BitLocker の基本的な展開
適用対象:
- Windows 10
- Windows 11
- Windows Server 2016 以上
IT プロフェッショナル向けのこの記事では、BitLocker 機能を使用してドライブの暗号化を通じてデータを保護する方法について説明します。
BitLocker を使用したボリュームの暗号化
BitLocker は、オペレーティング システム ボリュームと固定およびリムーバブル データ ドライブ用のフル ボリューム暗号化 (FVE) を提供します。 完全に暗号化されたオペレーティング システム ドライブをサポートするために、BitLocker は、オペレーティング システムの起動、暗号化解除、読み込みに必要なファイルに暗号化されていないシステム パーティションを使用します。 このボリュームは、クライアントとサーバーの両方のオペレーティング システムの新しいインストール中に自動的に作成されます。
ドライブが 1 つの連続した領域として準備された場合、BitLocker にはブート ファイルを保持するための新しいボリュームが必要です。 BdeHdCfg.exeこれらのボリュームを作成できます。
注
このツールの使用方法の詳細については、「Command-Line リファレンス」の 「Bdehdcfg 」を参照してください。
BitLocker 暗号化は、次の方法で有効にして管理できます。
- BitLocker コントロール パネル
- Windows エクスプローラー
manage-bde.exeコマンド ライン インターフェイス- BitLocker Windows PowerShell コマンドレット
BitLocker コントロール パネルを使用したボリュームの暗号化
BitLocker コントロール パネルを使用してボリュームを暗号化する ( [スタート]、[入力 Bitlocker]、[ BitLocker の管理] の順に選択) は、BitLocker を使用するユーザーの数です。 BitLocker コントロール パネルの名前は BitLocker ドライブ暗号化です。 BitLocker コントロール パネルでは、オペレーティング システム、固定データ、リムーバブル データ ボリュームの暗号化がサポートされています。 BitLocker コントロール パネルは、デバイスが Windows に報告する方法に基づいて、適切なカテゴリで使用可能なドライブを整理します。 BitLocker コントロール パネル アプレットには、ドライブ文字が割り当てられたフォーマットされたボリュームのみが正しく表示されます。
ボリュームの暗号化を開始するには、適切なドライブ の [BitLocker を有効にする ] を選択して 、BitLocker ドライブ暗号化ウィザードを初期化します。 BitLocker ドライブ暗号化ウィザード のオプションは、ボリュームの種類 (オペレーティング システム ボリュームまたはデータ ボリューム) によって異なります。
オペレーティング システム ボリューム
オペレーティング システム ボリュームの場合、 BitLocker ドライブ暗号化ウィザード では、いくつかの操作を実行している間にオプションを求めるいくつかの画面が表示されます。
BitLocker ドライブ暗号化ウィザードが最初に起動すると、コンピューターがオペレーティング システム ボリュームを暗号化するための BitLocker システム要件を満たしていることを確認します。 既定では、システム要件は次のとおりです。
要件 説明 ハードウェア構成 コンピューターは、サポートされている Windows バージョンの最小要件を満たしている必要があります。 オペレーティング システム BitLocker は、Windows Server 2012以降のサーバー マネージャーによってインストールできるオプションの機能です。 ハードウェア TPM TPM バージョン 1.2 または 2.0。
BitLocker には TPM は必要ありません。ただし、TPM を使用するコンピューターのみが、起動前のシステム整合性検証と多要素認証の追加のセキュリティを提供できます。UEFI ファームウェア/BIOS 構成 - トラステッド コンピューティング グループ (TCG) 準拠の BIOS または UEFI ファームウェア。
- ブート順序は、USB ドライブや CD ドライブではなく、ハード ディスクから最初に起動するように設定する必要があります。
- ファームウェアは、起動時に USB フラッシュ ドライブから読み取ることができる必要があります。
ファイル システム システム ドライブ用の 1 つの FAT32 パーティションと、オペレーティング システム ドライブ用の 1 つの NTFS パーティション。 この要件は、UEFI ファームウェアを使用してネイティブに起動するコンピューターに適用されます。
レガシ BIOS ファームウェアを使用するコンピューターの場合は、少なくとも 2 つの NTFS ディスク パーティション (1 つはシステム ドライブ用、もう 1 つはオペレーティング システム ドライブ用)。
どちらのファームウェアの場合も、システム ドライブ パーティションは少なくとも 350 MB (MB) で、アクティブ パーティションとして設定する必要があります。ハードウェアで暗号化されたドライブの前提条件 (省略可能) ハードウェアで暗号化されたドライブをブート ドライブとして使用するには、ドライブが初期化されていない状態で、セキュリティが非アクティブな状態である必要があります。 さらに、システムは常にネイティブ UEFI バージョン 2.3.1 以降で起動し、CSM (ある場合) が無効になっている必要があります。 ボリュームが BitLocker の初期構成に合格しない場合、実行する適切なアクションを説明するエラー ダイアログが表示されます。
初期構成を渡すと、TPM が使用できない場合など、ボリュームのパスワードの入力を求められる場合があります。 TPM が使用可能な場合、パスワード画面はスキップされます。
初期構成/パスワード画面の後に、回復キーが生成されます。 BitLocker ドライブ暗号化ウィザードでは、回復キーを保存する場所の入力を求められます。 BitLocker 回復キーは、暗号化された各ドライブで BitLocker ドライブ暗号化が初めてオンになったときに作成される特別なキーです。 回復キーを使用すると、次の場合にコンピューターにアクセスできます。
- Windows がインストールされているドライブ (オペレーティング システム ドライブ) は、BitLocker ドライブ暗号化を使用して暗号化されます
- BitLocker は、コンピューターの起動時にドライブのロックを解除できないようにする条件を検出します
回復キーを使用して、何らかの理由でパスワードが忘れられたり、コンピューターがドライブにアクセスできない場合は、BitLocker To Go を使用して暗号化されたリムーバブル データ ドライブ (外付けハード ドライブや USB フラッシュ ドライブなど) 上のファイルやフォルダーにアクセスすることもできます。
回復キーは、次の方法で格納できます。
- Azure AD アカウントに保存する (該当する場合)
- USB フラッシュ ドライブに保存する
- ファイルに保存 する - ファイルは、ネットワーク フォルダーや OneDrive などのコンピューター自体にない場所に保存する必要があります
- 回復キーを印刷する
回復キーを次の場所に格納することはできません。
- 暗号化されているドライブ
- リムーバブル/固定ドライブ以外のルート ディレクトリ
- 暗号化されたボリューム
ヒント
理想的には、コンピューターの回復キーは、コンピューター自体とは別に格納する必要があります。
注
回復キーの作成後、BitLocker コントロール パネルを使用して、回復キーの追加コピーを作成できます。
その後、BitLocker ドライブ暗号化ウィザードによって、暗号化するドライブの量が求められます。 BitLocker ドライブ暗号化ウィザードには、暗号化されるドライブの量を決定する 2 つのオプションがあります。
- 使用済みディスク領域のみを暗号化 する - データを含むディスク領域のみを暗号化します。
- ドライブ全体を暗号化 する - 空き領域を含むボリューム全体を暗号化します。 完全なディスク暗号化とも呼ばれます。
各メソッドは、次のシナリオで推奨されます。
使用済みディスク領域のみを暗号化する:
- ドライブにデータが含まれていることはありません
- 以前は暗号化されなかった機密データを持っていないフォーマットまたは消去されたドライブ
ドライブ全体を暗号化 する (ディスク全体の暗号化):
- 現在データを持つドライブ
- 現在オペレーティング システムを持つドライブ
- 以前は暗号化されなかった機密データを含んでいたフォーマットまたは消去されたドライブ
重要
削除されたファイルはファイル システムの空き領域として表示されます。これは、使用された ディスク領域によってのみ暗号化されません。 ワイプまたは上書きされるまで、削除されたファイルには、一般的なデータ フォレンジック ツールで回復できる情報が保持されます。
次に、BitLocker ドライブ暗号化ウィザードによって暗号化モードの入力が求められます。
- 新しい暗号化モード
- 互換性モード
通常 、新しい暗号化モード を選択する必要がありますが、ドライブが古い Windows オペレーティング システムを持つ別のコンピューターに移動される可能性がある場合は、[ 互換性モード] を選択します。
暗号化モードを選択すると、 BitLocker ドライブ暗号化ウィザードによって、[BitLocker システム チェックの実行] オプションを使用して BitLocker システム チェックを実行するオプションが表示されます。 このシステム チェックでは、ボリューム暗号化が開始される前に、BitLocker が回復キーと暗号化キーに適切にアクセスできることを確認します。 暗号化プロセスを開始する前に、このシステム チェックを実行することをお勧めします。 システム チェックが実行されておらず、オペレーティング システムの起動時に問題が発生した場合、ユーザーは Windows を起動するために回復キーを指定する必要があります。
システム チェックが完了すると (選択されている場合)、 BitLocker ドライブ暗号化ウィザード が暗号化を開始します。 暗号化を開始するために再起動が開始される場合があります。 再起動が開始された場合、TPM がなく、パスワードが指定されている場合は、オペレーティング システム ボリュームで起動するためにパスワードを入力する必要があります。
ユーザーは、システム通知領域または BitLocker コントロール パネルを確認することで、暗号化の状態を確認できます。
暗号化が完了するまで、BitLocker を管理するための唯一のオプションは、オペレーティング システム ボリュームの保護、回復キーのバックアップ、BitLocker のオフを行うパスワードの操作です。
データ ボリューム
BitLocker コントロール パネルを使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームの暗号化と同様の方法で動作します。 ユーザーは、BitLocker コントロール パネルで [ BitLocker を有効にする ] を選択して 、BitLocker ドライブ暗号化ウィザードを開始します。
BitLocker ドライブ暗号化ウィザードを起動すると、オペレーティング システム ボリュームとは異なり、BitLocker ドライブ暗号化ウィザードの構成テストに合格するためにデータ ボリュームは必要ありません。
ドライブのロックを解除するための認証方法の選択が表示されます。 使用可能なオプションは次のとおりです。
- パスワードを使用してドライブのロックを解除する
- スマート カードを使用してドライブのロックを解除する
- このコンピューターでこのドライブを自動的にロック解除 する - 既定では無効になっていますが、有効になっている場合、オペレーティング システム ボリュームのロックが解除されると、このオプションはユーザー入力なしでデータ ボリュームのロックを解除します。
BitLocker ドライブ暗号化ウィザードには、回復キーの保存オプションが表示されます。 これらのオプションは、オペレーティング システム ボリュームの場合と同じです。
- Azure AD アカウントに保存する (該当する場合)
- USB フラッシュ ドライブに保存する
- ファイルに保存 する - ファイルは、ネットワーク フォルダーや OneDrive などのコンピューター自体にない場所に保存する必要があります
- 回復キーを印刷する
回復キーを保存すると、 BitLocker ドライブ暗号化ウィザード に、暗号化に使用できるオプションが表示されます。 これらのオプションは、オペレーティング システム ボリュームの場合と同じです。
- 使用済みディスク領域のみを暗号化 する - データを含むディスク領域のみを暗号化します。
- ドライブ全体を暗号化 する - 空き領域を含むボリューム全体を暗号化します。 完全なディスク暗号化とも呼ばれます。
次に、BitLocker ドライブ暗号化ウィザードによって暗号化モードの入力が求められます。
- 新しい暗号化モード
- 互換性モード
通常 、新しい暗号化モード を選択する必要がありますが、ドライブが古い Windows オペレーティング システムを持つ別のコンピューターに移動される可能性がある場合は、[ 互換性モード] を選択します。
BitLocker ドライブ暗号化ウィザードでは、暗号化プロセスが開始される前に最終確認画面が表示されます。 [ 暗号化の開始] を選択すると、 暗号化が開始されます。
暗号化の状態は、通知領域または BitLocker コントロール パネルに表示されます。
OneDrive オプション
OneDrive を使用して BitLocker 回復キーを格納するオプションがあります。 このオプションでは、コンピューターがドメインのメンバーではなく、ユーザーが Microsoft アカウントを使用している必要があります。 ローカル アカウントには、OneDrive を使用するオプションはありません。 OneDrive オプションの使用は、ドメインに参加していないコンピューターに対して推奨される既定の回復キーストレージ方法です。
ユーザーは、OneDrive で BitLocker フォルダーを確認することで、回復キーが正しく保存されているかどうかを確認できます。 OneDrive の BitLocker フォルダーは、保存プロセス中に自動的に作成されます。 フォルダーには、 readme.txt と 回復キーの 2 つのファイルが含まれます。 OneDrive に複数の回復パスワードを格納しているユーザーは、ファイル名を調べることで、必要な回復キーを識別できます。 回復キー ID は、ファイル名の末尾に追加されます。
Windows エクスプローラーでの BitLocker の使用
Windows エクスプローラーを使用すると、ユーザーは、ボリュームを右クリックして [BitLocker をオンにする] を選択することで、BitLocker ドライブ暗号化ウィザードを起動できます。 このオプションは、既定でクライアント コンピューターで使用できます。 サーバーでは、このオプションを使用できるようにするには、BitLocker 機能とDesktop-Experience機能を最初にインストールする必要があります。 [BitLocker をオンにする] を選択すると、ウィザードは BitLocker コントロール パネルを使用して起動したときとまったく同じように動作します。
下位レベルの互換性
次の表は、BitLocker が有効になっていて、別のバージョンの Windows に提示されたシステムの互換性マトリックスを示しています。
表 1: Windows 11、Windows 10、Windows 8.1、Windows 8、および Windows 7 で暗号化されたボリュームの互換性
| 暗号化の種類 | Windows 11、Windows 10、およびWindows 8.1 | Windows 8 | Windows 7 |
|---|---|---|---|
| Windows 8で完全に暗号化 | 完全に暗号化されたものとして表示されます | 該当せず | 完全に暗号化されたものとして表示される |
| Windows 8でのみ暗号化された使用済みディスク領域 | 書き込み時に暗号化として表示されます | 該当せず | 完全に暗号化されたものとして表示される |
| Windows 7 から完全に暗号化されたボリューム | 完全に暗号化されたものとして表示されます | 完全に暗号化されたものとして表示される | 該当せず |
| Windows 7 から部分的に暗号化されたボリューム | Windows 11、Windows 10、およびWindows 8.1は、ポリシーに関係なく暗号化を完了します | ポリシーに関係なく暗号化が完了するWindows 8 | 該当せず |
コマンド ライン インターフェイスを使用した manage-bde.exe ボリュームの暗号化
Manage-bde.exe は、BitLocker 操作のスクリプト作成に使用できるコマンド ライン ユーティリティです。 Manage-bde.exe は、BitLocker コントロール パネルに表示されない追加のオプションを提供します。 オプションの完全な一覧については、「 Manage-bde」を参照してください。
Manage-bde.exe には、BitLocker を構成するための多数の幅広いオプションが用意されています。 コマンド構文を使用するには、注意が必要な場合があります。 たとえば、データ ボリュームでコマンドだけを manage-bde.exe -on 使用すると、認証保護機能なしでボリュームが完全に暗号化されます。 この方法で暗号化されたボリュームでは、コマンドが正常に完了した場合でも、ユーザーの操作で BitLocker 保護を有効にする必要があります。 ボリュームを完全に保護するには、コマンドの実行 manage-bde.exeに加えて、認証方法もボリュームに追加する必要があります。
コマンド ライン ユーザーは、特定の状況に適した構文を決定する必要があります。 次のセクションでは、オペレーティング システム ボリュームとデータ ボリュームの一般的な暗号化について説明します。
オペレーティング システム ボリューム コマンド
オペレーティング システム ボリュームの基本的な有効なコマンドの例を次に示します。 一般に manage-bde.exe -on <drive letter> 、 コマンドのみを使用すると、TPM 専用保護機能と回復キーなしでオペレーティング システム ボリュームが暗号化されます。 ただし、多くの環境では、パスワードや PIN などのより安全な保護機能が必要であり、回復キーを使用して情報を回復できることを期待しています。
ボリュームの状態の決定
を使用 manage-bde.exe する場合は、ターゲット システムのボリュームの状態を判断することをお勧めします。 ボリュームの状態を確認するには、次のコマンドを使用します。
manage-bde.exe -status
このコマンドは、ボリュームごとにターゲット上のボリューム、現在の暗号化状態、ボリュームの種類 (オペレーティング システムまたはデータ) を返します。 この情報を使用して、ユーザーは自分の環境に最適な暗号化方法を決定できます。
TPM なしで BitLocker を有効にする
TPM のないコンピューターで BitLocker が必要であるとします。 このシナリオでは、オペレーティング システム ボリュームのスタートアップ キーとして USB フラッシュ ドライブが必要です。 起動キーを使用すると、コンピューターの起動が許可されます。 を使用してスタートアップ キーを manage-bde.exe作成するには、 オプションを -protectors 指定してスイッチを -startupkey 使用します。 USB フラッシュ ドライブがドライブ文字 E:であると仮定すると、次 manage-bde.exe のコマンドを使用してスタートアップ キーを作成し、BitLocker 暗号化を開始します。
manage-bde.exe -protectors -add C: -startupkey E:
manage-bde.exe -on C:
メッセージが表示されたら、コンピューターを再起動して暗号化プロセスを完了します。
TPM のみで BitLocker を有効にする
を使用 manage-bde.exeして、定義された保護機能なしでオペレーティング システム ボリュームを暗号化できます。 次のコマンドを使用します。
manage-bde.exe -on C:
このコマンドは、TPM を保護機能として使用してドライブを暗号化します。 ユーザーがボリュームの保護機能がわからない場合は、 オプションmanage-bde.exeを-protectors使用して、次のコマンドを実行してこの情報を一覧表示できます。
manage-bde.exe -protectors -get <volume>
2 つの保護機能を使用した BitLocker のプロビジョニング
もう 1 つの例は、パスワードと SID ベースの保護機能をオペレーティング システム ボリュームに追加する TPM 以外のハードウェア上のユーザーです。 このインスタンスでは、ユーザーが最初にプロテクターを追加します。 保護機能の追加は、次のコマンドを使用して行います。
manage-bde.exe -protectors -add C: -pw -sid <user or group>
このコマンドを実行するには、ユーザーがパスワード 保護機能を入力してから、ボリュームに追加する前に確認する必要があります。 ボリュームで保護機能が有効になっている場合、ユーザーは BitLocker をオンにする必要があります。
データ ボリューム コマンド
データ ボリュームは、オペレーティング システム ボリュームと同じ構文を暗号化に使用しますが、操作を完了するために保護機能は必要ありません。 データ ボリュームの暗号化は、基本コマンドを使用して行うことができます。
manage-bde.exe -on <drive letter>
または、ユーザーはボリュームにプロテクターを追加することを選択できます。 少なくとも 1 つのプライマリ 保護機能と回復保護機能をデータ ボリュームに追加することをお勧めします。
パスワードを使用した BitLocker の有効化
データ ボリュームの一般的な保護機能は、パスワード 保護機能です。 次の例では、パスワード 保護機能がボリュームに追加され、BitLocker をオンにします。
manage-bde.exe -protectors -add -pw C:
manage-bde.exe -on C:
BitLocker Windows PowerShell コマンドレットを使用したボリュームの暗号化
Windows PowerShellコマンドレットは、BitLocker を操作する別の方法を提供します。 管理者は、Windows PowerShellのスクリプト機能を使用して、BitLocker オプションを既存のスクリプトに簡単に統合できます。 次の一覧には、使用可能な BitLocker コマンドレットが表示されます。
| Name | パラメーター |
|---|---|
| Add-BitLockerKeyProtector | |
| Backup-BitLockerKeyProtector | |
| Disable-BitLocker | |
| Disable-BitLockerAutoUnlock | |
| Enable-BitLocker | |
| Enable-BitLockerAutoUnlock | |
| Get-BitLockerVolume | |
| Lock-BitLocker | |
| Remove-BitLockerKeyProtector | |
| Resume-BitLocker | |
| Suspend-BitLocker | |
| Unlock-BitLocker |
と同様にmanage-bde.exe、Windows PowerShell コマンドレットを使用すると、コントロール パネルで提供されるオプションを超えた構成が可能になります。 とmanage-bde.exe同様に、ユーザーは、コマンドレットを実行する前に、暗号化するボリュームの特定のニーズWindows PowerShell考慮する必要があります。
適切な最初の手順は、コンピューター上のボリュームの現在の状態を判断することです。 これを行うには、ボリューム PowerShell コマンドレットを Get-BitLocker 使用します。 このコマンドレットからの出力には、ボリュームの種類、保護機能、保護状態、およびその他の有用な情報に関する情報が表示されます。
場合によっては、出力表示に領域がないため 、Get-BitLockerVolume を使用しているときにすべての保護機能が表示されないことがあります。 ボリュームのすべての保護機能が表示されない場合は、Windows PowerShell パイプ コマンド (|) を使用して、保護機能の一覧を書式設定できます。
注
ボリュームに 4 つ以上の保護機能がある場合、パイプ コマンドが表示領域を使い果たすることがあります。 プロテクターが 4 つを超えるボリュームの場合は、以下のセクションで説明するメソッドを使用して、プロテクター ID を持つすべてのプロテクターの一覧を生成します。
Get-BitLockerVolume C: | fl
ボリュームで BitLocker をプロビジョニングする前に既存の保護機能を削除する必要がある場合は、コマンドレットを Remove-BitLockerKeyProtector 使用できます。 このアクションを実行するには、保護機能に関連付けられている GUID を削除する必要があります。
単純なスクリプトは、次に示すように 、Get-BitLockerVolume が返す各値を別の変数にパイプアウトできます。
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
このスクリプトを使用すると、 $keyprotectors 変数の情報を表示して、各保護機能の GUID を決定できます。 この情報を使用すると、コマンドを使用して特定のボリュームのキー 保護機能を削除できます。
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
注
BitLocker コマンドレットを実行するには、キー 保護機能 GUID (引用符で囲まれた) が必要です。 コマンドに GUID 全体 (中かっこ) が含まれていることを確認します。
オペレーティング システム ボリューム PowerShell コマンドレット
BitLocker Windows PowerShell コマンドレットの使用は、オペレーティング システム ボリュームをmanage-bde.exe暗号化するためのツールの操作に似ています。 Windows PowerShellは、ユーザーに柔軟性を提供します。 たとえば、ユーザーは、ボリュームを暗号化するための part コマンドとして目的の保護機能を追加できます。 一般的なユーザー シナリオの例と、Windows PowerShell用の BitLocker コマンドレットを使用して実行する手順を次に示します。
TPM 保護機能だけで BitLocker を有効にするには、次のコマンドを使用します。
Enable-BitLocker C:
次の例では、1 つの追加の保護機能である StartupKey 保護機能を追加し、BitLocker ハードウェア テストをスキップすることを選択します。 この例では、暗号化は再起動を必要とせずにすぐに開始されます。
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
データ ボリューム PowerShell コマンドレット
Windows PowerShellを使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームの場合と同じです。 ボリュームを暗号化する前に、目的の保護機能を追加する必要があります。 次の例では、変数 $pw をパスワードとして使用して、E: ボリュームにパスワード 保護機能を追加します。 $pw変数は、ユーザー定義パスワードを格納する SecureString 値として保持されます。 最後に、暗号化が開始されます。
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Windows PowerShellでの SID ベースの保護機能の使用
ADAccountOrGroup 保護機能は、Active Directory SID ベースの保護機能です。 この保護機能は、オペレーティング システムとデータ ボリュームの両方に追加できますが、プレブート環境ではオペレーティング システム ボリュームのロックを解除しません。 プロテクタでは、ドメイン アカウントまたはグループが保護機能とリンクするための SID が必要です。 BitLocker は、クラスター名オブジェクト (CNO) の SID ベースの保護機能を追加することで、クラスター対応ディスクを保護できます。これにより、ディスクを適切にフェールオーバーし、クラスターの任意のメンバー コンピューターにロックを解除できます。
Warning
SID ベースの保護機能では、オペレーティング システム ボリュームで使用する場合、TPM、PIN、回復キーなどの追加の保護機能を使用する必要があります。
ADAccountOrGroup 保護機能をボリュームに追加するには、ドメイン SID が必要であるか、ドメインと円記号の前に付いたグループ名が必要です。 次の例では、 CONTOSO\Administrator アカウントがデータ ボリューム G に保護機能として追加されています。
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
アカウントまたはグループに SID を使用するユーザーの場合、最初の手順は、アカウントに関連付けられている SID を決定することです。 Windows PowerShellでユーザー アカウントの特定の SID を取得するには、次のコマンドを使用します。
Get-ADUser -filter {samaccountname -eq "administrator"}
注
このコマンドを使用するには、RSAT-AD-PowerShell 機能が必要です。
ヒント
上記のWindows PowerShell コマンドに加えて、ローカルにログオンしているユーザーとグループ のメンバーシップに関する情報は、 WHOAMI /ALLを使用して確認できます。 これには、追加機能を使用する必要はありません。
次の例では、ユーザーは、以前に暗号化されたオペレーティング システム ボリュームにドメイン SID ベースの保護機能を追加します。 ユーザーは、追加するユーザー アカウントまたはグループの SID を認識し、次のコマンドを使用します。
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
注
通常、Active Directory ベースの保護機能は、フェールオーバー クラスターが有効なボリュームのロックを解除するために使用されます。
BitLocker の状態の確認
特定のボリュームの BitLocker 状態を確認するには、管理者は BitLocker コントロール パネル アプレット、Windows エクスプローラー、コマンド ライン ツール、manage-bde.exeまたはWindows PowerShell コマンドレットでドライブの状態を確認できます。 各オプションは、さまざまな詳細レベルと使いやすさを提供します。 次のセクションでは、使用可能な各メソッドについて説明します。
コントロール パネルで BitLocker の状態を確認する
コントロール パネルで BitLocker の状態を確認することは、ほとんどのユーザーが使用する最も一般的な方法です。 開くと、ボリュームの説明とドライブ文字の横に各ボリュームの状態が表示されます。 コントロール パネルで使用可能な状態の戻り値は次のとおりです。
| 状態 | 説明 |
|---|---|
| に | BitLocker がボリュームに対して有効になっている |
| オフ | BitLocker がボリュームに対して有効になっていない |
| Suspended | BitLocker が中断され、ボリュームがアクティブに保護されていない |
| アクティブ化を待機中 | BitLocker は明確な保護機能キーで有効になっており、完全に保護するにはさらなるアクションが必要です |
ドライブが BitLocker で事前にプロビジョニングされている場合は、ボリュームに黄色の感嘆符アイコンが表示され、[アクティブ化を待機中] の状態が表示されます。 この状態は、ボリュームの暗号化時に使用された明確な保護機能のみが存在したことを意味します。 この場合、ボリュームは保護された状態ではなく、ドライブが完全に保護される前に、ボリュームにセキュリティで保護されたキーを追加する必要があります。 管理者は、コントロール パネル、ツール、 manage-bde.exe または WMI API を使用して、適切なキー 保護機能を追加できます。 完了すると、コントロール パネルが更新され、新しい状態が反映されます。
管理者は、コントロール パネルを使用して、[ BitLocker を有効にする ] を選択して BitLocker ドライブ暗号化ウィザードを起動し、オペレーティング システム ボリュームの PIN (TPM がない場合はパスワード) などの保護機能を追加するか、パスワードまたはスマート カード 保護機能をデータ ボリュームに追加できます。 ボリュームの状態を変更する前に、ドライブのセキュリティ ウィンドウが表示されます。 [ BitLocker のアクティブ化] を選択すると、暗号化プロセスが完了します。
BitLocker 保護機能のアクティブ化が完了すると、完了通知が表示されます。
BitLocker の状態を確認する manage-bde.exe
コマンド ライン インターフェイスを使用する管理者は、ボリュームの状態を確認するために利用 manage-bde.exe できます。 Manage-bde は、コントロール パネルのグラフィカル ユーザー インターフェイス ツールよりもボリュームに関する詳細情報を返します。 たとえば、 manage-bde.exe 使用中の BitLocker バージョン、暗号化の種類、ボリュームに関連付けられている保護機能を表示できます。
を使用して manage-bde.exeボリュームの状態を確認するには、次のコマンドを使用します。
manage-bde.exe -status <volume>
注
status コマンドにボリューム文字が関連付けられていない場合、コンピューター上のすべてのボリュームに状態が表示されます。
Windows PowerShellで BitLocker の状態を確認する
Windows PowerShell コマンドを使用すると、ボリュームの BitLocker 状態を照会する別の方法が提供されます。 と同様manage-bde.exeに、Windows PowerShellには、リモート コンピューター上のボリュームの状態を確認できるという利点があります。
Get-BitLockerVolume コマンドレットを使用すると、システム上の各ボリュームに現在の BitLocker 状態が表示されます。 特定のボリュームの詳細な情報を取得するには、次のコマンドを使用します。
Get-BitLockerVolume <volume> -Verbose | fl
このコマンドは、暗号化方法、ボリュームの種類、キー保護機能などの情報を表示します。
オペレーティング システムの展開中の BitLocker のプロビジョニング
管理者は、Windows プレインストール環境からオペレーティング システムを展開する前に BitLocker を有効にすることができます。 オペレーティング システムの展開前に BitLocker を有効にするには、フォーマットされたボリュームにランダムに生成されたクリア キー 保護機能を適用し、Windows セットアップ プロセスを実行する前にボリュームを暗号化します。 このドキュメントで後述する [ 使用済みディスク領域のみ ] オプションを暗号化で使用する場合、この手順は数秒しかかからなくてよく通常のデプロイ プロセスに組み込まれます。
BitLocker ボリュームの暗号化解除
ボリュームの暗号化を解除すると、BitLocker と関連するすべての保護機能がボリュームから削除されます。 暗号化解除は、保護が不要になったときに発生する必要があります。 BitLocker 暗号化解除は、トラブルシューティングの手順として行うべきではありません。 BitLocker コントロール パネル アプレット、または Windows PowerShell コマンドレットを使用して、manage-bde.exeボリュームから BitLocker を削除できます。 以下では、各方法についてさらに説明します。
BitLocker コントロール パネル アプレットを使用したボリュームの暗号化解除
コントロール パネルを使用した BitLocker 復号化は、ウィザードを使用して行われます。 コントロール パネルは、Windows エクスプローラーから呼び出すか、直接開いて呼び出すことができます。 BitLocker コントロール パネルを開くと、ユーザーは [ BitLocker をオフにする ] オプションを選択してプロセスを開始します。 [BitLocker をオフにする] オプションを選択すると、ユーザーは確認ダイアログをクリックして続行することを選択します。 BitLocker をオフにすると、ドライブの暗号化解除プロセスが開始され、状態がコントロール パネルに報告されます。
コントロール パネルでは暗号化解除の進行状況は報告されませんが、タスク バーの通知領域に表示されます。 通知領域アイコンを選択すると、進行状況を示すモーダル ダイアログが開きます。
暗号化解除が完了すると、ドライブはコントロール パネルでその状態を更新し、暗号化に使用できるようになります。
コマンド ライン インターフェイスを使用したボリュームの manage-bde.exe 暗号化解除
を使用した manage-bde.exe ボリュームの暗号化解除は簡単です。 を使用した manage-bde.exe 暗号化解除では、プロセスを開始するためにユーザーの確認を必要としないという利点があります。 Manage-bde では、-off コマンドを使用して暗号化解除プロセスを開始します。 復号化のサンプル コマンドは次のとおりです。
manage-bde.exe -off C:
このコマンドは、ボリュームの暗号化を解除するときに保護機能を無効にし、復号化が完了するとすべての保護機能を削除します。 ユーザーが復号化の状態を確認する場合は、次のコマンドを使用できます。
manage-bde.exe -status C:
BitLocker Windows PowerShell コマンドレットを使用したボリュームの暗号化解除
Windows PowerShell コマンドレットを使用した復号化は、と同様にmanage-bde.exe簡単です。 Windows PowerShellでは、1 回のパスで複数のドライブを復号化できます。 次の例では、ユーザーは暗号化を解除する 3 つの暗号化されたボリュームを持っています。
Disable-BitLocker コマンドを使用すると、より多くのコマンドを必要とせずに、すべての保護機能と暗号化を同時に削除できます。 このコマンドの例を次に示します。
Disable-BitLocker
ユーザーが各マウント ポイントを個別に入力したくない場合、配列で パラメーターを -MountPoint 使用すると、追加のユーザー入力を必要とせずに同じコマンドを 1 行にシーケンスできます。 コマンドの例を次に示します。
Disable-BitLocker -MountPoint E:,F:,G: