Windows To Go のセキュリティとデータ保護に関する考慮事項
適用対象
- Windows 10
重要
Windows To Go は、Windows 10のバージョン2004以降のオペレーティングシステムでは削除されます。 この機能では機能更新プログラムがサポートされないため、最新の情報を維持することはできません。 また、多くの OEM がサポートを終了した特定の種類の USB も必要です。
Windows To Go 展開を計画する際に考慮すべき最も重要な要件の 1 つは、Windows To Go ワークスペースで操作するデータ、コンテンツ、リソースが保護され、セキュリティで保護されていることを確認することです。
バックアップと復元
Windows To Go ドライブにデータを保存しない場合は、Windows To Go のバックアップと復元ソリューションは必要ありません。 ドライブにデータを保存していて、フォルダー リダイレクトとオフライン ファイルを使用していない場合は、各作業セッションの後に、クラウド ストレージやネットワーク共有などのネットワークの場所にすべてのデータをバックアップする必要があります。 実装できるさまざまなソリューションについては、「 Reliable File Services と Storage を使用したインフォメーション ワーカーのサポート 」で説明されている新機能と改善された機能を確認してください。
何らかの理由で USB ドライブが失敗した場合、ドライブを動作状態に復元する標準的なプロセスは、Windows To Go を使用してドライブを再フォーマットして再プロビジョニングするため、ドライブ上のすべてのデータとカスタマイズが失われます。 この結果は、移動ユーザー プロファイル、フォルダー リダイレクト、およびオフライン ファイルを Windows To Go で使用することが推奨されるもう 1 つの理由です。 詳細については、「 フォルダー リダイレクト、オフライン ファイル、および移動ユーザー プロファイルの概要」を参照してください。
BitLocker
Windows To Go ドライブで BitLocker を使用して、ドライブが紛失または盗難にあった場合にドライブが侵害されないように保護することをお勧めします。 BitLocker が有効になっている場合、ユーザーはドライブのロックを解除し、Windows To Go ワークスペースを起動するためのパスワードを指定する必要があります。 このパスワード要件は、未承認のユーザーがドライブを起動し、それを使用してネットワーク リソースと機密データにアクセスするのを防ぐのに役立ちます。 Windows To Go ドライブはコンピューター間でローミングされるため、BitLocker によってドライブを保護するためにトラステッド プラットフォーム モジュール (TPM) を使用することはできません。 代わりに、BitLocker がディスクの暗号化と暗号化解除に使用するパスワードを指定します。 既定では、このパスワードの長さは 8 文字にする必要があり、組織のドメイン コントローラーによって定義されているパスワードの複雑さの要件に応じて、より厳格な要件を適用できます。
最初に使用する前に、ドライブ プロビジョニング プロセスの一部として Windows To Go Creator ウィザードを使用しているときに BitLocker を有効にすることができます。または、Windows To Go ワークスペース内からユーザーが後で有効にすることができます。
ヒント
Windows To Go Creator ウィザードで BitLocker を有効にできない場合は、「Windows To Go Creator から BitLocker を有効にできない理由」を参照してください。
BitLocker が有効になっている Windows 7 を実行しているホスト コンピューターを使用する場合は、USB から起動するように BIOS 設定を変更する前に BitLocker を一時停止してから、BitLocker 保護を再開します。 BitLocker が最初に中断されていない場合、コンピューターの次のブートは回復モードになります。
ディスク検出とデータ漏えい
USB ドライブをプロビジョニングするときは、誤ったデータ漏洩を防ぐために NoDefaultDriveLetter 属性を使用することをお勧めします。 NoDefaultDriveLetter は、ユーザーが実行中のコンピューターにドライブ文字を挿入した場合、ホスト オペレーティング システムがドライブ文字を割り当てないようにします。 この防止は、Windows エクスプローラーにドライブが表示され、自動再生プロンプトがユーザーに表示されないようにすることを意味します。 ドライブとプロンプトのこの非表示は、エンド ユーザーがオフラインの Windows To Go ディスクに別のコンピューターから直接アクセスする可能性を減らします。 Windows To Go Creator を使用してワークスペースをプロビジョニングすると、この属性が自動的に設定されます。
Windows To Go とホスト システム Windows 8間の偶発的なデータ漏洩を防ぐために、新しい SAN ポリシー (OFFLINE_INTERNAL - "4" を使用して、オペレーティング システムが内部接続されたディスクを自動的にオンラインにすることを防ぎます。 Windows To Go の既定の構成では、このポリシーが有効になっています。 Windows To Go ワークスペースで起動したときに内部ハード ドライブのマウントを許可するように、このポリシーを変更しないことをお勧めします。 内部ドライブに休止状態のWindows 8オペレーティング システムが含まれている場合、ドライブをマウントすると休止状態が失われ、したがって、ホスト オペレーティング システムの起動時にユーザーの状態または保存されていないユーザー データが失われます。 内部ドライブに休止状態の Windows 7 以前のオペレーティング システムが含まれている場合、ホスト オペレーティング システムの起動時にドライブをマウントすると破損する可能性があります。
詳細については、「 Windows PE で記憶域ネットワーク (SAN) ポリシーを構成する方法」を参照してください。
Windows To Go のセキュリティ認定
Windows to Go は、ドライブに展開されるときに Windows のコア機能であり、該当するセキュリティ認定のガイダンスに従って構成されます。 Windows To Go を使用して構築されたソリューションは、ソリューション プロバイダーの特定のハードウェア環境をカバーするソリューション プロバイダーによって、より多くの認定を受けるために提出できます。 Windows セキュリティ認定の詳細については、次の記事を参照してください。