Windows 10 での BitLocker デバイスの暗号化の概要Overview of BitLocker Device Encryption in Windows 10

適用対象Applies to

  • Windows 10Windows10

このトピックでは、Windows 10 を実行しているデバイス上で、BitLocker デバイスの暗号化でデータを保護する方法について説明します。This topic explains how BitLocker Device Encryption can help protect data on devices running Windows 10. 一般的な概要と BitLocker に関するトピックの一覧については、「 bitlocker」を参照してください。For a general overview and list of topics about BitLocker, see BitLocker.

出張の際は、組織の機密データも同時に移動することになります。When users travel, their organization’s confidential data goes with them. 機密データがどこに保存されているとしても、未承認のアクセスから保護する必要があります。Wherever confidential data is stored, it must be protected against unauthorized access. Windows には、Windows 2000 オペレーティング システムの暗号化ファイル システム以降、悪意のある攻撃者から保護する保存データ保護ソリューションを提供する点で長い歴史があります。Windows has a long history of providing at-rest data-protection solutions that guard against nefarious attackers, beginning with the Encrypting File System in the Windows 2000 operating system. 最近の BitLocker では、フルドライブとポータブルドライブの暗号化が提供されています。More recently, BitLocker has provided encryption for full drives and portable drives. Windows では、既存のオプションを強化し、新しい方法を提供することで、データ保護が向上し続けています。Windows consistently improves data protection by improving existing options and by providing new strategies.

表2に、Windows 10 と Windows7 での特定のデータ保護に関する懸念事項とその対処方法を示します。Table 2 lists specific data-protection concerns and how they are addressed in Windows10 and Windows7.

表 2.Table 2. Windows 10 と Windows7 のデータ保護Data Protection in Windows10 and Windows7

Windows7Windows7 Windows 10Windows10
BitLocker を使って PIN によってスタートアップを保護している場合、キオスクなどの PC をリモートで再起動することができません。When BitLocker is used with a PIN to protect startup, PCs such as kiosks cannot be restarted remotely. 最新の Windows デバイスは、このボックスからの BitLocker デバイス暗号化によって保護されつつあり、SSO をサポートして、コールドブート攻撃から BitLocker 暗号化キーをシームレスに保護します。Modern Windows devices are increasingly protected with BitLocker Device Encryption out of the box and support SSO to seamlessly protect the BitLocker encryption keys from cold boot attacks.

ネットワーク ロック解除により、内部ネットワークに接続されると PC が自動的に起動します。Network Unlock allows PCs to start automatically when connected to the internal network.
BitLocker を有効にすると、プロビジョニング プロセスに数時間かかることがあります。When BitLocker is enabled, the provisioning process can take several hours. BitLocker の事前プロビジョニング、ハード ドライブの暗号化、および使用領域のみの暗号化により、管理者は新しいコンピューターで BitLocker をすぐに有効にできるようになります。BitLocker pre-provisioning, encrypting hard drives, and Used Space Only encryption allow administrators to enable BitLocker quickly on new computers.
自己暗号化ドライブ (SED) では、BitLocker の使用はサポートされていません。There is no support for using BitLocker with self-encrypting drives (SEDs). BitLocker では、暗号化されたハード ドライブへの暗号化のオフロードがサポートされます。BitLocker supports offloading encryption to encrypted hard drives.
管理者は、別個のツールを使って暗号化されたハード ドライブを管理する必要があります。Administrators have to use separate tools to manage encrypted hard drives. BitLocker では、オンボード暗号化ハードウェア ビルトインによる暗号化されたハード ドライブがサポートされるため、管理者は使い慣れた BitLocker 管理ツールを使って管理できます。BitLocker supports encrypted hard drives with onboard encryption hardware built in, which allows administrators to use the familiar BitLocker administrative tools to manage them.
新しいフラッシュ ドライブの暗号化に、20 分以上かかる場合があります。Encrypting a new flash drive can take more than 20 minutes. BitLocker To Go でスペースのみを使用する場合、ユーザーはリムーバブルデータドライブを数秒で暗号化することができます。Used Space Only encryption in BitLocker To Go allows users to encrypt removable data drives in seconds.
システム構成の変更が生じたとき、BitLocker により回復キーの入力がユーザーに求められることがあります。BitLocker could require users to enter a recovery key when system configuration changes occur. BitLocker では、ディスクの破損が発生したときや、PIN またはパスワードを紛失したときのみ、回復キーの入力がユーザーに求められます。BitLocker requires the user to enter a recovery key only when disk corruption occurs or when he or she loses the PIN or password.
ユーザーは、PIN を入力して PC を起動し、パスワードを入力して Windows にサインインする必要があります。Users need to enter a PIN to start the PC, and then their password to sign in to Windows. 最新の Windows デバイスは、このボックスからの BitLocker デバイス暗号化によって保護され、SSO をサポートして、コールドブート攻撃から BitLocker 暗号化キーを保護することができます。Modern Windows devices are increasingly protected with BitLocker Device Encryption out of the box and support SSO to help protect the BitLocker encryption keys from cold boot attacks.

ドライブとファイルの暗号化の準備Prepare for drive and file encryption

理想的な種類のセキュリティ対策とは、実装および使用中もユーザーに対して透過的な対策です。The best type of security measures are transparent to the user during implementation and use. セキュリティ機能が原因で遅延や問題が発生する可能性は常にあるため、ユーザーがセキュリティをバイパスしようとする可能性は高くなります。Every time there is a possible delay or difficulty because of a security feature, there is strong likelihood that users will try to bypass security. このような状況は、特にデータ保護に当てはまりますが、まさに組織が避けるべきシナリオです。This situation is especially true for data protection, and that’s a scenario that organizations need to avoid. ボリューム全体、リムーバブルデバイス、個々のファイルを暗号化することを計画しているかどうかにかかわらず、Windows 10 は、簡素化された実用的な解決策を提供することでニーズを満たします。Whether you’re planning to encrypt entire volumes, removable devices, or individual files, Windows10 meets your needs by providing streamlined, usable solutions. 実際、事前にいくつかの手順を実行することで、データ暗号化の準備を行い、展開を迅速かつスムーズに行うことができます。In fact, you can take several steps in advance to prepare for data encryption and make the deployment quick and smooth.

TPM の事前プロビジョニングTPM pre-provisioning

Windows7 では、使用するための TPM の準備にはいくつかの問題があります。In Windows7, preparing the TPM for use offered a couple of challenges:

  • BIOS で TPM を有効にできるため、他のユーザーは BIOS 設定に移動して有効にするか、ドライバーをインストールして Windows 内から有効にする必要があります。You can turn on the TPM in the BIOS, which requires someone to either go into the BIOS settings to turn it on or to install a driver to turn it on from within Windows.
  • TPM を有効にした場合、再起動が 1 回以上必要になることがあります。When you enable the TPM, it may require one or more restarts.

基本的に、これはかなり面倒でした。Basically, it was a big hassle. IT スタッフが新しい PC をプロビジョニングした場合はそのスタッフがこのすべてを処理しましたが、既にユーザーの手元にあるデバイスに BitLocker を追加する場合、そのユーザーが技術的な問題に取り組み、IT に問い合わせてサポートを受けたり、BitLocker をそのまま無効にしたりしていました。If IT staff were provisioning new PCs, they could handle all of this, but if you wanted to add BitLocker to devices that were already in users’ hands, those users would have struggled with the technical challenges and would either call IT for support or simply leave BitLocker disabled.

Microsoft には、オペレーティングシステムが TPM を完全に管理できるようにする Windows 10 のインストルメンテーションが含まれています。Microsoft includes instrumentation in Windows10 that enables the operating system to fully manage the TPM. BIOS にアクセスする必要はなく、再起動が必要なシナリオはすべてなくなりました。There is no need to go into the BIOS, and all scenarios that required a restart have been eliminated.

ハード ドライブの暗号化の展開Deploy hard drive encryption

BitLocker は、システム ドライブとデータ ドライブの両方など、ハード ドライブ全体を暗号化できます。BitLocker is capable of encrypting entire hard drives, including both system and data drives. BitLocker の事前プロビジョニングにより、BitLocker が有効な新しい PC のプロビジョニングに必要な時間を大幅に減らすことができます。BitLocker pre-provisioning can drastically reduce the time required to provision new PCs with BitLocker enabled. Windows 10 を使用すると、管理者は、windows をインストールする前に、または自動展開タスクシーケンスの一部として、ユーザーの操作なしで BitLocker と TPM を有効にすることができます。With Windows10, administrators can turn on BitLocker and the TPM from within the Windows Preinstallation Environment before they install Windows or as part of an automated deployment task sequence without any user interaction. 使用済みのディスク領域のみの暗号化と、大部分が空のドライブ (Windows がまだインストールされていないため) を組み合わせた場合、BitLocker の有効化には数秒しかかかりません。Combined with Used Disk Space Only encryption and a mostly empty drive (because Windows is not yet installed), it takes only a few seconds to enable BitLocker. 以前のバージョンの Windows では、管理者が Windows のインストール後に BitLocker を有効にする必要がありました。With earlier versions of Windows, administrators had to enable BitLocker after Windows had been installed. このプロセスは自動化できましたが、BitLocker はドライブ全体を暗号化する必要がありました。このプロセスには、ドライブのサイズとパフォーマンスに応じて数時間から 1 日以上かかったため、展開が大幅に遅れることがありました。Although this process could be automated, BitLocker would need to encrypt the entire drive, a process that could take anywhere from several hours to more than a day depending on drive size and performance, which significantly delayed deployment. Microsoft は、Windows 10 の複数の機能を通じてこのプロセスを改善しました。Microsoft has improved this process through multiple features in Windows10.

BitLocker デバイス暗号化BitLocker Device Encryption

Windows 8.1 以降では、最新のスタンバイをサポートしているデバイスでは、Windows によって BitLocker デバイス暗号化が自動的に有効になります。Beginning in Windows8.1, Windows automatically enables BitLocker Device Encryption on devices that support Modern Standby. Windows 10 を使用すると、Microsoft は、最新のスタンバイデバイスと Windows 10 Home edition を実行するデバイスを含む、より広範なデバイスでの BitLocker デバイス暗号化のサポートを提供します。With Windows10, Microsoft offers BitLocker Device Encryption support on a much broader range of devices, including those that are Modern Standby, and devices that run Windows 10 Home edition.

Microsoft は、将来のほとんどのデバイスがテスト要件を満たしていることを前提としています。これにより、最新の Windows デバイスでの BitLocker デバイス暗号化の普及が実現されます。Microsoft expects that most devices in the future will pass the testing requirements, which makes BitLocker Device Encryption pervasive across modern Windows devices. BitLocker デバイス暗号化は、デバイス全体のデータ暗号化を透過的に実装することにより、システムをさらに保護します。BitLocker Device Encryption further protects the system by transparently implementing device-wide data encryption.

標準の BitLocker 実装とは異なり、BitLocker デバイス暗号化は自動的に有効になるため、デバイスは常に保護されます。Unlike a standard BitLocker implementation, BitLocker Device Encryption is enabled automatically so that the device is always protected. 次の一覧に、このしくみを示します。The following list outlines how this happens:

  • Windows 10 のクリーンインストールが完了して、既定のエクスペリエンスが終了すると、コンピューターは初めて使用するための準備ができます。When a clean installation of Windows10 is completed and the out-of-box experience is finished, the computer is prepared for first use. この準備の一環として、BitLocker デバイス暗号化は、コンピューター上のオペレーティングシステムドライブと固定データドライブで、明確なキーを使って初期化されます (これは、標準の BitLocker 中断状態と同じです)。As part of this preparation, BitLocker Device Encryption is initialized on the operating system drive and fixed data drives on the computer with a clear key (this is the equivalent of standard BitLocker suspended state). この状態では、Windows エクスプローラーでドライブに警告アイコンが表示されます。In this state, the drive is shown with a warning icon in Windows Explorer. 次の箇条書きに示すように、TPM プロテクターが作成され、回復キーがバックアップされると、黄色の警告アイコンが削除されます。The yellow warning icon is removed after the TPM protector is created and the recovery key is backed up, as explained in the following bullet points.
  • デバイスがドメインに参加していない場合、デバイスで管理者特権を与えられている Microsoft アカウントが必要です。If the device is not domain joined, a Microsoft account that has been granted administrative privileges on the device is required. 管理者が Microsoft アカウントを使ってサインインすると、クリア キーが削除され、回復キーがオンラインの Microsoft アカウントにアップロードされ、TPM 保護機能が作成されます。When the administrator uses a Microsoft account to sign in, the clear key is removed, a recovery key is uploaded to the online Microsoft account, and a TPM protector is created. デバイスに回復キーが必要な場合、代替デバイスを使って回復キー アクセス URL に移動し、自分の Microsoft アカウント資格情報を使って回復キーを取得するように求めるガイドがユーザーに表示されます。Should a device require the recovery key, the user will be guided to use an alternate device and navigate to a recovery key access URL to retrieve the recovery key by using his or her Microsoft account credentials.
  • ユーザーがドメイン アカウントを使ってサインインした場合、ユーザーがデバイスをドメインに参加させて、回復キーが Active Directory ドメイン サービス (AD DS) に正常にバックアップされるまでクリア キーは削除されません。If the user uses a domain account to sign in, the clear key is not removed until the user joins the device to a domain and the recovery key is successfully backed up to Active Directory Domain Services (AD DS). [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[BitLocker ドライブ暗号化]、[オペレーティング システム ドライブ] グループ ポリシー設定を有効にし、[AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない] オプションをオンにします。You must enable the Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives Group Policy setting, and select the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives option. この構成では、コンピューターがドメインに参加して、回復キーが AD DS にバックアップされ、TPM 保護機能が作成されて、クリア キーが削除されると、回復パスワードが自動的に作成されます。With this configuration, the recovery password is created automatically when the computer joins the domain, and then the recovery key is backed up to AD DS, the TPM protector is created, and the clear key is removed.
  • ドメイン アカウントを使ったサインインと同様、ユーザーがデバイスで Azure AD アカウントにログオンすると、クリア キーが削除されます。Similar to signing in with a domain account, the clear key is removed when the user logs on to an Azure AD account on the device. 上の箇条書きで説明したように、ユーザーが Azure AD で認証されると、回復パスワードが自動的に作成されます。As described in the bullet point above, the recovery password is created automatically when the user authenticates to Azure AD. 次に、回復キーが Azure AD にバックアップされて、TPM 保護機能が作成され、クリア キーが削除します。Then, the recovery key is backed up to Azure AD, the TPM protector is created, and the clear key is removed.

Microsoft は、BitLocker デバイス暗号化をサポートするすべてのシステムで有効にすることをお勧めしますが、次のレジストリ設定を変更することによって、自動 BitLocker デバイス暗号化プロセスを防ぐことができます。Microsoft recommends that BitLocker Device Encryption be enabled on any systems that support it, but the automatic BitLocker Device Encryption process can be prevented by changing the following registry setting:

  • サブキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLockerSubkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • : PreventDeviceEncryption が True (1)Value: PreventDeviceEncryption equal to True (1)
  • 種類: REG_DWORDType: REG_DWORD

管理者は、Microsoft BitLocker の管理と監視 (MBAM) を通じて BitLocker デバイス暗号化を有効にした、ドメインに参加しているデバイスを管理することができます。Administrators can manage domain-joined devices that have BitLocker Device Encryption enabled through Microsoft BitLocker Administration and Monitoring (MBAM). この場合、BitLocker デバイス暗号化によって、追加の BitLocker オプションが自動的に提供されます。In this case, BitLocker Device Encryption automatically makes additional BitLocker options available. 変換や暗号化は必要なく、構成の変更が必要な場合は、設定された BitLocker ポリシー全体を MBAM が管理できます。No conversion or encryption is required, and MBAM can manage the full BitLocker policy set if any configuration changes are required.

使用済みのディスク領域のみの暗号化Used Disk Space Only encryption

以前のバージョンの Windows の BitLocker は、ボリューム上のすべてのバイトを暗号化していたため (データのない部分を含む)、ドライブの暗号化に時間がかかることがありました。BitLocker in earlier Windows versions could take a long time to encrypt a drive, because it encrypted every byte on the volume (including parts that did not have data). これは、特に、ドライブが移動または削除されたために以前に機密データが含まれていた場合に、最も安全な方法です。That is still the most secure way to encrypt a drive, especially if a drive has previously contained confidential data that has since been moved or deleted. この場合、機密データのトレースは、未使用とマークされたドライブの一部にとどまります。In that case, traces of the confidential data could remain on portions of the drive marked as unused. しかし、データを書き込み時にのみ暗号化できる場合に新しいドライブを暗号化する理由はありません。But why encrypt a new drive when you can simply encrypt the data as it is being written? 暗号化時間を短縮するために、Windows 10 の BitLocker では、ユーザーがデータを暗号化するように選択できます。To reduce encryption time, BitLocker in Windows10 lets users choose to encrypt just their data. ドライブ上のデータ量によっては、このオプションにより暗号化の時間を 99% 以上短縮できます。Depending on the amount of data on the drive, this option can reduce encryption time by more than 99 percent. ただし、機密データが暗号化されていない状態で既に保存されている可能性がある既存のボリュームの使用済みの領域のみ暗号化する際は注意が必要です。新しい暗号化データによって上書きされるまで、ディスク回復ツールを使ってそれらのセンターを回復できるためです。Exercise caution when encrypting only used space on an existing volume on which confidential data may have already been stored in an unencrypted state, however, because those sectors can be recovered through disk-recovery tools until they are overwritten by new encrypted data. 一方、まったく新しいボリューム上の使用済みの領域のみ暗号化すると、新しいデータがすべてディスクへの書き込み時に暗号化されるため、セキュリティ上のリスクを引き起こさずに展開時間を大幅に短縮できます。In contrast, encrypting only used space on a brand-new volume can significantly decrease deployment time without the security risk because all new data will be encrypted as it is written to the disk.

暗号化されたハード ドライブのサポートEncrypted hard drive support

SED は何年も前から使用可能でしたが、以前のバージョンの Windows では、ドライブに重要なキー管理機能がなかったため使用がサポートされていませんでした。SEDs have been available for years, but Microsoft couldn’t support their use with some earlier versions of Windows because the drives lacked important key management features. Microsoft は、ストレージ ベンダーと協力してハードウェア機能を強化してきたため、BitLocker では暗号化されたハード ドライブと呼ばれる次世代の SED がサポートされるようになりました。Microsoft worked with storage vendors to improve the hardware capabilities, and now BitLocker supports the next generation of SEDs, which are called encrypted hard drives. 暗号化されたハード ドライブには、ドライブ上のデータを暗号化するオンボードの暗号化機能が備わっているため、暗号化計算を PC のプロセッサからドライブ自体にオフロードし、目的に特化された専用ハードウェアを使ってドライブを迅速に暗号化することにより、ドライブとシステムの両方のパフォーマンスが向上します。Encrypted hard drives provide onboard cryptographic capabilities to encrypt data on drives, which improves both drive and system performance by offloading cryptographic calculations from the PC’s processor to the drive itself and rapidly encrypting the drive by using dedicated, purpose-built hardware. Windows 10 でドライブ全体の暗号化を使用する予定の場合は、ハードドライブのメーカーとモデルを調査して、暗号化されたハードドライブのいずれかがセキュリティと予算の要件を満たしているかどうかを確認することをお勧めします。If you plan to use whole-drive encryption with Windows10, Microsoft recommends that you investigate hard drive manufacturers and models to determine whether any of their encrypted hard drives meet your security and budget requirements. 暗号化されたハード ドライブについて詳しくは、「 暗号化されたハード ドライブ」をご覧ください。For more information about encrypted hard drives, see Encrypted Hard Drive.

プリブート情報保護Preboot information protection

ほとんどのセキュリティコントロールと同じように、情報保護を効果的に実装することで、ユーザビリティとセキュリティを考慮します。An effective implementation of information protection, like most security controls, considers usability as well as security. 通常、ユーザーはシンプルなセキュリティ エクスペリエンスを好みます。Users typically prefer a simple security experience. 実際、セキュリティ ソリューションが透過的になればなるほど、ユーザーが従う可能性が高くなります。In fact, the more transparent a security solution becomes, the more likely users are to conform to it. 組織がコンピューターの状態やユーザーの意図に関係なく PC 上の情報を保護することは非常に重要です。It is crucial that organizations protect information on their PCs regardless of the state of the computer or the intent of users. この保護がユーザーにとって面倒なものとならないようにする必要があります。This protection should not be cumbersome to users. かつてはよく見られた好ましくない状況として、ユーザーがプリブート時に入力を求められ、Windows ログオン時に再び求められることがありました。One undesirable and previously commonplace situation is when the user is prompted for input during preboot, and then again during Windows logon. ユーザーに入力を複数回求めることは避ける必要があります。Challenging users for input more than once should be avoided. Windows 10 では、最新のデバイスのプレブート環境から真の SSO エクスペリエンスを有効にすることができます。また、信頼性の高い情報保護の構成が行われている場合は、古いデバイスでも発生します。Windows10 can enable a true SSO experience from the preboot environment on modern devices and in some cases even on older devices when robust information protection configurations are in place. 分離された TPM は、BitLocker の暗号化キーを保存時でも安全に保護ことができ、オペレーティング システム ドライブを安全にロック解除することができます。The TPM in isolation is able to securely protect the BitLocker encryption key while it is at rest, and it can securely unlock the operating system drive. キーが使用中のためメモリ内にあるときは、ハードウェアと Windows 機能を組み合わせるとキーをセキュリティで保護し、コールド ブート攻撃による未承認のアクセスを防ぐことができます。When the key is in use and thus in memory, a combination of hardware and Windows capabilities can secure the key and prevent unauthorized access through cold-boot attacks. PIN ベースのロック解除などの他の対策も使うことができますが、わかりやすいものではありません。デバイスの構成によっては、キー保護に関してセキュリティが強化されないことがあります。Although other countermeasures like PIN-based unlock are available, they are not as user-friendly; depending on the devices’ configuration they may not offer additional security when it comes to key protection. 詳細については、「BitLocker の対応 」を参照してください。For more information, see BitLocker Countermeasures.

パスワードと PIN の管理Manage passwords and PINs

システム ドライブで BitLocker が有効になっており、PC に TPM が搭載されている場合、BitLocker がドライブをロック解除する前に PIN を入力をユーザーに求めることを選択できます。When BitLocker is enabled on a system drive and the PC has a TPM, you can choose to require that users type a PIN before BitLocker will unlock the drive. このような PIN の要求により、PC に物理的にアクセスできる攻撃者が Windows ログオンを表示することさえできないようにすることができます。この結果、攻撃者がユーザー データ ファイルやシステム ファイルにアクセスしたり、変更したりすることが事実上不可能になります。Such a PIN requirement can prevent an attacker who has physical access to a PC from even getting to the Windows logon, which makes it virtually impossible for the attacker to access or modify user data and system files.

スタートアップ時に PIN を要求すると、2 番目の認証要素 (2 番目の "知っている情報") として機能するため、セキュリティ機能として役立ちます。Requiring a PIN at startup is a useful security feature because it acts as a second authentication factor (a second “something you know”). ただし、この構成にはいくらかコストがかかります。This configuration comes with some costs, however. 最も大きなコストのかかるものには、定期的な PIN の変更の要求があります。One of the most significant is the need to change the PIN regularly. Windows7 と WindowsVista オペレーティングシステムで BitLocker を使用した企業では、ユーザーはシステム管理者に連絡して、BitLocker PIN またはパスワードを更新する必要がありました。In enterprises that used BitLocker with Windows7 and the WindowsVista operating system, users had to contact systems administrators to update their BitLocker PIN or password. この要求により管理コストが増加しただけでなく、ユーザーが BitLocker の PIN またはパスワードを定期的に変更する意欲を低下させていました。This requirement not only increased management costs but made users less willing to change their BitLocker PIN or password on a regular basis. Windows 10 ユーザーは、管理者の資格情報なしで、自分の BitLocker Pin とパスワードを更新することができます。Windows10 users can update their BitLocker PINs and passwords themselves, without administrator credentials. この機能によりサポート コストが削減されるだけでなく、ユーザーが PIN とパスワードをより頻繁に変更するようになるため、セキュリティも向上します。Not only will this feature reduce support costs, but it could improve security, too, because it encourages users to change their PINs and passwords more often. さらに、モダンスタンバイデバイスでは、スタートアップ用の PIN は必要ありません。これは、あまり頻繁に開始するように設計されています。また、システムの攻撃面をさらに減らすためにその他の緩和策も用意されています。In addition, Modern Standby devices do not require a PIN for startup: They are designed to start infrequently and have other mitigations in place that further reduce the attack surface of the system. 起動時のセキュリティのしくみと、Windows 10 が提供する対策の詳細については、「 プレブート攻撃からの BitLocker の保護」を参照してください。For more information about how startup security works and the countermeasures that Windows10 provides, see Protect BitLocker from pre-boot attacks.

ネットワーク ロック解除の構成Configure Network Unlock

組織によって、地域に固有のデータ セキュリティ要件があります。Some organizations have location-specific data security requirements. これは、価値の高いデータが PC に保存されている環境ではよくあります。This is most common in environments where high-value data is stored on PCs. ネットワーク環境が重要なデータ保護を提供し、必須の認証を強制している場合があります。そのため、それらの PC を建物から持ち去ったり、企業ネットワークから切断してはならないということがポリシーに示されています。The network environment may provide crucial data protection and enforce mandatory authentication; therefore, policy states that those PCs should not leave the building or be disconnected from the corporate network. 物理的なセキュリティ ロックやジオフェンスなどの安全対策は、このポリシーを事後対応型コントロールとして強制するのに役立つことがあります。Safeguards like physical security locks and geofencing may help enforce this policy as reactive controls. これ以外に、PC が企業ネットワークに接続されているときのみデータ アクセスを許可する予防型のセキュリティ コントロールが必要です。Beyond these, a proactive security control that grants data access only when the PC is connected to the corporate network is necessary.

ネットワーク ロック解除により、Windows 展開サービスが実行されているワイヤード (有線) 企業ネットワークに接続されたときに、BitLocker で保護されている PC を自動的に起動できるようになります。Network Unlock enables BitLocker-protected PCs to start automatically when connected to a wired corporate network on which Windows Deployment Services runs. PC が企業ネットワークに接続されていないときはいつでも、ユーザーはドライブをロック解除するために PIN を入力する必要があります (PIN ベースのロック解除が有効な場合)。Anytime the PC is not connected to the corporate network, a user must type a PIN to unlock the drive (if PIN-based unlock is enabled). ネットワーク ロック解除には、次のインフラストラクチャが必要です。Network Unlock requires the following infrastructure:

  • 動的ホスト構成プロトコル (DHCP) をサポートする Unified Extensible Firmware Interface (UEFI) ファームウェア バージョン 2.3.1 以降がインストールされたクライアント PC。Client PCs that have Unified Extensible Firmware Interface (UEFI) firmware version 2.3.1 or later, which supports Dynamic Host Configuration Protocol (DHCP)
  • Windows Server 2012 以降を実行しているサーバー (Windows 展開サービスの役割あり)A server running at least Windows Server 2012 with the Windows Deployment Services role
  • DHCP サーバーの役割がインストールされたサーバーA server with the DHCP server role installed

ネットワーク ロック解除を構成する方法について詳しくは、「 BitLocker: ネットワーク ロック解除を有効にする方法」をご覧ください。For more information about how to configure Network Unlock, see BitLocker: How to enable Network Unlock.

Microsoft BitLocker Administration and MonitoringMicrosoft BitLocker Administration and Monitoring

Microsoft Desktop Optimization Pack の一部である MBAM により、BitLocker および BitLocker To Go の管理とサポートが容易になります。Part of the Microsoft Desktop Optimization Pack, MBAM makes it easier to manage and support BitLocker and BitLocker To Go. 最新バージョンの MBAM 2.5 Service Pack 1 には、次の主な機能があります。MBAM 2.5 with Service Pack 1, the latest version, has the following key features:

  • 管理者は、企業全体のクライアント コンピューター上のボリュームを暗号化するプロセスを自動化できます。Enables administrators to automate the process of encrypting volumes on client computers across the enterprise.
  • セキュリティ担当者は、個々のコンピューターまたは企業全体の準拠状態をすばやく判断できます。Enables security officers to quickly determine the compliance state of individual computers or even of the enterprise itself.
  • Microsoft Microsoft Endpoint Configuration Manager を使用した一元的なレポート作成とハードウェア管理を提供します。Provides centralized reporting and hardware management with Microsoft Microsoft Endpoint Configuration Manager.
  • ヘルプ デスクの負荷を軽減し、BitLocker 回復要求によりエンド ユーザーをサポートします。Reduces the workload on the help desk to assist end users with BitLocker recovery requests.
  • エンド ユーザーは、セルフ サービス ポータルを使って、暗号化されたデバイスを自分で回復できます。Enables end users to recover encrypted devices independently by using the Self-Service Portal.
  • セキュリティ担当者は、回復キー情報へのアクセスを簡単に監査できます。Enables security officers to easily audit access to recovery key information.
  • 企業データの保護を保証することにより、Windows Enterprise ユーザーがどこにいても作業を継続できるようにします。Empowers Windows Enterprise users to continue working anywhere with the assurance that their corporate data is protected.
  • 社内に設定した BitLocker 暗号化のポリシー オプションを強制します。Enforces the BitLocker encryption policy options that you set for your enterprise.
  • Microsoft Endpoint Configuration Manager などの既存の管理ツールと統合します。Integrates with existing management tools, such as Microsoft Endpoint Configuration Manager.
  • IT がカスタマイズ可能な回復ユーザー エクスペリエンスを提供します。Offers an IT-customizable recovery user experience.
  • Windows 10 をサポートします。Supports Windows10.

入手方法など、MBAM について詳しくは、MDOP TechCenter の Microsoft BitLocker Administration and Monitoring に関するページ をご覧ください。For more information about MBAM, including how to obtain it, see Microsoft BitLocker Administration and Monitoring on the MDOP TechCenter.