次の方法で共有


BitLocker 設定リファレンス

Configuration Manager (現在のブランチ) に適用

Configuration Managerの BitLocker 管理ポリシーには、次のポリシー グループが含まれています。

  • セットアップ
  • オペレーティング システム ドライブ
  • 固定ドライブ
  • リムーバブル ドライブ
  • クライアント管理

次のセクションでは、各グループの設定の構成について説明し、推奨します。

セットアップ

このページの設定では、グローバル BitLocker 暗号化オプションを構成します。

ドライブ暗号化方法と暗号強度

推奨される構成: 既定以上の暗号化方法で 有効になっています

注:

[セットアップ のプロパティ] ページには、Windows の異なるバージョンの 2 つの設定グループが含まれています。 このセクションでは、両方について説明します。

Windows 8.1 デバイス

Windows 8.1デバイスの場合は、[ドライブ暗号化方法] と [暗号強度] のオプションを有効にし、次のいずれかの暗号化方法を選択します。

  • ディフューザー付き AES 128 ビット
  • ディフューザー付きAES 256ビット
  • AES 128 ビット (既定値)
  • AES 256 ビット

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBLEncryptionMethodPolicy」を参照してください。

Windows 10 以降のデバイス

Windows 10以降のデバイスの場合は、ドライブ暗号化方法と暗号強度 (Windows 10 以降) のオプションを有効にします。 次に、OS ドライブ、固定データ ドライブ、リムーバブル データ ドライブに対して、次のいずれかの暗号化方法を個別に選択します。

  • AES-CBC 128 ビット
  • AES-CBC 256 ビット
  • XTS-AES 128 ビット (既定値)
  • XTS-AES 256 ビット

ヒント

BitLocker は、構成可能なキー長が 128 ビットまたは 256 ビットの暗号化アルゴリズムとして Advanced Encryption Standard (AES) を使用します。 Windows 10以降のデバイスでは、AES 暗号化は暗号ブロック チェーン (CBC) または暗号テキスト盗用 (XTS) をサポートします。

Windows 10実行されていないデバイスでリムーバブル ドライブを使用する必要がある場合は、AES-CBC を使用します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBLEncryptionMethodWithXts」を参照してください。

ドライブの暗号化と暗号強度に関する一般的な使用上の注意

  • これらの設定を無効にするか、構成しない場合、BitLocker は既定の暗号化方法を使用します。

  • Configuration Manager BitLocker をオンにすると、これらの設定が適用されます。

  • ドライブが既に暗号化されているか、進行中の場合、これらのポリシー設定を変更しても、デバイス上のドライブの暗号化は変更されません。

  • 既定値を使用すると、BitLocker コンピューターコンプライアンス レポートに暗号強度が 不明と表示される場合があります。 この問題を回避するには、この設定を有効にし、暗号強度の明示的な値を設定します。

再起動時にメモリの上書きを防ぐ

推奨される構成: 未構成

再起動時にメモリ内の BitLocker シークレットを上書きせずに再起動のパフォーマンスを向上させるには、このポリシーを構成します。

このポリシーを構成しないと、コンピューターの再起動時に BitLocker によってシークレットがメモリから削除されます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMNoOverwritePolicy」を参照してください。

スマート カード証明書の使用規則のコンプライアンスを検証する

推奨される構成: 未構成

スマートカード証明書ベースの BitLocker 保護を使用するようにこのポリシーを構成します。 次に、証明書 オブジェクト識別子を指定します

このポリシーを構成しない場合、BitLocker は既定のオブジェクト識別子 1.3.6.1.4.1.311.67.1.1 を使用して証明書を指定します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMScCompliancePolicy」を参照してください。

組織の一意識別子

推奨される構成: 未構成

証明書ベースのデータ復旧エージェントまたは BitLocker To Go リーダーを使用するようにこのポリシーを構成します。

このポリシーを構成しない場合、BitLocker は [識別 ] フィールドを使用しません。

organizationで高いセキュリティ測定値が必要な場合は、[識別] フィールドを構成します。 対象となるすべての USB デバイスでこのフィールドを設定し、この設定に合わせます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUidPolicy」を参照してください。

OS ドライブ

このページの設定では、Windows がインストールされているドライブの暗号化設定を構成します。

オペレーティング システム ドライブの暗号化設定

推奨される構成: 有効

この設定を有効にした場合、ユーザーは OS ドライブを保護する必要があり、BitLocker によってドライブが暗号化されます。 無効にした場合、ユーザーはドライブを保護できません。 このポリシーを構成しない場合、OS ドライブでは BitLocker 保護は必要ありません。

注:

ドライブが既に暗号化されていて、この設定を無効にすると、BitLocker によってドライブの暗号化が解除されます。

トラステッド プラットフォーム モジュール (TPM) のないデバイスがある場合は、[互換性のある TPM なしで BitLocker を許可する (パスワードが必要)] オプションを使用します。 この設定により、デバイスに TPM がない場合でも、BitLocker は OS ドライブを暗号化できます。 このオプションを許可すると、Windows はユーザーに BitLocker パスワードの指定を求めます。

互換性のある TPM を持つデバイスでは、起動時に 2 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を必要とすることもできます。 以下の設定を構成します。

  • オペレーティング システム ドライブの保護機能を選択する: TPM と PIN、または TPM のみを使用するように構成します。

  • 起動時に PIN の最小長を構成する: PIN が必要な場合、この値はユーザーが指定できる最短の長さです。 ユーザーは、コンピューターが起動してドライブのロックを解除するときに、この PIN を入力します。 既定では、PIN の最小長は です 4

ヒント

セキュリティを強化するために、TPM + PIN 保護機能を使用してデバイスを有効にする場合は、System>Power Management> スリープ設定で次のグループ ポリシー設定を無効にすることを検討してください

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)

  • スリープ時にスタンバイ状態を許可する (S1 から S3) (バッテリ時)

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSOSDEncryptionPolicy」を参照してください。

拡張スタートアップ PIN を許可する

推奨される構成: 未構成

拡張スタートアップ PIN を使用するように BitLocker を構成します。 これらの PIN を使用すると、大文字と小文字、記号、数字、スペースなど、より多くの文字を使用できます。 この設定は、BitLocker をオンにするときに適用されます。

Important

すべてのコンピューターが、プレブート環境で拡張 PIN をサポートできるわけではありません。 その使用を有効にする前に、デバイスがこの機能と互換性があるかどうかを評価します。

この設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN を使用すると、ユーザーは拡張 PIN を作成できます。

  • ASCII 専用 PIN が必要: 拡張 PIN を、プリブート環境で入力できる文字の種類または文字数を制限するコンピューターとの互換性を高めるのに役立ちます。

このポリシー設定を無効にするか、構成しない場合、BitLocker では拡張 PIN は使用されません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMEnhancedPIN」を参照してください。

オペレーティング システム ドライブのパスワード ポリシー

推奨される構成: 未構成

これらの設定を使用して、BitLocker で保護された OS ドライブのロックを解除するためのパスワードの制約を設定します。 OS ドライブで TPM 以外の保護機能を許可する場合は、次の設定を構成します。

  • オペレーティング システム ドライブのパスワードの複雑さを構成する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • オペレーティング システム ドライブの最小パスワード長: 既定では、最小長は です 8

  • リムーバブル OS ドライブに ASCII 専用パスワードを要求する

このポリシー設定を有効にすると、ユーザーは定義した要件を満たすパスワードを構成できます。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMOSPassphrase」を参照してください。

OS ドライブ のパスワード ポリシーに関する一般的な使用上の注意事項

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定 [パスワード] を有効にする必要があります。また、[コンピューターの構成>] [Windows の設定][セキュリティ設定>>] [アカウント ポリシー][パスワード ポリシー] で複雑な要件を>満たす必要があります。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにするときにこれらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

BitLocker の回復後にプラットフォーム検証データをリセットする

推奨される構成: 未構成

BitLocker の回復後に起動したときに、Windows がプラットフォーム検証データを更新するかどうかを制御します。

この設定を有効にするか、構成しない場合、Windows はこの状況でプラットフォーム検証データを更新します。

このポリシー設定を無効にした場合、この状況では Windows はプラットフォーム検証データを更新しません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMTpmAutoResealPolicy」を参照してください。

起動前の回復メッセージと URL

推奨される構成: 未構成

BitLocker が OS ドライブをロックする場合は、この設定を使用して、ブート前の BitLocker 回復画面にカスタム回復メッセージまたは URL を表示します。 この設定は、Windows 10以降のデバイスにのみ適用されます。

この設定を有効にした場合は、起動前の回復メッセージに対して次のいずれかのオプションを選択します。

  • 既定の回復メッセージと URL を使用する: 既定の BitLocker 回復メッセージと URL を起動前の BitLocker 回復画面に表示します。 以前にカスタム回復メッセージまたは URL を構成した場合は、このオプションを使用して既定のメッセージに戻します。

  • カスタム回復メッセージを使用する: 起動前の BitLocker 回復画面にカスタム メッセージを含めます。

    • カスタム回復メッセージ オプション: 表示するカスタム メッセージを入力します。 回復 URL も指定する場合は、このカスタム回復メッセージの一部として含めます。 最大文字列長は 32,768 文字です。
  • カスタム回復 URL を使用する: 起動前の BitLocker 回復画面に表示される既定の URL を置き換えます。

    • カスタム回復 URL オプション: 表示する URL を入力します。 最大文字列長は 32,768 文字です。

注:

すべての文字と言語がプレブートでサポートされているわけではありません。 まず、カスタム メッセージまたは URL をテストして、ブート前の BitLocker 回復画面に正しく表示されていることを確認します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMPrebootRecoveryInfo」を参照してください。

暗号化ポリシーの適用設定 (OS ドライブ)

推奨される構成: 有効

ユーザーが OS ドライブの BitLocker コンプライアンスを延期できる日数を構成します。 非準拠猶予期間は、Configuration Managerが最初に非準拠として検出されたときに開始されます。 この猶予期間の有効期限が切れた後、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。

暗号化プロセスでユーザー入力が必要な場合は、必要な情報を提供するまでユーザーを閉じることができないダイアログ ボックスが Windows に表示されます。 エラーまたは状態に関する今後の通知には、この制限はありません。

BitLocker でユーザーの操作で保護機能を追加する必要がない場合、猶予期間の有効期限が切れた後、BitLocker はバックグラウンドで暗号化を開始します。

この設定を無効にするか、構成しない場合、Configuration Managerユーザーは BitLocker ポリシーに準拠する必要はありません。

ポリシーをすぐに適用するには、 の 0猶予期間を設定します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUseOsEnforcePolicy」を参照してください。

固定ドライブ

このページの設定では、デバイス内の他のデータ ドライブの暗号化を構成します。

固定データ ドライブの暗号化

推奨される構成: 有効

固定データ ドライブの暗号化の要件を管理します。 この設定を有効にすると、BitLocker では、すべての固定データ ドライブを保護下に置く必要があります。 その後、データ ドライブが暗号化されます。

このポリシーを有効にした場合は、自動ロック解除を有効にするか、[ 固定データ ドライブ パスワード ポリシー] の設定を有効にします。

  • 固定データ ドライブの自動ロック解除を構成する: 暗号化されたデータ ドライブのロックを自動的に解除するために BitLocker を許可または要求します。 自動ロック解除を使用するには、 OS ドライブを暗号化するために BitLocker も必要です。

この設定を構成しない場合、BitLocker では、固定データ ドライブを保護下に置く必要はありません。

この設定を無効にした場合、ユーザーは固定データ ドライブを BitLocker 保護の下に配置できません。 BitLocker が固定データ ドライブを暗号化した後でこのポリシーを無効にすると、BitLocker は固定データ ドライブの暗号化を解除します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSFDVEncryptionPolicy」を参照してください。

BitLocker によって保護されていない固定ドライブへの書き込みアクセスを拒否する

推奨される構成: 未構成

デバイス上の固定ドライブにデータを書き込むには、Windows の BitLocker 保護が必要です。 BitLocker を有効にすると、このポリシーが適用されます。

この設定を有効にすると、次のようになります。

  • BitLocker が固定データ ドライブを保護する場合、Windows は読み取りおよび書き込みアクセスでマウントします。

  • BitLocker で保護されていない固定データ ドライブの場合、Windows は読み取り専用としてマウントします。

この設定を構成しない場合、Windows は読み取りおよび書き込みアクセス権を持つすべての固定データ ドライブをマウントします。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMFDVDenyWriteAccessPolicy」を参照してください。

データ ドライブのパスワード ポリシーを修正しました

推奨される構成: 未構成

これらの設定を使用して、BitLocker で保護された固定データ ドライブのロックを解除するためのパスワードの制約を設定します。

この設定を有効にすると、ユーザーは定義された要件を満たすパスワードを構成できます。

セキュリティを強化するには、この設定を有効にしてから、次の設定を構成します。

  • 固定データ ドライブのパスワードを要求する: ユーザーは、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードを指定する必要があります。

  • 固定データ ドライブのパスワードの複雑さを構成する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • 固定データ ドライブの最小パスワード長: 既定では、最小長は です 8

この設定を無効にした場合、ユーザーはパスワードを構成できません。

ポリシーが構成されていない場合、BitLocker は既定の設定でパスワードをサポートします。 既定の設定にはパスワードの複雑さの要件は含まれていません。必要な文字数は 8 文字のみです。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMFDVPassPhrasePolicy」を参照してください。

固定データ ドライブのパスワード ポリシーに関する一般的な使用上の注意事項

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定 [パスワード] を有効にする必要があります。また、[コンピューターの構成>] [Windows の設定][セキュリティ設定>>] [アカウント ポリシー][パスワード ポリシー] で複雑な要件を>満たす必要があります。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにするときにこれらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

暗号化ポリシーの適用設定 (固定データ ドライブ)

推奨される構成: 有効

固定データ ドライブの BitLocker コンプライアンスをユーザーが延期できる日数を構成します。 非準拠猶予期間は、Configuration Managerが最初に固定データ ドライブを非準拠として検出したときに開始されます。 OS ドライブが準拠するまで、固定データ ドライブ ポリシーは適用されません。 猶予期間の有効期限が切れると、ユーザーは必要なアクションを延期したり、除外を要求したりすることはできません。

暗号化プロセスでユーザー入力が必要な場合は、必要な情報を提供するまでユーザーを閉じることができないダイアログ ボックスが Windows に表示されます。 エラーまたは状態に関する今後の通知には、この制限はありません。

BitLocker でユーザーの操作で保護機能を追加する必要がない場合、猶予期間の有効期限が切れた後、BitLocker はバックグラウンドで暗号化を開始します。

この設定を無効にするか、構成しない場合、Configuration Managerユーザーは BitLocker ポリシーに準拠する必要はありません。

ポリシーをすぐに適用するには、 の 0猶予期間を設定します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMUseFddEnforcePolicy」を参照してください。

リムーバブル ドライブ

このページの設定では、USB キーなどのリムーバブル ドライブの暗号化を構成します。

リムーバブル データ ドライブの暗号化

推奨される構成: 有効

この設定は、リムーバブル ドライブでの BitLocker の使用を制御します。

  • リムーバブル データ ドライブに BitLocker 保護を適用できるようにする: ユーザーは、リムーバブル ドライブの BitLocker 保護を有効にすることができます。

  • リムーバブル データ ドライブでの BitLocker の一時停止と復号化をユーザーに許可する: ユーザーは、リムーバブル ドライブから BitLocker ドライブの暗号化を削除または一時的に中断できます。

この設定を有効にし、ユーザーに BitLocker 保護の適用を許可すると、Configuration Manager クライアントはリムーバブル ドライブに関する回復情報を管理ポイントの回復サービスに保存します。 この動作により、ユーザーはプロテクタ (パスワード) を忘れたり失ったりした場合にドライブを回復できます。

この設定を有効にすると、次のようになります。

  • リムーバブル データ ドライブのパスワード ポリシーの設定を有効にする

  • ユーザーとコンピューターの両方の構成について、System>Removable Storage Access で次のグループ ポリシー設定 & 無効にします

    • すべてのリムーバブル ストレージ クラス: すべてのアクセスを拒否する
    • リムーバブル ディスク: 書き込みアクセスを拒否する
    • リムーバブル ディスク: 読み取りアクセスを拒否する

この設定を無効にした場合、ユーザーはリムーバブル ドライブで BitLocker を使用できません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVConfigureBDEPolicy」を参照してください。

BitLocker によって保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する

推奨される構成: 未構成

デバイス上のリムーバブル ドライブにデータを書き込むには、Windows の BitLocker 保護が必要です。 BitLocker を有効にすると、このポリシーが適用されます。

この設定を有効にすると、次のようになります。

  • BitLocker がリムーバブル ドライブを保護する場合、Windows は読み取りおよび書き込みアクセスでマウントします。

  • BitLocker で保護されていないリムーバブル ドライブの場合、Windows は読み取り専用としてマウントします。

  • [別のorganizationで構成されたデバイスへの書き込みアクセスを拒否する] オプションを有効にした場合、BitLocker は、許可された識別フィールドと一致する識別フィールドを持つリムーバブル ドライブへの書き込みアクセスのみを許可します。 [セットアップ] ページの [組織の一意識別子] グローバル設定を使用して、これらのフィールドを定義します。

この設定を無効にするか、構成しない場合、Windows は読み取りおよび書き込みアクセス権を持つすべてのリムーバブル ドライブをマウントします。

注:

この設定は、 システム>リムーバブル 記憶域アクセスのグループ ポリシー設定でオーバーライドできます。 グループ ポリシー設定 [リムーバブル ディスク: 書き込みアクセスを拒否する] を有効にした場合、BitLocker はこのConfiguration Manager設定を無視します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVDenyWriteAccessPolicy」を参照してください。

リムーバブル データ ドライブのパスワード ポリシー

推奨される構成: 有効

これらの設定を使用して、BitLocker で保護されたリムーバブル ドライブのロックを解除するためのパスワードの制約を設定します。

この設定を有効にすると、ユーザーは定義された要件を満たすパスワードを構成できます。

セキュリティを強化するには、この設定を有効にしてから、次の設定を構成します。

  • リムーバブル データ ドライブにパスワードを要求する: ユーザーは、BitLocker で保護されたリムーバブル ドライブのロックを解除するためにパスワードを指定する必要があります。

  • リムーバブル データ ドライブのパスワードの複雑さを構成する: パスワードに複雑さの要件を適用するには、[ パスワードの複雑さを要求する] を選択します。

  • リムーバブル データ ドライブの最小パスワード長: 既定では、最小長は です 8

この設定を無効にした場合、ユーザーはパスワードを構成できません。

ポリシーが構成されていない場合、BitLocker は既定の設定でパスワードをサポートします。 既定の設定にはパスワードの複雑さの要件は含まれていません。必要な文字数は 8 文字のみです。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMRDVPassPhrasePolicy」を参照してください。

リムーバブル データ ドライブのパスワード ポリシーに関する一般的な使用上の注意事項

  • これらの複雑さの要件設定を有効にするには、グループ ポリシー設定 [パスワード] を有効にする必要があります。また、[コンピューターの構成>] [Windows の設定][セキュリティ設定>>] [アカウント ポリシー][パスワード ポリシー] で複雑な要件を>満たす必要があります。

  • BitLocker では、ボリュームのロックを解除するときではなく、オンにするときにこれらの設定が適用されます。 BitLocker を使用すると、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。

  • グループ ポリシーを使用して暗号化、ハッシュ、署名の FIPS 準拠アルゴリズムを有効にする場合、BitLocker 保護機能としてパスワードを許可することはできません。

クライアント管理

このページの設定では、BitLocker 管理サービスとクライアントを構成します。

BitLocker 管理サービス

推奨される構成: 有効

この設定を有効にすると、Configuration Manager自動的に自動的に、サイト データベース内のキー回復情報がサイレント バックアップされます。 この設定を無効にした場合、または構成しなかった場合、Configuration Managerはキー回復情報を保存しません。

  • [保存する BitLocker 回復情報] を選択します。BitLocker 回復情報をバックアップするようにキー回復サービスを構成します。 BitLocker によって暗号化されたデータを回復する管理方法を提供します。これは、キー情報がないためにデータが失われるのを防ぐのに役立ちます。

  • 回復情報をプレーン テキストで格納できるようにする: SQL Serverの BitLocker 管理暗号化証明書がない場合、Configuration Managerはキー回復情報をプレーン テキストで格納します。 詳細については、「 データベース内の復旧データを暗号化する」を参照してください。

  • クライアントの確認状態の頻度 (分): 構成された頻度で、クライアントはコンピューターの BitLocker 保護ポリシーと状態を確認し、クライアント回復キーもバックアップします。 既定では、Configuration Manager クライアントは 90 分ごとに BitLocker の状態を確認します。

    Important

    この値を 60 未満に設定しないでください。 頻度の値が小さいと、クライアントが不正確なコンプライアンス状態を簡単に報告する可能性があります。

Windows PowerShellを使用してこれらのポリシーを作成する方法の詳細については、次を参照してください。

ユーザー除外ポリシー

推奨される構成: 未構成

BitLocker 暗号化の除外を要求するユーザーの連絡先方法を構成します。

このポリシー設定を有効にする場合は、次の情報を指定します。

  • 延期する最大日数: 適用されたポリシーをユーザーが延期できる日数。 既定では、この値は 7 日 (1 週間) です。

  • 連絡先の方法: ユーザーが除外を要求する方法 (URL、電子メール アドレス、電話番号) を指定します。

  • 連絡先: URL、電子メール アドレス、または電話番号を指定します。 ユーザーが BitLocker 保護の除外を要求すると、適用方法を示す Windows ダイアログ ボックスが表示されます。 Configuration Managerでは、入力した情報が検証されません。

    • URL: 標準の URL 形式 https://website.domain.tldである を使用します。 Windows では、URL がハイパーリンクとして表示されます。

    • Emailアドレス: 標準の電子メール アドレス形式をuser@domain.tld使用します。 Windows では、次のハイパーリンクとしてアドレスが表示されます。 mailto:user@domain.tld?subject=Request exemption from BitLocker protection

    • 電話番号: ユーザーが呼び出す番号を指定します。 Windows では、次の説明を含む番号が表示されます。 Please call <your number> for applying exemption

この設定を無効にした場合、または構成しなかった場合、Windows は除外要求の指示をユーザーに表示しません。

注:

BitLocker は、コンピューターごとにではなく、ユーザーごとの除外を管理します。 複数のユーザーが同じコンピューターにサインインし、1 人のユーザーが除外されていない場合、BitLocker はコンピューターを暗号化します。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMBMSUserExemptionPolicy」を参照してください。

推奨される構成: 有効

Windows の 会社のセキュリティ ポリシー としてユーザーに表示する URL を指定します。 このリンクを使用して、暗号化要件に関する情報をユーザーに提供します。 BitLocker がユーザーにドライブの暗号化を求めるメッセージを表示します。

この設定を有効にする場合は、 セキュリティ ポリシーのリンク URL を構成します

この設定を無効にした場合、または構成しなかった場合、BitLocker にはセキュリティ ポリシーのリンクが表示されません。

Windows PowerShellを使用してこのポリシーを作成する方法の詳細については、「New-CMMoreInfoUrlPolicy」を参照してください。

次の手順

Windows PowerShellを使用してこれらのポリシー オブジェクトを作成する場合は、New-CMBlmSetting コマンドレットを使用します。 このコマンドレットは、指定されたすべてのポリシーを含む BitLocker 管理ポリシー設定オブジェクトを作成します。 ポリシー設定をコレクションに展開するには、 New-CMSettingDeployment コマンドレットを 使用します。