BitLocker 設定リファレンス

適用対象: Configuration Manager (現在のブランチ)

Configuration Managerの BitLocker 管理ポリシーには、次のポリシー グループが含まれています。

  • セットアップ
  • オペレーティング システム ドライブ
  • 固定ドライブ
  • リムーバブル ドライブ
  • クライアント管理

次のセクションでは、各グループの設定の構成について説明し、提案します。

セットアップ

このページの設定では、グローバル BitLocker 暗号化オプションを構成します。

ドライブの暗号化方法と暗号の強度

推奨される構成: 既定以上の暗号化方法で 有効になります

注意

[セットアップ のプロパティ] ページには、さまざまなバージョンのWindowsの設定の 2 つのグループが含まれています。 このセクションでは、両方について説明します。

Windows 8.1 デバイス

Windows 8.1 デバイスの場合は、ドライブ暗号化方法と暗号強度 のオプションを有効にし、次のいずれかの暗号化方法を選択します。

  • 拡散器を使用した AES 128 ビット
  • 拡散器を使用した AES 256 ビット
  • AES 128 ビット (既定値)
  • AES 256 ビット

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBLEncryptionMethodPolicy」を参照してください。

Windows 10 以降のデバイス

Windows 10 以降のデバイスの場合は、ドライブ暗号化方法と暗号強度 (Windows 10 以降) のオプションを有効にします。 次に、OS ドライブ、固定データ ドライブ、およびリムーバブル データ ドライブに対して、次のいずれかの暗号化方法を個別に選択します。

  • AES-CBC 128 ビット
  • AES-CBC 256 ビット
  • XTS-AES 128 ビット (既定値)
  • XTS-AES 256 ビット

ヒント

BitLocker では、128 ビットまたは 256 ビットの構成可能なキー長を持つ暗号化アルゴリズムとして Advanced Encryption Standard (AES) が使用されます。 Windows 10 以降のデバイスでは、AES 暗号化は暗号ブロック チェーン (CBC) または暗号テキスト 盗用 (XTS) をサポートします。

Windows 10を実行していないデバイスでリムーバブル ドライブを使用する必要がある場合は、AES-CBC を使用します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBLEncryptionMethodWithXts」を参照してください。

ドライブの暗号化と暗号の強度に関する一般的な使用上の注意事項

  • これらの設定を無効にするか、構成しない場合、BitLocker は既定の暗号化方法を使用します。

  • Configuration Manager BitLocker を有効にすると、これらの設定が適用されます。

  • ドライブが既に暗号化されているか進行中の場合、これらのポリシー設定を変更しても、デバイスのドライブの暗号化は変更されません。

  • 既定値を使用すると、BitLocker コンピューター コンプライアンス レポートに暗号強度が 不明 と表示されることがあります。 この問題を回避するには、この設定を有効にし、暗号強度の明示的な値を設定します。

再起動時にメモリの上書きを防止する

推奨される構成: 未構成

再起動時にメモリ内の BitLocker シークレットを上書きせずに再起動パフォーマンスを向上させるには、このポリシーを構成します。

このポリシーを構成しないと、BitLocker はコンピューターの再起動時にメモリからシークレットを削除します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMNoOverwritePolicy」を参照してください。

スマート カード証明書の使用規則のコンプライアンスを検証する

推奨される構成: 未構成

スマートカード証明書ベースの BitLocker 保護を使用するようにこのポリシーを構成します。 次に、証明書 オブジェクト識別子 を指定します。

このポリシーを構成しない場合、BitLocker は既定のオブジェクト識別子 1.3.6.1.4.1.311.67.1.1 を使用して証明書を指定します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMScCompliancePolicy」を参照してください。

組織固有の識別子

推奨される構成: 未構成

証明書ベースのデータ復旧エージェントまたは BitLocker To Go リーダーを使用するように、このポリシーを構成します。

このポリシーを構成しない場合、BitLocker は [識別] フィールドを使用しません。

組織で高いセキュリティ測定値が必要な場合は、[ 識別] フィールドを構成します。 対象となるすべての USB デバイスでこのフィールドを設定し、この設定に合わせます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUidPolicy」を参照してください。

OS ドライブ

このページの設定では、Windowsがインストールされているドライブの暗号化設定を構成します。

オペレーティング システム ドライブの暗号化設定

推奨される構成: 有効

この設定を有効にした場合、ユーザーは OS ドライブを保護する必要があり、BitLocker はドライブを暗号化します。 無効にすると、ユーザーはドライブを保護できません。 このポリシーを構成しない場合、OS ドライブでは BitLocker 保護は必要ありません。

注意

ドライブが既に暗号化されていて、この設定を無効にすると、BitLocker によってドライブが暗号化解除されます。

トラステッド プラットフォーム モジュール (TPM) のないデバイスがある場合は、互換性のある TPM を使用せずに BitLocker を許可する (パスワードが必要) オプションを 使用します。 この設定により、デバイスに TPM がない場合でも、BitLocker は OS ドライブを暗号化できます。 このオプションを許可すると、Windowsユーザーに BitLocker パスワードの指定を求めるメッセージが表示されます。

互換性のある TPM を搭載したデバイスでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータに対する保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を要求することもできます。 以下の設定を構成します。

  • オペレーティング システム ドライブの保護機能を選択 する: TPM と PIN、または TPM のみを使用するように構成します。

  • スタートアップ用の最小 PIN 長を構成 する: PIN が必要な場合、この値はユーザーが指定できる最短の長さです。 ユーザーは、コンピューターが起動してドライブのロックを解除するときに、この PIN を入力します。 既定では、PIN の最小長は 4.

ヒント

セキュリティを強化するために、TPM + PIN 保護機能を使用してデバイスを有効にする場合は、SystemPower > ManagementSleep > 設定で次のグループ ポリシー設定を 無効に することを検討してください。

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)

  • スリープ時にスタンバイ状態を許可する (S1-S3) (バッテリ使用時)

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSOSDEncryptionPolicy」を参照してください。

拡張スタートアップ PIN を許可する

推奨される構成: 未構成

強化されたスタートアップ PIN を使用するように BitLocker を構成します。 これらの PIN を使用すると、大文字と小文字、記号、数字、スペースなど、より多くの文字を使用できます。 この設定は、BitLocker を有効にするときに適用されます。

重要

すべてのコンピューターが、起動前環境で拡張 PIN をサポートできるわけではありません。 その使用を有効にする前に、デバイスがこの機能と互換性があるかどうかを評価します。

この設定を有効にすると、すべての新しい BitLocker スタートアップ PIN で、ユーザーは拡張 PIN を作成できます。

  • ASCII 専用 PIN を必要とする: 拡張 PIN を、起動前の環境で入力できる文字の種類または文字数を制限するコンピューターとの互換性を高めるのに役立ちます。

このポリシー設定を無効にした場合、または構成しない場合、BitLocker では拡張 PIN は使用されません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMEnhancedPIN」を参照してください。

オペレーティング システム ドライブのパスワード ポリシー

推奨される構成: 未構成

これらの設定を使用して、BitLocker で保護された OS ドライブのロックを解除するためのパスワードの制約を設定します。 OS ドライブで TPM 以外の保護機能を許可する場合は、次の設定を構成します。

  • オペレーティング システム ドライブのパスワードの複雑さを構成 する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • オペレーティング システム ドライブの最小パスワード長: 既定では、最小長は 8.

  • リムーバブル OS ドライブに ASCII 専用のパスワードを要求する

このポリシー設定を有効にした場合、ユーザーは定義した要件を満たすパスワードを構成できます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMOSPassphrase」を参照してください。

OS ドライブパスワード ポリシーの一般的な使用上の注意

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定のパスワードが コンピューターの構成 > Windows 設定****Security 設定 > > Account PoliciesPassword > ポリシー複雑さの要件を満たす必要があります も有効にします。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにすると、これらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

BitLocker 回復後にプラットフォーム検証データをリセットする

推奨される構成: 未構成

BitLocker の回復後Windows起動時にプラットフォーム検証データを更新するかどうかを制御します。

この設定を有効にした場合、または構成していない場合は、この状況でプラットフォーム検証データを更新Windows。

このポリシー設定を無効にした場合、この状況Windowsプラットフォーム検証データは更新されません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMTpmAutoResealPolicy」を参照してください。

起動前の回復メッセージと URL

推奨される構成: 未構成

BitLocker で OS ドライブがロックされている場合は、この設定を使用して、起動前の BitLocker 回復画面にカスタム回復メッセージまたは URL を表示します。 この設定は、Windows 10 以降のデバイスにのみ適用されます。

この設定を有効にするときは、起動前の回復メッセージに対して次のいずれかのオプションを選択します。

  • 既定の回復メッセージと URL を使用 する: 起動前の BitLocker 回復画面に既定の BitLocker 回復メッセージと URL を表示します。 カスタムの回復メッセージまたは URL を以前に構成した場合は、このオプションを使用して既定のメッセージに戻します。

  • カスタム回復メッセージを使用 する: 起動前の BitLocker 回復画面にカスタム メッセージを含めます。

    • カスタム回復メッセージ オプション: 表示するカスタム メッセージを入力します。 復旧 URL も指定する場合は、このカスタム回復メッセージの一部として含めます。 文字列の最大長は 32,768 文字です。
  • カスタム回復 URL を使用する: 起動前の BitLocker 回復画面に表示される既定の URL を置き換えます。

    • カスタム復旧 URL オプション: 表示する URL を入力します。 文字列の最大長は 32,768 文字です。

注意

すべての文字と言語がプレブートでサポートされているわけではありません。 まず、カスタム メッセージまたは URL をテストして、起動前の BitLocker 回復画面に正しく表示されていることを確認します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMPrebootRecoveryInfo」を参照してください。

暗号化ポリシーの適用設定 (OS ドライブ)

推奨される構成: 有効

ユーザーが OS ドライブの BitLocker コンプライアンスを延期できる日数を構成します。 非準拠猶予期間 は、Configuration Managerが最初に非準拠として検出したときに開始されます。 この猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。

暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を入力するまで閉じることができないWindowsにダイアログ ボックスが表示されます。 エラーまたは状態に関する今後の通知には、この制限はありません。

BitLocker で保護機能を追加するためにユーザー操作が必要ない場合は、猶予期間が切れた後、BitLocker はバックグラウンドで暗号化を開始します。

この設定を無効にした場合、または構成しない場合、Configuration Managerユーザーが BitLocker ポリシーに準拠する必要はありません。

ポリシーをすぐに適用するには、猶予期間 0を .

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUseOsEnforcePolicy」を参照してください。

固定ドライブ

このページの設定では、デバイス内の他のデータ ドライブの暗号化を構成します。

固定データ ドライブの暗号化

推奨される構成: 有効

固定データ ドライブの暗号化に関する要件を管理します。 この設定を有効にした場合、BitLocker では、すべての固定データ ドライブを保護下に置く必要があります。 その後、データ ドライブが暗号化されます。

このポリシーを有効にする場合は、自動ロック解除を有効にするか、 固定データ ドライブのパスワード ポリシー の設定を有効にします。

  • 固定データ ドライブの自動ロック解除を構成する: BitLocker が暗号化されたデータ ドライブのロックを自動的に解除することを許可または要求します。 自動ロック解除を使用するには、 OS ドライブを暗号化するために BitLocker も必要です。

この設定を構成しない場合、BitLocker では、固定データ ドライブを保護下に置く必要はありません。

この設定を無効にした場合、ユーザーは BitLocker 保護の下に固定データ ドライブを配置できません。 BitLocker が固定データ ドライブを暗号化した後にこのポリシーを無効にすると、BitLocker によって固定データ ドライブが暗号化解除されます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSFDVEncryptionPolicy」を参照してください。

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する

推奨される構成: 未構成

デバイス上の固定ドライブにデータを書き込むには、Windowsの BitLocker 保護が必要です。 BitLocker を有効にすると、このポリシーが適用されます。

この設定を有効にすると、次のようになります。

  • BitLocker が固定データ ドライブを保護する場合、Windows読み取りおよび書き込みアクセスを使用してマウントします。

  • BitLocker が保護しない固定データ ドライブの場合は、読み取り専用としてマウントWindows。

この設定を構成しないと、すべての固定データ ドライブが読み取りおよび書き込みアクセスでマウントWindows。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMFDVDenyWriteAccessPolicy」を参照してください。

データ ドライブのパスワード ポリシーを修正しました

推奨される構成: 未構成

これらの設定を使用して、BitLocker で保護された固定データ ドライブのロックを解除するためのパスワードの制約を設定します。

この設定を有効にした場合、ユーザーは定義された要件を満たすパスワードを構成できます。

セキュリティを強化するには、この設定を有効にし、次の設定を構成します。

  • 固定データ ドライブにパスワードを要求 する: BitLocker で保護された固定データ ドライブのロックを解除するには、パスワードを指定する必要があります。

  • 固定データ ドライブのパスワードの複雑さを構成 する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • 固定データ ドライブの最小パスワード長: 既定では、最小長は 8.

この設定を無効にすると、ユーザーはパスワードを構成できません。

ポリシーが構成されていない場合、BitLocker は既定の設定でパスワードをサポートします。 既定の設定には、パスワードの複雑さの要件は含まれていません。また、必要な文字は 8 文字のみです。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMFDVPassPhrasePolicy」を参照してください。

固定データ ドライブのパスワード ポリシーに関する一般的な使用上の注意

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定のパスワードが コンピューターの構成 > Windows 設定****Security 設定 > > Account PoliciesPassword > ポリシー複雑さの要件を満たす必要があります も有効にします。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにすると、これらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

暗号化ポリシーの適用設定 (固定データ ドライブ)

推奨される構成: 有効

ユーザーが固定データ ドライブの BitLocker コンプライアンスを延期できる日数を構成します。 非準拠猶予期間 は、Configuration Managerが最初に固定データ ドライブを非準拠として検出したときに開始されます。 OS ドライブが準拠するまで、固定データ ドライブ ポリシーは適用されません。 猶予期間が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。

暗号化プロセスでユーザー入力が必要な場合は、ユーザーが必要な情報を入力するまで閉じることができないWindowsにダイアログ ボックスが表示されます。 エラーまたは状態に関する今後の通知には、この制限はありません。

BitLocker で保護機能を追加するためにユーザー操作が必要ない場合は、猶予期間が切れた後、BitLocker はバックグラウンドで暗号化を開始します。

この設定を無効にした場合、または構成しない場合、Configuration Managerユーザーが BitLocker ポリシーに準拠する必要はありません。

ポリシーをすぐに適用するには、猶予期間 0を .

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUseFddEnforcePolicy」を参照してください。

リムーバブル ドライブ

このページの設定では、USB キーなどのリムーバブル ドライブの暗号化を構成します。

リムーバブル データ ドライブの暗号化

推奨される構成: 有効

この設定は、リムーバブル ドライブでの BitLocker の使用を制御します。

  • ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用 できるようにする: ユーザーは、リムーバブル ドライブの BitLocker 保護を有効にすることができます。

  • ユーザーがリムーバブル データ ドライブで BitLocker を一時停止および復号化 できるようにする: ユーザーは、リムーバブル ドライブから BitLocker ドライブの暗号化を削除または一時的に中断できます。

この設定を有効にし、ユーザーに BitLocker 保護の適用を許可すると、Configuration Manager クライアントはリムーバブル ドライブに関する回復情報を管理ポイントの復旧サービスに保存します。 この動作により、ユーザーは保護機能 (パスワード) を忘れた場合や紛失した場合にドライブを回復できます。

この設定を有効にすると、次のようになります。

  • リムーバブル データ ドライブのパスワード ポリシー の設定を有効にする

  • SystemRemovable > Storage Access の両方のユーザー&コンピューター構成で、次のグループ ポリシー設定を 無効にします

    • すべてのリムーバブル ストレージ クラス: すべてのアクセスを拒否する
    • リムーバブル ディスク: 書き込みアクセスを拒否する
    • リムーバブル ディスク: 読み取りアクセスを拒否する

この設定を無効にした場合、ユーザーはリムーバブル ドライブで BitLocker を使用できません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVConfigureBDEPolicy」を参照してください。

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

推奨される構成: 未構成

デバイス上のリムーバブル ドライブにデータを書き込むには、Windowsの BitLocker 保護が必要です。 BitLocker を有効にすると、このポリシーが適用されます。

この設定を有効にすると、次のようになります。

  • BitLocker がリムーバブル ドライブを保護する場合、Windows読み取りおよび書き込みアクセス権を使用してマウントします。

  • BitLocker で保護されていないリムーバブル ドライブの場合は、読み取り専用としてマウントWindows。

  • 別の組織で構成されているデバイスへの書き込みアクセスを拒否 するオプションを有効にした場合、BitLocker では、許可された識別フィールドと一致する識別フィールドを持つリムーバブル ドライブへの書き込みアクセスのみが許可されます。 [セットアップ] ページの [組織の一意識別子] グローバル設定を使用して、これらのフィールドを定義します。

この設定を無効にするか、構成しない場合、Windows読み取りおよび書き込みアクセス権を持つすべてのリムーバブル ドライブがマウントされます。

注意

この設定は、SystemRemovable > Storage Access のグループ ポリシー設定でオーバーライドできます。 グループ ポリシー設定 [リムーバブル ディスク: 書き込みアクセスを拒否する] を有効にした場合、BitLocker はこのConfiguration Manager設定を無視します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVDenyWriteAccessPolicy」を参照してください。

リムーバブル データ ドライブのパスワード ポリシー

推奨される構成: 有効

これらの設定を使用して、BitLocker で保護されたリムーバブル ドライブのロックを解除するためのパスワードの制約を設定します。

この設定を有効にした場合、ユーザーは定義された要件を満たすパスワードを構成できます。

セキュリティを強化するには、この設定を有効にし、次の設定を構成します。

  • リムーバブル データ ドライブにパスワードを要求 する: BitLocker で保護されたリムーバブル ドライブのロックを解除するには、パスワードを指定する必要があります。

  • リムーバブル データ ドライブのパスワードの複雑さを構成 する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • リムーバブル データ ドライブの最小パスワード長: 既定では、最小の長さは 8.

この設定を無効にすると、ユーザーはパスワードを構成できません。

ポリシーが構成されていない場合、BitLocker は既定の設定でパスワードをサポートします。 既定の設定には、パスワードの複雑さの要件は含まれていません。また、必要な文字は 8 文字のみです。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVPassPhrasePolicy」を参照してください。

リムーバブル データ ドライブのパスワード ポリシーに関する一般的な使用上の注意事項

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定のパスワードが コンピューターの構成 > Windows 設定****Security 設定 > > Account PoliciesPassword > ポリシー複雑さの要件を満たす必要があります も有効にします。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにすると、これらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能な保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

クライアント管理

このページの設定では、BitLocker 管理サービスとクライアントを構成します。

BitLocker 管理サービス

推奨される構成: 有効

この設定を有効にすると、Configuration Manager自動的に、サイト データベース内の重要な回復情報が自動的に自動的にバックアップされます。 この設定を無効にした場合、または構成していない場合、Configuration Managerキー回復情報は保存されません。

  • 保存する BitLocker 回復情報を選択 します。BitLocker 回復情報をバックアップするようにキー回復サービスを構成します。 これは、BitLocker によって暗号化されたデータを回復する管理方法を提供します。これは、キー情報がないためにデータが失われるのを防ぐのに役立ちます。

  • 回復情報をプレーンテキストで保存できるようにする: SQL Server用の BitLocker 管理暗号化証明書がない場合、Configuration Managerキー回復情報をプレーンテキストで格納します。 詳細については、「 データベース内の復旧データを暗号化する」を参照してください

  • クライアントの状態の確認頻度 (分): 構成された頻度で、クライアントはコンピューター上の BitLocker 保護ポリシーと状態をチェックし、クライアント回復キーもバックアップします。 既定では、Configuration Manager クライアントは 90 分ごとに BitLocker の状態を確認します。

    重要

    この値を 60 未満に設定しないでください。 頻度の値が小さいと、クライアントが不正確なコンプライアンス状態を簡単に報告する可能性があります。

Windows PowerShellを使用してこれらのポリシーを作成する方法の詳細については、次を参照してください。

ユーザー除外ポリシー

推奨される構成: 未構成

ユーザーが BitLocker 暗号化の除外を要求するための連絡先メソッドを構成します。

このポリシー設定を有効にする場合は、次の情報を入力します。

  • 延期する最大日数: ユーザーが適用されたポリシーを延期できる日数。 既定では、この値は 7 日 (1 週間) です。

  • 連絡先の方法: ユーザーが除外を要求する方法 (URL、電子メール アドレス、電話番号) を指定します。

  • 連絡先: URL、電子メール アドレス、または電話番号を指定します。 ユーザーが BitLocker 保護の除外を要求すると、Windowsダイアログ ボックスが表示され、適用方法が示されます。 Configuration Manager入力した情報は検証されません。

    • URL: 標準の URL 形式 https://website.domain.tldを使用します。. Windows URL がハイパーリンクとして表示されます。

    • 電子メール アドレス: 標準の電子メール アドレス形式を user@domain.tld使用します。. Windowsアドレスは、次のハイパーリンクmailto:user@domain.tld?subject=Request exemption from BitLocker protectionとして表示されます。

    • 電話番号: ユーザーが呼び出す番号を指定します。 Windows次の説明Please call <your number> for applying exemptionを含む数値が表示されます。

この設定を無効にした場合、または構成していない場合、Windowsユーザーに対する除外要求の指示は表示されません。

注意

BitLocker は、コンピューターごとではなく、ユーザーごとの除外を管理します。 複数のユーザーが同じコンピューターにサインインし、1 人のユーザーが除外されない場合、BitLocker はコンピューターを暗号化します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSUserExemptionPolicy」を参照してください。

推奨される構成: 有効

Windowsの 会社のセキュリティ ポリシー としてユーザーに表示する URL を指定します。 このリンクを使用して、暗号化要件に関する情報をユーザーに提供します。 BitLocker がユーザーにドライブの暗号化を求めるメッセージを表示します。

この設定を有効にする場合は、 セキュリティ ポリシーのリンク URL を構成します

この設定を無効にした場合、または構成していない場合、BitLocker にはセキュリティ ポリシーのリンクは表示されません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMMoreInfoUrlPolicy」を参照してください。

次の手順

Windows PowerShellを使用してこれらのポリシー オブジェクトを作成する場合は、New-CMBlmSetting コマンドレットを使用します。 このコマンドレットは、指定されたすべてのポリシーを含む BitLocker 管理ポリシー設定オブジェクトを作成します。 ポリシー設定をコレクションに展開するには、 New-CMSettingDeployment コマンドレットを 使用します。