BitLocker CSP
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
BitLocker 構成サービス プロバイダー (CSP) は、PC とデバイスの暗号化を管理するために企業によって使用されます。 この CSP は、バージョン 1703 Windows 10で追加されました。 Windows 10 Version 1809以降、Windows 10 Proでもサポートされています。
注
ポリシーを使用して有効または無効にする以外に CSP を使用して RequireDeviceEncryption BitLocker を管理するには、管理プラットフォームに関係なく、次のいずれかのライセンスをユーザーに割り当てる必要があります。
- Windows 10/11 Enterprise E3 または E5 (Microsoft 365 F3、E3、E5 に含まれます)。
- Windows 10/11 Enterprise A3 または A5 (Microsoft 365 A3 および A5 に含まれます)。
Getおよび RequireStorageCardEncryptionを除くRequireDeviceEncryptionいずれかの設定に対する操作は、管理者によって構成された設定を返します。
RequireDeviceEncryption と RequireStorageCardEncryption の場合、Get 操作は、信頼されたプラットフォーム モジュール (TPM) 保護が必要な場合や暗号化が必要な場合など、適用の実際の状態を管理者に返します。 デバイスで BitLocker が有効になっているが、パスワード 保護機能がある場合、報告される状態は 0 です。 RequireDeviceEncryption に対する Get 操作では、最小 PIN 長が適用されていることを確認できません (SystemDrivesMinimumPINLength)。
注
- 設定は、暗号化が開始された時点でのみ適用されます。 設定が変更された場合、暗号化は再起動されません。
- 有効にするには、すべての設定を 1 つの SyncML にまとめて送信する必要があります。
次の一覧は、BitLocker 構成サービス プロバイダー ノードを示しています。
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- 状態
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
現在ログオンしているユーザーが管理者または標準以外のユーザーである間にポリシーがプッシュされるシナリオに対して、管理が "RequireDeviceEncryption" ポリシーを適用できるようにします。
"AllowStandardUserEncryption" ポリシーは、"0" に設定されている "AllowWarningForOtherDiskEncryption" ポリシーに関連付けられています。つまり、サイレント暗号化が適用されます。
"AllowWarningForOtherDiskEncryption" が設定されていない場合、または "1" に設定されている場合、標準ユーザーがシステムの現在のログオン ユーザーである場合、"RequireDeviceEncryption" ポリシーはドライブの暗号化を試みません。
このポリシーに必要な値は次のとおりです。
1 = "RequireDeviceEncryption" ポリシーは、現在ログインしているユーザーが標準ユーザーであっても、すべての固定ドライブで暗号化を有効にしようとします。
0 = ポリシーが設定されていない場合の既定値です。 現在ログオンしているユーザーが標準ユーザーの場合、"RequireDeviceEncryption" ポリシーはどのドライブでも暗号化を有効にしようとしません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
| 依存関係 [AllowWarningForOtherDiskEncryptionDependency] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | これは、ポリシーが設定されていない場合の既定値です。 現在ログオンしているユーザーが標準ユーザーの場合、"RequireDeviceEncryption" ポリシーはどのドライブでも暗号化を有効にしようとしません。 |
| 1 | "RequireDeviceEncryption" ポリシーは、現在ログインしているユーザーが標準ユーザーであっても、すべての固定ドライブで暗号化を有効にしようとします。 |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
管理は、すべての UI (暗号化の通知と他のディスク暗号化の警告プロンプト) を無効にし、ユーザー マシンの暗号化をサイレント モードで有効にすることができます。
Warning
サード パーティの暗号化を使用してデバイスで BitLocker を有効にすると、デバイスが使用できなくなる可能性があり、Windows の再インストールが必要になります。
注
このポリシーは、"RequireDeviceEncryption" ポリシーが 1 に設定されている場合にのみ有効になります。
このポリシーに必要な値は次のとおりです。
1 = ポリシーが設定されていない場合の既定値です。 警告プロンプトと暗号化通知が許可されます。
0 = 警告プロンプトと暗号化通知を無効にします。 次のメジャー更新Windows 10以降、値 0 は、Microsoft Entra参加済みデバイスでのみ有効になります。
Windows では、値 0 に対して BitLocker をサイレント モードで有効にしようとします。
注
警告プロンプトを無効にすると、OS ドライブの回復キーがユーザーのMicrosoft Entra アカウントにバックアップされます。 警告プロンプトを許可すると、プロンプトを受け取ったユーザーは、OS ドライブの回復キーをバックアップする場所を選択できます。
固定データ ドライブのバックアップのエンドポイントは、次の順序で選択されます。
- ユーザーのWindows Server Active Directory Domain Services アカウント。
- ユーザーのMicrosoft Entra アカウント。
- ユーザーの個人用 OneDrive (MDM/MAM のみ)。
暗号化は、これら 3 つの場所のいずれかが正常にバックアップされるまで待機します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 警告プロンプトを無効にします。 バージョン 1803 Windows 10以降、値 0 は、Microsoft Entra参加しているデバイスに対してのみ設定できます。 Windows では、値 0 に対して BitLocker をサイレント モードで有効にしようとします。 |
| 1 (既定値) | 警告プロンプトが許可されます。 |
例:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1909 [10.0.18363] 以降 |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
管理は、Microsoft Entra IDおよびハイブリッド ドメイン参加済みデバイス上の OS および固定ドライブに使用する際に、数値回復パスワードローテーションを構成できます。
構成されていない場合、ハイブリッドの場合は、Microsoft Entra IDのみの回転が既定でオンになり、オフになります。 ポリシーは、回復パスワードの Active Directory バックアップが必須に構成されている場合にのみ有効になります。
OS ドライブの場合: [オペレーティング システム ドライブの AD DS に回復情報が保存されるまで BitLocker を有効にしない] をオンにします。
固定ドライブの場合: [固定データ ドライブの回復情報が AD DS に保存されるまで BitLocker を有効にしない] をオンにします。
サポートされている値: 0 - 数値回復パスワードのローテーション OFF。
1 - Microsoft Entra参加しているデバイスで ON を使用すると、回復パスワードのローテーションが数値化されます。 既定値 2 - Microsoft Entra IDデバイスとハイブリッド デバイスの両方で ON を使用した場合の数値復旧パスワードローテーション。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 更新オフ (既定値)。 |
| 1 | Microsoft Entra参加済みデバイスの更新。 |
| 2 | Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスの両方について更新します。 |
EncryptionMethodByDriveType
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
このポリシー設定は、コンピューターがリムーバブル データ ドライブにデータを書き込むのに BitLocker 保護が必要かどうかを構成します。
- このポリシー設定を有効にすると、BitLocker で保護されていないすべてのリムーバブル データ ドライブが読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
[別のorganizationで構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの識別フィールドに一致する識別フィールドを持つドライブにのみ書き込みアクセス権が付与されます。 リムーバブル データ ドライブにアクセスすると、有効な識別フィールドと許可されている識別フィールドがチェックされます。 これらのフィールドは、"organizationの一意識別子を指定する" ポリシー設定によって定義されます。
- このポリシー設定を無効にするか、構成しない場合、コンピューター上のすべてのリムーバブル データ ドライブが読み取りおよび書き込みアクセスでマウントされます。
注
このポリシー設定は、ユーザー構成\管理用テンプレート\System\リムーバブル 記憶域アクセスのポリシー設定でオーバーライドできます。 [リムーバブル ディスク: 書き込みアクセスを拒否する] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。
注
EncryptionMethodByDriveType を有効にする場合は、3 つのドライブ (オペレーティング システム、固定データ、リムーバブル データ) すべてに値を指定する必要があります。それ以外の場合は失敗します (500 の戻り状態)。 たとえば、OS とリムーバブル ドライブの暗号化方法のみを設定すると、500 の戻り状態が返されます。
データ ID 要素:
- EncryptionMethodWithXtsOsDropDown_Name = オペレーティング システム ドライブの暗号化方法を選択します。
- EncryptionMethodWithXtsFdvDropDown_Name = 固定データ ドライブの暗号化方法を選択します。
- EncryptionMethodWithXtsRdvDropDown_Name = リムーバブル データ ドライブの暗号化方法を選択します。
このポリシーを有効にし、暗号化方法を設定するためのこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
'xx' の使用可能な値は次のとおりです。
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RDVDenyWriteAccess_Name |
| フレンドリ名 | BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > リムーバブル データ ドライブ |
| レジストリ キー名 | System\CurrentControlSet\Policies\Microsoft\FVE |
| レジストリ値の名前 | RDVDenyWriteAccess |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用される暗号化の種類を構成できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[使用領域のみ暗号化] を選択します。
このポリシー設定を有効にした場合、BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
このポリシー設定を無効にするか、構成しない場合、BitLocker をオンにする前に、BitLocker セットアップ ウィザードによって暗号化の種類の選択がユーザーに求められます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
設定可能な値:
- 0: ユーザーの選択を許可します。
- 1: 完全暗号化。
- 2: 使用された領域のみの暗号化。
注
このポリシーは、ボリュームを圧縮または拡張しているときに、BitLocker ドライバーが現在の暗号化方法を使用している場合は無視されます。 たとえば、使用済み領域のみの暗号化を使用しているドライブが展開されると、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。
BitLocker を管理するツールの詳細については、「 manage-bde」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | FDVEncryptionType_Name |
| フレンドリ名 | 固定データ ドライブにドライブ暗号化の種類を適用する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > 固定データ ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | FDVEncryptionType |
| ADMX ファイル名 | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。
[データ復旧エージェントを許可する] チェック ボックスを使用して、BitLocker で保護された固定データ ドライブでデータ復旧エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターの [公開キー ポリシー] 項目から追加する必要があります。 データ復旧エージェントの追加の詳細については、Microsoft TechNet の BitLocker ドライブ暗号化展開ガイドを参照してください。
[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードまたは 256 ビットの回復キーを生成することを許可、必須、または許可しないかどうかを選択します。
[BitLocker セットアップ ウィザードから回復オプションを省略する] を選択すると、ユーザーがドライブで BitLocker をオンにしたときに回復オプションが指定されなくなります。 つまり、BitLocker をオンにするときに使用する回復オプションを指定することはできません。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。
[BitLocker 回復情報をActive Directory Domain Servicesに保存する] で、固定データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。 [バックアップ回復パスワードとキー パッケージ] を選択すると、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。 [バックアップ回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます。
コンピューターがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにするには、[回復情報が AD DS に保存されるまで BitLocker を有効にしない] チェックボックスをオンにします。
注
[固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェックボックスが選択されている場合、回復パスワードが自動的に生成されます。
このポリシー設定を有効にした場合は、BitLocker で保護された固定データ ドライブからデータを回復するためにユーザーが使用できる方法を制御できます。
このポリシー設定が構成または無効になっていない場合は、BitLocker 回復の既定の回復オプションがサポートされます。 既定では、DRA は許可されています。回復オプションは、回復パスワードと回復キーを含むユーザーによって指定でき、回復情報は AD DS にバックアップされません。
データ ID 要素:
- FDVAllowDRA_Name: データ復旧エージェントを許可する
- FDVRecoveryPasswordUsageDropDown_NameとFDVRecoveryKeyUsageDropDown_Name: BitLocker 回復情報のユーザー ストレージを構成する
- FDVHideRecoveryPage_Name: BitLocker セットアップ ウィザードから回復オプションを省略する
- FDVActiveDirectoryBackup_Name: BitLocker 回復情報を Active Directory Domain Services に保存する
- FDVActiveDirectoryBackupDropDown_Name: AD DS への BitLocker 回復情報のストレージを構成する
- FDVRequireActiveDirectoryBackup_Name: 固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
'xx' の使用可能な値は次のとおりです。
- true = 明示的に許可する
- false = ポリシーが設定されていません
'yy' の使用可能な値は次のとおりです。
- 0 = 許可されていません
- 1 = 必須
- 2 = 許可
'zz' の使用可能な値は次のとおりです。
- 1 = 回復パスワードとキー パッケージを格納する
- 2 = 回復パスワードのみを保存する
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | FDVRecoveryUsage_Name |
| フレンドリ名 | BitLocker で保護された固定ドライブを回復する方法を選択する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > 固定データ ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | FDVRecovery |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
このポリシー設定は、固定データ ドライブをコンピューター上で書き込み可能にするために BitLocker 保護が必要かどうかを決定します。
このポリシー設定を有効にすると、BitLocker で保護されていない固定データ ドライブはすべて読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
このポリシー設定を無効にするか、構成しない場合、コンピューター上のすべての固定データ ドライブが読み取りおよび書き込みアクセスでマウントされます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。 <enabled/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | FDVDenyWriteAccess_Name |
| フレンドリ名 | BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > 固定データ ドライブ |
| レジストリ キー名 | System\CurrentControlSet\Policies\Microsoft\FVE |
| レジストリ値の名前 | FDVDenyWriteAccess |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/IdentificationField
このポリシー設定を使用すると、BitLocker で有効になっている新しいドライブに一意の組織識別子を関連付けることができます。 これらの識別子は、識別フィールドと許可された識別フィールドとして格納されます。 識別フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けることができます。 この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され、 manage-bde コマンド ライン ツールを使用して、既存の BitLocker で保護されたドライブで更新できます。 BitLocker で保護されたドライブでの証明書ベースのデータ復旧エージェントの管理と、BitLocker To Go リーダーの潜在的な更新には、識別フィールドが必要です。 BitLocker は、ドライブ上の識別フィールドが識別フィールドで構成されている値と一致する場合にのみ、データ回復エージェントを管理および更新します。 同様の方法で、BitLocker は、ドライブの識別フィールドが識別フィールドに構成されている値と一致する場合にのみ、BitLocker To Go リーダーを更新します。
許可される識別フィールドは、organizationでのリムーバブル ドライブの使用を制御するのに役立つ [BitLocker によって保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定と組み合わせて使用されます。 これは、organizationやその他の外部組織からの識別フィールドのコンマ区切りの一覧です。
manage-bde.exe を使用して、既存のドライブの識別フィールドを構成できます。
- このポリシー設定を有効にした場合は、BitLocker で保護されたドライブの識別フィールドと、organizationで使用できる識別フィールドを構成できます。
BitLocker で保護されたドライブが別の BitLocker 対応コンピューターにマウントされている場合、識別フィールドと許可された識別フィールドを使用して、ドライブが外部のorganizationからのものかどうかを判断します。
- このポリシー設定を無効にするか、構成しない場合は、識別フィールドは必要ありません。
注
BitLocker で保護されたドライブでの証明書ベースのデータ復旧エージェントの管理には、識別フィールドが必要です。 BitLocker は、識別フィールドがドライブ上にあり、コンピューターで構成されている値と同じである場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。 識別フィールドには、260 文字以下の任意の値を指定できます。
データ ID 要素:
- IdentificationField: これは BitLocker 識別フィールドです。
- SecIdentificationField: これは、許可されている BitLocker 識別フィールドです。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | IdentificationField_Name |
| フレンドリ名 | organizationの一意の識別子を指定します |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブの暗号化 |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | IdentificationField |
| ADMX ファイル名 | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
このポリシー設定は、リムーバブル データ ドライブでの BitLocker の使用を制御します。 このポリシー設定は、BitLocker をオンにするときに適用されます。
このポリシー設定を有効にすると、ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。 ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できるようにするには、[リムーバブル データ ドライブに BitLocker 保護を適用することをユーザーに許可する] を選択します。 [リムーバブル データ ドライブの BitLocker の一時停止と暗号化解除をユーザーに許可する] を選択すると、ユーザーはドライブから BitLocker ドライブの暗号化を削除したり、メンテナンスの実行中に暗号化を中断したりできます。 BitLocker 保護の中断の詳細については、「 BitLocker Basic Deployment」を参照してください。
このポリシー設定を構成しない場合、ユーザーはリムーバブル ディスク ドライブで BitLocker を使用できます。
このポリシー設定を無効にした場合、ユーザーはリムーバブル ディスク ドライブで BitLocker を使用できません。
データ ID 要素:
- RDVAllowBDE_Name: ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用できるようにします。
- RDVDisableBDE_Name: ユーザーがリムーバブル データ ドライブで BitLocker を一時停止および復号化できるようにします。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RDVConfigureBDE |
| フレンドリ名 | リムーバブル ドライブでの BitLocker の使用を制御する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > リムーバブル データ ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | RDVConfigureBDE |
| ADMX ファイル名 | VolumeEncryption.admx |
RemovableDrivesEncryptionType
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用される暗号化の種類を構成できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[使用領域のみ暗号化] を選択します。
このポリシー設定を有効にした場合、BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
このポリシー設定を無効にするか、構成しない場合、BitLocker をオンにする前に、BitLocker セットアップ ウィザードによって暗号化の種類の選択がユーザーに求められます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
設定可能な値:
- 0: ユーザーの選択を許可します。
- 1: 完全暗号化。
- 2: 使用された領域のみの暗号化。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 依存関係 [BDEAllowed] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE 依存関係の許可される値の種類: ADMX |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RDVEncryptionType_Name |
| フレンドリ名 | リムーバブル データ ドライブにドライブ暗号化の種類を適用する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > リムーバブル データ ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | RDVEncryptionType |
| ADMX ファイル名 | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
有効にすると、Usb インターフェイス経由で接続されているリムーバブル ドライブとデバイスを BitLocker デバイス暗号化から除外できます。 除外されたデバイスは、手動でも暗号化できません。 さらに、"BitLocker によって保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する" が構成されている場合、ユーザーは暗号化を求めず、ドライブは読み取り/書き込みモードでマウントされます。 ディスク デバイスのハードウェア ID を使用して、除外されたリムーバブル ドライブ\デバイスのコンマ区切りの一覧を指定します。 USBSTOR\SEAGATE_ST39102LW_______0004 の例。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | リスト (区切り記号: ,) |
RemovableDrivesRequireEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
このポリシー設定は、コンピューターがリムーバブル データ ドライブにデータを書き込むのに BitLocker 保護が必要かどうかを構成します。
- このポリシー設定を有効にすると、BitLocker で保護されていないすべてのリムーバブル データ ドライブが読み取り専用としてマウントされます。 ドライブが BitLocker によって保護されている場合は、読み取りおよび書き込みアクセス権でマウントされます。
[別のorganizationで構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの識別フィールドに一致する識別フィールドを持つドライブにのみ書き込みアクセス権が付与されます。 リムーバブル データ ドライブにアクセスすると、有効な識別フィールドと許可されている識別フィールドがチェックされます。 これらのフィールドは、"organizationの一意識別子を指定する" ポリシー設定によって定義されます。
- このポリシー設定を無効にするか、構成しない場合、コンピューター上のすべてのリムーバブル データ ドライブが読み取りおよび書き込みアクセスでマウントされます。
注
このポリシー設定は、ユーザー構成\管理用テンプレート\System\リムーバブル 記憶域アクセスのポリシー設定でオーバーライドできます。 [リムーバブル ディスク: 書き込みアクセスを拒否する] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。
データ ID 要素:
- RDVCrossOrg: 別のorganizationで構成されているデバイスへの書き込みアクセスを拒否する
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/><data id="RDVCrossOrg" value="xx"/>
'xx' の使用可能な値は次のとおりです。
- true = 明示的に許可する
- false = ポリシーが設定されていません
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | RDVDenyWriteAccess_Name |
| フレンドリ名 | BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > リムーバブル データ ドライブ |
| レジストリ キー名 | System\CurrentControlSet\Policies\Microsoft\FVE |
| レジストリ値の名前 | RDVDenyWriteAccess |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
BitLocker\Device Encryption を使用して暗号化を有効にする必要がある管理を許可します。
このポリシーを有効にするには、このノードのサンプル値を次に示します。
1
ポリシーを無効にしても、システム ドライブの暗号化はオフになりません。 ただし、ユーザーにオンを求めるメッセージは停止します。
注
現在、この CSP をサイレント暗号化に使用する場合は、完全ディスク暗号化のみがサポートされています。 非サイレント暗号化の場合、暗号化の種類はデバイスに依存 SystemDrivesEncryptionType して FixedDrivesEncryptionType 構成されます。
OS ボリュームと暗号化可能な固定データ ボリュームの状態は、Get 操作で確認されます。 通常、BitLocker/Device Encryption は 、EncryptionMethodByDriveType ポリシーが に設定されている値に従います。 ただし、このポリシー設定は、自己暗号化固定ドライブと自己暗号化 OS ドライブでは無視されます。
暗号化可能な固定データ ボリュームは、OS ボリュームと同様に扱われます。 ただし、固定データ ボリュームは、暗号化可能と見なされる他の条件を満たす必要があります。
- 動的ボリュームにすることはできません。
- 回復パーティションにすることはできません。
- 非表示ボリュームにすることはできません。
- システム パーティションにすることはできません。
- 仮想ストレージでバックアップすることはできません。
- BCD ストアに参照を含めてはなりません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 無効にする。 ポリシー設定が設定されていない場合、または 0 に設定されている場合、デバイスの適用状態はチェックされません。 ポリシーは暗号化を適用せず、暗号化されたボリュームの暗号化を解除しません。 |
| 1 | 有効にする。 デバイスの強制状態がチェックされます。 このポリシーを 1 に設定すると、すべてのドライブの暗号化がトリガーされます (AllowWarningForOtherDiskEncryption ポリシーに基づいて、サイレントまたは非サイレント)。 |
例:
RequireDeviceEncryption を無効にするには:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
注
このポリシーは非推奨であり、今後のリリースで削除される可能性があります。
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
管理がデバイス上のストレージカード暗号化を要求できるようにします。
このポリシーはモバイル SKU に対してのみ有効です。
このポリシーを有効にするには、このノードのサンプル値を次に示します。
1
ポリシーを無効にしても、ストレージ カードの暗号化はオフになりません。 ただし、ユーザーにオンを求めるメッセージは停止します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | ストレージ カードを暗号化する必要はありません。 |
| 1 | ストレージ カードを暗号化する必要があります。 |
RotateRecoveryPasswords
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1909 [10.0.18363] 以降 |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
管理者は、Microsoft Entra IDまたはハイブリッド参加済みデバイス上の OS および固定データ ドライブのすべての数値回復パスワードの 1 回限りのローテーションをプッシュできます。
このポリシーは [実行の種類] で、MDM ツールから発行されたすべての数値パスワードをローテーションします。
このポリシーは、回復パスワードの Active Directory バックアップが "必須" に構成されている場合にのみ有効になります。
OS ドライブの場合は、"オペレーティング システム ドライブのActive Directory Domain Servicesに回復情報が格納されるまで BitLocker を有効にしないでください" を有効にします。
固定ドライブの場合は、"固定データ ドライブのActive Directory Domain Servicesに回復情報が格納されるまで BitLocker を有効にしないでください" を有効にします。
クライアントは、ローテーションが開始されたことを示す状態DM_S_ACCEPTED_FOR_PROCESSINGを返します。 サーバーは、次の状態ノードを使用して状態を照会できます。
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID。
サポートされる値: 要求 ID の文字列形式。 要求 ID の形式の例は GUID です。 サーバーは、管理ツールに従って必要に応じて形式を選択できます。
注
キーのローテーションは、これらの登録の種類でのみサポートされます。 詳細については、「 deviceEnrollmentType 列挙型」を参照してください。
- windowsAzureADJoin。
- windowsBulkAzureDomainJoin。
- windowsAzureADJoinUsingDeviceAuth。
- windowsCoManagement。
ヒント
キーローテーション機能は、次の場合にのみ機能します。
オペレーティング システム ドライブの場合:
- OSRequireActiveDirectoryBackup_Nameは 1 ("必須") に設定されています。
- OSActiveDirectoryBackup_Nameが true に設定されています。
固定データ ドライブの場合:
- FDVRequireActiveDirectoryBackup_Nameは 1 = ("必須") に設定されています。
- FDVActiveDirectoryBackup_Nameが true に設定されています。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | Exec |
状態
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10、バージョン 1903 [10.0.18362] 以降 |
./Device/Vendor/MSFT/BitLocker/Status
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | node |
| アクセスの種類 | [ゲームをゲット] を選びます |
Status/DeviceEncryptionStatus
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10、バージョン 1903 [10.0.18362] 以降 |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
このノードは、システム上のデバイス暗号化のコンプライアンス状態を報告します。
値 '0' は、デバイスが準拠しているを意味します。 その他の値は、準拠していないデバイスを表します。
この値は、各ビットのビットマスクと、次の表で説明する対応するエラー コードを表します。
| ビット | エラー コード |
|---|---|
| 0 | BitLocker ポリシーでは、OS ボリュームの暗号化を開始するために BitLocker ドライブ暗号化ウィザードを起動するためにユーザーの同意が必要ですが、ユーザーは同意しませんでした。 |
| 1 | OS ボリュームの暗号化方法が BitLocker ポリシーと一致しません。 |
| 2 | OS ボリュームは保護されていません。 |
| 3 | BitLocker ポリシーでは、OS ボリュームに TPM 専用保護機能が必要ですが、TPM 保護は使用されません。 |
| 4 | BitLocker ポリシーでは、OS ボリュームに対して TPM+PIN 保護が必要ですが、TPM+PIN 保護機能は使用されません。 |
| 5 | BitLocker ポリシーでは、OS ボリュームに対して TPM + スタートアップ キー保護が必要ですが、TPM + スタートアップ キー保護機能は使用されません。 |
| 6 | BitLocker ポリシーでは、OS ボリュームに対して TPM + PIN + スタートアップ キー保護が必要ですが、TPM+ PIN + スタートアップ キー 保護機能は使用されません。 |
| 7 | BitLocker ポリシーでは、OS ボリュームを保護するために TPM 保護機能が必要ですが、TPM は使用されません。 |
| 8 | 回復キーのバックアップに失敗しました。 |
| 9 | 固定ドライブは保護されていません。 |
| 10 | 固定ドライブの暗号化方法が BitLocker ポリシーと一致しません。 |
| 11 | ドライブを暗号化するには、BitLocker ポリシーでは、ユーザーが管理者としてサインインするか、デバイスがMicrosoft Entra IDに参加している場合は、AllowStandardUserEncryption ポリシーを 1 に設定する必要があります。 |
| 12 | Windows Recovery Environment (WinRE) が構成されていません。 |
| 13 | TPM は BitLocker では使用できません。これは、存在しないか、レジストリで使用できなくなったか、OS がリムーバブル ドライブ上にあるためです。 |
| 14 | TPM は BitLocker の準備ができていません。 |
| 15 | ネットワークは使用できません。これは復旧キーのバックアップに必要です。 |
| 16 | フル ディスクの OS ボリュームの暗号化の種類と使用領域のみの暗号化は、BitLocker ポリシーと一致しません。 |
| 17 | フル ディスクの固定ドライブの暗号化の種類と使用されている領域のみの暗号化は、BitLocker ポリシーと一致しません。 |
| 18-31 | 将来の使用のために。 |
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | [ゲームをゲット] を選びます |
Status/RemovableDrivesEncryptionStatus
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
このノードは、削除ドライブの暗号化のコンプライアンス状態を報告します。 "0" 値は、すべての設定された削除ドライブの設定に従って、取り外しドライブが暗号化されていることを意味します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | [ゲームをゲット] を選びます |
Status/RotateRecoveryPasswordsRequestID
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1909 [10.0.18363] 以降 |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
このノードは、RotateRecoveryPasswordsStatus に対応する RequestID を報告します。
このノードは、RotateRecoveryPasswordsStatus と同期してクエリを実行して、状態が要求 ID と正しく一致することを確認する必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | [ゲームをゲット] を選びます |
Status/RotateRecoveryPasswordsStatus
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1909 [10.0.18363] 以降 |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
このノードは、RotateRecoveryPasswords 要求の状態を報告します。
状態コードは、次のいずれかになります。
NotStarted(2)、Pending (1)、Pass (0)、エラーが発生した場合のその他のエラー コード。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | [ゲームをゲット] を選びます |
SystemDrivesDisallowStandardUsersCanChangePIN
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
このポリシー設定を使用すると、標準ユーザーが最初に既存の PIN を提供できる場合に、BitLocker ボリューム PIN の変更を許可するかどうかを構成できます。
このポリシー設定は、BitLocker をオンにするときに適用されます。
このポリシー設定を有効にした場合、標準ユーザーは BitLocker PIN またはパスワードの変更を許可されません。
このポリシー設定を無効にするか、構成しない場合、標準ユーザーは BitLocker PIN とパスワードの変更を許可されます。
注
PIN またはパスワードを変更するには、ユーザーが現在の PIN またはパスワードを指定できる必要があります。
このポリシーを無効にするこのノードのサンプル値は次のとおりです。 <disabled/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | DisallowStandardUsersCanChangePIN_Name |
| フレンドリ名 | 標準ユーザーが PIN またはパスワードを変更できないようにする |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | DisallowStandardUserPINReset |
| ADMX ファイル名 | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
このポリシー設定を使用すると、プラットフォームにプレブート入力機能がない場合でも、プレブート環境からのユーザー入力を必要とする認証オプションを有効にすることができます。
Windows タッチ キーボード (タブレットで使用されるキーボードなど) は、BitLocker で PIN やパスワードなどの追加情報が必要なプレブート環境では使用できません。
このポリシー設定を有効にした場合、デバイスには、起動前入力 (接続されている USB キーボードなど) の代替手段が必要です。
このポリシーが有効になっていない場合は、BitLocker 回復パスワードの入力をサポートするために、タブレットで Windows 回復環境を有効にする必要があります。 Windows Recovery Environment が有効になっていない場合、このポリシーが有効になっていない場合、Windows タッチ キーボードを使用するデバイスで BitLocker を有効にすることはできません。
このポリシー設定を有効にしない場合、"起動時に追加認証を要求する" ポリシーのオプションは、このようなデバイスでは使用できない可能性があることに注意してください。 これらのオプションは次のとおりです。
- TPM スタートアップ PIN の構成: 必須/許可
- TPM スタートアップ キーと PIN の構成: 必須/許可
- オペレーティング システム ドライブのパスワードの使用を構成します。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。 <enabled/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | EnablePrebootInputProtectorsOnSlates_Name |
| フレンドリ名 | スレートでプリブート キーボード入力を必要とする BitLocker 認証の使用を有効にする |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | OSEnablePrebootInputProtectorsOnSlates |
| ADMX ファイル名 | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
このポリシー設定を使用すると、InstantGo または Microsoft ハードウェア セキュリティ テスト インターフェイス (HSTI) に準拠しているデバイス上のユーザーは、事前ブート認証用の PIN を持つことができません。 これにより、準拠しているハードウェアの "起動時に追加の認証を要求する" ポリシーの [TPM でスタートアップ PIN を要求する] オプションと [スタートアップ キーと PIN を TPM で要求する] オプションがオーバーライドされます。
このポリシー設定を有効にすると、InstantGo および HSTI 準拠デバイスのユーザーは、事前ブート認証なしで BitLocker を有効にできます。
このポリシーが有効になっていない場合は、"起動時に追加認証を要求する" ポリシーのオプションが適用されます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。 <enabled/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | EnablePreBootPinExceptionOnDECapableDevice_Name |
| フレンドリ名 | InstantGo または HSTI に準拠しているデバイスで、プレブート PIN のオプトアウトを許可します。 |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | OSEnablePreBootPinExceptionOnDECapableDevice |
| ADMX ファイル名 | VolumeEncryption.admx |
SystemDrivesEncryptionType
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用される暗号化の種類を構成できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更しても効果はありません。 BitLocker がオンになっているときにドライブ全体を暗号化する必要がある場合は、[完全暗号化] を選択します。 BitLocker がオンになっているときにデータの格納に使用するドライブの部分のみを暗号化するように要求するには、[使用領域のみ暗号化] を選択します。
このポリシー設定を有効にした場合、BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、暗号化の種類オプションは BitLocker セットアップ ウィザードに表示されません。
このポリシー設定を無効にするか、構成しない場合、BitLocker をオンにする前に、BitLocker セットアップ ウィザードによって暗号化の種類の選択がユーザーに求められます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
設定可能な値:
- 0: ユーザーの選択を許可します。
- 1: 完全暗号化。
- 2: 使用された領域のみの暗号化。
注
このポリシーは、ボリュームを縮小または拡張するときに無視され、BitLocker ドライバーは現在の暗号化方法を使用します。
たとえば、使用済み領域のみの暗号化を使用しているドライブが展開されると、完全暗号化を使用するドライブの場合と同様に、新しい空き領域はワイプされません。 ユーザーは、次のコマンド manage-bde -wを使用して、使用済み領域のみドライブの空き領域をワイプできます。 ボリュームが縮小された場合、新しい空き領域に対するアクションは実行されません。
BitLocker を管理するツールの詳細については、「 manage-bde」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | OSEncryptionType_Name |
| フレンドリ名 | オペレーティング システム ドライブにドライブ暗号化の種類を適用する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | OSEncryptionType |
| ADMX ファイル名 | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 2004 [10.0.19041.1202] 以降 ✅Windows 10バージョン 2009 [10.0.19042.1202] 以降 ✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降 ✅Windows 11バージョン 21H2 [10.0.22000] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
このポリシー設定を使用すると、拡張スタートアップ PIN を BitLocker で使用するかどうかを構成できます。
拡張スタートアップ PIN を使用すると、大文字と小文字、記号、数字、スペースなどの文字を使用できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。
- このポリシー設定を有効にすると、すべての新しい BitLocker スタートアップ PIN セットが拡張 PIN になります。
注
すべてのコンピューターが、プレブート環境で拡張 PIN をサポートしているわけではありません。 BitLocker のセットアップ中に、ユーザーがシステム チェックを実行することを強くお勧めします。
- このポリシー設定を無効にした場合、または構成しなかった場合、拡張 PIN は使用されません。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。 <enabled/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | EnhancedPIN_Name |
| フレンドリ名 | 起動時に拡張 PIN を許可する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| レジストリ値の名前 | UseEnhancedPin |
| ADMX ファイル名 | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
このポリシー設定を使用すると、トラステッド プラットフォーム モジュール (TPM) スタートアップ PIN の最小長を構成できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。 スタートアップ PIN の長さは 4 桁以上で、最大長は 20 桁です。
このポリシー設定を有効にした場合は、スタートアップ PIN を設定するときに使用する最小桁数を要求できます。
このポリシー設定を無効にするか、構成しない場合、ユーザーは 6 桁から 20 桁の任意の長さのスタートアップ PIN を構成できます。
注
PIN の最小長が 6 桁未満に設定されている場合、WINDOWS は PIN が変更されたときに TPM 2.0 ロックアウト期間を既定値より大きく更新しようとします。 成功した場合、WINDOWS は TPM がリセットされた場合にのみ TPM ロックアウト期間を既定値に戻します。
注
バージョン 1703 リリース B Windows 10では、PIN の最小長は 4 桁で使用できます。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/><data id="MinPINLength" value="xx"/>
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | MinimumPINLength_Name |
| フレンドリ名 | 起動時に PIN の最小長を構成する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
このポリシー設定を使用すると、OS ドライブがロックされているときに、回復メッセージ全体を構成したり、起動前キーの回復画面に表示される既存の URL を置き換えたりできます。
[既定の回復メッセージと URL を使用する] オプションを選択すると、既定の BitLocker 回復メッセージと URL が起動前キーの回復画面に表示されます。 以前にカスタム回復メッセージまたは URL を構成し、既定のメッセージに戻す場合は、ポリシーを有効にしたままにし、[既定の回復メッセージと URL を使用する] オプションを選択する必要があります。
[カスタム回復メッセージを使用する] オプションを選択すると、[カスタム回復メッセージ オプション] テキスト ボックスに入力したメッセージが起動前キーの回復画面に表示されます。 回復 URL が使用可能な場合は、メッセージに含めます。
[カスタム回復 URL を使用する] オプションを選択した場合、[カスタム回復 URL オプション] テキスト ボックスに入力した URL によって、既定の回復メッセージの既定の URL が置き換えられ、起動前キーの回復画面に表示されます。
注
すべての文字と言語がプレブートでサポートされているわけではありません。 カスタム メッセージまたは URL に使用する文字が起動前の回復画面に正しく表示されることをテストすることを強くお勧めします。
データ ID 要素:
- PrebootRecoveryInfoDropDown_Name: 起動前の回復メッセージのオプションを選択します。
- RecoveryMessage_Input: カスタム回復メッセージ
- RecoveryUrl_Input: カスタム回復 URL
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
'xx' の使用可能な値は次のとおりです。
- 0 = 空
- 1 = 既定の回復メッセージと URL を使用します (この場合、"RecoveryMessage_Input" または "RecoveryUrl_Input" の値を指定する必要はありません)。
- 2 = カスタム回復メッセージが設定されています。
- 3 = カスタム回復 URL が設定されています。
'yy' と 'zz' の使用可能な値は、それぞれ最大長 900 と 500 の文字列です。
注
- SystemDrivesRecoveryMessage を有効にする場合は、3 つの設定 (起動前の回復画面、回復メッセージ、回復 URL) すべてに値を指定する必要があります。それ以外の場合は失敗します (500 の戻り状態)。 たとえば、メッセージと URL の値のみを指定すると、500 の戻り値の状態が返されます。
- すべての文字と言語がプレブートでサポートされているわけではありません。 カスタム メッセージまたは URL に使用する文字が起動前の回復画面に正しく表示されることをテストすることを強くお勧めします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | PrebootRecoveryInfo_Name |
| フレンドリ名 | 起動前の回復メッセージと URL を構成する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | Software\Policies\Microsoft\FVE |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。
[証明書ベースのデータ復旧エージェントを許可する] チェック ボックスを使用して、BitLocker で保護されたオペレーティング システム ドライブでデータ回復エージェントを使用できるかどうかを指定します。 データ復旧エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターの [公開キー ポリシー] 項目から追加する必要があります。 データ復旧エージェントの追加の詳細については、Microsoft TechNet の BitLocker ドライブ暗号化展開ガイドを参照してください。
[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードまたは 256 ビットの回復キーを生成することを許可、必須、または許可しないかどうかを選択します。
[BitLocker セットアップ ウィザードから回復オプションを省略する] を選択すると、ユーザーがドライブで BitLocker をオンにしたときに回復オプションが指定されなくなります。 つまり、BitLocker をオンにするときに使用する回復オプションを指定することはできません。代わりに、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。
[BitLocker 回復情報をActive Directory Domain Servicesに保存する] で、オペレーティング システム ドライブの AD DS に格納する BitLocker 回復情報を選択します。 [バックアップ回復パスワードとキー パッケージ] を選択すると、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。 キー パッケージを格納すると、物理的に破損したドライブからのデータの復旧がサポートされます。 [バックアップ回復パスワードのみ] を選択した場合、回復パスワードのみが AD DS に格納されます。
コンピューターがドメインに接続されていて、Ad DS への BitLocker 回復情報のバックアップが成功しない限り、ユーザーが BitLocker を有効にできないようにするには、[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。
注
[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェックボックスが選択されている場合、回復パスワードが自動的に生成されます。
このポリシー設定を有効にした場合は、BitLocker で保護されたオペレーティング システム ドライブからデータを回復するためにユーザーが使用できる方法を制御できます。
このポリシー設定が無効になっているか、構成されていない場合、BitLocker 回復の既定の回復オプションがサポートされます。 既定では、DRA は許可されています。回復オプションは、回復パスワードと回復キーを含むユーザーによって指定でき、回復情報は AD DS にバックアップされません。
データ ID 要素:
- OSAllowDRA_Name: 証明書ベースのデータ復旧エージェントを許可する
- OSRecoveryPasswordUsageDropDown_NameとOSRecoveryKeyUsageDropDown_Name: BitLocker 回復情報のユーザー ストレージを構成する
- OSHideRecoveryPage_Name: BitLocker セットアップ ウィザードから回復オプションを省略する
- OSActiveDirectoryBackup_NameとOSActiveDirectoryBackupDropDown_Name: BitLocker の回復情報をActive Directory Domain Servicesに保存する
- OSRequireActiveDirectoryBackup_Name: オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
'xx' の使用可能な値は次のとおりです。
- true = 明示的に許可する
- false = ポリシーが設定されていません
'yy' の使用可能な値は次のとおりです。
- 0 = 許可されていません
- 1 = 必須
- 2 = 許可
'zz' の使用可能な値は次のとおりです。
- 1 = 回復パスワードとキー パッケージを格納します。
- 2 = 回復パスワードのみを保存します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | OSRecoveryUsage_Name |
| フレンドリ名 | BitLocker で保護されたオペレーティング システム ドライブを回復する方法を選択する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | OSRecovery |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
| ✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
このポリシー設定を使用すると、コンピューターが起動するたびに BitLocker に追加認証が必要かどうか、およびトラステッド プラットフォーム モジュール (TPM) の有無に関係なく BitLocker を使用するかどうかを構成できます。 このポリシー設定は、BitLocker をオンにするときに適用されます。
注
起動時に必要となる追加の認証オプションは 1 つだけです。それ以外の場合は、ポリシー エラーが発生します。
TPM を使用しないコンピューターで BitLocker を使用する場合は、[互換性のある TPM なしで BitLocker を許可する] チェック ボックスを選択します。 このモードでは、起動にはパスワードまたは USB ドライブが必要です。 スタートアップ キーを使用する場合、ドライブの暗号化に使用されるキー情報が USB ドライブに格納され、USB キーが作成されます。 USB キーが挿入されると、ドライブへのアクセスが認証され、ドライブにアクセスできます。 USB キーが紛失または使用できない場合、またはパスワードを忘れた場合は、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。
互換性のある TPM を持つコンピューターでは、起動時に 4 種類の認証方法を使用して、暗号化されたデータの保護を強化できます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、スタートアップ キー、6 桁から 20 桁の個人識別番号 (PIN) の入力、またはその両方を含む USB フラッシュ ドライブの挿入を必要とすることもできます。
このポリシー設定を有効にした場合、ユーザーは BitLocker セットアップ ウィザードで高度なスタートアップ オプションを構成できます。
このポリシー設定を無効にした場合、または構成しない場合、ユーザーは TPM を使用するコンピューターで基本的なオプションのみを構成できます。
注
スタートアップ PIN と USB フラッシュ ドライブを使用する必要がある場合は、BitLocker ドライブ暗号化セットアップ ウィザードではなく、コマンド ライン ツール manage-bde を使用して BitLocker 設定を構成する必要があります。
注
- バージョン 1703 リリース B Windows 10では、4 桁以上の PIN を使用できます。 SystemDrivesMinimumPINLength ポリシーは、6 桁より短い PIN を許可するように設定する必要があります。
- ハードウェア セキュリティ テスト可能性仕様 (HSTI) 検証またはモダン スタンバイ デバイスに合格したデバイスは、この CSP を使用してスタートアップ PIN を構成できません。 ユーザーは PIN を手動で構成する必要があります。 データ ID 要素:
- ConfigureNonTPMStartupKeyUsage_Name = 互換性のある TPM を使用せずに BitLocker を許可します (USB フラッシュ ドライブにパスワードまたはスタートアップ キーが必要です)。
- ConfigureTPMStartupKeyUsageDropDown_Name = (TPM を使用するコンピューターの場合) TPM スタートアップ キーを構成します。
- ConfigurePINUsageDropDown_Name = (TPM を使用するコンピューターの場合) TPM スタートアップ PIN を構成します。
- ConfigureTPMPINKeyUsageDropDown_Name = (TPM を使用するコンピューターの場合) TPM スタートアップ キーと PIN を構成します。
- ConfigureTPMUsageDropDown_Name = (TPM を使用するコンピューターの場合) TPM の起動を構成します。
このポリシーを有効にするこのノードのサンプル値は次のとおりです。
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
'xx' の使用可能な値は次のとおりです。
- true = 明示的に許可する
- false = ポリシーが設定されていません
'yy' の使用可能な値は次のとおりです。
- 2 = 省略可能
- 1 = 必須
- 0 = 許可されていません
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ConfigureAdvancedStartup_Name |
| フレンドリ名 | 起動時に追加認証を要求する |
| 場所 | [コンピューターの構成] |
| パス | Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ |
| レジストリ キー名 | SOFTWARE\Policies\Microsoft\FVE |
| レジストリ値の名前 | UseAdvancedStartup |
| ADMX ファイル名 | VolumeEncryption.admx |
例:
このポリシーを無効にするには、次の SyncML を使用します。
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SyncML の例
次の例は、適切な形式を示すために提供されており、推奨事項として取られるべきではありません。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示