BitLockerデバイスポリシー

Windows 10にはディスク暗号化機能BitLockerが搭載されており、紛失または盗難に遭ったWindowsデバイスへの不正アクセスに対して、ファイルとシステムの保護が強化されています。さらに保護を強化するために、BitLockerとトラステッド プラットフォーム モジュール(TPM)チップ(バージョン1.2以降)を組み合わせて使用できます。TPMチップは暗号化操作を処理し、暗号化キーの生成、保存、および使用の制限を行います。

Windows 10のビルド 1703以降では、MDMポリシーでBitLockerを制御できるようになりました。XenMobileのBitLockerデバイスポリシーを使用して、Windows 10デバイスのBitLockerウィザードで使用可能な設定を構成します。たとえば、BitLockerが有効なデバイスでは、BitLockerはユーザーに、起動時にドライブをロック解除する方法、回復キーをバックアップする方法、固定ドライブをロック解除する方法を設定するよう求めます。BitLockerデバイスポリシーの設定では、以下についても構成します。

  • TPMチップの内蔵されていないデバイスでBitLockerを有効にするかどうか。
  • BitLockerインターフェイスに回復オプションを表示するかどうか。
  • BitLockerが有効でない場合に、固定ドライブやリムーバブルドライブへの書き込みを拒否するかどうか。

メモ

BitLocker暗号化がデバイスで開始されると、更新されたBitLockerデバイスポリシーをデバイスに展開してBitLockerの設定を変更できなくなります。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

要件

  • BitLockerデバイスポリシーには、Windows 10 Enterpriseエディションが必要です。

  • BitLockerデバイスポリシーを展開する前に、BitLockerの使用に向けて環境を準備します。BitLockerのシステム要件とセットアップなどのMicrosoftが提供する詳細情報については、「BitLocker」とそのノードの記事を参照してください。

Windows Phoneの設定

デバイスポリシー構成画面の画像

  • デバイスの暗号化が必須: Windows PhoneのシステムカードでBitLockerの暗号化を有効にするよう求めるメッセージをユーザーに表示するかどうかを決定します。[オン] にすると、登録完了後に、組織によってデバイスの暗号化が求められていることを示すメッセージがデバイスに表示されます。デバイスの暗号化を選択しないユーザーは、システムカードへの書き込みが許可されません。[オフ] の場合はユーザーにメッセージは表示されず、デバイスを暗号化するかどうかはBitLockerのポリシーによって決定されます。デフォルトは、[オフ]です。

  • メモリカードの暗号化が必須: Windows PhoneのメモリカードでBitLockerの暗号化を有効にするよう求めるメッセージをユーザーに表示するかどうかを決定します。[オン] にすると、カードへの書き込み権限を取得するには、メモリカードの暗号化が必要になります。デフォルトは、[オフ]です。

Windowsデスクトップとタブレットの設定

デバイスポリシー構成画面の画像

  • デバイスの暗号化が必須: WindowsデスクトップまたはタブレットでBitLockerの暗号化を有効にするよう求めるメッセージをユーザーに表示するかどうかを決定します。[オン] にすると、登録完了後に、組織によってデバイスの暗号化が求められていることを示すメッセージがデバイスに表示されます。[オフ] の場合、ユーザーにメッセージは表示されず、BitLockerはポリシー設定を使用します。デフォルトは、[オフ]です。

  • 暗号化方式を構成する: 特定の種類のドライブに使用する暗号化方式を決定します。[オフ] の場合、BitLockerウィザードによって、ドライブの種類に使用する暗号化方式を尋ねるメッセージがユーザーに表示されます。デフォルトでは、すべてのドライブの暗号化方式はXTS-AES 128ビットです。デフォルトでは、リムーバブルドライブの暗号化方式はAES-CBC 128ビットです。[オン] にすると、BitLockerはポリシーで指定された暗号化方式を使用します。[オン] の場合は、オペレーティングシステムドライブ固定ドライブリムーバブルドライブの追加の設定が表示されます。ドライブの種類ごとに、デフォルトの暗号化方式を選択します。デフォルトは、[オフ]です。

  • スタートアップ時に追加の認証を要求する: デバイスの起動時に必要な、追加の認証を指定します。また、TPMチップの内蔵されていないデバイスで、BitLockerを許可するかどうかも指定します。[オフ] の場合、TPMの内蔵されていないデバイスでは、BitLockerの暗号化を使用できません。TPMについて詳しくは、Microsoftの「トラステッド プラットフォーム モジュール技術概要」を参照してください。[オン] の場合は、次の追加の設定が表示されます。デフォルトは、[オフ]です。

    • TPMチップの内蔵されていないデバイスでBitLockerをブロックする: TPMチップの内蔵されていないデバイスで、BitLockerはユーザーにロック解除のパスワードまたはスタートアップキーを作成するように要求します。スタートアップキーはUSBドライブに保存し、ユーザーは起動前にこれをデバイスに接続する必要があります。ロック解除のパスワードは、8文字以上含める必要があります。デフォルトは、[オフ]です。

    • TPMスタートアップ: TPMの内蔵されたデバイスには、TPM-only、TPMとPIN、TPMとキー、TPMとPINとキーの、4つのロック解除モードがあります。[TPMスタートアップ]は、暗号キーがTPMチップに保存されている、TPM-onlyのモードです。このモードでは、ユーザーに追加のロック解除データを入力するよう要求しません。起動時にはTPMチップから暗号キーが使用されて、ユーザーデバイスは自動的にロック解除されます。デフォルトは [TPMを許可する] です。

    • TPMスタートアップPIN: この設定は、TPMとPINの組み合わせのロック解除モードです。PINには、最大20文字の数字を含めることができます。[PINの最小文字数] の設定を使用して、PINの最小文字数を指定します。ユーザーは、BitLockerのセットアップ時にPINを構成し、デバイスの起動時にPINを入力します。

    • TPMスタートアップキー: この設定は、TPMとキーの組み合わせのロック解除モードです。スタートアップキーはUSBドライブまたは他のリムーバブルドライブに保存し、ユーザーは起動前にこれをデバイスに接続する必要があります。

    • TPMスタートアップキーとPIN: この設定は、TPMとPINとキーを組み合わせたロック解除モードです。

      ロック解除に成功すると、オペレーティングシステムがロードを開始します。ロック解除に失敗すると、デバイスはリカバリモードになります。

  • PINの最小文字数: TPMスタートアップPINの最小文字数です。デフォルトは6です。

  • OSドライブの回復の構成: ロック解除のステップに失敗すると、BitLockerは、構成された回復キーの入力を求めるメッセージをユーザーに表示します。この設定では、ユーザーがロック解除パスワードやUSBのスタートアップキーを持っていない場合に使用できる、オペレーティングシステムドライブの回復オプションを構成します。デフォルトは [オフ] です。

    • 証明書に基づくデータ回復エージェントを許可する: 証明書ベースのデータ回復エージェントを許可するかどうかを指定します。グループポリシー管理コンソール(GPMC)またはローカルグループポリシーエディターで公開キーポリシーを見つけて、データ回復エージェントを追加します。データ回復エージェントについて詳しくは、BitLockerの基本的な展開に関するMicrosoftの記事を参照してください。デフォルトは [オフ] です。

    • OS ドライブの回復用に48桁の回復パスワードを作成: 回復パスワードの使用をユーザーに許可または要求するかどうかを指定します。BitLockerはパスワードを生成し、ファイルまたはMicrosoft Cloudアカウントに保存します。デフォルトは [48ビットパスワードを許可] です。

    • 256桁の回復キーを作成: 回復キーの使用をユーザーに許可または要求するかどうかを指定します。回復キーはBEKファイルであり、 USBドライブに保存されます。デフォルトは [256ビットの回復キーを許可する] です。

    • OSドライブの回復オプションを非表示にする: BitLockerインターフェイスに回復オプションを表示または非表示にするかどうかを指定します。[オン] にすると、BitLockerインターフェイスに回復オプションは表示されません。この場合はデバイスをActive Directoryに登録し、回復オプションをActive Directoryに保存して、[回復情報をAD DSに保存][オン] に設定します。デフォルトは [オフ] です。

    • 回復情報をAD DSに保存: 回復オプションをActive Directoryドメインサービスに保存するかどうかを指定します。デフォルトは [オフ] です。

    • AD DSに保存された回復情報を構成する: BitLockerの回復パスワード、または回復パスワードとキーパッケージを、Active Directoryドメインサービスに保存するかどうかを指定します。キーパッケージを保存すると、物理的に破損したドライブからのデータの回復がサポートされます。デフォルトは、[回復パスワードをバックアップする]です。

    • 回復情報を AD DS に保存した後に BitLocker を有効にする: デバイスがドメインに接続され、BitLocker回復情報のActive Directoryへのバックアップが正常に完了するまでは、ユーザーがBitLockerを有効にすることを禁止するかどうかを指定します。[オン] にすると、BitLockerを起動する前にデバイスをドメインに参加させる必要があります。デフォルトは [オフ] です。

  • プリブートの回復メッセージとURLをカスタマイズする: BitLockerが、回復の画面でカスタマイズされたメッセージとURLを表示するかどうかを指定します。[オン] にすると、[既定の回復メッセージとURLを表示する][空の回復メッセージとURLを使用する][カスタム回復メッセージを使用する][カスタム回復URLを使用する]の追加の設定が表示されます。[オフ] の場合は、デフォルトの回復メッセージとURLが表示されます。デフォルトは [オフ] です。

  • 固定ドライブの回復を構成する: BitLockerで暗号化された固定ドライブに対する、ユーザーの回復オプションを構成します。BitLockerは、固定ドライブの暗号化に関するメッセージをユーザーに表示しません。起動時にドライブのロックを解除するには、パスワードまたはスマートカードを使用します。ユーザーが固定ドライブでのBitLocker暗号化を有効にすると、このポリシーにはない起動時のロック解除の設定がBitLockerインターフェイスに表示されます。関連設定について詳しくは、この一覧で前述した 「OSドライブの回復の構成」 を参照してください。デフォルトは [オフ] です。

  • BitLockerを使用しない固定ドライブへの書き込みアクセスをブロックする: [オン] にすると、固定ドライブがBitLockerで暗号化されている場合にのみ、ユーザーはこれらのドライブに書き込むことができます。デフォルトは [オフ] です。

  • BitLockerを使用しないリムーバブルドライブへの書き込みアクセスをブロックする: [オン] にすると、リムーバブルドライブがBitLockerで暗号化されている場合にのみ、ユーザーはこれらのドライブに書き込むことができます。他の組織のリムーバブルドライブへの書き込みが、組織によって許可されているかどうかに従って、この設定を構成します。デフォルトは [オフ] です。

  • 他のディスク暗号化のプロンプトを表示: デバイス上の他のディスク暗号化に対する警告プロンプトを無効にすることができます。デフォルトは、[オフ]です。

BitLockerデバイスポリシー