manage-bde protectors
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
BitLocker 暗号化キーの保護方法を管理します。
構文
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
パラメーター
| パラメーター | 説明 |
|---|---|
| 取得 | ドライブで有効になっているすべてのキーの保護方法を表示し、それらの型と識別子 (ID) を提供します。 |
| 追加 | 追加の -add パラメーターを使用して指定されたとおり、キーの保護方法を追加します。 |
| -削除 | BitLocker で使用されるキーの保護方法を削除します。 オプションの -delete を使用して、削除する保護機能をしない場合は、ドライブからすべてのキーの保護機能が削除されます。 ドライブ上の最後の保護機能が削除されると、あるデータへのアクセスが失われないように不注意にドライブの BitLocker による保護が無効です。 |
| -を無効にします。 | 暗号化キーで使用できるをドライブにセキュリティで保護されて暗号化されたデータにアクセスできるようにするには、保護を無効にします。 キーの保護機能は削除されません。 オプションの -disable パラメーターを使用して、再起動数を指定しない場合は、Windows の次回起動時に保護が再開されます。 |
| -を有効にします。 | 保護を有効するには、ドライブから、保護されていない暗号化キーを削除します。 ドライブで構成されているすべてのキー プロテクターが適用されます。 |
| -adbackup | Active Directory Domain Services (AD DS) に指定されたドライブのすべての回復情報をバックアップします。 -id パラメーターを追加して、バックアップする特定の回復キーの ID を指定します。 -id パラメーターは必須です。 |
| -aadbackup | Microsoft Entra ID に指定されたドライブのすべての回復情報をバックアップします。 -id パラメーターを追加して、バックアップする特定の回復キーの ID を指定します。 -id パラメーターは必須です。 |
<drive> |
コロンの後にドライブ文字を表します。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? または /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -add パラメーター
-add パラメーターでは、以下の有効な追加パラメーターを使用することもできます。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| パラメーター | 説明 |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -recoverypassword | 数値パスワード保護機能を追加します。 このコマンドの簡易版として、-rp を使うこともできます。 |
<numericalpassword> |
回復パスワードを表します。 |
| -recoverykey | 回復用の外部キーの保護機能を追加します。 このコマンドの簡易版として、-rk を使うこともできます。 |
<pathtoexternalkeydirectory> |
回復キーへのディレクトリ パスを表します。 |
| -startupkey | スタートアップ用の外部キー保護機能を追加します。 このコマンドの簡易版として、-sk を使うこともできます。 |
<pathtoexternalkeydirectory> |
スタートアップ キーへのディレクトリ パスを表します。 |
| -証明書 | データ ドライブの公開キー保護機能を追加します。 使用することも -cert としてこのコマンドの簡易版です。 |
| cf | 公開キー証明書を提供する証明書ファイルが使用されることを指定します。 |
<pathtocertificatefile> |
証明書ファイルをディレクトリのパスを表します。 |
| -ct | 証明書の拇印が公開キー証明書を識別するために使用されることを指定します。 |
<certificatethumbprint> |
使用する証明書の拇印プロパティの値を指定します。 たとえば、証明書のサムプリント値 a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b は、a909502dd82ae41433e6f83886b00d4277a32a7b と指定する必要があります。 |
| -tpmandpin | オペレーティング システム ドライブ用にトラステッド プラットフォーム モジュール (TPM) と個人識別番号 (PIN) 保護機能を追加します。 このコマンドの簡易版として、-tp を使うこともできます。 |
| -tpmandstartupkey | オペレーティング システム ドライブ用に TPM とスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tsk を使うこともできます。 |
| -tpmandpinandstartupkey | オペレーティング システム ドライブ用に TPM、PIN およびスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tpsk を使うこともできます。 |
| -パスワード | データ ドライブのパスワード キー保護機能を追加します。 使用することも - pw としてこのコマンドの簡易版です。 |
| -adaccountorgroup | セキュリティ識別子 (SID) を追加-ベースのボリュームの保護機能を識別します。 使用することも -sid としてこのコマンドの簡易版です。 重要: 既定では、WMI または manage-bde を使用してリモートで ADaccountorgroup 保護機能を追加することはできません。 デプロイにリモートでこの保護機能を追加する機能が必要な場合、制約付き委任を有効にする必要があります。 |
| -computername | 別のコンピューター上の BitLocker 保護を変更するために manage-bde を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? または /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -delete パラメーター
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| パラメーター | 説明 |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| 型 | 削除するキー保護機能を識別します。 使用することも -t としてこのコマンドの簡易版です。 |
| recoverypassword | 任意の回復パスワードのキー プロテクターを削除するかを指定します。 |
| externalkey | ドライブに関連付けられているすべての外部キー プロテクターを削除するかを指定します。 |
| 証明書 (certificate) | ドライブに関連付けられているすべての証明書のキー プロテクターを削除するかを指定します。 |
| tpm | TPM のみキー プロテクター ドライブに関連付けられているを削除するかを指定します。 |
| tpmandstartupkey | ドライブに関連付けられているすべての TPM とスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpin | ドライブに関連付けられているすべての TPM と PIN に基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpinandstartupkey | ドライブに関連付けられているすべての TPM、PIN、およびスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| password | ドライブに関連付けられているパスワード キーの保護を削除するかを指定します。 |
| identity | ドライブに関連付けられているすべての id キー プロテクターを削除するかを指定します。 |
| -ID | キー識別子を使用して削除するキー保護機能を識別します。 このパラメーターは、代わりのオプションを -型 パラメーター。 |
<keyprotectorID> |
個々 のキー保護機能、ドライブを削除するを識別します。 使用して、キー保護機能の Id を表示できる、 から manage-bde-プロテクター-取得 コマンドです。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? または /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -disable パラメーター
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| パラメーター | 説明 |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| rebootcount | オペレーティング システム ボリュームの保護が中断されており、rebootcount パラメーターで指定された回数分 Windows が再起動された後で再開することを指定します。 保護を無期限に停止する場合は 0 を指定します。 このパラメーターが指定されていない場合は、Windows が再起動されたときに、BitLocker 保護が自動的に再開します。 使用することも -rc としてこのコマンドの簡易版です。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? または /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
例
証明書ファイルによって識別される証明書キー プロテクターをドライブ E に追加するには、次のように入力します。
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
ドメインとユーザー名で識別される adaccountorgroup キーの保護機能をドライブ E に追加するには、次のように入力します。
manage-bde -protectors -add E: -sid DOMAIN\user
コンピューターが 3 回再起動されるまで保護を無効にするには、次のように入力します。
manage-bde -protectors -disable C: -rc 3
ドライブ C のすべての TPM およびスタートアップ キーに基づくキーの保護機能を削除するには、次のように入力します。
manage-bde -protectors -delete C: -type tpmandstartupkey
C ドライブに対するすべてのキーの保護機能の一覧を表示するには、次のように入力します。
manage-bde -protectors -get C:
C ドライブのすべての回復情報を AD DS にバックアップするには、次のように入力します (-id は、バックアップする特定のキーの保護機能の ID です)。
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'