BitLocker の基本的な展開
IT 担当者向けのこのトピックでは、BitLocker 機能を使ってドライブ暗号化によりデータを保護する方法について説明します。
以下のセクションでは、組織で BitLocker を実装するための基本的な展開計画をまとめる上で役立つ情報を提供します。
BitLocker を使ってボリュームを暗号化する
下位互換性
manage-bde を使って BitLocker でボリュームを暗号化する
PowerShell を使って BitLocker でボリュームを暗号化する
BitLocker を使ってボリュームを暗号化する
BitLocker は、オペレーティング システム ボリューム、固定データ ボリューム、リムーバブル データ ボリュームに対してフルボリューム暗号化 (FVE) を提供します。完全に暗号化されたオペレーティング システム ボリュームをサポートするため、BitLocker はオペレーティング システムのブート、暗号化解除、読み込みに必要なファイルに対して非暗号化システム ボリュームを使います。このボリュームは、クライアントとサーバー両方のオペレーティング システムの新規インストール時に自動的に作成されます。
1 つの連続した領域としてドライブが用意された場合、BitLocker はブート ファイルを保持する新しいボリュームを必要とします。これらのボリュームは BdeHdCfg.exe によって作成できます。
注
このツールの使用について詳しくは、コマンド ライン リファレンスの Bdehdcfg をご覧ください。
BitLocker 暗号化は次の方法で行うことができます。
BitLocker コントロール パネル
エクスプローラー
manage-bde コマンド ライン インターフェイス
BitLocker Windows PowerShell コマンドレット
BitLocker コントロール パネルを使ってボリュームを暗号化する
BitLocker コントロール パネルでのボリュームの暗号化は、多くのユーザーが BitLocker を利用する方法です。BitLocker コントロール パネルの名前は、BitLocker ドライブの暗号化です。BitLocker コントロール パネルでは、オペレーティング システム、固定データ ボリューム、リムーバブル データ ボリュームの暗号化をサポートします。BitLocker コントロール パネルでは、デバイス自体が Windows にどう報告されるかに基づいて適切なカテゴリで利用可能なドライブを整理します。ドライブ文字が割り当てられているフォーマット済みのボリュームのみが BitLocker コントロール パネル アプレットに正しく表示されます。
ボリュームの暗号化を開始するには、該当するドライブで [BitLocker をオンにする] を選択して BitLocker ドライブの暗号化ウィザードを初期化します。BitLocker ドライブの暗号化ウィザードのオプションは、ボリュームの種類 (オペレーティング システム ボリュームまたはデータ ボリューム) によって異なります。
オペレーティング システム ボリューム
BitLocker ドライブの暗号化ウィザードは、起動時に、オペレーティング システム ボリュームの暗号化に関する BitLocker のシステム要件をコンピューターが満たしていることを確認します。既定では、システム要件は次のとおりです。
| 要件 | 説明 |
|---|---|
ハードウェア構成 |
コンピューターは、サポートされている Windows のバージョンの最低要件を満たす必要があります。 |
オペレーティング システム |
BitLocker は、Windows Server 2012 以降でサーバー マネージャーによってインストールできるオプションの機能です。 |
ハードウェア TPM |
TPM バージョン 1.2 または 2.0 TPM は BitLocker に必要ではありませんが、起動前のシステムの整合性の検証や多要素認証による追加のセキュリティを提供できるのは TPM を装備したコンピューターだけです。 |
BIOS 構成 |
|
ファイル システム |
ネイティブで UEFI ファームウェアを使ってブートするコンピューターの場合、システム ドライブ用に 1 つ以上の FAT32 パーティションとオペレーティング システム ドライブ用に 1 つの NTFS パーティション。 レガシ BIOS ファームウェアを使うコンピューターの場合、2 つ以上の NTFS ディスク パーティション (システム ドライブ用に 1 つ、オペレーティング システム ドライブ用に 1 つ)。 どちらのファームウェアでもシステム ドライブ パーティションは 350 MB 以上とし、アクティブ パーティションとして設定する必要があります。 |
ハードウェア暗号化ドライブの前提条件 (オプション) |
ハードウェア暗号化ドライブをブート ドライブとして使う場合、ドライブは未初期化状態でセキュリティが無効な状態である必要があります。 また、システムは常に、ネイティブの UEFI version 2.3.1 以上を使用し、CSM (存在する場合) を無効にしてブートする必要があります。 |
初期構成を通すとき、ユーザーはボリュームのパスワードを入力する必要があります。ボリュームが BitLocker の初期構成を通さない場合、実行すべき適切なアクションを説明するエラー ダイアログ ボックスがユーザーに表示されます。
ボリュームに強力なパスワードが作成されると、回復キーが生成されます。BitLocker ドライブの暗号化ウィザードにより、このキーの保存場所を求めるメッセージが表示されます。BitLocker 回復キーは、暗号化する各ドライブで初めて BitLocker ドライブの暗号化を有効にするときに作成できる特別なキーです。Windows がインストールされているドライブ (オペレーティング システム ドライブ) が BitLocker ドライブ暗号化を使って暗号化されており、コンピューターのスタートアップ時に BitLocker がドライブのロックを解除できない状態を検出した場合、回復キーを使ってコンピューターにアクセスすることができます。また、回復キーを使うと、何らかの理由でパスワードを忘れたり、コンピューターがドライブにアクセスできない場合に、BitLocker To Go を使って暗号化されているリムーバブル データ ドライブ (外付けハード ドライブ、USB フラッシュ ドライブなど) 上のファイルとフォルダーにアクセスすることもできます。
回復キーは、印刷するか、リムーバブル メディアに保存したり、ネットワーク フォルダーや OneDrive、または暗号化していないコンピューターの別のドライブ上にファイルとして保存したりして保存する必要があります。回復キーを非リムーバブル ドライブのルート ディレクトリに保存したり、暗号化されたボリューム上に保存したりすることはできません。リムーバブル データ ドライブ (USB フラッシュ ドライブなど) の回復キーをリムーバブル メディアに保存することはできません。理想的には、お使いのコンピューターから切り離して回復キーを保存する必要があります。回復キーを作成した後は、BitLocker コントロール パネルを使って追加のコピーを作成できます。
回復キーが正しく保存されると、BitLocker ドライブの暗号化ウィザードにより、ドライブの暗号化方法を選択するメッセージがユーザーに表示されます。2 つのオプションがあります。
使用済みのディスク領域のみ暗号化する - データが含まれるディスク領域のみを暗号化します。
ドライブ全体を暗号化する - 空き領域を含むボリューム全体を暗号化します。
データがほとんどないドライブでは使用済みのディスク領域のみの暗号化オプションを利用し、データまたはオペレーティング システムがあるドライブではドライブ全体を暗号化オプションを利用することをお勧めします。
注
削除されたファイルはファイル システムに対して空き領域として表示され、使用済みのディスク領域のみでは暗号化されません。削除されたファイルは、消去または上書きされるまで、一般的なデータ科学捜査ツールを使って回復される可能性がある情報を保持しています。
暗号化の種類を選択し、[次へ] を選択すると、BitLocker システム チェックの実行オプションがユーザーに提供されます (既定で選択されています)。これにより、ボリュームの暗号化を開始する前に BitLocker が回復キーと暗号化キーに正しくアクセスできることを確認できます。暗号化処理を開始する前にこのシステム チェックを実行することをお勧めします。システム チェックを実行しないでオペレーティング システムが起動しようとしたときに問題が発生した場合、ユーザーは回復キーを指定して Windows を起動する必要があります。
システム チェックが完了すると (選択した場合)、BitLocker ドライブの暗号化ウィザードによってコンピューターが再起動され、暗号化が開始されます。再起動の際、ユーザーはオペレーティング システム ボリュームを起動するために選択したパスワードを入力する必要があります。ユーザーは、システム通知領域または BitLocker コントロール パネルをチェックすることで暗号化の状態をチェックできます。
暗号化が完了するまで、BitLocker を管理するために使用可能なオプションは、オペレーティング システム ボリュームを保護するパスワードの操作、回復キーのバックアップ、BitLocker の無効化のみです。
データ ボリューム
BitLocker コントロール パネルのインターフェイスを使ったデータの暗号化は、オペレーティング システム ボリュームの暗号化と似ています。ユーザーがコントロール パネルで [BitLocker をオンにする] を選択すると、BitLocker ドライブの暗号化ウィザードが開始します。
オペレーティング システム ボリュームの場合と異なり、データ ボリュームではウィザードを続行するために構成テストに合格する必要はありません。ウィザードを起動すると、ドライブのロックを解除するための認証方法の選択肢が表示されます。利用可能なオプションは、[パスワード]、[スマート カード]、[このコンピューターでこのドライブのロックを自動的に解除する] です。既定で無効になっている最後のオプションでは、オペレーティング システム ボリュームのロックが解除されるとユーザー入力なしでデータ ボリュームのロックが解除されます。
希望の認証方法を選択し、[次へ] を選択すると、回復キーの保存に関するオプションがウィザードによって表示されます。このオプションは、オペレーティング システム ボリュームと同じです。
回復キーを保存し、ウィザードで [次へ] を選択すると、暗号化に使用可能なオプションが表示されます。これらのオプションはオペレーティング システム ボリュームと同じで、使用済みディスク領域のみとドライブ全体の暗号化です。暗号化するボリュームが新しいか空の場合は、使用済み領域のみの暗号化を選択することをお勧めします。
暗号化方法を選択すると、暗号化処理を開始する前に最終的な確認画面が表示されます。[暗号化の開始] を選択すると、暗号化が開始されます。
暗号化の状態は、通知領域、または BitLocker コントロール パネル内に表示されます。
OneDrive のオプション
OneDrive を使って BitLocker 回復キーを保存する新しいオプションがあります。このオプションでは、コンピューターがドメインのメンバーではないことと、ユーザーが Microsoft アカウントを使用していることが必要になります。ローカル アカウントでは OneDrive を利用するオプションは提供されません。OneDrive オプションを使用することは、ドメインに参加していないコンピューターの場合、推奨される既定の回復キーの保存方法です。
ユーザーは、保存プロセスで自動的に作成された BitLocker フォルダーを OneDrive でチェックして、回復キーが適切に保存されたことを確認できます。フォルダーには、readme.txt と回復キーの 2 つのファイルが含まれます。OneDrive に 1 つ以上の回復パスワードを保存するユーザーは、ファイル名を調べることで必要な回復キーを識別できます。回復キー ID は、ファイル名の末尾に追加されます。
エクスプローラー内で BitLocker を使用する
エクスプローラーでは、ボリュームを右クリックして [BitLocker をオンにする] を選択することで BitLocker ドライブの暗号化ウィザードを起動できます。このオプションはクライアント コンピューターで既定で利用可能です。サーバーでこのオプションを利用するには、最初に BitLocker とデスクトップ エクスペリエンス機能をインストールする必要があります。[BitLocker をオンにする] を選択すると、BitLocker コントロール パネルを使って起動したときとまったく同じウィザードが表示されます。
下位互換性
次の表は、システムで BitLocker を有効にしてから異なるバージョンの Windows に提示した場合の互換性マトリックスを示しています。
表 1: Windows 10、Windows 8.1、Windows 8、Windows 7 の暗号化されたボリューム間の互換性
暗号化の種類 |
Windows 10 と Windows 8.1 |
Windows 8 |
Windows 7 |
Windows 8 で完全に暗号化 |
完全に暗号化されて提示 |
該当なし |
完全に暗号化されて提示 |
Windows 8 で使用済みディスク領域のみの暗号化 |
書き込み時に暗号化として提示 |
該当なし |
完全に暗号化されて提示 |
Windows 7 から完全に暗号化されたボリューム |
完全に暗号化されて提示 |
完全に暗号化されて提示 |
該当なし |
Windows 7 から部分的に暗号化されたボリューム |
Windows 10 と Windows 8.1 はポリシーに関係なく暗号化を完了 |
Windows 8 はポリシーに関係なく暗号化を完了 |
該当なし |
manage-bde コマンド ライン インターフェイスを使ったボリュームの暗号化
manage-bde は、BitLocker 操作のスクリプティングに使用できるコマンド ライン ユーティリティです。manage-bde には、BitLocker コントロール パネルに表示されない追加オプションが用意されています。オプションの全一覧については、「manage-bde」をご覧ください。
manage-bde には、BitLocker を構成するための幅広いオプションが多数用意されています。つまり、コマンド構文の使用には注意を払う必要があり、ユーザーが後でカスタマイズする可能性があります。たとえば、データ ボリュームに対して manage-bde -on コマンドだけを使用すると、どのような認証保護機能もなくボリュームが完全に暗号化されます。ボリュームを完全に保護するには認証方法をボリュームに追加する必要があるため、この方法で暗号化されたボリュームでは、コマンドが正常に完了したとしても、やはりユーザーが BitLocker 保護を有効にする必要があります。
コマンド ライン ユーザーは、特定の状況に適切な構文を判断する必要があります。次のセクションでは、オペレーティング システム ボリュームとデータ ボリュームの一般的な暗号化について説明します。
オペレーティング システム ボリューム
次に示すのは、オペレーティング システム ボリュームで有効な基本コマンドの例です。一般に、manage-bde -on <drive letter> コマンドのみを使用すると、オペレーティング システム ボリュームは回復キーのない TPM のみの保護機能で暗号化されます。ただし、多くの環境では、パスワードや PIN などのさらに安全な保護機能が必要であり、回復キーを使用して情報を回復できることが望まれます。
ボリュームの状態の確認
manage-bde を使用するときは、ターゲット システムでのボリュームの状態を判別するのがよい方法です。ボリュームの状態を判別するには、次のコマンドを使います。
manage-bde -status
このコマンドは、ターゲット上にあるボリューム、現在の暗号化の状態、および各ボリュームの種類 (オペレーティング システムまたはデータ) を返します。この情報を利用すると、ユーザーは環境に最適な暗号化方法を決定できます。
TPM なしでの BitLocker の有効化
たとえば、TPM チップのないコンピューターで BitLocker を有効にするとします。オペレーティング システム ボリュームで BitLocker を正しく有効化するには、スタートアップ キーとして USB フラッシュ ドライブ (この例では、ドライブ文字 E) を使って起動する必要があります。最初に –protectors オプションを使って BitLocker に必要なスタートアップ キーを作成し、これを E: 上の USB ドライブに保存し、それから暗号化処理を開始します。メッセージが表示されたらコンピューターを再起動して暗号化処理を完了する必要があります。
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
TPM のみを使った BitLocker の有効化
保護機能を定義しなくても、manage-bde を使ってオペレーティング システム ボリュームを暗号化することができます。そのためのコマンドは次のとおりです。
manage-bde -on C:
このコマンドは、保護機能として TPM を使ってドライブを暗号化します。ユーザーがボリュームの保護機能についてよくわからない場合は、manage-bde で -protectors オプションを使って次のコマンドによりこの情報を一覧表示します。
manage-bde -protectors -get <volume>
2 つの保護機能を使った BitLocker のプロビジョニング
別の例として、TPM を装備しないハードウェアでオペレーティング システム ボリュームにパスワードと SID ベースの保護機能を追加するユーザーについて考えてみます。この例では、ユーザーは最初に保護機能に追加します。これは次のコマンドを使用して行います。
manage-bde -protectors -add C: -pw -sid <user or group>
このコマンドでは、保護機能をボリュームに追加する前に、ユーザーがパスワード保護機能を入力して確認する必要があります。ボリュームで保護機能を有効にしたら、ユーザーは BitLocker を有効にするだけです。
データ ボリューム
データ ボリュームの暗号化にはオペレーティング システム ボリュームと同じ構文を使いますが、操作を完了するために保護機能は必要ありません。データ ボリュームの暗号化は、基本コマンド manage-bde -on <drive letter> を使って行うことができます。ユーザーはまた、保護機能をボリュームに追加することもできます。少なくとも 1 つの主要保護機能と回復保護機能をデータ ボリュームに追加することをお勧めします。
パスワードを使った BitLocker の有効化
データ ボリュームの一般的な保護機能は、パスワード保護機能です。次の例では、ボリュームにパスワード保護機能を追加し、BitLocker を有効にします。
manage-bde -protectors -add -pw C:
manage-bde -on C:
manage-bde を使って BitLocker でボリュームを暗号化する
BitLocker Windows PowerShell コマンドレットを使ったボリュームの暗号化
Windows PowerShell コマンドレットによって BitLocker を使用する方法もあります。Windows PowerShell のスクリプト機能を使用すると、管理者は BitLocker のオプションを既存のスクリプトに簡単に統合できます。使用できる BitLocker コマンドレットを次に示します。
名前 |
パラメーター |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
manage-bde と同様に、Windows PowerShell コマンドレットではコントロール パネルで提供されるオプション以上の構成を行うことができます。manage-bde と同じように、ユーザーは、Windows PowerShell コマンドレットを実行する前に、暗号化するボリュームの具体的なニーズを考慮する必要があります。
最初にコンピューター上のボリュームの現在の状態を判別するのがよい手順です。これを行うには、Get-BitLocker ボリューム コマンドレットを使います。このコマンドレットの出力には、ボリュームの種類、保護機能、保護の状態についての情報と、その他有益な情報が表示されます。
場合によっては、出力表示領域が足りないため、Get-BitLockerVolume を使用してもすべての保護機能が表示されないことがあります。ボリュームのすべての保護機能が表示されない場合は、Windows PowerShell のパイプ コマンド (|) を使って、保護機能が一覧表示されるように書式を設定できます。
注
ボリュームの 5 つ以上の保護機能がある場合、パイプ コマンドでは表示領域が足りなくなることがあります。5 つ以上の保護機能があるボリュームでは、以下のセクションで説明している方法で保護機能 ID を持つすべての保護機能の一覧を生成します。
Get-BitLockerVolume C: | fl
ボリュームに BitLocker をプロビジョニングする前に既存の保護機能を削除する場合は、Remove-BitLockerKeyProtector コマンドレットを利用できます。これを行うには、削除する保護機能に関連付けられている GUID が必要です。
次に示すように、単純なスクリプトは各 Get-BitLockerVolume が返す値を別の変数にパイプ処理できます。
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
これを使用して、$keyprotectors 変数の情報を表示し、各保護機能の GUID を確認できます。
この情報を次のコマンドで使用して、特定のボリュームのキー保護機能を削除できます。
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
注
BitLocker コマンドレットでは、実行するキー保護機能の GUID を引用符で囲む必要があります。中かっこで囲んだ GUID 全体をコマンドに含めるようにしてください。
オペレーティング システム ボリューム
BitLocker Windows PowerShell コマンドレットを使用してオペレーティング システム ボリュームを暗号化する方法は、manage-bde ツールを使用する場合と似ています。Windows PowerShell は非常に柔軟に使用できます。たとえば、ボリュームを暗号化するために目的の保護機能を部分コマンドとして追加できます。一般的なユーザー シナリオの例と Windows PowerShell 用 BitLocker コマンドレットを使ってそれを行うための手順を次に示します。
TPM 保護機能だけで BitLocker を有効にします。これは次のコマンドを使って行うことができます。
Enable-BitLocker C:
次の例では、追加の保護機能としてスタートアップ キー保護機能を 1 つ追加し、BitLocker のハードウェア テストをスキップします。この例では、暗号化は直ちに開始し、再起動の必要はありません。
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
データ ボリューム
Windows PowerShell を使用したデータ ボリュームの暗号化は、オペレーティング システム ボリュームと同じです。ボリュームを暗号化する前に、必要な保護機能を追加する必要があります。次の例では、パスワードとして変数 $pw を使用して、E: ボリュームにパスワード保護機能を追加します。変数 $pw は、ユーザー定義のパスワードを保存するために SecureString 値として保持されます。最後に、暗号化が開始されます。
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Windows PowerShell で SID ベースの保護機能を使用する
ADAccountOrGroup 保護機能は、Active Directory の SID に基づく保護機能です。この保護機能はオペレーティング システム ボリュームとデータ ボリュームの両方に追加できますが、プリブート環境ではオペレーティング システム ボリュームをロック解除しません。この保護機能では、保護機能とリンクするためにドメイン アカウントまたはグループの SID が必要です。BitLocker は、クラスターのメンバー コンピューターにディスクを適切にフェールオーバーし、ロック解除できるようにする SID ベースの保護機能をクラスター名オブジェクト (CNO) に追加することによって、クラスター対応のディスクを保護することができます。
警告
SID ベースの保護機能は、オペレーティング システム ボリュームで使用する場合は追加の保護機能 (TPM、PIN、回復キーなど) を使用する必要があります。
ボリュームに ADAccountOrGroup 保護機能を追加するには、前にドメインと円記号を付けた実際のドメイン SID またはグループ名が必要です。次の例では、CONTOSO\Administrator アカウントが保護機能としてデータ ボリューム G に追加されます。
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
アカウントまたはグループに SID を使用する場合は、最初にアカウントに関連付けられている SID を確認します。Windows PowerShell でユーザー アカウント固有の SID を取得するには、次のコマンドを使用します。
get-aduser -filter {samaccountname -eq "administrator"}
注
このコマンドを使用するには、RSAT-AD-PowerShell 機能が必要です。
ヒント
上の Windows PowerShell コマンドに加えて、ローカルにログオンしているユーザーとグループのメンバーシップに関する情報を、WHOAMI /ALL を使用して取得できます。追加の機能を使用する必要はありません。
次の例では、ユーザーは以前暗号化されたオペレーティング システム ボリュームにドメイン SID ベースの保護機能を追加します。ユーザーは追加するユーザー アカウントまたはグループの SID を知っていて、次のコマンドを使います。
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
注
Active Directory による保護機能は通常、フェールオーバー クラスターが有効なボリュームのロック解除に使用されます。
PowerShell を使って BitLocker でボリュームを暗号化する
BitLocker 状態の確認
特定のボリュームの BitLocker 状態を確認するため、管理者は、BitLocker コントロール パネル アプレット、エクスプローラー、manage-bde コマンド ライン ツール、または Windows PowerShell コマンドレットでドライブの状態を確認できます。各オプションでさまざまなレベルの情報と使いやすさが提供されています。次のセクションでは、利用可能な方法についてそれぞれ説明します。
コントロール パネルを使った BitLocker 状態の確認
コントロール パネルを使った BitLocker 状態の確認は、ほとんどのユーザーが使用する最も一般的な方法です。開くと、ボリュームの説明とドライブ文字の横に各ボリュームの状態が表示されます。 コントロール パネルで利用可能な状態の戻り値は次のとおりです。
状態 |
説明 |
オン |
ボリュームで BitLocker が有効になっています。 |
オフ |
ボリュームで BitLocker が有効になっていません。 |
中断 |
BitLocker は中断され、ボリュームの保護はアクティブに行われていません。 |
アクティブ化を待機しています |
BitLocker は保護機能のクリア キーで有効になり、完全に保護するにはさらに操作が必要です。 |
ドライブで BitLocker があらかじめプロビジョニングされている場合、"アクティブ化を待機しています" の状態が ボリューム E 上に黄色の感嘆符アイコンと共に表示されます。この状態は、ボリュームを暗号化するときにクリア保護機能のみがあったことを意味します。この場合、ボリュームは保護された状態ではなく、ボリュームに安全なキーが追加されないとドライブは完全に保護されません。管理者は、コントロール パネル、manage-bde ツール、または WMI API を使って適切なキー保護機能を追加することができます。完了すると、コントロール パネルが更新され、新しい状態が反映されます。
コントロール パネルを使用すると、管理者は [BitLocker を有効にする] を選択して BitLocker ドライブの暗号化ウィザードを開始し、オペレーティング システム ボリュームの PIN (TPM が存在しない場合、パスワード) などの保護機能、またはデータ ボリュームに対するパスワードやスマート カード保護機能を追加することができます。
ボリュームの状態を変更する前に、ドライブのセキュリティ ウィンドウが表示されます。[BitLocker のアクティブ化] を選択すると、暗号化処理が完了します。
BitLocker の保護機能のアクティブ化が完了すると、完了の通知が表示されます。
manage-bde を使った BitLocker 状態の確認
コマンド ライン インターフェイスを好む管理者は、manage-bde を利用してボリュームの状態を確認できます。manage-bde では、ボリュームに関してコントロール パネルのグラフィカル ユーザー インターフェイス ツールよりも詳しい情報を返すことができます。たとえば、manage-bde では、使用中の BitLocker バージョン、暗号化の種類、ボリュームに関連付けられている保護機能を表示できます。
manage-bde を使ってボリュームの状態を確認するには、次のコマンドを使います。
manage-bde -status <volume>
注
-status コマンドと関連付けられているボリューム文字がない場合、コンピューター上のすべてのボリュームの状態が表示されます。
Windows PowerShell を使った BitLocker 状態の確認
Windows PowerShell コマンドでは、別の方法でボリュームの BitLocker 状態を照会することができます。manage-bde と同様、Windows PowerShell には、リモート コンピューター上のボリュームの状態を確認できる利点があります。
Get-BitLockerVolume コマンドレットを使うと、システム上の各ボリュームの現在の BitLocker 状態が表示されます。特定のボリュームについてさらに詳しい情報を取得するには、次のコマンドを使います。
Get-BitLockerVolume <volume> -Verbose | fl
このコマンドでは、暗号化方式、ボリュームの種類、キー保護機能などに関する情報が表示されます。
オペレーティング システム展開時の BitLocker のプロビジョニング
管理者は、Windows プレインストール環境からオペレーティング システムを展開する前に、BitLocker を有効にすることができます。これは、フォーマット済みのボリュームに適用され、ランダムに生成されるクリア キー保護機能と、Windows セットアップ プロセスを実行する前のボリュームの暗号化によって行われます。暗号化で、このドキュメントの後の方で説明している使用済みのディスク領域のみのオプションを使用している場合、この手順にかかる時間はほんの数秒であるため、通常の展開プロセスに適切に組み込むことができます。
BitLocker ボリュームの暗号化解除
ボリュームの暗号化を解除すると、BitLocker と関連付けられた保護機能がボリュームからすべて削除されます。暗号化解除は、保護が必要なくなったときに行う必要があります。トラブルシューティングの手順としては BitLocker の暗号化解除は行わないでください。BitLocker は、BitLocker コントロール パネル アプレット、manage-bde、または Windows PowerShell コマンドレットを使ってボリュームから削除できます。それぞれの方法について以下に詳しく説明します。
BitLocker コントロール パネル アプレットを使ったボリュームの暗号化解除
コントロール パネルを使った BitLocker 暗号化解除は、ウィザードを使って行います。コントロール パネルはエクスプローラーから呼び出すことも、直接開くこともできます。BitLocker コントロール パネルを開いたら、ユーザーは [BitLocker を無効にする] オプションを選択してプロセスを開始します。
選択すると、ユーザーは確認のダイアログ ボックスをクリックして続行することを選択します。BitLocker を無効にすることを確認すると、ドライブの暗号化解除のプロセスが開始し、コントロール パネルに状態が報告されます。
コントロール パネルは暗号化解除の進行状況を報告しませんが、タスク バーの通知領域には表示されます。通知領域のアイコンを選択すると、進行状況を示すモーダル ダイアログが開きます。
暗号化解除が完了すると、コントロール パネルでドライブの状態が更新され、暗号化できるようになります。
manage-bde コマンド ライン インターフェイスを使ったボリュームの暗号化解除
manage-bde を使ってボリュームの暗号化を解除することは非常に簡単です。manage-bde を使った暗号化解除では、プロセスを開始するのにユーザーの確認が必要ないという利点があります。manage-bde では -off コマンドを使って暗号化解除プロセスを開始します。暗号化解除のサンプル コマンドを次に示します。
manage-bde -off C:
このコマンドは、ボリュームの暗号化を解除しながら保護機能を無効にするため、暗号化解除が完了するとすべての保護機能が削除されます。ユーザーが暗号化解除の状態を確認する場合は、次のコマンドを使うことができます。
manage-bde -status C:
BitLocker Windows PowerShell コマンドレットを使ったボリュームの暗号化解除
Windows PowerShell コマンドレットを使った暗号化解除は、manage-bde と同様に簡単です。Windows PowerShell が提供する追加の利点は、1 つのパス内で複数のドライブの暗号化を解除できる点です。次の例のユーザーには暗号化されたボリュームが 3 つあり、暗号化を解除します。
Disable-BitLocker コマンドを使うと、すべての保護機能と暗号化を同時に削除でき、追加のコマンドが必要ありません。このコマンドの例は次のとおりです。
DisableBitLocker
ユーザーが各マウント ポイントを個別に入力したくない場合は、-MountPoint パラメーターを配列に使うことで、追加のユーザー入力を必要とせずに同じコマンドを 1 つの行に配列することができます。次にコマンドの例を示します。
Disable-BitLocker -MountPoint E:,F:,G: