BitLocker CSP

警告

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

BitLocker 構成サービスプロバイダー (CSP) は、Pc とデバイスの暗号化を管理するために、企業によって使用されます。 この CSP は、Windows 10 バージョン1703で追加されました。 Windows 10 バージョン1809以降では、Windows 10 Pro でもサポートされています。

注意

設定は、暗号化が開始されたときにのみ適用されます。 設定が変更されたため、暗号化は再開されません。
すべての設定を1つの SyncML にまとめて送信して有効にする必要があります。

RequireDeviceEncryption と Requirestoragec/暗号化を除くすべての設定に対して Get 操作を実行すると、管理者によって構成された設定が返されます。

RequireDeviceEncryption と Requirestoragec/暗号化の場合、Get 操作は、TPM の保護が必要かどうか、また暗号化が必要かどうかなど、管理者に対して実際の強制状態を返します。 また、パスワードプロテクターを使って、デバイスで BitLocker が有効になっている場合は、報告された状態は0です。 RequireDeviceEncryption の Get 操作では、PIN の最小文字数が強制されているかどうかが確認されません (SystemDrivesMinimumPINLength)。

次の図は、BitLocker 構成サービスプロバイダーをツリー形式で示しています。

bitlocker csp

./Device/Vendor/MSFT/BitLocker

BitLocker 構成サービスプロバイダーのルートノードを定義します。

Requirestoragec/暗号化

管理者がデバイスに対してストレージカードの暗号化を要求できるようにします。 このポリシーは、モバイル SKU に対してのみ有効です。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark cross mark cross mark cross mark cross mark check mark check mark

データ型は整数です。 このポリシーを有効にするためのこのノードのサンプル値: 1。 このポリシーを無効にしても、ストレージカードの暗号化は無効になりませんが、有効にするかどうかを確認するメッセージは表示されなくなります。

  • 0 (既定) –ストレージカードは暗号化する必要はありません。
  • 1–ストレージカードを暗号化する必要があります。

このポリシーを無効にしても、システムカードの暗号化は無効になりませんが、ユーザーに対して有効にするように求めるメッセージは表示されなくなります。

このポリシーを無効にする場合は、次の SyncML を使用します。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

データ型は整数です。 サポートされている操作は、追加、取得、置換、削除です。

RequireDeviceEncryption

BitLocker\Device 暗号化を使用して、管理者が暗号化を有効にすることを許可します。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark check mark check mark

データ型は整数です。 このポリシーを有効にするためのこのノードのサンプル値: 1。 このポリシーを無効にしても、システムカードの暗号化は無効になりませんが、ユーザーに対して有効にするように求めるメッセージは表示されなくなります。

このポリシーを無効にする場合は、次の SyncML を使用します。

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>        

データ型は整数です。 サポートされている操作は、追加、取得、置換、削除です。

EncryptionMethodByDriveType

各種のドライブの種類 (オペレーティングシステムドライブ、固定データドライブ、およびリムーバブルデータドライブ) ごとに既定の encrytion メソッドを設定できます。 非表示のシステムパーティションと回復パーティションは暗号化からスキップされます。 この設定は、Bitlocker グループポリシー "に直接マッピングされます。ドライブ暗号化方法と暗号強度 (Windows 10 [バージョン 1511] 以降") を選択します。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: ドライブの暗号化方法と暗号強度 (Windows 10 [バージョン 1511] 以降) を選択します。
  • GP 名: EncryptionMethodWithXts_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、BitLocker ドライブ暗号化で使われるアルゴリズムと暗号強度を構成できます。 この設定は、BitLocker を有効にすると適用されます。 暗号化の方法を変更しても、ドライブが既に暗号化されている場合、または暗号化が進行中の場合は影響はありません。

この設定を有効にすると、固定データドライブ、オペレーティングシステムドライブ、およびリムーバブルデータドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できるようになります。 固定ドライブとオペレーティングシステムのドライブの場合は、XTS アルゴリズムを使うことをお勧めします。 リムーバブルドライブの場合、Windows 10 バージョン1511を実行していない他のデバイスでドライブが使用される場合は、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要があります。

このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker では、XTS-AES 128 ビットまたは任意のセットアップスクリプトで指定された暗号化方法が既定の暗号化方法として使用されます。

このポリシーを有効にして暗号化方法を設定するための次のノードのサンプル値:

 <enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

EncryptionMethodWithXtsOsDropDown_Name = オペレーティングシステムドライブの暗号化方法を選択する

EncryptionMethodWithXtsFdvDropDown_Name = 固定データドライブの暗号化方法を選択します。

EncryptionMethodWithXtsRdvDropDown_Name = リムーバブルデータドライブの暗号化方法を選択します。

'xx' の指定可能な値は次のとおりです。

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

注意

EncryptionMethodByDriveType を有効にする場合、3つのすべてのドライブ (オペレーティングシステム、固定データ、およびリムーバブルデータ) の値を指定する必要があります。それ以外の場合は、エラーが発生します (500 の戻り状態)。 たとえば、OS とリムーバブルドライブの encrytion メソッドのみを設定した場合、500の戻りステータスが表示されます。

このポリシーを無効にする場合は、次の SyncML を使用します。

                          <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

SystemDrivesRequireStartupAuthentication

この設定は、Bitlocker グループポリシー "への直接のマッピングです。スタートアップ"時に追加の認証が必要になります。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: 起動時に追加認証を要求する
  • GP 名: ConfigureAdvancedStartup_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/オペレーティングシステムドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、コンピューターを起動するたびに BitLocker を追加認証する必要があるかどうか、または BitLocker を信頼されたプラットフォームモジュール (TPM) と共に使用しているかどうかを構成できます。 この設定は、BitLocker を有効にすると適用されます。

注意

起動時には追加認証オプションの1つだけを入力する必要があります。それ以外の場合は、エラーが発生します。

TPM が搭載されていないコンピューターで BitLocker を使用する場合"は" 、ConfigureNonTPMStartupKeyUsage_Name データを設定します。 このモードでは、起動時にパスワードまたは USB ドライブのいずれかが必要です。 スタートアップキーを使用している場合、ドライブの暗号化に使用されるキー情報は USB ドライブに保存され、USB キーが作成されます。 USB キーを挿入すると、ドライブへのアクセスが認証され、ドライブにアクセスすることができます。 USB キーが紛失しているか、使用できない場合、またはパスワードを忘れてしまった場合は、BitLocker の回復オプションのいずれかを使ってドライブにアクセスする必要があります。

互換性のある TPM が搭載されたコンピューターでは、起動時に4種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターの起動時には、認証用に TPM のみを使うことができます。または、スタートアップキーが含まれている USB フラッシュドライブの挿入、6桁の暗証番号 (PIN) の入力、またはその両方が必要になることもあります。

注意

Windows 10 バージョン1703リリース B では、最小4桁の PIN を使用できます。 5桁の Pin を許可するには、Systemて Minimumpinlength ポリシーを設定する必要があります。

このポリシー設定を有効にした場合、ユーザーは BitLocker セットアップウィザードで詳細なスタートアップオプションを構成できます。

この設定を無効にした場合、または構成しなかった場合、ユーザーは TPM を備えたコンピューターで基本オプションのみを構成できます。

注意

スタートアップ PIN と USB フラッシュドライブを使用する必要がある場合は、BitLocker ドライブ暗号化のセットアップウィザードではなく、コマンドラインツールの manage-bde を使用して BitLocker 設定を構成する必要があります。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/><data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/><data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/><data id="ConfigurePINUsageDropDown_Name" value="yy"/><data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/><data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

データ id:

  • ConfigureNonTPMStartupKeyUsage_Name = 互換性のある TPM を使わずに BitLocker を許可します (USB フラッシュドライブのパスワードまたはスタートアップキーが必要です)。
  • ConfigureTPMStartupKeyUsageDropDown_Name = (TPM を搭載したコンピューター用) TPM スタートアップキーを構成します。
  • ConfigurePINUsageDropDown_Name = (TPM を搭載したコンピューター用) TPM スタートアップ PIN を構成します。
  • ConfigureTPMPINKeyUsageDropDown_Name = (TPM を搭載したコンピューター用) TPM スタートアップキーと PIN を構成します。
  • ConfigureTPMUsageDropDown_Name = (TPM を搭載したコンピューター用) TPM スタートアップを構成します。

'xx' の指定可能な値は次のとおりです。

  • true = 明示的に許可
  • false = ポリシーが設定されていません

Yy' 'は、次の値を指定できます。

  • 2 = オプション
  • 1 = 必須
  • 0 = 許可しない

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

Systemて Minimumpinlength

この設定は、[スタートアップ""用の最小 PIN の長さ] を構成する Bitlocker グループポリシーへの直接マッピングです。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: スタートアップの PIN の最小文字数を設定する
  • GP 名: MinimumPINLength_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/オペレーティングシステムドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、トラステッドプラットフォームモジュール (TPM) スタートアップ PIN の最小の長さを構成できます。 この設定は、BitLocker を有効にすると適用されます。 スタートアップ PIN の長さは6桁以上で、最大20桁の数字を指定する必要があります。

注意

Windows 10 バージョン1703リリース B では、PIN の最小文字数を4桁にすることができます。

TPM 2.0 で PIN の最小文字数が6桁未満に設定されている場合、Windows は、PIN が変更されたときに既定値よりも大きくなるように TPM ロックアウト期間を更新しようとします。 成功した場合、tpm がリセットされた場合、Windows は TPM ロックアウトの期間を既定に戻します。 これは TPM 1.2 には適用されません。

この設定を有効にした場合は、スタートアップ PIN を設定するときに使用する最小の桁数を指定することができます。

この設定を無効にした場合、または構成しなかった場合、ユーザーは 6 ~ 20 桁の長さのスタートアップ PIN を構成できます。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/><data id="MinPINLength" value="xx"/>

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

SystemDrivesRecoveryMessage

この設定は、プレブート回復メッセージと URL "" (PrebootRecoveryInfo_Name) を構成する Bitlocker グループポリシーへの直接マッピングです。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP English name: プレブート回復メッセージと URL を構成する
  • GP 名: PrebootRecoveryInfo_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/オペレーティングシステムドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、OS ドライブがロックされているときに、回復メッセージ全体を構成するか、プリブートキー回復画面に表示される既存の URL を置き換えます。

この値を 1 ""に設定すると (既定の回復メッセージと url を使用)、既定の BITLOCKER 回復メッセージと url がプリブートキーの回復画面に表示されます。 以前にカスタム回復メッセージまたは URL を構成していて、既定のメッセージに戻す場合は、ポリシーを有効にしたまま"に"して、値1を設定する必要があります (既定の回復メッセージと URL を使用します)。

この"値を 2"に設定すると (カスタム回復メッセージを使用)、[ "RecoveryMessage_Input" data] フィールドで設定したメッセージがプリブートキーの回復画面に表示されます。 回復 URL が利用できる場合は、それをメッセージに含めます。

この"値を 3"に設定した場合 (カスタム回復 URL を使用)、[ "RecoveryUrl_Input" data] フィールドに入力した url は、既定の回復メッセージの既定の url に置き換わります。これは、プリブートキーの回復画面に表示されます。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/><data id="PrebootRecoveryInfoDropDown_Name" value="xx"/><data id="RecoveryMessage_Input" value="yy"/><data id="RecoveryUrl_Input" value="zz"/>

'xx' の指定可能な値は次のとおりです。

  • 0 = 空
  • 1 = 既定の回復メッセージと URL を使用します (この場合、"RecoveryMessage_Input" または "RecoveryUrl_Input" の値を指定する必要はありません)。
  • 2 = カスタム回復メッセージが設定されます。
  • 3 = カスタム回復 URL が設定されています。
  • "yy" = 最大長900の文字列。
  • ' zz ' = 最大長500の文字列。

注意

SystemDrivesRecoveryMessage を有効にするときは、3つのすべての設定 (プレブート回復画面、回復メッセージ、回復 URL) の値を指定する必要があります。それ以外の場合は、エラーが発生します (500 の戻り状態)。 たとえば、メッセージと URL の値のみを指定した場合、500の戻りステータスが表示されます。

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                        <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

注意

プリブートでは、すべての文字と言語がサポートされるわけではありません。 プレブート回復画面では、カスタムメッセージまたは URL に使用する文字が正しく表示されることをテストすることを強くお勧めします。

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

SystemDrivesRecoveryOptions

この設定は、Bitlocker グループポリシー "に直接対応しています。 bitlocker で保護されたオペレーティング"システムドライブをどのように回復できるか (OSRecoveryUsage_Name) を選択します。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: BitLocker で保護されたオペレーティングシステムドライブの回復方法を選択する
  • GP 名: OSRecoveryUsage_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/オペレーティングシステムドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、必要なスタートアップキー情報がない場合に、BitLocker で保護されたオペレーティングシステムドライブを回復する方法を制御できます。 この設定は、BitLocker を有効にすると適用されます。

OSAllowDRA_Name "" (証明書ベースのデータ回復エージェント) データフィールドは、BitLocker で保護されたオペレーティングシステムドライブでデータ回復エージェントを使うことを許可するかどうかを指定するために使用されます。 データ回復エージェントを使用するには、グループポリシー管理コンソールまたはローカルグループポリシーエディターの [公開キーポリシー] 項目から追加されている必要があります。 データ回復エージェントの追加の詳細については、Microsoft TechNet の BitLocker ドライブ暗号化展開ガイドを参照してください。

OSRecoveryPasswordUsageDropDown_Name ""と OSRecoveryKeyUsageDropDown_Name ""で、ユーザーが許可されているか、必須であるか、または48を生成することを許可しているかどうかを設定します。数字の回復パスワードまたは256ビット回復キー。

ユーザー "が"ドライブで BitLocker を有効にするときに回復オプションを指定できないようにするには、OSHideRecoveryPage_Name を設定します (BitLocker セットアップウィザードの回復オプションは省略します)。 これは、BitLocker を有効にするときに使用する回復オプションを指定できないことを意味します。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決定されます。

OSActiveDirectoryBackup_Name "" (Active Directory ドメインサービスに bitlocker 回復情報を保存する) を設定して、AD DS でオペレーティングシステムドライブに格納する bitlocker 回復情報を選択します (OSActiveDirectoryBackupDropDown_Name). 1" (バックアップ"回復パスワードとキーパッケージ) を設定した場合、BitLocker 回復パスワードとキーパッケージの両方が、AD DS に保存されます。 キーパッケージを保存すると、物理的に破損したドライブからのデータの回復がサポートされます。 2" (バックアップ"回復パスワードのみ) を設定した場合、回復パスワードのみが AD DS に保存されます。

ユーザーが"コンピューター"に接続されていない場合に bitlocker を有効にしないようにするには、[OSRequireActiveDirectoryBackup_Name (回復情報がオペレーティングシステムドライブに格納されるまで、bitlocker を有効にしない]) データフィールドを設定します。ドメインに対して、AD DS への BitLocker 回復情報のバックアップが成功します。

> [!Note]
>OSRequireActiveDirectoryBackup_Name" ( "回復情報がオペレーティングシステムドライブの AD DS に保存されます) が設定されている場合、回復パスワードが自動的に生成されます。

この設定を有効にした場合、BitLocker で保護されたオペレーティングシステムドライブからデータを回復する方法をユーザーが制御できます。

この設定を無効にした場合、または構成しなかった場合は、既定の回復オプションは BitLocker の回復に対してサポートされます。 既定では、DRA は許可されています。回復オプションは回復パスワードと回復キーを含めてユーザーが指定できます。回復情報は AD DS にバックアップされません。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/><data id="OSAllowDRA_Name" value="xx"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/><data id="OSHideRecoveryPage_Name" value="xx"/><data id="OSActiveDirectoryBackup_Name" value="xx"/><data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/><data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' の指定可能な値は次のとおりです。

  • true = 明示的に許可
  • false = ポリシーが設定されていません

Yy' 'は、次の値を指定できます。

  • 2 = 許可
  • 1 = 必須
  • 0 = 許可しない

'zz' の指定可能な値は次のとおりです。

  • 2 = 保存の回復パスワードのみ
  • 1 = ストア回復パスワードとキーパッケージ

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

Fixedドライブ Recoveryoptions オプション

この設定は、Bitlocker グループポリシー "に直接対応しています。 bitlocker で保護された"固定ドライブを回復する方法を選択します ()。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP English name: BitLocker で保護された固定ドライブの回復方法を選択する
  • GP 名: FDVRecoveryUsage_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/固定ドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定では、必要な資格情報がない場合に BitLocker で保護された固定データドライブを回復する方法を制御できます。 この設定は、BitLocker を有効にすると適用されます。

FDVAllowDRA_Name "" (データ回復エージェントの許可) データフィールドは、BitLocker で保護された固定データドライブでデータ回復エージェントを使用できるかどうかを指定するために使用されます。 データ回復エージェントを使用するには、グループポリシー管理コンソールまたはローカルグループポリシーエディターの [公開キーポリシー] 項目から追加されている必要があります。 データ回復エージェントの追加の詳細については、Microsoft TechNet の BitLocker ドライブ暗号化展開ガイドを参照してください。

FDVRecoveryPasswordUsageDropDown_Name ""では、ユーザーに許可するか、必須にするか、または48桁の回復パスワードまたは256ビットの回復キーを生成することを許可するかどうかを設定します (BitLocker 回復情報のユーザーストレージを構成します)。

ユーザー "が"ドライブで BitLocker を有効にするときに回復オプションを指定できないようにするには、FDVHideRecoveryPage_Name を設定します (BitLocker セットアップウィザードの回復オプションは省略します)。 これは、BitLocker を有効にするときに使用する回復オプションを指定できないことを意味します。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決定されます。

回復"キー"を AD に保存できるようにするには、FDVActiveDirectoryBackup_Name (Active Directory ドメインサービスに BitLocker 回復情報を保存する) を設定します。

コンピューターが"接続"されていない場合に、ユーザーが bitlocker を有効にしないようにするには、[FDVRequireActiveDirectoryBackup_Name (回復情報が固定データドライブに保存されるまで bitlocker を有効にしない) データフィールドを設定します。ドメインと AD DS への BitLocker 回復情報のバックアップが成功します。

FDVActiveDirectoryBackupDropDown_Name" ( "Ad ds への bitlocker 回復情報の記憶域の構成) を設定して、固定データドライブの AD DS に格納する bitlocker 回復情報を選択します。 1" (バックアップ"回復パスワードとキーパッケージ) を選択した場合、BitLocker 回復パスワードとキーパッケージの両方が、AD DS に保存されます。 キーパッケージを保存すると、物理的に破損したドライブからのデータの回復がサポートされます。 [2" ( "バックアップ回復パスワードのみ)] を選択した場合、回復パスワードのみが AD DS に保存されます。

> [!Note]
>FDVRequireActiveDirectoryBackup_Name" ( "回復情報が固定データドライブに格納されるまで BitLocker を有効にしない) データフィールドが設定されている場合、回復パスワードが自動的に生成されます。

この設定を有効にした場合、ユーザーが使用できるメソッドを制御して、BitLocker で保護された固定データドライブからデータを回復することができます。

この設定が構成されていない場合、または無効になっている場合は、既定の回復オプションが BitLocker の回復に対してサポートされます。 既定では、DRA は許可されています。回復オプションは回復パスワードと回復キーを含めてユーザーが指定できます。回復情報は AD DS にバックアップされません。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/><data id="FDVAllowDRA_Name" value="xx"/><data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/><data id="FDVHideRecoveryPage_Name" value="xx"/><data id="FDVActiveDirectoryBackup_Name" value="xx"/><data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/><data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' の指定可能な値は次のとおりです。

  • true = 明示的に許可
  • false = ポリシーが設定されていません

Yy' 'は、次の値を指定できます。

  • 2 = 許可
  • 1 = 必須
  • 0 = 許可しない

'zz' の指定可能な値は次のとおりです。

  • 2 = 保存の回復パスワードのみ
  • 1 = ストア回復パスワードとキーパッケージ

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

FixedDrivesRequireEncryption

この設定は、bitlocker グループポリシー "に直接マッピングされます。 bitlocker" (FDVDenyWriteAccess_Name) によって保護されていない固定ドライブへの書き込みアクセスを拒否します。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する
  • GP 名: FDVDenyWriteAccess_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/固定ドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定は、固定データドライブをコンピューター上で書き込み可能にするために BitLocker の保護が必要かどうかを決定します。

この設定を有効にした場合、BitLocker で保護されていないすべての固定データドライブは読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りと書き込みのアクセス許可でマウントされます。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

<enabled/>

この設定を無効にした場合、または構成しなかった場合、コンピューター上のすべての固定データドライブは、読み取りと書き込みのアクセス権を使ってマウントされます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

データ型は文字列です。 サポートされている操作は、追加、取得、置換、削除です。

RemovableDrivesRequireEncryption

この設定は、bitlocker グループポリシー "に直接マッピングされます。これは、bitlocker" (RDVDenyWriteAccess_Name) によって保護されていないリムーバブルドライブへの書き込みアクセスを拒否します。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX Info:

  • GP 英語の名前: BitLocker で保護されていないリムーバブルドライブへの書き込みアクセスを拒否する
  • GP 名: RDVDenyWriteAccess_Name
  • GP パス: Windows コンポーネント/Bitlocker ドライブ暗号化/リムーバブルドライブ
  • GP ADMX ファイル名: volumeencryption の admx

ヒント

ADMX でサポートされているポリシーを有効にするためのステップバイステップガイドについては、「 MDM で admx でサポートされているポリシーを有効にする」を参照してください。 詳細については、「 ADMX がサポートされたポリシーについて」を参照してください。

この設定は、コンピューターがリムーバブルデータドライブにデータを書き込むことができるようにするために BitLocker の保護が必要かどうかを構成します。

この設定を有効にした場合、BitLocker で保護されていないすべてのリムーバブルデータドライブは読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りと書き込みのアクセス許可でマウントされます。

[ "RDVCrossOrg" (別の組織で構成されているデバイスへの書き込みアクセスを拒否)] オプションが設定されている場合、コンピューターの'の識別フィールドと一致する id フィールドを持つドライブのみが書き込みアクセス権を与えられます。 リムーバブルデータドライブにアクセスすると、有効な識別フィールドと許可されている識別フィールドがチェックされます。 これらのフィールドは、 "「組織"の一意の識別子を指定してグループポリシーを設定する」で定義されます。

このポリシー設定を無効にした場合、または構成しなかった場合、コンピューター上のすべてのリムーバブルデータドライブは読み取りおよび書き込みアクセス権でマウントされます。

> [!Note]
>このポリシー設定は、[ユーザーの構成 \ 管理用テンプレート \ リムーバブル記憶域アクセス] の下にあるグループポリシー設定によって上書きできます。 [リムーバブル"ディスク: 書き込みアクセス"を拒否] グループポリシー設定が有効になっている場合、このポリシー設定は無視されます。

このポリシーを有効にするには、次のノードのサンプル値を使用します。

 <enabled/><data id="RDVCrossOrg" value="xx"/>

'xx' の指定可能な値は次のとおりです。

  • true = 明示的に許可
  • false = ポリシーが設定されていません

ポリシーを無効にすると、システムによって既定の動作が選択されます。 このポリシーを無効にする場合は、次の SyncML を使用します。

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

Allowwarnings Forotherdiskencryption

RequireDeviceEncryption ポリシーが1に設定されている場合、管理者は、他のディスク暗号化の警告プロンプトを無効にすることができます。

重要

Windows 10 バージョン1803以降では、値0は Azure Active Directory に参加しているデバイスに対してのみ設定できます。 RequireDeviceEncryption が1に設定されていて、Allowwarnings Forotherdiskencryption が0に設定されている場合、Windows は自動的にBitLockerを有効にします。

警告

サードパーティの暗号化を使用しているデバイスで BitLocker を有効にすると、デバイスが使用できなくなる可能性があり、Windows を再インストールする必要があります。

ホーム Pro 会社 Enterprise Education Mobile Mobile Enterprise
cross mark check mark check mark check mark check mark cross mark cross mark

次のリストは、サポートされている値を示しています。

  • 0–警告プロンプトを無効にします。 Windows 10 バージョン1803以降では、値0は Azure Active Directory に参加しているデバイスに対してのみ設定できます。 Windows では、BitLocker を値0に対して自動的に有効にします。
  • 1 (既定) –警告メッセージを許可します。
<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        </Meta>
        <Data>0</Data>
    </Item>
</Replace>

注意

警告プロンプトを無効にすると、OS ドライブの回復キーがユーザーの Azure Active Directory アカウントにバックアップされます。 警告メッセージを許可すると、メッセージを受信したユーザーは OS ドライブの回復キーをバックアップする場所を選ぶことができます。

固定データドライブのバックアップのエンドポイントは、次の順序で選択されます。

  1. ユーザーの Windows Server Active Directory ドメインサービスアカウント。
  2. ユーザーの Azure Active Directory アカウント。
  3. ユーザーの個人用 OneDrive (MDM/MAM のみ)。

暗号化は、3つの場所のいずれかが正常にバックアップされるまで待機します。

AllowStandardUserEncryption
現在ログオンしているユーザーが管理者以外のユーザー Azure AD アカウントである場合に、ポリシーがプッシュされるシナリオに対して、管理者が "RequireDeviceEncryption" ポリシーを適用できるようにします。

注意

このポリシーは、Azure AD アカウントでのみサポートされます。

"Allowstandardforotherdiskencryption" ポリシーは、"0" に設定されています。つまり、サイレント暗号化が適用されています。

"Allowwarnings Forotherdiskencryption" が設定されていない場合、または "1" に設定されている場合、標準ユーザーがシステムで現在ログオンしているユーザーである場合、"RequireDeviceEncryption" ポリシーはドライブを暗号化しようとしません。

このポリシーに必要な値は次のとおりです。

  • 1 = "RequireDeviceEncryption" ポリシーは、現在ログインしているユーザーが標準ユーザーである場合でも、すべての固定ドライブで暗号化を有効にします。
  • 0 = ポリシーが設定されていない場合は、既定値になります。 現在ログオンしているユーザーが標準ユーザーである場合、"RequireDeviceEncryption" ポリシーは、どのドライブでも暗号化を有効にしません。

このポリシーを無効にする場合は、次の SyncML を使用します。

 <Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

SyncML の例

次の例は、適切な形式を表示するために用意されており、推奨されません。

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->    
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsOsDropDown_Name&quot; value=&quot;4&quot;/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsFdvDropDown_Name&quot; value=&quot;7&quot;/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsRdvDropDown_Name&quot; value=&quot;4&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;ConfigureNonTPMStartupKeyUsage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMStartupKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigurePINUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMPINKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;MinPINLength&quot; value=&quot;6&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;RecoveryMessage_Input&quot; value=&quot;blablablabla&quot;/&gt;
            &lt;data id=&quot;PrebootRecoveryInfoDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;RecoveryUrl_Input&quot; value=&quot;blablabla&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;OSAllowDRA_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSRecoveryPasswordUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSRecoveryKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSHideRecoveryPage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSActiveDirectoryBackupDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSRequireActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;FDVAllowDRA_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVRecoveryPasswordUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVRecoveryKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVHideRecoveryPage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVActiveDirectoryBackupDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVRequireActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;RDVCrossOrg&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>