Autopilot デバイスの BitLocker 暗号化アルゴリズムの設定
適用対象:
- Windows 11
- Windows 10
BitLocker は、モダン スタンバイをサポートするか、ハードウェア セキュリティ テスト可能性仕様 (HSTI) を満たすデバイスの既定のエクスペリエンス (OOBE) 中に内部ドライブを自動的に暗号化します。 既定では、BitLocker では自動暗号化のためにのみ XTS-AES 128 ビットの使用済み領域が使用されます。
Windows Autopilot では、自動暗号化が開始される前に適用するように BitLocker 暗号化設定を構成できます。 この構成により、既定の暗号化アルゴリズムまたは種類が自動的に適用されないようにします。 暗号化後にこれらの設定を受け取るデバイスは、暗号化アルゴリズムを変更する前に復号化する必要があります。
暗号化アルゴリズム
BitLocker 暗号化アルゴリズムは、BitLocker が最初に有効になったときに使用されます。 Autopilot 中、 登録状態ページのデバイスセットアップ部分の後に BitLocker が有効になります。 次の暗号化アルゴリズムを使用できます。
- AES-CBC 128 ビット
- AES-CBC 256 ビット
- XTS-AES 128 ビット (既定値)
- XTS-AES 256 ビット
使用する推奨暗号化アルゴリズムの詳細については、BitLocker CSP を参照してください。
Autopilot デバイスで自動暗号化が実行される前に、必要な BitLocker 暗号化アルゴリズムが設定されていることを確認するには、
エンドポイント セキュリティ ディスク暗号化ポリシーで 暗号化方法の設定 を構成します。 設定は、[エンドポイント セキュリティ>ディスク暗号化>] [ポリシー>プラットフォームの作成 ] = Windows 10以降の [プロファイルの種類] = [BitLocker] で使用できます。
Autopilot デバイス グループにポリシーを割り当てます。 暗号化ポリシーは、ユーザーではなく、グループ内の デバイス に割り当てる必要があります。
これらのデバイスの Autopilot 登録状態ページ を有効にします。 この機能を有効にしない場合、暗号化が開始される前にポリシーは適用されません。
次の図は、エンドポイント セキュリティ ディスクの暗号化設定の例です。
ディスク全体の暗号化または使用領域のみの暗号化
暗号化には、フル ディスクと使用済み領域のみの 2 種類があります。 暗号化の種類は、 サイレント 有効化 とモダン スタンバイのハードウェア サポートの構成によって自動的に決定されます。 これを適用するには、 SystemDrivesEncryptionType 設定を構成します。 暗号化アルゴリズムと同様に、BitLocker が最初に有効になったときに暗号化の種類が使用されます。 予想される暗号化の種類の動作の詳細については、「 BitLocker ポリシーの管理」を参照してください。
使用されるドライブ暗号化の種類を適用するには:
設定カタログ内の [オペレーティング システム ドライブにドライブ暗号化の種類を適用 する] 設定を 構成します。 この設定は、設定ピッカーの [管理用テンプレート > ] [Windows コンポーネント > ] [BitLocker ドライブ暗号化 > オペレーティング システム ドライブ] カテゴリで使用できます。
Autopilot デバイス グループにポリシーを割り当てます。 暗号化ポリシーは、ユーザーではなく、グループ内の デバイス に割り当てる必要があります。
これらのデバイスの Autopilot 登録状態ページ を有効にします。 この機能を有効にしない場合、暗号化が開始される前にポリシーは適用されません。
次の図は、設定カタログ プロファイルの例です。
要件
サポートされているバージョンのWindows 11またはWindows 10。