-
-
-
-
BitLocker デバイスポリシー
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
BitLockerデバイスポリシー
Windows 10およびWindows 11には、BitLockerと呼ばれるディスク暗号化機能が含まれており、紛失または盗難されたWindowsデバイスへの不正アクセスからファイルとシステムを保護します。保護を強化するために、BitLockerをTrusted Platform Module (TPM) チップバージョン1.2以降と組み合わせて使用できます。TPMチップは、暗号化操作を処理し、暗号化キーを生成、保存、および使用を制限します。
-
Windows 10ビルド1703以降、MDMポリシーでBitLockerを制御できるようになりました。Citrix Endpoint ManagementのBitLockerデバイスポリシーを使用して、Windows 10およびWindows 11デバイスのBitLockerウィザードで利用可能な設定を構成します。たとえば、BitLockerが有効になっているデバイスでは、BitLockerはユーザーにいくつかのオプションを提示します。
- 起動時にドライブのロックを解除する方法
- 回復キーをバックアップする方法
-
固定ドライブのロックを解除する方法
-
BitLockerデバイスポリシー設定では、以下の項目も構成します。
- TPMチップのないデバイスでBitLockerを有効にするかどうか
- BitLockerインターフェイスで回復オプションを表示するかどうか
- BitLockerが有効になっていない場合に、固定ドライブまたはリムーバブルドライブへの書き込みアクセスを拒否するかどうか
-
ユーザーがキーを忘れたり紛失したりした場合にアクセスできるように、暗号化されたBitLocker回復キーを安全に保存するかどうか。このキーはセルフヘルプポータルで見つけることができます。
-
注
デバイスでBitLocker暗号化が開始された後、更新されたBitLockerデバイスポリシーを展開しても、デバイスのBitLocker設定を変更することはできません。
-
このポリシーを追加または構成するには、[構成] > [デバイスポリシー] に移動します。詳しくは、「デバイスポリシー」を参照してください。
-
要件
- BitLockerデバイスポリシーには、Windows 10 EnterpriseまたはWindows 11 Enterpriseエディションが必要です。
-
- BitLockerデバイスポリシーを展開する前に、BitLockerを使用するための環境を準備してください。BitLockerのシステム要件やセットアップを含むMicrosoftからの詳細情報については、「BitLocker」の記事を参照してください。
Windowsデスクトップおよびタブレットの設定
- **BitLocker設定**
- **デバイスの暗号化を必須にする:** WindowsデスクトップまたはタブレットでBitLocker暗号化を有効にするようユーザーに促すかどうかを決定します。**[オン]** の場合、デバイスは登録完了後に、企業がデバイスの暗号化を要求していることを示すメッセージを表示します。**[オフ]** の場合、ユーザーはプロンプト表示されず、BitLockerはポリシー設定を使用します。デフォルトは **[オフ]** です。
- **暗号化設定**
- **暗号化方法の構成:** 特定のドライブタイプに使用する暗号化方法を決定します。**[オフ]** の場合、BitLockerウィザードはドライブタイプに使用する暗号化方法をデバイスユーザーに促します。すべてのドライブの暗号化方法はデフォルトでXTS-AES 128ビットです。リムーバブルドライブの暗号化方法はデフォルトでAES-CBC 128ビットです。**[オン]** の場合、BitLockerはポリシーで指定された暗号化方法を使用します。**[オン]** の場合、**[オペレーティングシステムドライブ]**、**[固定ドライブ]**、および **[リムーバブルドライブ]** の追加設定が表示されます。各ドライブタイプのデフォルトの暗号化方法を選択します。デフォルトは **[オフ]** です。
- **OSドライブ設定**
- **起動時の追加認証を必須にする:** デバイス起動時に必要な追加認証を指定します。また、TPMチップのないデバイスでBitLockerを許可するかどうかも指定します。**[オフ]** の場合、TPMのないデバイスはBitLocker暗号化を使用できません。TPMに関する情報については、Microsoftの記事「[Trusted Platform Module Technology Overview](https://docs.microsoft.com/ja-jp/windows/device-security/tpm/trusted-platform-module-overview)」を参照してください。**[オン]** の場合、以下の追加設定が表示されます。デフォルトは **[オフ]** です。
- **TPMチップのないデバイスでのBitLockerをブロックする:** TPMチップのないデバイスでは、BitLockerはユーザーにロック解除パスワードまたはスタートアップキーの作成を要求します。スタートアップキーはUSBドライブに保存され、ユーザーは起動前にデバイスに接続する必要があります。ロック解除パスワードは最低8文字です。デフォルトは **[オフ]** です。
- **TPMスタートアップ:** TPMを搭載したデバイスには、TPMのみ、TPM + PIN、TPM + キー、TPM + PIN + キーの4つのロック解除モードがあります。TPMスタートアップはTPMのみモード用であり、暗号化キーはTPMチップに保存されます。このモードでは、ユーザーが追加のロック解除データを提供する必要はありません。ユーザーデバイスは、TPMチップからの暗号化キーを使用して、再起動時に自動的にロック解除されます。デフォルトは **[TPMを許可]** です。
- **TPMスタートアップPIN:** この設定はTPM + PINロック解除モードです。PINは最大20桁です。**[最小PIN長]** 設定を使用して、最小PIN長を指定します。ユーザーはBitLockerセットアップ中にPINを構成し、デバイス起動時にPINを提供します。
- **TPMスタートアップキー:** この設定はTPM + キーロック解除モードです。スタートアップキーはUSBまたはその他のリムーバブルドライブに保存され、ユーザーは起動前にデバイスに接続する必要があります。
- **TPMスタートアップキーとPIN:** この設定はTPM + PIN + キーロック解除モードです。
アンロックが成功すると、オペレーティングシステムがロードを開始します。そうでない場合、デバイスは回復モードに入ります。
- **PINの長さ**
- **最小PIN長:** TPM起動PINの最小の長さです。デフォルトは**6**です。
- **BitLockerパスワード回復設定**
- **BitLocker回復のCitrix Endpoint Managementへのバックアップ:** このオプションが有効な場合、デバイスのロックを解除する必要があるユーザーは、セルフヘルプポータルでBitLocker回復キーを見つけることができます。Citrix Endpoint Management管理者は、ユーザーのBitLocker回復キーを見ることはできません。BitLocker回復キーの表示に関する詳細については、「[BitLocker回復キー](/ja-jp/citrix-endpoint-management/device-management/windows/windows-desktop-laptop.html#bitlocker-recovery-key)」を参照してください。
- **OSドライブ回復設定:** BitLockerで暗号化されたOSドライブのユーザー向け回復オプションを設定します。
- **OSドライブ回復の有効化:** アンロック手順が失敗した場合、BitLockerは設定された回復キーをユーザーに要求します。この設定は、アンロックパスワードまたはUSB起動キーを持っていないユーザーが利用できるオペレーティングシステムドライブの回復オプションを設定します。デフォルトは**オフ**です。
- **証明書ベースのデータ回復エージェントの許可:** 証明書ベースのデータ回復エージェントを許可するかどうかを指定します。データ回復エージェントは、グループポリシー管理コンソール (GPMC) またはローカルグループポリシーエディターにある公開キーポリシーから追加します。データ回復エージェントの詳細については、Microsoftの記事「[BitLockerグループポリシー設定](https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings)」を参照してください。デフォルトは**オフ**です。
- **48ビット回復パスワード:** ユーザーが回復パスワードを使用することを許可または要求するかどうかを指定します。BitLockerはパスワードを生成し、ファイルまたはMicrosoft Cloudアカウントに保存します。デフォルトは**48ビットパスワードを許可**です。
- **256ビット回復キー:** ユーザーが回復キーを使用することを許可または要求するかどうかを指定します。回復キーはUSBドライブに保存されるBEKファイルです。デフォルトは**256ビット回復キーを許可**です。
- **OSドライブ回復オプションの非表示:** BitLockerインターフェイスで回復オプションを表示するか非表示にするかを指定します。**オン**の場合、BitLockerインターフェイスには回復オプションが表示されません。その場合、デバイスをActive Directoryに登録し、回復オプションをActive Directoryに保存し、**回復情報をAD DSに保存**を**オン**に設定します。デフォルトは**オフ**です。
- **回復情報のActive Directory Domain Servicesへの保存:** 回復オプションをActive Directory Domain Servicesに保存するかどうかを指定します。デフォルトは**オフ**です。
- **Active Directory Domain Servicesに保存される回復情報:** BitLocker回復パスワード、または回復パスワードとキーパッケージをActive Directory Domain Servicesに保存するかどうかを指定します。キーパッケージを保存すると、物理的に破損したドライブからデータを回復できます。デフォルトは**回復パスワードのバックアップ**です。
- **Active Directory Domain Servicesに回復情報を保存した後のBitLockerの有効化:** デバイスがドメインに接続されており、BitLocker回復情報のActive Directoryへのバックアップが成功しない限り、ユーザーがBitLockerを有効にすることを防ぐかどうかを指定します。**オン**の場合、BitLockerを開始する前にデバイスがドメインに参加している必要があります。デフォルトは**オフ**です。
- **プレブート回復メッセージとURL:** BitLockerが回復画面にカスタマイズされたメッセージとURLを表示するかどうかを指定します。**オン**の場合、以下の追加設定が表示されます: **デフォルトの回復メッセージとURLを使用**、**空の回復メッセージとURLを使用**、**カスタム回復メッセージを使用**、**カスタム回復URLを使用**、および**Citrix Endpoint Management回復メッセージとURLを使用**。**オフ**の場合、デフォルトの回復メッセージとURLが表示されます。デフォルトは**オフ**です。
-
固定ドライブ回復設定: BitLockerで暗号化された固定ドライブのユーザー向け回復オプションを設定します。BitLockerは、固定ドライブの暗号化に関するメッセージをユーザーに表示しません。起動中にドライブのロックを解除するには、ユーザーはパスワードまたはスマートカードを提供します。このポリシーには含まれていない起動時のロック解除設定は、ユーザーが固定ドライブでBitLocker暗号化を有効にするとBitLockerインターフェイスに表示されます。関連設定については、このリストの前の「OSドライブ回復の構成」を参照してください。デフォルトはオフです。
-
固定ドライブ設定
- BitLockerを使用していない固定ドライブへの書き込みアクセスをブロック: オンの場合、ユーザーはBitLockerで暗号化されている場合にのみ固定ドライブに書き込むことができます。デフォルトはオフです。
-
リムーバブルドライブ設定
-
BitLockerを使用していないリムーバブルドライブへの書き込みアクセスをブロック: オンの場合、ユーザーはBitLockerで暗号化されている場合にのみリムーバブルドライブに書き込むことができます。この設定は、組織が他の組織のリムーバブルドライブへの書き込みアクセスを許可するかどうかに応じて構成します。デフォルトはオフです。
-
他の組織デバイスへの書き込みアクセスをブロック: オンの場合、ユーザーはネットワークドライブなど、組織内の他のデバイスに書き込むことはできません。
-
その他のドライブ設定
-
他のディスク暗号化のプロンプト: デバイス上の他のディスク暗号化に関する警告プロンプトを無効にすることができます。デフォルトはオフです。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.