BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する

IT プロフェッショナル向けのこの記事では、ツールを使用して BitLocker を管理する方法について説明します。

BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde と repair-bde と、Windows PowerShell用の BitLocker コマンドレットが含まれています。

manage-bde コマンドレットと BitLocker コマンドレットの両方を使用して、BitLocker コントロール パネルを介して実行できる任意のタスクを実行でき、自動展開やその他のスクリプトシナリオに使用するのに適しています。

Repair-bde は、BitLocker で保護されたドライブを正常にロック解除したり、回復コンソールを使用したりできないディザスター リカバリー シナリオ用に提供される特別な状況ツールです。

  1. Manage-bde
  2. Repair-bde
  3. Windows PowerShell 用 BitLocker コマンドレット

Manage-bde

Manage-bde は、BitLocker 操作のスクリプト作成に使用できるコマンド ライン ツールです。 Manage-bde には、BitLocker コントロール パネルに表示されない追加のオプションが用意されています。 オプションの manage-bde.exe 完全な一覧については、「 Manage-bde コマンド ライン リファレンス」を参照してください。

Manage-bde には既定の設定が少なく、BitLocker を構成するためにより大きなカスタマイズが必要です。 たとえば、データ ボリュームでコマンドだけを manage-bde.exe -on 使用すると、認証保護機能なしでボリュームが完全に暗号化されます。 この方法で暗号化されたボリュームでは、認証方法をボリュームに追加して完全に保護する必要があるため、コマンドが正常に完了した場合でも、ユーザー操作で BitLocker 保護を有効にする必要があります。 次のセクションでは、manage-bde の一般的な使用シナリオの例を示します。

オペレーティング システム ボリュームでの manage-bde の使用

オペレーティング システム ボリュームの基本的な有効なコマンドの例を次に示します。 一般に manage-bde.exe -on <drive letter> 、 コマンドのみを使用すると、TPM 専用保護機能と回復キーなしでオペレーティング システム ボリュームが暗号化されます。 ただし、多くの環境では、パスワードや PIN などのより安全な保護機能が必要であり、回復キーを使用して情報を回復する必要があります。 オペレーティング システム ボリュームには、少なくとも 1 つのプライマリ プロテクターと回復保護機能を追加することをお勧めします。

を使用 manage-bde.exe する場合は、ターゲット システムのボリュームの状態を判断することをお勧めします。 ボリュームの状態を確認するには、次のコマンドを使用します。

manage-bde.exe -status

このコマンドは、各ボリュームのターゲット上のボリューム、現在の暗号化状態、暗号化方法、ボリュームの種類 (オペレーティング システムまたはデータ) を返します。

manage-bde を使用して暗号化の状態をチェックします。

次の例では、TPM チップを使用せずにコンピューターで BitLocker を有効にする方法を示します。 暗号化プロセスを開始する前に、BitLocker に必要なスタートアップ キーを作成し、USB ドライブに保存する必要があります。 オペレーティング システム ボリュームに対して BitLocker が有効になっている場合、BitLocker は暗号化キーを取得するために USB フラッシュ ドライブにアクセスする必要があります。 この例では、ドライブ文字 E は USB ドライブを表します。 コマンドを実行すると、コンピューターを再起動して暗号化プロセスを完了するように求められます。

manage-bde.exe -protectors -add C: -startupkey E:
manage-bde.exe -on C:

暗号化が完了したら、オペレーティング システムを起動する前に USB スタートアップ キーを挿入する必要があります。

TPM 以外のハードウェアのスタートアップ キー 保護機能の代わりに、オペレーティング システム ボリュームを保護するためにパスワードと ADaccountorgroup 保護機能を使用します。 このシナリオでは、プロテクターが最初に追加されます。 保護機能を追加するには、次のコマンドを入力します。

manage-bde.exe -protectors -add C: -pw -sid <user or group>

上記のコマンドでは、ボリュームに追加する前にパスワード 保護機能を入力して確認する必要があります。 ボリュームで保護機能を有効にすると、BitLocker をオンにすることができます。

TPM を使用するコンピューターでは、 を使用 manage-bde.exeして保護機能を定義せずにオペレーティング システム ボリュームを暗号化できます。 保護機能を定義せずに TPM を使用してコンピューターで BitLocker を有効にするには、次のコマンドを入力します。

manage-bde.exe -on C:

上記のコマンドは、TPM を既定の保護機能として使用してドライブを暗号化します。 TPM 保護機能が使用可能かどうかを確認する場合は、次のコマンドを実行して、ボリュームで使用可能な保護機能の一覧を一覧表示できます。

 manage-bde.exe -protectors -get <volume>

データ ボリュームでの manage-bde の使用

データ ボリュームは、オペレーティング システム ボリュームと同じ構文を暗号化に使用しますが、操作を完了するために保護機能は必要ありません。 データ ボリュームの暗号化は、基本コマンドを使用して行うことができます。

manage-bde.exe -on <drive letter>

または追加の保護機能を最初にボリュームに追加できます。 少なくとも 1 つのプライマリ プロテクターと回復保護機能をデータ ボリュームに追加することをお勧めします。

データ ボリュームの一般的な保護機能は、パスワード 保護機能です。 次の例では、パスワード 保護機能がボリュームに追加され、BitLocker がオンになっています。

manage-bde.exe -protectors -add -pw C:
manage-bde.exe -on C:

Repair-bde

BitLocker が重要な情報を格納するハード ディスク領域は、ハード ディスクが失敗した場合や Windows が予期せず終了した場合など、破損する可能性があります。

BitLocker 修復ツール (Repair-bde) を使用すると、ドライブが BitLocker で暗号化されている場合、深刻な損傷を受けたハード ディスク上の暗号化されたデータにアクセスできます。 Repair-bde は、有効な回復パスワードまたは回復キーを使用してデータの暗号化を解除する限り、ドライブの重要な部分を再構築し、回復可能なデータを復旧できます。 ドライブ上の BitLocker メタデータ データが破損している場合は、回復パスワードまたは回復キーに加えてバックアップ キー パッケージを指定する必要があります。 AD DS バックアップの既定の設定が使用されている場合、このキー パッケージは Active Directory Domain Services (AD DS) にバックアップされます。 このキー パッケージと回復パスワードまたは回復キーを使用すると、破損した BitLocker で保護されたドライブの一部を復号化できます。 各キー パッケージは、対応するドライブ識別子を持つドライブに対してのみ機能します。 BitLocker 回復パスワード ビューアーを使用して、AD DS からこのキー パッケージを取得できます。

ヒント

回復情報が AD DS にバックアップされていない場合、またはキー パッケージを別の方法で保存する必要がある場合は、次のコマンドを実行します。

manage-bde.exe -KeyPackage

を使用して、ボリュームのキー パッケージを生成できます。

Repair-bde コマンド ライン ツールは、オペレーティング システムが起動しない場合、または BitLocker 回復コンソールを起動できない場合に使用することを目的としています。 次の条件に該当する場合は、Repair-bde を使用します。

  • ドライブは BitLocker ドライブ暗号化を使用して暗号化されています。

  • Windows が起動しないか、BitLocker 回復コンソールを起動できません。

  • 暗号化されたドライブに含まれるデータのバックアップ コピーはありません。

ドライブの損傷は BitLocker に関連していない可能性があります。 そのため、BitLocker 修復ツールを使用する前に、ドライブの問題の診断と解決に役立つ他のツールを試してみることをおすすめします。 Windows Recovery Environment (Windows RE) には、コンピューターを修復するための追加のオプションが用意されています。

Repair-bde には次の制限があります。

  • Repair-bde コマンド ライン ツールは、暗号化または暗号化解除プロセス中に失敗したドライブを修復できません。

  • Repair-bde コマンド ライン ツールは、ドライブに暗号化がある場合、ドライブが完全に暗号化されていることを前提としています。

repair-bde の使用の詳細については、「 Repair-bde」を参照してください。

Windows PowerShell 用 BitLocker コマンドレット

Windows PowerShellコマンドレットは、管理者が BitLocker を操作するときに使用する新しい方法を提供します。 管理者は、Windows PowerShellのスクリプト機能を使用して、BitLocker オプションを既存のスクリプトに簡単に統合できます。 次の一覧には、使用可能な BitLocker コマンドレットが表示されます。

名前 パラメーター
Add-BitLockerKeyProtector
  • ADAccountOrGroup
  • ADAccountOrGroupProtector
  • 確認
  • MountPoint
  • パスワード
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • サービス
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • Whatif
    		•
    Backup-BitLockerKeyProtector
  • 確認
  • KeyProtectorId
  • MountPoint
  • Whatif
    		•
    Disable-BitLocker
  • 確認
  • MountPoint
  • Whatif
    		•
    Disable-BitLockerAutoUnlock
  • 確認
  • MountPoint
  • Whatif
    		•
    Enable-BitLocker
  • AdAccountOrGroup
  • AdAccountOrGroupProtector
  • 確認
  • EncryptionMethod
  • HardwareEncryption
  • パスワード
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • サービス
  • SkipHardwareTest
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • UsedSpaceOnly
  • Whatif
    		•
    Enable-BitLockerAutoUnlock
  • 確認
  • MountPoint
  • Whatif
    		•
    Get-BitLockerVolume
  • MountPoint
    		•
    Lock-BitLocker
  • 確認
  • ForceDismount
  • MountPoint
  • Whatif
    		•
    Remove-BitLockerKeyProtector
  • 確認
  • KeyProtectorId
  • MountPoint
  • Whatif
    		•
    Resume-BitLocker
  • 確認
  • MountPoint
  • Whatif
    		•
    Suspend-BitLocker
  • 確認
  • MountPoint
  • RebootCount
  • Whatif
    		•
    Unlock-BitLocker
  • AdAccountOrGroup
  • 確認
  • MountPoint
  • パスワード
  • RecoveryKeyPath
  • RecoveryPassword
  • RecoveryPassword
  • Whatif
    		•

    manage-bde と同様に、Windows PowerShell コマンドレットを使用すると、コントロール パネルで提供されるオプションを超えた構成が可能になります。 manage-bde と同様に、ユーザーは、Windows PowerShell コマンドレットを実行する前に、暗号化するボリュームの特定のニーズを考慮する必要があります。

    適切な最初の手順は、コンピューター上のボリュームの現在の状態を判断することです。 ボリュームの現在の状態の決定は、 コマンドレットを Get-BitLockerVolume 使用して行うことができます。

    コマンドレットの出力は Get-BitLockerVolume 、ボリュームの種類、保護機能、保護状態、およびその他の詳細に関する情報を提供します。

    ヒント

    場合によっては、出力ディスプレイにスペースがないため、使用 Get-BitLockerVolume 時にすべての保護機能が表示されないことがあります。 ボリュームのすべての保護機能が表示されない場合は、Windows PowerShell パイプ コマンド (|) を使用して、保護機能の完全な一覧を書式設定します。

    Get-BitLockerVolume C: | fl

    ボリュームで BitLocker をプロビジョニングする前に既存の保護機能を削除するには、 コマンドレットを使用します Remove-BitLockerKeyProtector 。 このコマンドレットを実行するには、保護機能に関連付けられている GUID を削除する必要があります。

    単純なスクリプトでは、次に示すように、各Get-BitLockerVolumeの値を別の変数にパイプ処理できます。

    $vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

    このスクリプトを使用すると、$keyprotectors変数の情報を表示して、各保護機能の GUID を決定できます。

    この情報を使用すると、コマンドを使用して特定のボリュームのキー 保護機能を削除できます。

    Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

    BitLocker コマンドレットを実行するには、キー プロテクター GUID を引用符で囲む必要があります。 コマンドに GUID 全体 (中かっこ) が含まれていることを確認します。

    オペレーティング システム ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

    BitLocker Windows PowerShell コマンドレットの使用は、オペレーティング システム ボリュームを暗号化するための manage-bde ツールの操作に似ています。 Windows PowerShellは、ユーザーに柔軟性を提供します。 たとえば、ユーザーはボリュームを暗号化するための part コマンドとして目的の保護機能を追加できます。 一般的なユーザー シナリオの例と、BitLocker Windows PowerShellで実行する手順を次に示します。

    次の例は、TPM プロテクターのみを使用してオペレーティング システム ドライブで BitLocker を有効にする方法を示しています。

    Enable-BitLocker C:

    次の例では、1 つの追加の保護機能である StartupKey 保護機能を追加し、BitLocker ハードウェア テストをスキップすることを選択します。 この例では、暗号化は再起動を必要とせずにすぐに開始されます。

    Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

    データ ボリュームでの BitLocker Windows PowerShell コマンドレットの使用

    Windows PowerShellを使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームの場合と同じです。 ボリュームを暗号化する前に、目的の保護機能を追加します。 次の例では、変数 $pw をパスワードとして使用して、E: ボリュームにパスワード 保護機能を追加します。 $pw変数は、ユーザー定義パスワードを格納する SecureString 値として保持されます。

    $pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

    Windows PowerShellでの AD アカウントまたはグループ 保護機能の使用

    Windows 8およびWindows Server 2012で導入された ADAccountOrGroup 保護機能は、Active Directory SID ベースの保護機能です。 この保護機能は、オペレーティング システムとデータ ボリュームの両方に追加できますが、プレブート環境ではオペレーティング システム ボリュームのロックを解除しません。 プロテクタでは、ドメイン アカウントまたはグループが保護機能とリンクするための SID が必要です。 BitLocker は、クラスター名オブジェクト (CNO) の SID ベースの保護機能を追加することで、クラスター対応ディスクを保護できます。これにより、ディスクはクラスターのメンバー コンピューターに適切にフェールオーバーされ、ロック解除されます。

    Warning

    ADAccountOrGroup 保護機能では、オペレーティング システム ボリュームで使用する場合に使用する追加の保護機能 (TPM、PIN、回復キーなど) を使用する必要があります

    ADAccountOrGroup 保護機能をボリュームに追加するには、実際のドメイン SID またはドメインと円記号の前に付いたグループ名を使用します。 次の例では、CONTOSO\Administrator アカウントがデータ ボリューム G に保護機能として追加されています。

    Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

    アカウントまたはグループに SID を使用するユーザーの場合、最初の手順は、アカウントに関連付けられている SID を決定することです。 Windows PowerShellでユーザー アカウントの特定の SID を取得するには、次のコマンドを使用します。

    このコマンドを使用するには、RSAT-AD-PowerShell 機能が必要です。

    get-aduser -filter {samaccountname -eq "administrator"}

    ヒント

    上記の PowerShell コマンドに加えて、ローカルにログオンしているユーザーおよびグループ メンバーシップに関する情報は、WHOAMI /ALL を使用して確認できます。 これには、追加機能を使用する必要はありません。

    次の例では、アカウントの SID を使用して、以前に暗号化されたオペレーティング システム ボリュームに ADAccountOrGroup 保護機能を追加します。

    Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

    通常、Active Directory ベースの保護機能は、フェールオーバー クラスターが有効なボリュームのロックを解除するために使用されます。