するドライブの空き領域を消去するには、manage-bde -w コマンドを使用します。ボリュームを圧縮する場合は、新しい空き領域の処理は行われません。

 

BitLocker を管理するためのツールの詳細については、Manage-bde に関するページを参照してください。

オペレーティング システム ドライブに特定の種類のドライブ暗号化を適用する

このポリシーは、オペレーティング システム ドライブが完全な暗号化と使用領域のみの暗号化のどちらを使用するかを制御します。また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択がユーザーに対して表示されなくなります。

ポリシーの説明

このポリシー設定を使用すると、BitLocker によって使用される暗号化の種類を構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

BitLocker がドライブを暗号化するときに使用する暗号化の種類はこのポリシーによって定義され、BitLocker セットアップ ウィザードには暗号化の種類のオプションが表示されなくなります。

無効時または未構成時

BitLocker セットアップ ウィザードは、BitLocker を有効にする前に、暗号化の種類の選択をユーザーに求めます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化の種類を変更しても影響はありません。BitLocker を有効にしたときにドライブ全体が暗号化されるようにするには、完全な暗号化を選択します。BitLocker を有効にしたときにデータの格納に使用されるドライブ領域だけが暗号化されるようにするには、使用領域のみの暗号化を選択します。

  

ボリュームを圧縮または拡張し、BitLocker ドライバーが現在の暗号化方法を使用してするときは、このポリシーは無視されます。たとえば、使用領域のみの暗号化を使用しているドライブを拡張すると、完全な暗号化を使用しているドライブの場合とは異なり、新しい空き領域は消去されません。使用領域のみの暗号化を使用するドライブの空き領域を消去するには、manage-bde -w コマンドを使用します。ボリュームを圧縮する場合は、新しい空き領域の処理は行われません。

 

BitLocker を管理するためのツールの詳細については、Manage-bde に関するページを参照してください。

リムーバブル データ ドライブに特定の種類のドライブ暗号化を適用する

このポリシーは、リムーバブル データ ドライブが完全な暗号化と使用領域のみの暗号化のどちらを使用するかを制御します。また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択がユーザーに対して表示されなくなります。

ポリシーの説明

このポリシー設定を使用すると、BitLocker によって使用される暗号化の種類を構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

なし

有効時

BitLocker がドライブを暗号化するときに使用する暗号化の種類はこのポリシーによって定義され、BitLocker セットアップ ウィザードには暗号化の種類のオプションが表示されなくなります。

無効時または未構成時

BitLocker セットアップ ウィザードは、BitLocker を有効にする前に、暗号化の種類の選択をユーザーに求めます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化の種類を変更しても影響はありません。BitLocker を有効にしたときにドライブ全体が暗号化されるようにするには、完全な暗号化を選択します。BitLocker を有効にしたときにデータの格納に使用されるドライブ領域だけが暗号化されるようにするには、使用領域のみの暗号化を選択します。

  

ボリュームを圧縮または拡張し、BitLocker ドライバーが現在の暗号化方法を使用してするときは、このポリシーは無視されます。たとえば、使用領域のみの暗号化を使用しているドライブを拡張すると、完全な暗号化を使用しているドライブの場合とは異なり、新しい空き領域は消去されません。使用領域のみの暗号化を使用するドライブの空き領域を消去するには、manage-bde -w コマンドを使用します。ボリュームを圧縮する場合は、新しい空き領域の処理は行われません。

 

BitLocker を管理するためのツールの詳細については、Manage-bde に関するページを参照してください。

BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する

このポリシー設定は、オペレーティング システム ドライブの回復方法を構成するために使用されます。

ポリシーの説明

このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されているオペレーティング システム ドライブを回復する方法を制御できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にする場合は、回復キーの使用を許可しないようにする必要があります。

データ回復エージェントを使用する場合は、[組織に一意の識別子を提供する] ポリシー設定を有効にする必要があります。

有効時

ユーザーが BitLocker で保護されているオペレーティング システム ドライブからデータを回復する方法を制御できます。

無効時または未構成時

既定の回復オプションが BitLocker の回復に対してサポートされます。既定では、データ回復エージェントが許可されて、ユーザーは (回復パスワードと回復キーを含む) 回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

BitLocker で保護されているオペレーティング システム ドライブでデータ回復エージェントを使用できるかどうかは、[データ回復エージェントを許可する] チェック ボックスで指定します。データ回復エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターで [公開キーのポリシー] からデータ回復エージェントを追加する必要があります。

データ回復エージェントの追加方法の詳細については、「BitLocker の基本的な展開」を参照してください。

[BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。

ドライブで BitLocker を有効にするときにユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップ ウィザードの回復オプションを省略する] を選択します。つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。

[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、オペレーティング システム ドライブの Active Directory ドメイン サービス (AD DS) に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージを保存する] を選択した場合は、BitLocker 回復パスワードとキー パッケージが AD DS に格納されます。キー パッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。

コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

  

[AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。

 

BitLocker で保護されているドライブの回復方法を選択する (Windows Server 2008 および Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を搭載するコンピューターの BitLocker で保護されたドライブの回復方法を構成するために使用します。

ポリシーの説明

このポリシー設定を使用すると、BitLocker セットアップ ウィザードを表示して BitLocker 回復オプションを指定できるようにするかどうかを制御できます。

導入

Windows Server 2008、Windows Vista

ドライブの種類

Windows Server 2008 および Windows Vista を搭載するコンピューターのオペレーティング システム ドライブおよび固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。両方のユーザー回復オプションに対して [許可しない] オプションを選択する場合は、[Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)] ポリシー設定を有効にして、ポリシー エラーを回避する必要があります。

有効時

Bitlocker セットアップ ウィザードで表示される BitLocker で暗号化されたデータの回復に関するオプションを構成できます。

無効時または未構成時

BitLocker セットアップ ウィザードに、回復オプションを保存する方法が表示されます。

 

参考

このポリシーは、Windows Server 2008 または Windows Vista を搭載しているコンピューターにのみ適用できます。このポリシー設定は、BitLocker を有効にすると適用されます。

必要なスタートアップ キー情報がない場合は、2 つの回復オプションを使用して BitLocker で暗号化されたデータのロックを解除できます。ユーザーは、48 桁の数字の回復パスワードを入力するか、256 ビットの回復キーを含む USB ドライブを挿入できます。

回復パスワードを USB ドライブに保存すると、48 桁の回復パスワードはテキスト ファイルとして格納され、256 ビットの回復キーは隠しファイルとして格納されます。フォルダーに保存すると、48 桁の回復パスワードがテキスト ファイルとして格納されます。印刷すると、48 桁の回復パスワードは既定のプリンターに送信されます。たとえば、48 桁の回復パスワードを許可しなければ、ユーザーは回復情報を印刷したりフォルダーに保存したりできません。

重要  

BitLocker のセットアップ中に TPM の初期化が実行された場合、BitLocker の回復情報と共に TPM 所有者情報が保存または印刷されます。

48 桁の回復パスワードは、FIPS 準拠のモードでは利用できません。

 

重要  

データの損失を避けるために、BitLocker 暗号化キーを回復する方法を用意しておく必要があります。どちらの回復オプションも許可しない場合は、AD DS への BitLocker 回復情報のバックアップを有効にする必要があります。そうしなければ、ポリシー エラーが発生します。

 

Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)

このポリシー設定は、BitLocker 回復情報の AD DS への保存を構成するために使用します。このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。

ポリシーの説明

このポリシー設定を使用すると、BitLocker ドライブ暗号化回復情報の AD DS バックアップを管理できます。

導入

Windows Server 2008、Windows Vista

ドライブの種類

Windows Server 2008 および Windows Vista を搭載するコンピューターのオペレーティング システム ドライブおよび固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

なし

有効時

コンピューターで BitLocker を有効にしたときに、BitLocker 回復情報は通知なしに自動的に AD DS にバックアップされます。

無効時または未構成時

BitLocker 回復情報は AD DS にバックアップされません。

 

参考

このポリシーは、Windows Server 2008 または Windows Vista を搭載しているコンピューターにのみ適用できます。

このポリシー設定は、BitLocker を有効にすると適用されます。

BitLocker 回復情報には、回復パスワードと一意の識別子データが含まれています。BitLocker で保護されているドライブの暗号化キーを含むパッケージも、回復情報に含めることができます。このキー パッケージは、1 つまたは複数の回復パスワードでセキュリティが保護されており、ディスクが破損した場合に特別な回復を実行するのに役立ちます。

[AD DS への BitLocker バックアップが必要] を選択すると、コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合は、BitLocker を有効にできません。既定ではこのオプションが選択され、BitLocker 回復を確実に利用できます。

回復パスワードは 48 桁の数字で、BitLocker で保護されているドライブへのアクセスのロックを解除します。キー パッケージには、1 つ以上の回復パスワードによってセキュリティで保護された、ドライブの BitLocker 暗号化キーが含まれています。キー パッケージは、ディスクが破損した場合に特別な回復を実行するのに役立ちます。

[AD DS への BitLocker バックアップが必要] オプションを選択しないと、AD DS バックアップは試行されますが、ネットワーク エラーまたは他のバックアップ エラーが発生しても BitLocker セットアップに影響しません。バックアップ プロセスは自動的に再試行されず、BitLocker セットアップ中に回復パスワードが AD DS に格納されない可能性があります。

BitLocker のセットアップ中に、TPM の初期化が必要になる場合があります。TPM 情報もバックアップされるようにするには、[コンピューターの構成\管理用テンプレート\システム\トラステッド プラットフォーム モジュール サービス][Active Directory ドメイン サービスへの TPM バックアップを有効にする] ポリシー設定を有効にします。

この設定の詳細については、「TPM グループ ポリシー設定」を参照してください。

Windows Server 2003 Service Pack 1 搭載のドメイン コントローラーを使用している場合、AD DS へのバックアップを行う前に、ドメインで適切なスキーマ拡張機能とアクセス制御の設定をセットアップする必要があります。詳細については、「AD DS への TPM 回復情報のバックアップ」を参照してください。

回復パスワードの既定のフォルダーを選択する

このポリシー設定は、回復パスワード用の既定のフォルダーを構成するために使用します。

ポリシーの説明

このポリシー設定を使用すると、BitLocker セットアップ ウィザードにより回復パスワードを保存するフォルダーの場所の入力がユーザーに要求されたときに表示される、既定のパスを指定できます。

導入

Windows Vista

ドライブの種類

すべてのドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

なし

有効時

ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、既定のフォルダーの場所として使用されるパスを指定できます。完全修飾パスを指定することも、対象となるコンピューターの環境変数をパスに含めることもできます。指定されたパスが有効でない場合、BitLocker セットアップ ウィザードはコンピューターのトップ レベル フォルダー ビューを表示します。

無効時または未構成時

ユーザーが回復パスワードをフォルダーに保存するオプションを選択すると、BitLocker セットアップ ウィザードにはコンピューターの最上位のフォルダー ビューが表示されます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

  

このポリシー設定を有効にしても、ユーザーが回復パスワードを別のフォルダーに保存することは妨げられません。

 

BitLocker で保護されている固定ドライブの回復方法を選択する

このポリシー設定は、固定データ ドライブの回復方法を構成するために使用されます。

ポリシーの説明

このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されている固定データ ドライブを回復する方法を制御できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にする場合は、回復キーの使用を許可しないようにする必要があります。

データ回復エージェントを使用する場合は、[組織に一意の識別子を提供する] ポリシー設定を有効にして構成する必要があります。

有効時

ユーザーが BitLocker で保護されている固定データ ドライブからデータを回復する方法を制御できます。

無効時または未構成時

既定の回復オプションが BitLocker の回復に対してサポートされます。既定では、データ回復エージェントが許可されて、ユーザーは (回復パスワードと回復キーを含む) 回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

BitLocker で保護されている固定データ ドライブでデータ回復エージェントを使用できるかどうかは、[データ回復エージェントを許可する] チェック ボックスで指定します。データ回復エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターで [公開キーのポリシー] からデータ回復エージェントを追加する必要があります。

[BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。

ドライブで BitLocker を有効にするときにユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップ ウィザードの回復オプションを省略する] を選択します。つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。

[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、固定データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキー パッケージが AD DS に格納されます。キー パッケージを格納すると、物理的に破損したドライブからデータを回復できます。このデータを回復するには、Repair-bde コマンド ライン ツールを使用します。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。

BitLocker 修復ツールの詳細については、Repair-bde に関するページを参照してください。

コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS に固定データ ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

  

[AD DS に固定データ ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。

 

BitLocker で保護されているリムーバブル ドライブの回復方法を選択する

このポリシー設定は、リムーバブル データ ドライブの回復方法を構成するために使用されます。

ポリシーの説明

このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されているリムーバブル データ ドライブを回復する方法を制御できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定を有効にする場合は、回復キーの使用を許可しないようにする必要があります。

データ回復エージェントを使用する場合は、[組織に一意の識別子を提供する] ポリシー設定を有効にして構成する必要があります。

有効時

ユーザーが BitLocker で保護されているリムーバブル データ ドライブからデータを回復する方法を制御できます。

無効時または未構成時

既定の回復オプションが BitLocker の回復に対してサポートされます。既定では、データ回復エージェントが許可されて、ユーザーは (回復パスワードと回復キーを含む) 回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。

BitLocker で保護されているリムーバブル データ ドライブでデータ回復エージェントを使用できるかどうかは、[データ回復エージェントを許可する] チェック ボックスで指定します。データ回復エージェントを使用するには、GPMC またはローカル グループ ポリシー エディターを使用してアクセスする [公開キーのポリシー] からデータ回復エージェントを追加する必要があります。

[BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。

ドライブで BitLocker を有効にするときにユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップ ウィザードの回復オプションを省略する] を選択します。つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。

[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、リムーバブル データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキー パッケージが AD DS に格納されます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。

コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS にリムーバブル データ ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

  

[AD DS に固定データ ドライブの回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。

 

プリブート回復メッセージと URL を構成する

このポリシー設定は、回復メッセージ全体を構成し、オペレーティング システム ドライブがロックされているときにプリブート回復画面に表示される既存の URL を置き換えるために使用します。

ポリシーの説明

このポリシー設定を使用すると、カスタマイズされたメッセージと URL を表示するように BitLocker 回復画面を構成できます。

導入

Windows 10

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システムのドライブ\プリブート回復メッセージと URL を構成する

競合

なし

有効時

カスタマイズされたメッセージと URL がプリブート回復画面に表示されます。カスタム回復メッセージと URL をいったん有効にした後、既定のメッセージと URL に戻したい場合は、ポリシー設定を有効にしたまま、[既定の回復メッセージと URL を使用する] オプションを選択する必要があります。

無効時または未構成時

それ以前に設定が有効にされたことがない場合は、既定のプリブート回復画面が BitLocker 回復に表示されます。それ以前に設定が有効にされたことがあり、その後で無効にされている場合は、既定の回復メッセージかカスタム メッセージかに関係なく、ブート構成データ (BCD) に含まれる最後のメッセージが表示されます。

 

参考

[プリブート回復メッセージと URL を構成する] ポリシー設定を有効にすると、ユーザーがキーを回復するときに役立つように、既定の回復画面のメッセージと URL をカスタマイズできます。

設定を有効にした後は、3 つのオプションがあります。

  • [既定の回復メッセージと URL を使用する] オプションを選択すると、BitLocker の既定の回復メッセージと URL がプリブート回復画面に表示されます。

  • [カスタム回復メッセージを使用する] オプションを選択した場合は、[カスタム回復メッセージのオプション] テキスト ボックスにカスタム メッセージを入力します。[カスタム回復メッセージのオプション] テキスト ボックスに入力したメッセージが、プリブート回復画面に表示されます。回復 URL を利用できる場合は、メッセージに含めます。

  • [カスタム回復 URL を使用する] オプションを選択した場合は、[カスタム回復 URL オプション] テキスト ボックスにカスタム メッセージの URL を入力します。[カスタム回復 URL オプション] テキスト ボックスに入力した URL で既定の回復メッセージの既定の URL が置き換えられて、プリブート回復画面に表示されます。

重要  

プリブート環境ではサポートされない文字および言語があります。プリブート回復画面のカスタム メッセージと URL で使用する文字が正しく表示されるのを確認することを強くお勧めします。

 

重要  

グループ ポリシーを設定する前に手動で BCDEdit コマンドを変更できるので、ポリシー設定を構成した後は、[未構成] オプションを選択してポリシー設定を既定の設定に戻すことはできません。既定のプリブート回復画面に戻すには、ポリシー設定は有効のままにして、[プリブート回復メッセージのオプションを選択してください] ドロップダウン リスト ボックスから [既定のメッセージを使用する] オプションを選択します。

 

セキュア ブートによる整合性の検証を許可する

このポリシーは、BitLocker が有効なシステム ボリュームをセキュア ブート機能と組み合わせたときの処理方法を制御します。この機能を有効にすると、ブート プロセス中にセキュア ブートの検証が強制的に行われ、セキュア ブート ポリシーに従ってブート構成データ (BCD) の設定が確認されます。

ポリシーの説明

このポリシー設定を使用すると、BitLocker のオペレーティング システム ドライブのプラットフォーム整合性の検証でセキュア ブートを使用できるようにするかどうかを構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

すべてのドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

[ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を有効にして PCR 7 を省略した場合は、BitLocker でのプラットフォームや BCD の整合性の検証にセキュア ブートが使用されなくなります。

PCR 7 の詳細については、このトピックの「プラットフォーム構成レジスタ (PCR)」を参照してください。

有効時または未構成時

プラットフォームがセキュア ブートに基づく整合性チェックに対応していれば、BitLocker でのプラットフォーム整合性の検証にセキュア ブートが使用されます。

無効時

システムがセキュア ブートに基づく整合性チェックに対応していても、従来のプラットフォーム整合性の検証が使用されます。

 

参考

セキュア ブートを使用すると、コンピューターのプリブート環境で、承認済みのソフトウェアの発行元によってデジタル署名されたファームウェアだけが読み込まれるようにすることができます。また、セキュア ブートでは、Windows Server 2012 および Windows 8 より前の BitLocker の整合性チェックより柔軟にプリブート構成を管理できます。

このポリシーを有効にした場合、ハードウェアが BitLocker のシナリオでのセキュア ブートの使用に対応していれば、[拡張ブート構成データ検証プロファイルを使用する] グループ ポリシーの設定は無視され、BitLocker とは別に構成されたセキュア ブートのポリシー設定に従ってセキュア ブートで BCD 設定が検証されます。

警告  

このポリシーを有効にすると、製造元固有のファームウェアの更新時に、BitLocker 回復が実行される可能性があります。このポリシーを無効にした場合は、ファームウェアの更新を適用する前に BitLocker を中断してください。

 

組織に一意の識別子を提供する

このポリシー設定は、組織内で暗号化されるすべてのドライブに適用される識別子を設定するために使用します。

ポリシーの説明

このポリシー設定を使用すると、BitLocker が有効な新しいドライブに、一意の組織 ID を関連付けることができます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

すべてのドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

BitLocker で保護されているドライブでの証明書に基づくデータ回復エージェントの管理には、ID フィールドが必要です。BitLocker は、ID フィールドがドライブに存在し、コンピューターで構成されている値と一致するときに限り、証明書に基づくデータ回復エージェントを管理および更新します。

有効時

BitLocker で保護されているドライブの ID フィールド、および組織で使用される許可された ID フィールドを構成できます。

無効時または未構成時

ID フィールドは必要ありません。

 

参考

これらの ID は、ID フィールドおよび許可された ID フィールドとして格納されます。ID フィールドを使用すると、一意の組織 ID と BitLocker で保護されているドライブを関連付けることができます。この ID は、BitLocker で保護されている新しいドライブには自動的に追加され、BitLocker で保護されている既存のドライブについては Manage-bde コマンドライン ツールを使用して更新できます。

ID フィールドは、BitLocker で保護されているドライブでの証明書に基づくデータ回復エージェントの管理、および BitLocker To Go リーダーに対して行われる可能性のある更新に必要です。BitLocker は、ドライブの ID フィールドが ID フィールドで構成されている値と一致するときに限り、データ回復エージェントを管理および更新します。同様に、BitLocker は、ドライブの ID フィールドが ID フィールドに対して構成されている値と一致するときに限り、BitLocker To Go リーダーを更新します。

BitLocker を管理するためのツールの詳細については、Manage-bde に関するページを参照してください。

許可された ID フィールドは、[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定と組み合わせて使用され、組織でのリムーバブル ドライブの使用を管理するのに役立ちます。許可された ID フィールドは、自分の組織または外部組織からの ID フィールドのコンマ区切りの一覧です。

既存のドライブの ID フィールドは、Manage-bde コマンド ライン ツールを使用して構成できます。

BitLocker で保護されているドライブが、別の BitLocker が有効なコンピューターでマウントされるとき、ID フィールドおよび許可された ID フィールドは、そのドライブが外部の組織のものかどうかを判別するのに使用されます。

コンマで区切られた複数の値を、ID フィールドおよび許可された ID フィールドに入力できます。ID フィールドには、260 文字以下の任意の値を使用できます。

再起動時のメモリ上書きの回避

このポリシー設定は、コンピューターを次に再起動するときにコンピューターのメモリを上書きするかどうかを制御するために使用します。

ポリシーの説明

このポリシー設定を使用すると、コンピューターの再起動時の速さを制御できますが、BitLocker の機密が漏洩する危険があります。

導入

Windows Vista

ドライブの種類

すべてのドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化

競合

なし

有効時

コンピューターは再起動時にメモリを上書きしません。メモリの上書きを回避することで、再起動時のパフォーマンスが向上する可能性がありますが、BitLocker の機密情報が公開される危険性が増します。

無効時または未構成時

コンピューターの再起動時に、BitLocker の機密情報がメモリから削除されます。

 

参考

このポリシー設定は、BitLocker を有効にすると適用されます。BitLocker の機密情報には、データの暗号化に使用されるキー マテリアルが含まれます。このポリシー設定は、BitLocker 保護が有効な場合に限り適用されます。

BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、BIOS 構成を使用するコンピューターまたは互換性サポート モジュール (CSM) が有効な UEFI ファームウェアを使用するコンピューターで、オペレーティング システム ドライブのロックを解除する前に初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

ポリシーの説明

このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効である間にこれらのコンポーネントのいずれかが変更されている場合、TPM はドライブのロックを解除する暗号化キーを解放しません。代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。

無効時または未構成時

TPM は、既定のプラットフォーム検証プロファイル、またはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。

 

参考

コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。

重要  

このグループ ポリシー設定は、BIOS 構成を使用するコンピューターまたは CSM が有効な UEFI ファームウェアを使用するコンピューターにのみ適用されます。ネイティブの UEFI ファームウェア構成を使用するコンピューターでは、プラットフォーム構成レジスタ (PCR) に格納される値が異なります。ネイティブの UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成する場合は、[ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を使用してください。

 

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、次のものに対する変更から暗号化キーを保護します。

  • コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 (PCR 0)

  • オプションの ROM コード (PCR 2)

  • マスター ブート レコード (MBR) コード (PCR 4)

  • NTFS ブート セクター (PCR 8)

  • NTFS ブート ブロック (PCR 9)

  • ブート マネージャー (PCR 10)

  • BitLocker アクセス制御 (PCR 11)

  

既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。

 

利用可能なすべての PCR を次に示します。

  • PCR 0: コアの信頼性測定のルート、BIOS、およびプラットフォーム拡張

  • PCR 1: プラットフォームおよびマザーボードの構成とデータ

  • PCR 2: オプションの ROM コード

  • PCR 3: オプションの ROM データと構成

  • PCR 4: マスター ブート レコード (MBR) コード

  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル

  • PCR 6: 状態の推移とウェイク イベント

  • PCR 7: コンピューター製造元固有

  • PCR 8: NTFS ブート セクター

  • PCR 9: NTFS ブート ブロック

  • PCR 10: ブート マネージャー

  • PCR 11: BitLocker アクセス制御

  • PCR 12 ~ 23: 将来の使用のため予約済み

TPM プラットフォーム検証プロファイルを構成する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)

このポリシー設定は、Windows Vista、Windows Server 2008、または Windows 7 を搭載するコンピューターでドライブのロックを解除する前に初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

ポリシーの説明

このポリシー設定を使用すると、コンピューターの TPM セキュリティ ハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。

導入

Windows Server 2008、Windows Vista

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効である間にこれらのコンポーネントのいずれかが変更されている場合、TPM はドライブのロックを解除する暗号化キーを解放しません。代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。

無効時または未構成時

TPM は、既定のプラットフォーム検証プロファイル、またはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。

 

参考

コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、次のものに対する変更から暗号化キーを保護します。

  • コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 (PCR 0)

  • オプションの ROM コード (PCR 2)

  • マスター ブート レコード (MBR) コード (PCR 4)

  • NTFS ブート セクター (PCR 8)

  • NTFS ブート ブロック (PCR 9)

  • ブート マネージャー (PCR 10)

  • BitLocker アクセス制御 (PCR 11)

  

拡張ファームウェア インターフェイス (EFI) を使用しているコンピューターの既定の TPM 検証プロファイル PCR の設定は、PCR 0、2、4、11 のみです。

 

利用可能なすべての PCR を次に示します。

  • PCR 0: コアの信頼性測定のルート、EFI ブートおよびランタイム サービス、システム ROM 埋め込み EFI ドライバー、ACPI 静的テーブル、埋め込み SMM コード、BIOS コード

  • PCR 1: プラットフォームおよびマザーボードの構成とデータシステム構成に影響を与えるハンドオフ テーブルと EFI 変数

  • PCR 2: オプションの ROM コード

  • PCR 3: オプションの ROM データと構成

  • PCR 4: マスター ブート レコード (MBR) コードまたは他のブート デバイスからのコード

  • PCR 5: マスター ブート レコード (MBR) パーティション テーブルさまざまな EFI 変数と GPT テーブル

  • PCR 6: 状態の推移とウェイク イベント

  • PCR 7: コンピューター製造元固有

  • PCR 8: NTFS ブート セクター

  • PCR 9: NTFS ブート ブロック

  • PCR 10: ブート マネージャー

  • PCR 11: BitLocker アクセス制御

  • PCR 12 ~ 23: 将来の使用のため予約済み

警告  

既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。

 

ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する

このポリシー設定は、ネイティブな UEFI ファームウェア構成を使用するコンピューターのオペレーティング システム ドライブのロックを解除する前に初期ブート コンポーネントを検証するときに TPM が測定する値を決定します。

ポリシーの説明

このポリシー設定を使用すると、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

PCR 7 を省略してこのポリシーを設定すると、[セキュア ブートによる整合性の検証を許可する] グループ ポリシー設定が無効になり、BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュア ブートが使用されなくなります。

プラットフォームの整合性チェックに TPM およびセキュア ブートを使用している環境では、このポリシーを構成しないでください。

PCR 7 の詳細については、このトピックの「プラットフォーム構成レジスタ (PCR)」を参照してください。

有効時

BitLocker を有効にする前に、BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスのロックを解除する前に TPM が検証するブート コンポーネントを構成できます。BitLocker の保護が有効である間にこれらのコンポーネントのいずれかが変更されている場合、TPM はドライブのロックを解除する暗号化キーを解放しません。代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。

無効時または未構成時

BitLocker は、既定のプラットフォーム検証プロファイル、またはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。

 

参考

コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。

重要  

このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を使用するコンピューターにのみ適用されます。BIOS を使用するコンピューターまたは互換性サポート モジュール (CSM) が有効な UEFI ファームウェアを使用するコンピューターでは、プラットフォーム構成レジスタ (PCR) に格納される値が異なります。BIOS 構成を使用するコンピューターまたは CSM が有効な UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成する場合は、[BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を使用してください。

 

プラットフォーム検証プロファイルは、0 ~ 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックス セットで構成されます。既定のプラットフォーム検証プロファイルは、コア システム ファームウェアの実行可能コード (PCR 0)、拡張またはプラグ可能な実行可能コード (PCR 2)、ブート マネージャー (PCR 4)、および BitLocker アクセス コントロール (PCR 11) に対する変更から暗号化キーを保護します。

利用可能なすべての PCR を次に示します。

  • PCR 0: コア システム ファームウェアの実行可能コード

  • PCR 1: コア システム ファームウェアのデータ

  • PCR 2: 拡張またはプラグ可能な実行可能コード

  • PCR 3: 拡張またはプラグ可能なファームウェアのデータ

  • PCR 4: ブート マネージャー

  • PCR 5: GPT/パーティション テーブル

  • PCR 6: S4 および S5 電源状態イベントから再開

  • PCR 7: セキュア ブートの状態

    この PCR の詳細については、このトピックの「プラットフォーム構成レジスタ (PCR)」を参照してください。

  • PCR 8: 拡張なしで 0 に初期化 (将来の使用のため予約済み)

  • PCR 9: 拡張なしで 0 に初期化 (将来の使用のため予約済み)

  • PCR 10: 拡張なしで 0 に初期化 (将来の使用のため予約済み)

  • PCR 11: BitLocker アクセス制御

  • PCR 12: データ イベントおよび揮発性が高いイベント

  • PCR 13: ブート モジュールの詳細

  • PCR 14: ブート機関

  • PCR 15 ~ 23: 将来の使用のため予約済み

警告  

既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。

 

BitLocker 回復の実行後にプラットフォームの検証データをリセットする

このポリシー設定は、BitLocker 回復後の Windows 起動時にプラットフォーム検証データを更新するかどうかを決定します。プラットフォーム検証データ プロファイルは、0 ~ 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックス セットの値で構成されます。

ポリシーの説明

このポリシー設定を使用すると、BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データを更新するかどうかを制御できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

なし

有効時

BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されます。

無効時

BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されません。

未構成時

BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されます。

 

参考

回復処理の詳細については、「BitLocker 回復ガイド」を参照してください。

拡張ブート構成データ検証プロファイルを使用する

このポリシー設定は、プラットフォーム検証で検証する特定のブート構成データ (BCD) 設定を決定します。プラットフォーム検証は、0 ~ 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックス セットで構成されるプラットフォーム検証プロファイルのデータを使用します。

ポリシーの説明

このポリシー設定を使用すると、プラットフォーム検証で検証するブート構成データ (BCD) 設定を指定できます。

導入

Windows Server 2012、Windows 8

ドライブの種類

オペレーティング システム ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\ペレーティング システムのドライブ

競合

BitLocker がプラットフォームおよびブート構成データの整合性の検証にセキュア ブートを使用している場合、[拡張ブート構成データ検証プロファイルを使用する] グループ ポリシーの設定は無視されます ([セキュア ブートによる整合性の検証を許可する] グループ ポリシーの設定によって定義)。

有効時

新しい BCD 設定の追加、指定した BCD 設定の除外、または包含リストと除外リストの組み合わせにより、カスタマイズした BCD 検証プロファイルを作成して、それらの BCD 設定を検証できます。

無効時

コンピューターは、Windows 7 で使用されている既定の BCD プロファイルと同様の BCD プロファイル検証に戻ります。

未構成時

コンピューターは、Windows の既定の BCD 設定を検証します。

 

参考

  

ブートのデバッグを制御する設定 (0x16000010) は常に検証され、包含リストまたは除外リストに含まれていても反映されません。

 

BitLocker で保護されている固定データ ドライブに対する以前のバージョンの Windows からのアクセスを許可する

このポリシー設定は、BitLocker To Go リーダーを使用してドライブへのアクセスが許可されるかどうか、およびアプリケーションがドライブにインストールされるかどうかを制御するために使用します。

ポリシーの説明

このポリシー設定を使用すると、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) を搭載しているコンピューターで、FAT ファイル システムでフォーマットされた固定データ ドライブのロックを解除して表示できるかどうかを構成できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

固定データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブ

競合

なし

有効時および未構成時

Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を搭載しているコンピューターで、FAT ファイル システムでフォーマットされた固定データ ドライブのロックを解除してその内容を表示することができます。BitLocker で保護されているドライブに対するこれらのオペレーティング システムからのアクセスは読み取り専用になります。

無効時

Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、BitLocker で保護されている FAT ファイル システム形式の固定データ ドライブのロックを解除できません。BitLocker To Go リーダー (bitlockertogo.exe) はインストールされません。

 

参考

  

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

 

このポリシー設定を有効にした場合に、ユーザーによって固定ドライブから BitLocker To Go リーダーが実行されないようにするには、[FAT 形式の固定ドライブに BitLocker To Go リーダーをインストールしない] チェック ボックスをオンにします。ID フィールドが指定されていないドライブに BitLocker To Go リーダー (bitlockertogo.exe) が存在する場合、またはドライブに [組織の一意な識別子を指定する] ポリシー設定と同じ ID フィールドが指定されている場合、ユーザーは BitLocker を更新するよう求められ、BitLocker To Go リーダーがドライブから削除されます。この場合、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで固定ドライブのロックを解除するには、そのコンピューターに BitLocker To Go リーダーがインストールされている必要があります。このチェック ボックスをオフにすると、固定ドライブに BitLocker To Go リーダーがインストールされ、Windows Vista、Windows XP SP3、または Windows XP SP2 を搭載しているコンピューターでドライブのロックを解除できるようになります。

BitLocker で保護されているリムーバブル データ ドライブに対する以前のバージョンの Windows からのアクセスを許可する

このポリシー設定は、BitLocker To Go リーダーを使用しているリムーバブル データ ドライブへのアクセス、および BitLocker To Go リーダーをドライブにインストールできるかどうかを制御します。

ポリシーの説明

このポリシー設定を使用すると、Windows Vista、Windows XP SP3、または Windows XP SP2 を搭載しているコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル データ ドライブのロックを解除して表示できるかどうかを構成できます。

導入

Windows Server 2008 R2、Windows 7

ドライブの種類

リムーバブル データ ドライブ

ポリシーのパス

コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブ

競合

なし

有効時および未構成時

Windows Vista、Windows XP SP3、または Windows XP SP2 を搭載しているコンピューターで、FAT ファイル システムでフォーマットされたリムーバブル データ ドライブのロックを解除してその内容を表示することができます。BitLocker で保護されているドライブに対するこれらのオペレーティング システムからのアクセスは読み取り専用になります。

無効時

Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、BitLocker で保護されている FAT ファイル システム形式のリムーバブル データ ドライブのロックを解除できません。BitLocker To Go リーダー (bitlockertogo.exe) はインストールされません。

 

参考

  

このポリシー設定は、NTFS ファイル システムでフォーマットされたドライブには適用されません。

 

このポリシー設定を有効にした場合に、ユーザーによってリムーバブル ドライブから BitLocker To Go リーダーが実行されないようにするには、[FAT 形式のリムーバブル ドライブに BitLocker To Go リーダーをインストールしない] チェック ボックスをオンにします。ID フィールドが指定されていないドライブに BitLocker To Go リーダー (bitlockertogo.exe) が存在する場合、またはドライブに [組織の一意な識別子を指定する] ポリシー設定と同じ ID フィールドが指定されている場合、ユーザーは BitLocker を更新するよう求められ、BitLocker To Go リーダーがドライブから削除されます。この場合、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターでリムーバブル ドライブのロックを解除するには、そのコンピューターに BitLocker To Go リーダーがインストールされている必要があります。このチェック ボックスをオフにすると、BitLocker To Go リーダーがインストールされていないリムーバブル ドライブに BitLocker To Go リーダーがインストールされ、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターでドライブのロックを解除できるようになります。

FIPS 設定

Federal Information Processing Standard (FIPS) 準拠に関する FIPS の設定を構成できます。FIPS 準拠の効果として、ユーザーは回復用に、またはキー保護機能として、BitLocker パスワードを作成または保存できません。回復キーの使用は許可されます。

ポリシーの説明

注意

導入

Windows Server 2003 SP1

ドライブの種類

システム全体

ポリシーのパス

ローカル ポリシー\セキュリティ オプション\システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う

競合

ターミナル サービスなどの一部のアプリケーションは、オペレーティング システムによっては FIPS-140 をサポートしません。

有効時

ユーザーは、回復パスワードをどこにも保存できません。これには、AD DS およびネットワーク フォルダーも含まれます。さらに、WMI または BitLocker ドライブ暗号化セットアップ ウィザードを使用して回復パスワードを作成できません。

無効時または未構成時

BitLocker の暗号化キーは生成されません。

 

参考

このポリシーは、BitLocker の暗号化キーが生成される前に有効にする必要があります。このポリシーを有効にすると、BitLocker によって回復パスワードの作成または使用が禁止されるため、代わりに回復キーを使用する必要があることに、注意してください。

オプションの回復キーを USB ドライブに保存できます。FIPS を有効にすると AD DS に回復パスワードを保存できないため、グループ ポリシーで AD DS バックアップが要求されている場合、エラーが発生します。

FIPS の設定を編集するには、セキュリティ ポリシー エディター (Secpol.msc) を使用するか、または Windows レジストリを編集します。これらの手順を実行するには、管理者である必要があります。

このポリシーの設定について詳しくは、システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使うに関するページを参照してください。

電源管理のグループ ポリシーの設定: スリープと休止状態

コンピューターの既定の PC 電源設定では、アイドル状態のときに電力を節約し、システムのバッテリの寿命を延ばすため、コンピューターは頻繁にスリープ モードに移行します。コンピューターがスリープ状態に移行するとき、開いているプログラムとドキュメントはメモリに保持されます。コンピューターがスリープ状態から再開するとき、ユーザーは暗号化されたデータにアクセスするために PIN または USB スタートアップ キーで再認証する必要はありません。これにより、データのセキュリティが侵害される状況が発生する可能性があります。

ただし、コンピューターが休止するときはドライブはロックされ、休止状態から再開するときにドライブはロック解除されます。つまり、BitLocker で多要素認証を使用している場合、ユーザーは PIN またはスタートアップ キーを提示する必要があります。したがって、BitLocker を使用する組織では、セキュリティ強化のためスリープではなく休止を使用することが必要になる場合があります。この設定は、起動時および休止状態からの再開時に透過的なユーザー エクスペリエンスを提供するので、TPM のみのモードには影響を与えません。

[コンピューターの構成\管理用テンプレート\システム\電源の管理] にある次のグループ ポリシー設定を使用して、使用可能なすべてのスリープ状態を無効にできます。

  • スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)

  • スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

プラットフォーム構成レジスタ (PCR) について

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR のインデックス セットで構成されます。値のスコープは、オペレーティング システムのバージョンに固有です。

既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。

PCR 7 について

PCR 7 はセキュア ブートの状態を測定します。PCR 7 では、BitLocker は整合性の検証にセキュア ブートを利用できます。セキュア ブートを使用すると、コンピューターのプリブート環境で、承認済みのソフトウェアの発行元によってデジタル署名されたファームウェアだけが読み込まれるようにすることができます。PCR 7 の測定は、セキュア ブートが有効になっているかどうか、およびプラットフォームで信頼できるキーを示します。セキュア ブートが有効で、ファームウェアが UEFI 仕様に従って PCR 7 を正しく測定している場合、BitLocker は、読み込まれた正確なファームウェアおよび Bootmgr のイメージの測定値を保持している PCR 0、2、4 ではなく、この情報にバインドできます。これにより、ファームウェアおよびイメージの更新の結果として BitLocker が回復モードで開始する可能性が低下し、プリブート構成の管理の柔軟性が増します。

PCR 7 の測定は、信頼される実行環境の EFI プロトコルに関するページで説明されているガイダンスに従う必要があります。

PCR 7 の測定は、Microsoft Surface RT など、InstantGo (Always On、Always Connected PCs などとも呼ばれます) をサポートするシステムに対する必須のロゴ要件です。このようなシステムでは、TPM が PCR 7 の測定とセキュア ブートで正しく構成されている場合、BitLocker は既定で PCR 7 および PCR 11 にバインドされます。

関連項目

トラステッド プラットフォーム モジュール

TPM グループ ポリシー設定

BitLocker に関してよく寄せられる質問 (FAQ)

BitLocker の概要

BitLocker に向けた組織の準備: 計画とポリシー