BitLocker暗号化構成

ライセンス:Bridge

対象:Windowsデスクトップ

このセクションは以下のトピックを含みます。

BitLocker暗号化の設定

BitLocker暗号化は、ハードドライブとリムーバブルドライブ上でデバイスの暗号化を強制し、データを保護する機能です。 BitLocker暗号化を管理できるBridge設定を持つことが前提要件です。 詳細はBridgeをご覧ください。 BitLocker暗号化構成は、デバイスの暗号化設定に役立ちます。

手順

  1. [構成] タブで [+追加] をクリックします。

  2. [BitLocker暗号化] 構成を選択します。[BitLocker暗号化] ページが表示されます。

  3. [名前] フィールドに適切なBitLocker暗号化名を入力します。

  4. [+説明を追加] リンクをクリックし、構成の説明を追加します。このフィールドはオプションです。

  5. [構成設定] セクションで、以下の設定を構成します。

    設定

    説明
    暗号化の方式と種類

    暗号のキーサイズに応じて暗号化アルゴリズムの種類を選択します。 以下のオプションが使用できます。

    • AES-CBL 128ビット

    • AES-CBL 256ビット

    すべてのハードウェアドライブを暗号化

    すべてのハードウェアドライブを暗号化する設定は、トグルボタンをクリックしてONまたはOFFにできます。

    デバイス上のいずれかのハードウェアドライブがすでに暗号化されている場合、その構成の編集は適用されません。編集で暗号化処理を元に戻すことはできないからです。
    ドライブを選択 暗号化を必要とするドライブを選択します。 例:C:

    さらにドライブを追加するには [+追加] をクリックします。

    [すべてのハードウェアドライブを暗号化] 設定がオンの場合、このフィールドは表示されません。
    ドライブの種類に対応するハードウェアベースの暗号化

    TPM(Trusted Platform Module)とは、コンピューターのマザーボードに組み込まれた耐タンパー性を高めるチップです。 TPMを搭載したコンピューターでBitLocker暗号化またはデバイス暗号化を使用する場合、キーの一部はTPMに保存されます。 ドロップダウンリストから、以下のハードウェアベースの暗号化設定オプションを選択することができます。

    • 起動時にTPMが必要

    • TPMに起動PINが必要

    • TPMを使用しない

    TPMオプションは、OSドライブとTPMバージョン1.2以降にのみ適用されます。

    ハードウェアベースの暗号化設定をデバイスに適用すると、この設定は編集できなくなります。

    デバイスにBitLocker構成がすでに設定されている場合、TPMオプションの異なる2番目のBitLocker構成をプッシュすることはできません。
    次の構成チェックボックスオプションを選択します(任意)。

    • BitLockerによって保護されていない固定ドライブへの書き込みアクセスを拒否

    • BitLockerによって保護されていないリムーバブルドライブへの書き込みアクセスを拒否
    暗号化前のデバイスアクション

    以下のいずれかのオプションを選択し、完全に解読されていない、またはすでにキープロテクターのあるドライブの処理方法を決定します。

    • 暗号化を停止 - 選択したドライブのいずれかがすでに暗号化されている場合は暗号化を停止します。
    • Ivanti Neurons for MDM に回復パスワードストアがない選択したドライブを復号 - Ivanti Neurons for MDM内に回復パスワードがないドライブのみに適用するには、このオプションを選択します。
    リカバリオプション

    ユーザーがパスワードを忘れた場合はリカバリオプションを使用します。 これによりデバイス詳細ページからパスワードを取得できます。 設定できるリカバリオプションは以下のとおりです。

    • リカバリを無効化

    • パスワードを使用し、ADに保存

    • パスワードを使用し、ADとMobileIronに保存

    再起動間隔 構成をデバイスにプッシュすると、再起動が指示されます。 暗号化は再起動後に開始されます。 再起動間隔を構成するには、ドロップダウンダウンリストからデバイスを再起動させる間隔を選択します。 再起動間隔の最小は1分、最大は120分(2時間)です。
    再起動メッセージ

    デバイスに表示する再起動メッセージを入力します。

    必要であれば、起動パスワードまたは起動PINもユーザーに表示されます。 ユーザーは、メモを取るか、再起動後の指示に応じて入力します。

  6. [次へ] をクリックします。

  7. 以下のいずれかのオプションを選択し、デバイスに設定を配布します。

    設定

    説明
    この構成を有効化 チェックボックスを選択すると、選択したデバイスにこの構成が適用されます。 チェックボックスを外すと、構成がすでにデバイスに適用されている場合は削除されます。
    すべてのデバイス すべてのデバイスに設定を配布します。
    デバイスなし デバイスへの設定の配布を保留します。
    カスタム 定義したデバイスグループに設定を配布します。 設定を配布したいデバイスタイプの横にあるチェックボックスを選択します。 [デバイスグループを検索] 検索フィールドにデバイスグループ名を入力し、デバイスグループを検索することも可能です。新しいデバイスグループを作成する場合は、ページ下部の [新しいデバイスグループを作成] リンクをクリックします。 詳細は、デバイスグループをご覧ください。

    デバイスカテゴリを選択する際は、選択したデバイスカテゴリのデバイスユーザーリストの詳細(氏名電話番号デバイスの種類)を [配布の概要] セクションで確認できます。

  8. 選択したデバイスに設定をプッシュするには、[完了] をクリックします。

BitLocker設定の表示

デバイスのBitLocker設定は、[BitLocker設定] セクションの下のデバイス詳細ページ([デバイス] > [デバイス] > [(デバイス名)])で閲覧できます。 デフォルトでは詳細が非表示になっています。

各フィールドの横にある表示(目の形)アイコンをクリックすることで、以下の詳細を表示できます。

設定

説明
リカバリパスワード

このオプションが選択されている場合、リカバリパスワードがWindowsによって生成され、BitLocker構成をプッシュした後に Ivanti Neurons for MDM に戻されます。 デバイスがリカバリモードを通過するとき、ユーザーはこのパスワードの入力を求められます。

複数のデバイスが暗号化されている場合、同じリカバリパスワードを使用する必要があります。

リカバリパスワードは、リカバリオプション [パスワードを使用し、ADとMobileIronに保存] が選択されている場合のみ公開されます。
暗証番号 起動用の6桁のPINを表示します。 PINは、BitLocker構成設定で [TPMに起動PINが必要] オプションを選択した場合のみ表示されます。
起動パスワード
デバイスに設定されている起動パスワード。 起動パスワードは、BitLocker構成設定で [TPMを使用しない] オプションを選択した場合のみ表示されます。
TPMバージョン
構成されているTPMバージョンを表示します。

フィールドによっては、BitLocker構成設定の設定に基づき、[非該当] が表示される場合もあります。

  • 暗号化のステータスは、デバイス詳細ページの [デバイス暗号化ステータス] の下に表示されます。
  • BitLockerが適用されるデバイスの全デバイスに同じ起動パスワードまたはPINが使用されます。
  • すでにドライブが暗号化され、パスワードが保存されているデバイスの2番目のドライブを暗号化する構成を作成すると、古いパスワードは上書きされます。 このため、リカバリパスワードオプションは、デバイスの1つのドライブにのみ使用することをお勧めします。