manage-bde: 保護機能manage-bde: protectors

適用先:Windows Server 2016 の Windows Server (半期チャネル)Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

BitLocker 暗号化キーの保護方法を管理します。Manages the protection methods used for the BitLocker encryption key. このコマンドの使用方法の例については、次を参照してください。 します。For examples of how this command can be used, see Examples.

構文Syntax

manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <Drive> [-computername <Name>] [{-?|/?}] [{-help|-h}]

パラメーターParameters

パラメーターParameter 説明Description
取得-get ドライブで有効になっているすべてのキーの保護方法を表示し、それらの型と識別子 (ID) を提供します。Displays all the key protection methods enabled on the drive and provides their type and identifier (ID).
追加-add 追加のキーの保護方法を使用して指定された追加パラメーターを追加します。adds key protection methods as specified by using additional add parameters.
-削除-delete BitLocker で使用されるキーの保護方法を削除します。deletes key protection methods used by BitLocker. ない場合は、ドライブからすべてのキー プロテクターを削除は、省略可能な -パラメーターを削除 を削除するどの保護装置を指定するために使用します。All key protectors will be removed from a drive unless the optional -delete parameters are used to specify which protectors to delete. ドライブ上の最後の保護機能が削除されると、あるデータへのアクセスが失われないように不注意にドライブの BitLocker による保護が無効です。When the last protector on a drive is deleted, BitLocker protection of the drive is disabled to ensure that access to data is not lost inadvertently.
-を無効にします。-disable 暗号化キーで使用できるをドライブにセキュリティで保護されて暗号化されたデータにアクセスできるようにするには、保護を無効にします。Disables protection, which will allow anyone to access encrypted data by making the encryption key available unsecured on drive. キーの保護機能は削除されません。No key protectors are removed. しない限り、Windows が起動されて、次回の保護を再開する、省略可能な -パラメーターを無効にする 再起動数を指定するために使用します。Protection will be resumed the next time Windows is booted unless the optional -disable parameters are used to specify the reboot count.
-を有効にします。-enable 保護を有効するには、ドライブから、保護されていない暗号化キーを削除します。Enables protection by removing the unsecured encryption key from the drive. ドライブで構成されているすべてのキー プロテクターが適用されます。All configured key protectors on the drive will be enforced.
-adbackup-adbackup Active Directory ドメイン サービス (AD DS) に指定されたドライブのすべての回復情報をバックアップします。Backs up all recovery information for the drive specified to Active Directory Domain Services (AD DS). AD DS に 1 つの回復キーのみをバックアップするには、追加、 -id パラメーターをバックアップする特定の回復キーの ID を指定します。To back up only a single recovery key to AD DS, append the -id parameter and specify the ID of a specific recovery key to back up.
-aadbackup-aadbackup Azure Active Directory (Azure Ad) に指定されたドライブのすべての回復情報をバックアップします。Backs up all recovery information for the drive specified to Azure Active Directory (Azure Ad). Azure AD に 1 つの回復キーのみをバックアップするには追加、 -idパラメーターをバックアップする特定の回復キーの ID を指定します。To back up only a single recovery key to Azure AD, append the -id parameter and specify the ID of a specific recovery key to back up.
コロンの後にドライブ文字を表します。Represents a drive letter followed by a colon.
-computername-computername 別のコンピューターに bitlocker による保護の変更に使用する、bde.exe を指定します。Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. 使用することも - cnとしてこのコマンドの簡易版です。You can also use -cn as an abbreviated version of this command.
BitLocker による保護を変更するコンピューターの名前を表します。Represents the name of the computer on which to modify BitLocker protection. 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? または /?or /? コマンド プロンプトでヘルプの簡単なが表示されます。Displays brief help at the command prompt.
--help または-h-help or -h コマンド プロンプトでヘルプを完了しますが表示されます。Displays complete help at the command prompt.

構文およびパラメーターの追加-add syntax and parameters

manage-bde  protectors  add [<Drive>] [-forceupgrade] [-recoverypassword <NumericalPassword>] [-recoverykey <pathToExternalKeydirectory>]
[-startupkey <pathToExternalKeydirectory>] [-certificate {-cf <pathToCertificateFile>|-ct <CertificateThumbprint>}] [-tpm] [-tpmandpin] 
[-tpmandstartupkey <pathToExternalKeydirectory>] [-tpmandpinandstartupkey <pathToExternalKeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <Name>] 
[{-?|/?}] [{-help|-h}]
パラメーターParameter 説明Description
コロンの後にドライブ文字を表します。Represents a drive letter followed by a colon.
-recoverypassword-recoverypassword 数字のパスワード保護機能を追加します。adds a numerical password protector. 使用することも - rpとしてこのコマンドの簡易版です。You can also use -rp as an abbreviated version of this command.
回復パスワードを表します。Represents the recovery password.
-recoverykey-recoverykey 回復用の外部キー プロテクターを追加します。adds an external key protector for recovery. 使用することもrkとしてこのコマンドの簡易版です。You can also use -rk as an abbreviated version of this command.
回復キーをディレクトリのパスを表します。Represents the directory path to the recovery key.
-startupkey-startupkey スタートアップの外部キー保護機能を追加します。adds an external key protector for startup. 使用することも -skとしてこのコマンドの簡易版です。You can also use -sk as an abbreviated version of this command.
スタートアップ キーには、ディレクトリ パスを表します。Represents the directory path to the startup key.
-証明書-certificate データ ドライブのパブリック キー保護機能を追加します。adds a public key protector for a data drive. 使用することも -cert としてこのコマンドの簡易版です。You can also use -cert as an abbreviated version of this command.
cf-cf 公開キー証明書を提供する証明書ファイルが使用されることを指定します。Specifies that a certificate file will be used to provide the public key certificate.
証明書ファイルをディレクトリのパスを表します。Represents the directory path to the certificate file.
-ct-ct 証明書の拇印が公開キー証明書を識別するために使用されることを指定します。Specifies that a certificate thumbprint will be used to identify the public key certificate
使用する証明書の拇印プロパティの値を指定します。Specifies the value of the thumbprint property of the certificate you want to use. たとえば、証明書のサムプリント値"a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0 d 42 77 a3 2a 7b"内"a909502dd82ae41433e6f83886b00d4277a32a7b"として指定する必要があります。For example, a certificate thumbprint value of "a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b" should be specified as "a909502dd82ae41433e6f83886b00d4277a32a7b."
-tpmandpin-tpmandpin トラステッド プラットフォーム モジュール (TPM) と、オペレーティング システム ドライブの個人識別番号 (PIN) 保護が機能を追加します。adds a Trusted Platform Module (TPM) and personal identification number (PIN) protector for the operating system drive. 使用することも -tpとしてこのコマンドの簡易版です。You can also use -tp as an abbreviated version of this command.
-tpmandstartupkey-tpmandstartupkey オペレーティング システム ドライブの TPM とスタートアップ キー プロテクターを追加します。adds a TPM and startup key protector for the operating system drive. 使用することも -やれとしてこのコマンドの簡易版です。You can also use -tsk as an abbreviated version of this command.
-tpmandpinandstartupkey-tpmandpinandstartupkey TPM、PIN、およびオペレーティング システム ドライブのスタートアップ キーの保護機能を追加します。adds a TPM, PIN, and startup key protector for the operating system drive. 使用することも - tpskとしてこのコマンドの簡易版です。You can also use -tpsk as an abbreviated version of this command.
-パスワード-password データ ドライブのパスワードのキー保護機能を追加します。adds a password key protector for the data drive. 使用することも - pw としてこのコマンドの簡易版です。You can also use -pw as an abbreviated version of this command.
-adaccountorgroup-adaccountorgroup セキュリティ識別子 (SID) を追加-ベースのボリュームの保護機能を識別します。adds a security identifier(SID)-based identity protector for the volume. 使用することも -sid としてこのコマンドの簡易版です。You can also use -sid as an abbreviated version of this command. 重要: 既定では、WMI または、manage-bde を使用してリモートで ADAccountOrGroup プロテクターを追加することはできません。IMPORTANT: By default, you cannot add an ADAccountOrGroup protector remotely using either WMI or manage-bde. デプロイには、リモートでこの保護機能を追加する機能が必要な場合は、制約付き委任を有効にする必要があります。if your deployment requires the ability to add this protector remotely you must enable constrained delegation.
-computername-computername 別のコンピューターに bitlocker による保護の変更に使用されるその、manage-bde を指定します。Specifies that manage-bde is being used to modify BitLocker protection on a different computer. 使用することも - cnとしてこのコマンドの簡易版です。You can also use -cn as an abbreviated version of this command.
BitLocker による保護を変更するコンピューターの名前を表します。Represents the name of the computer on which to modify BitLocker protection. 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。Accepted values include the computer's NetBIOS name and the computer's IP address.

構文とパラメーターの削除-delete syntax and parameters

manage-bde  protectors  delete <Drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}] 
[-id <KeyProtectorID>] [-computername <Name>] [{-?|/?}] [{-help|-h}]
パラメーターParameter 説明Description
コロンの後にドライブ文字を表します。Represents a drive letter followed by a colon.
-type 削除するキー保護機能を識別します。Identifies the key protector to delete. 使用することも -t としてこのコマンドの簡易版です。You can also use -t as an abbreviated version of this command.
recoverypasswordrecoverypassword 任意の回復パスワードのキー プロテクターを削除するかを指定します。Specifies that any recovery password key protectors should be deleted.
externalkeyexternalkey ドライブに関連付けられているすべての外部キー プロテクターを削除するかを指定します。Specifies that any external key protectors associated with the drive should be deleted.
証明書 (certificate)certificate ドライブに関連付けられているすべての証明書のキー プロテクターを削除するかを指定します。Specifies that any certificate key protectors associated with the drive should be deleted.
tpmtpm TPM のみキー プロテクター ドライブに関連付けられているを削除するかを指定します。Specifies that any TPM-only key protectors associated with the drive should be deleted.
tpmandstartupkeytpmandstartupkey TPM とスタートアップ キーに基づいてキー プロテクター ドライブに関連付けられているを削除する必要がありますを指定します。Specifies that any TPM and startup key based key protectors associated with the drive should be deleted.
tpmandpintpmandpin 指定します、TPM および PIN ベースのキー プロテクター ドライブに関連付けを削除する必要があります。Specifies that any TPM and PIN based key protectors associated with the drive should be deleted.
tpmandpinandstartupkeytpmandpinandstartupkey TPM、PIN、およびスタートアップ キーに基づいてキー プロテクター ドライブに関連付けられているを削除することを指定します。Specifies that any TPM, PIN, and startup key based key protectors associated with the drive should be deleted.
passwordpassword ドライブに関連付けられているパスワード キーの保護を削除するかを指定します。Specifies that any password key protectors associated with the drive should be deleted.
IDidentity ドライブに関連付けられているすべての id キー プロテクターを削除するかを指定します。Specifies that any identity key protectors associated with the drive should be deleted.
-id-id キー識別子を使用して削除するキー保護機能を識別します。Identifies the key protector to delete by using the key identifier. このパラメーターは、代わりのオプションを -型 パラメーター。This parameter is an alternative option to the -type parameter.
個々 のキー保護機能、ドライブを削除するを識別します。Identifies an individual key protector on the drive to delete. 使用して、キー保護機能の Id を表示できる、 から manage-bde-プロテクター-取得 コマンドです。Key protector IDs can be displayed by using the manage-bde -protectors -get command.
-computername-computername 別のコンピューターに bitlocker による保護の変更に使用する、bde.exe を指定します。Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. 使用することも - cnとしてこのコマンドの簡易版です。You can also use -cn as an abbreviated version of this command.
BitLocker による保護を変更するコンピューターの名前を表します。Represents the name of the computer on which to modify BitLocker protection. 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? または /?or /? コマンド プロンプトでヘルプの簡単なが表示されます。Displays brief help at the command prompt.
--help または-h-help or -h コマンド プロンプトでヘルプを完了しますが表示されます。Displays complete help at the command prompt.

構文とパラメーターを無効にします。-disable syntax and parameters

manage-bde  protectors  disable <Drive> [-RebootCount <integer 0 - 15>] [-computername <Name>] [{-?|/?}] [{-help|-h}]
パラメーターParameter 説明Description
コロンの後にドライブ文字を表します。Represents a drive letter followed by a colon.
RebootCountRebootCount Windows 8 以降を指定再起動 RebootCount パラメーターで指定された回数の合計のオペレーティング システムのボリュームの保護が中断されているし、Windows がされた後に再開されます。Starting with Windows 8, specifies that protection of the operating system volume has been suspended and will resume after Windows has been restarted the number of times specified in the RebootCount parameter. 保護が無期限に停止する場合は 0 を指定します。Specify 0 to suspend protection indefinitely. このパラメーターが BitLocker 保護が自動的に指定されていない場合は、Windows が再起動されたときを再開します。If this parameter is not specified BitLocker protection will automatically resume when Windows is restarted. 使用することも -rc としてこのコマンドの簡易版です。You can also use -rc as an abbreviated version of this command.
-computername-computername 別のコンピューターに bitlocker による保護の変更に使用する、bde.exe を指定します。Specifies that manage-bde.exe will be used to modify BitLocker protection on a different computer. 使用することも - cnとしてこのコマンドの簡易版です。You can also use -cn as an abbreviated version of this command.
BitLocker による保護を変更するコンピューターの名前を表します。Represents the name of the computer on which to modify BitLocker protection. 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。Accepted values include the computer's NetBIOS name and the computer's IP address.
-?-? または /?or /? コマンド プロンプトでヘルプの簡単なが表示されます。Displays brief help at the command prompt.
--help または-h-help or -h コマンド プロンプトでヘルプを完了しますが表示されます。Displays complete help at the command prompt.

Examples

次の例を使用して、 -プロテクター ドライブ E に証明書ファイルで確認された証明書キー保護機能を追加するコマンドThe following example illustrates using the -protectors command to add a certificate key protector identified by a certificate file to drive E.

manage-bde  protectors  add E: -certificate  cf "c:\File Folder\Filename.cer"

次の例を使用して、 -プロテクター を追加するコマンド、 adaccountorgroup ドライブ E にドメインとユーザー名で識別されるキーの保護機能The following example illustrates using the -protectors command to add an adaccountorgroup key protector identified by domain and user name to drive E.

manage-bde  protectors  add E: -sid DOMAIN\user

次の例を使用して、プロテクターコンピューターが 3 回を再起動するまで、保護を無効にするコマンド。The following example illustrates using the protectors command to disable protection until the computer has rebooted 3 times.

manage-bde  protectors  disable C: -rc 3

次の例を使用して、 -プロテクターすべて TPM とスタートアップ キーを削除するコマンドがに基づいて C ドライブのキー プロテクターThe following example illustrates using the -protectors command to delete all TPM and startup key based key protectors on drive C.

manage-bde  protectors  delete C: -type tpmandstartupkey

次の例を使用して、 -プロテクター ドライブ C のすべての回復情報を AD DS にバックアップするコマンドです。The following example illustrates using the -protectors command to back up all recovery information for drive C to AD DS.

manage-bde  protectors  adbackup C:

その他の参照additional references