ポリシー(BitLocker管理機能)
ポリシー(BitLocker管理機能)
BitLocker管理機能におけるポリシーは、管理対象のディスク領域の暗号化、または暗号化解除を実行するためのポリシーです。OSドライブのみの暗号化、使用済みディスク領域のみの暗号化など詳細な設定の一括で適用することや、新しく追加されたコンピューターに自動的にポリシーを適用することが可能です。
この記事ではポリシーの作成方法と配布方法を説明します。
ポリシーの作成方法
- [BitLocker]タブ → [ポリシー] → [ポリシーの作成] から「+ポリシーの作成」をクリックします。
- 画面からポリシーの詳細を設定します。
- ポリシー名
構成するポリシー名を入力します。
- ドライブ暗号化
- この項目を有効化すると、ポリシーが適用されたデバイスのドライブが暗号化されます。
- この項目を無効化すると、ポリシーが適用されたデバイスにおいてすべてのドライブの暗号化が解除されます。
- TPMのあるマシンへの認証方式
TPMを搭載しているデバイスの認証方法を設定します。以下を選択することができます。認証方式 対象のコンピューターを使用するユーザーに求められる操作 TPMのみ ドライブのロック解除にあたって、ユーザーは特段の入力を求められません。 TPM/PIN 端末起動時、ドライブのロック解除のためユーザーは数字のみからなるPINを入力します。 TPMとEnhanced PIN 端末起動時、ドライブのロック解除のためユーザーは英数字と特殊文字を含む拡張PINを入力します。 -
TPMのないマシンへの認証方式
TPMを搭載していないデバイスの認証方法を設定します。以下を選択することができます。認証方式 対象のコンピューターでの挙動 パスフレーズ パスフレーズの入力を求められるようになります。 保護が無効(暗号化無効) BitLockerによるドライブの保護が設定されません。 デバイスがTPMを搭載していない場合でもBitLockerによるドライブの暗号化を設定できます。 - OSドライブのみを暗号化
OSがインストールされているドライブのみを暗号化します。 - 使用済みスペースのみを暗号化
ドライブ内の使用済みの領域のみを暗号化します。 - Windows 10以上の端末に対する暗号化の方法
Windows 10以上のデバイスに対する暗号化アルゴリズムを選択します。 - Windows 8.1以下の端末に対する暗号化の方法
Windows 8.1以下のデバイスに対する暗号化アルゴリズムを選択します。 - ユーザーに暗号化の延期を許可する期間を設定してください
指定した期間ユーザーに暗号化の延期を許可します。指定した期間を過ぎると暗号化が強制的に実行されます。
- ドメインコントローラーの回復キーを更新
回復キーの更新時にActive Directoryに保存します。このオプションが有効でない場合、回復キーはEndpoint Central Cloudサーバーにのみ保存されます。
- 回復キーの定期更新を有効にする
このオプションが有効な場合、回復キーを定期的に自動更新します。
- 回復キーを交換する間隔を指定します
「回復キーの定期更新を有効にする」によって自動更新する間隔を設定します。7~365日の範囲で値を設定することができます。
「OSドライブのみを暗号化」または「使用済みスペースのみを暗号化」のいずれも有効化されていない場合、全ディスク領域が暗号化されます。特別な理由がない限り、全ディスク領域の暗号化をおすすめします。「デフォルト」はOSのデフォルトを参照します。(グループポリシーが設定されている場合はグループポリシーを参照します)。 - ポリシー名
- 「保存して公開」をクリックします。
作成したポリシーは「ポリシーの作成」タブの画面に表示されます。
ポリシーの配布方法
- [BitLocker]タブ → [ポリシー配布] → 「ポリシーを関連付ける(Associate Policy)」をクリックします。
- 画面からポリシーの配布対象を設定します。
- カスタムグループを選択
配布対象となるカスタムグループを選択します。コンピューターグループのみ選択可能です。ポリシーを一度配布すると、そのポリシーが最初に配布された時点でカスタムグループに所属していた端末だけでなく、その後新たにEndpoint Central Cloudのエージェントがインストールされた端末に対しても、当該カスタムグループにおいて設定された条件(端末がそのカスタムグループに所属するための条件)を当該端末が満たしていれば、随時、そのポリシーが自動的に配布されます。 - ポリシーを選択
作成したポリシーの中から、配布したいポリシーを選択します。
- カスタムグループを選択
- 対象を設定後、「配布」または「今すぐ配布」をクリックします。
パスワード(PIN)の設定
上記で「配布」をクリックした場合はリフレッシュサイクル(90分ごと)において、「今すぐ配布」をクリックした場合は即時に、配布対象のコンピューター上に以下のような画面が表示されます。
パスワード(PIN)を入力して「暗号化」をクリックすると、以降コンピューターを起動(再起動)する際には毎回パスワードの入力が求められるようになります。