BitLocker グループ ポリシー設定BitLocker Group Policy settings

適用対象:Applies to:

  • Windows 10、Windows Server 2019、Windows Server 2016、Windows 8.1、および Windows Server 2012 R2Windows 10, Windows Server 2019, Windows Server 2016, Windows 8.1, and Windows Server 2012 R2

IT 担当者向けこのトピックでは、BitLocker ドライブ暗号化の管理に使用される各グループ ポリシー設定の機能、場所、および効果について説明します。This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker Drive Encryption.

ユーザーが Windows コントロール パネルから実行できるドライブの暗号化タスクを制御したり、他の構成オプションを変更したりするには、グループ ポリシー管理テンプレートまたはローカル コンピューター ポリシー設定を使用します。To control what drive encryption tasks the user can perform from the Windows Control Panel or to modify other configuration options, you can use Group Policy administrative templates or local computer policy settings. これらのポリシー設定の構成方法は、BitLocker の実装方法と、許可されるユーザー操作のレベルによって異なります。How you configure these policy settings depends on how you implement BitLocker and what level of user interaction will be allowed.

注意

グループ ポリシー設定の別のセットは、信頼できるプラットフォーム モジュール (TPM) の使用をサポートします。A separate set of Group Policy settings supports the use of the Trusted Platform Module (TPM). これらの設定の詳細については 、「Trusted Platform Module Group Policy settings」を参照してくださいFor details about those settings, see Trusted Platform Module Group Policy settings.

BitLocker グループ ポリシーの設定には、[ローカル グループ ポリシー エディター] と [グループ ポリシー管理コンソール (GPMC)] の [コンピューター 構成\管理用テンプレート\Windows コンポーネント\BitLockerドライブ暗号化] を使用してアクセスできます。BitLocker Group Policy settings can be accessed using the Local Group Policy Editor and the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. BitLocker グループ ポリシーの設定の大部分は、ドライブに対して BitLocker が最初にオンになっているときに適用されます。Most of the BitLocker Group Policy settings are applied when BitLocker is initially turned on for a drive. コンピューターが既存のグループ ポリシー設定に準拠していない場合は、コンピューターが準拠状態になるまで BitLocker を有効または変更できません。If a computer is not compliant with existing Group Policy settings, BitLocker may not be turned on or modified until the computer is in a compliant state. ドライブがグループ ポリシー設定に準拠してない場合 (たとえば、組織での最初の BitLocker 展開後にグループ ポリシー設定が変更され、その設定が以前に暗号化されたドライブに適用された場合)、そのドライブの BitLocker 構成に変更を加え、そのドライブをコンプライアンスに適用する変更を除いて変更することはできません。When a drive is out of compliance with Group Policy settings (for example, if a Group Policy setting was changed after the initial BitLocker deployment in your organization, and then the setting was applied to previously encrypted drives), no change can be made to the BitLocker configuration of that drive except a change that will bring it into compliance.

ドライブをコンプライアンスに適用するために複数の変更が必要な場合は、BitLocker 保護を中断し、必要な変更を加え、保護を再開する必要があります。If multiple changes are necessary to bring the drive into compliance, you must suspend BitLocker protection, make the necessary changes, and then resume protection. この状況は、たとえば、リムーバブル ドライブが最初にパスワードでロック解除するように構成され、グループ ポリシー設定が変更され、パスワードが許可され、スマート カードが必要な場合に発生する可能性があります。This situation could occur, for example, if a removable drive was initially configured to be unlocked with a password and then Group Policy settings are changed to disallow passwords and require smart cards. このような場合は 、Manage-bde コマンド ライン ツールを使用して BitLocker 保護を中断し、パスワードのロック解除方法を削除し、スマート カードメソッドを追加する必要があります。In this situation, you need to suspend BitLocker protection by using the Manage-bde command-line tool, delete the password unlock method, and add the smart card method. これが完了すると、BitLocker はグループ ポリシー設定に準拠しており、ドライブ上の BitLocker 保護を再開できます。After this is complete, BitLocker is compliant with the Group Policy setting and BitLocker protection on the drive can be resumed.

注意

BitLocker の有効化に関連する Active Directory 構成の詳細については、「Set up MDT for BitLocker」を参照してくださいFor more details about Active Directory configuration related to BitLocker enablement, please see Set up MDT for BitLocker.

BitLocker グループ ポリシー設定BitLocker Group Policy settings

次のセクションでは、使用状況別に整理された BitLocker グループ ポリシー設定の包括的な一覧を示します。The following sections provide a comprehensive list of BitLocker Group Policy settings that are organized by usage. BitLocker グループ ポリシーの設定には、特定のドライブの種類 (オペレーティング システム ドライブ、固定データ ドライブ、リムーバブル データ ドライブ) の設定と、すべてのドライブに適用される設定が含まれます。BitLocker Group Policy settings include settings for specific drive types (operating system drives, fixed data drives, and removable data drives) and settings that are applied to all drives.

BitLocker で保護されたドライブのロック解除方法を決定するには、次のポリシー設定を使用できます。The following policy settings can be used to determine how a BitLocker-protected drive can be unlocked.

次のポリシー設定は、ユーザーがドライブにアクセスする方法と、ユーザーが自分のコンピューターで BitLocker を使用する方法を制御するために使用されます。The following policy settings are used to control how users can access drives and how they can use BitLocker on their computers.

次のポリシー設定は、BitLocker で使用される暗号化方法と暗号化の種類を決定します。The following policy settings determine the encryption methods and encryption types that are used with BitLocker.

次のポリシー設定では、認証方法が失敗した場合、または使用できない場合に BitLocker で保護されたドライブへのアクセスを復元するために使用できる回復方法を定義します。The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

次のポリシーは、組織内のカスタマイズされた展開シナリオをサポートするために使用されます。The following policies are used to support customized deployment scenarios in your organization.

セキュア ブートポートと保護された DMA ポートを持つデバイスがプレブート PIN をオプトアウトすることを許可するAllow devices with Secure Boot and protected DMA ports to opt out of preboot PIN

このポリシー設定を使用すると、モダン スタンバイまたは Microsoft ハードウェア セキュリティ テスト インターフェイス (HSTI) に準拠しているデバイス上のユーザーに、プレブート認証用の PIN を使用できません。This policy setting allows users on devices that are compliant with Modern Standby or the Microsoft Hardware Security Test Interface (HSTI) to not have a PIN for preboot authentication.

ポリシーの説明Policy description このポリシー設定を使用すると、最新のスタンバイまたは HSTI をサポートするデバイスなど、より新しいより安全なデバイスに対して TPM のみの保護を許可し、以前のデバイスでは PIN を必要とすることができます。With this policy setting, you can allow TPM-only protection for newer, more secure devices, such as devices that support Modern Standby or HSTI, while requiring PIN on older devices.
導入Introduced Windows 10 Version 1703Windows 10, version 1703
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts この設定は、準拠ハードウェアのスタートアップ 時に追加認証を要求するポリシーの [TPMを使用してスタートアップ PIN を要求する] オプションを上書きします。This setting overrides the Require startup PIN with TPM option of the Require additional authentication at startup policy on compliant hardware.
有効になっている場合When enabled モダン スタンバイデバイスと HSTI 準拠デバイスのユーザーは、プレブート認証なしで BitLocker を有効にできます。Users on Modern Standby and HSTI compliant devices will have the choice to turn on BitLocker without preboot authentication.
無効または構成されていない場合When disabled or not configured 起動時に追加認証 [を要求する] ポリシーのオプションが 適用されます。The options of the Require additional authentication at startup policy apply.

リファレンスReference

プレブート認証オプション [スタートアップ時に追加認証を要求する] ポリシーの TPM を使用してスタートアップPINを要求すると、多くの場合、モダン スタンバイをサポートしていない古いデバイスのセキュリティを確保するために有効になります。The preboot authentication option Require startup PIN with TPM of the Require additional authentication at startup policy is often enabled to help ensure security for older devices that do not support Modern Standby. しかし、視覚障害のあるユーザーは、PIN を入力する時間を知る聞こえる方法はありません。But visually impaired users have no audible way to know when to enter a PIN. この設定では、セキュリティで保護されたハードウェア上の PIN に必要なポリシーに対する例外が有効になります。This setting enables an exception to the PIN-required policy on secure hardware.

起動時にネットワークロック解除を許可するAllow network unlock at startup

このポリシーは、BitLocker のネットワーク ロック解除機能の動作の一部を制御します。This policy controls a portion of the behavior of the Network Unlock feature in BitLocker. このポリシーは、BitLocker を実行しているクライアントが暗号化時に必要なネットワーク キー プロテクタを作成することができるため、ネットワーク上で BitLocker ネットワーク ロック解除を有効にするには必要です。This policy is required to enable BitLocker Network Unlock on a network because it allows clients running BitLocker to create the necessary network key protector during encryption.

このポリシーは、BitLocker ドライブ暗号化ネットワークロック解除証明書のセキュリティ ポリシー (ローカル コンピューター**** ポリシーの公開キー ポリシー フォルダーにあります) に加えて使用され、信頼できるネットワークに接続されているシステムがネットワーク ロック解除機能を適切に利用できます。This policy is used in addition to the BitLocker Drive Encryption Network Unlock Certificate security policy (located in the Public Key Policies folder of Local Computer Policy) to allow systems that are connected to a trusted network to properly utilize the Network Unlock feature.

ポリシーの説明Policy description このポリシー設定を使用すると、信頼できるローカル エリア ネットワークに接続され、ドメインに参加している BitLocker で保護されたコンピューターが、TPM が有効なコンピューターでネットワーク キー プロテクターを作成して使用して、コンピューターの起動時にオペレーティング システム ドライブのロックを自動的に解除できるかどうかを制御できます。With this policy setting, you can control whether a BitLocker-protected computer that is connected to a trusted local area network and joined to a domain can create and use network key protectors on TPM-enabled computers to automatically unlock the operating system drive when the computer is started.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled BitLocker ネットワーク ロック解除証明書で構成されたクライアントは、ネットワーク キー プロテクターを作成して使用できます。Clients configured with a BitLocker Network Unlock certificate can create and use Network Key Protectors.
無効または構成されていない場合When disabled or not configured クライアントでネットワーク キー プロテクターを作成および使用できないClients cannot create and use Network Key Protectors

リファレンスReference

ネットワーク キー プロテクタを使用してコンピューターのロックを解除するには、BitLocker Drive Encryption Network Unlock をホストするコンピューターとサーバーを、ネットワーク ロック解除証明書でプロビジョニングする必要があります。To use a network key protector to unlock the computer, the computer and the server that hosts BitLocker Drive Encryption Network Unlock must be provisioned with a Network Unlock certificate. ネットワーク ロック解除証明書は、ネットワーク キー プロテクタを作成し、コンピューターのロックを解除するためにサーバーとの情報交換を保護するために使用されます。The Network Unlock certificate is used to create a network key protector and to protect the information exchange with the server to unlock the computer. グループ ポリシー設定 [ コンピューター構成\Windows 設定\セキュリティ設定\公開キー ポリシー\BitLocker ドライブ暗号化ネットワーク ロック解除証明書] をドメイン コントローラーで使用して、この証明書を組織内のコンピューターに配布できます。You can use the Group Policy setting Computer Configuration\Windows Settings\Security Settings\Public Key Policies\BitLocker Drive Encryption Network Unlock Certificate on the domain controller to distribute this certificate to computers in your organization. このロック解除方法はコンピューター上の TPM を使用します。そのため、TPM を持つコンピューターでは、ネットワーク ロック解除を使用して自動的にロック解除するネットワーク キー プロテクターを作成できません。This unlock method uses the TPM on the computer, so computers that do not have a TPM cannot create network key protectors to automatically unlock by using Network Unlock.

注意

信頼性とセキュリティを確保するには、コンピューターが有線ネットワークから切断されている場合、または起動時にドメイン コントローラーに接続できない場合に使用できる TPM スタートアップ PIN も必要です。For reliability and security, computers should also have a TPM startup PIN that can be used when the computer is disconnected from the wired network or cannot connect to the domain controller at startup.

ネットワーク ロック解除の詳細については 、「BitLocker: How to enable Network Unlock 」を参照してくださいFor more information about Network Unlock, see BitLocker: How to enable Network Unlock.

起動時に追加の認証を要求するRequire additional authentication at startup

このポリシー設定は、オペレーティング システム ドライブで使用できるロック解除オプションを制御するために使用されます。This policy setting is used to control which unlock options are available for operating system drives.

ポリシーの説明Policy description このポリシー設定を使用すると、コンピューターを起動する度に BitLocker に追加の認証が必要かどうかを構成し、信頼できるプラットフォーム モジュール (TPM) で BitLocker を使用するかどうかを構成できます。With this policy setting, you can configure whether BitLocker requires additional authentication each time the computer starts and whether you are using BitLocker with a Trusted Platform Module (TPM). このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts 1 つの認証方法が必要な場合は、他の方法を使用できません。If one authentication method is required, the other methods cannot be allowed. [BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定が有効になっている場合は、TPM スタートアップ キーまたは TPM スタートアップ キーと PIN で BitLocker を使用することを禁止する必要があります。Use of BitLocker with a TPM startup key or with a TPM startup key and a PIN must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
有効になっている場合When enabled ユーザーは、BitLocker セットアップ ウィザードで高度なスタートアップ オプションを構成できます。Users can configure advanced startup options in the BitLocker Setup Wizard.
無効または構成されていない場合When disabled or not configured ユーザーは、TPM を使用するコンピューター上の基本的なオプションのみを構成できます。Users can configure only basic options on computers with a TPM.

起動時に必要な追加の認証オプションは 1 つのみです。それ以外の場合は、ポリシー エラーが発生します。Only one of the additional authentication options can be required at startup; otherwise, a policy error occurs.

リファレンスReference

TPM のないコンピューターで BitLocker を使用する場合は、[互換性のある TPM なしで BitLocker を許可 する] を選択しますIf you want to use BitLocker on a computer without a TPM, select Allow BitLocker without a compatible TPM. このモードでは、起動時にパスワードまたは USB ドライブが必要です。In this mode, a password or USB drive is required for startup. USB ドライブには、ドライブの暗号化に使用されるスタートアップ キーが格納されます。The USB drive stores the startup key that is used to encrypt the drive. USB ドライブが挿入されると、スタートアップ キーが認証され、オペレーティング システム ドライブにアクセスできます。When the USB drive is inserted, the startup key is authenticated and the operating system drive is accessible. USB ドライブが紛失または使用できない場合は、ドライブにアクセスするために BitLocker の回復が必要です。If the USB drive is lost or unavailable, BitLocker recovery is required to access the drive.

互換性のある TPM を使用するコンピューターでは、暗号化されたデータの保護を向上させるために、起動時に追加の認証方法を使用できます。On a computer with a compatible TPM, additional authentication methods can be used at startup to improve protection for encrypted data. コンピューターが起動すると、次のコマンドを使用できます。When the computer starts, it can use:

  • TPM のみonly the TPM
  • スタートアップ キーを含む USB フラッシュ ドライブの挿入insertion of a USB flash drive containing the startup key
  • 4 桁から 20 桁の個人識別番号 (PIN) の入力the entry of a 4-digit to 20-digit personal identification number (PIN)
  • PIN と USB フラッシュ ドライブの組み合わせa combination of the PIN and the USB flash drive

TPM が有効なコンピューターまたはデバイスには、次の 4 つのオプションがあります。There are four options for TPM-enabled computers or devices:

  • TPM の起動を構成するConfigure TPM startup

    • TPM を許可するAllow TPM
    • TPM を要求するRequire TPM
    • TPM を許可しないDo not allow TPM
  • TPM スタートアップ PIN の構成Configure TPM startup PIN

    • TPM でスタートアップ PIN を許可するAllow startup PIN with TPM
    • TPM を使用してスタートアップ PIN を要求するRequire startup PIN with TPM
    • TPM でスタートアップ PIN を許可しないDo not allow startup PIN with TPM
  • TPM スタートアップ キーの構成Configure TPM startup key

    • TPM でスタートアップ キーを許可するAllow startup key with TPM
    • TPM を使用してスタートアップ キーを要求するRequire startup key with TPM
    • TPM でスタートアップ キーを許可しないDo not allow startup key with TPM
  • TPM スタートアップ キーと PIN の構成Configure TPM startup key and PIN

    • PIN を使用して TPM スタートアップ キーを許可するAllow TPM startup key with PIN
    • TPM を使用してスタートアップ キーと PIN を要求するRequire startup key and PIN with TPM
    • PIN で TPM スタートアップ キーを許可しないDo not allow TPM startup key with PIN

拡張 PIN の起動を許可するAllow enhanced PINs for startup

このポリシー設定では、PIN を含むロック解除方法を使用する場合に拡張 PIN を使用できます。This policy setting permits the use of enhanced PINs when you use an unlock method that includes a PIN.

ポリシーの説明Policy description このポリシー設定を使用して、BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。With this policy setting, you can configure whether enhanced startup PINs are used with BitLocker.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled 設定されている新しい BitLocker スタートアップ PIN はすべて拡張 PIN です。All new BitLocker startup PINs that are set will be enhanced PINs. 標準スタートアップ PIN を使用して保護された既存のドライブは影響を受け取る必要があります。Existing drives that were protected by using standard startup PINs are not affected.
無効または構成されていない場合When disabled or not configured 拡張 PIN は使用されません。Enhanced PINs will not be used.

リファレンスReference

拡張スタートアップ PIN では、文字 (大文字と小文字、記号、数字、スペースを含む) を使用できます。Enhanced startup PINs permit the use of characters (including uppercase and lowercase letters, symbols, numbers, and spaces). このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

[!IMPORANT] すべてのコンピューターがプレブート環境で拡張 PIN 文字をサポートしている場合ではありません。[!IMPORANT] Not all computers support enhanced PIN characters in the preboot environment. ユーザーが BitLocker のセットアップ中にシステム チェックを実行して、拡張 PIN 文字を使用できると確認することを強く推奨します。It is strongly recommended that users perform a system check during the BitLocker setup to verify that enhanced PIN characters can be used.

スタートアップ用に PIN の最小長を構成するConfigure minimum PIN length for startup

このポリシー設定は、PIN を含むロック解除方法を使用する場合に、最小 PIN の長さを設定するために使用されます。This policy setting is used to set a minimum PIN length when you use an unlock method that includes a PIN.

ポリシーの説明Policy description このポリシー設定を使用すると、TPM スタートアップ PIN の最小長を構成できます。With this policy setting, you can configure a minimum length for a TPM startup PIN. このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. スタートアップ PIN の長さは最小 4 桁で、最大長は 20 桁である必要があります。The startup PIN must have a minimum length of 4 digits, and it can have a maximum length of 20 digits. 既定では、最小 PIN の長さは 6 です。By default, the minimum PIN length is 6.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled ユーザーが設定するスタートアップ PIN には、4 ~ 20 桁の最小長を指定する必要があります。You can require that startup PINs set by users must have a minimum length you choose that is between 4 and 20 digits.
無効または構成されていない場合When disabled or not configured ユーザーは、6 ~ 20 桁の任意の長さのスタートアップ PIN を構成できます。Users can configure a startup PIN of any length between 6 and 20 digits.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. スタートアップ PIN は、最小の長さが 4 桁で、最大長が 20 桁である必要があります。The startup PIN must have a minimum length of 4 digits and can have a maximum length of 20 digits.

もともと、BitLocker は PIN に対して 4 文字から 20 文字まで使用できます。Originally, BitLocker allowed from 4 to 20 characters for a PIN. Windows Hello にはログオン用の独自の PIN があります。これは 4 ~ 127 文字です。Windows Hello has its own PIN for logon, which can be 4 to 127 characters. BitLocker と Windows Hello の両方が TPM を使用して、PIN ブルートフォース攻撃を防止します。Both BitLocker and Windows Hello use the TPM to prevent PIN brute-force attacks.

TPM は、辞書攻撃防止パラメーター(ロックアウトのしきい値とロックアウト期間) を使用して、TPM がロックアウトされる前に許可される失敗回数と、別の試行を行う前にどのくらいの時間が経過するかを制御するように構成できます。The TPM can be configured to use Dictionary Attack Prevention parameters (lockout threshold and lockout duration) to control how many failed authorizations attempts are allowed before the TPM is locked out, and how much time must elapse before another attempt can be made.

辞書攻撃防止パラメーターは、セキュリティニーズと使いやすさのバランスを取る方法を提供します。The Dictionary Attack Prevention Parameters provide a way to balance security needs with usability. たとえば、TPM + PIN 構成で BitLocker を使用する場合、PIN 推測の数は時間の間に制限されます。For example, when BitLocker is used with a TPM + PIN configuration, the number of PIN guesses is limited over time. この例の TPM 2.0 は、32 の PIN 推測のみをすぐに許可するように構成し、2 時間ごとにさらに 1 つの推測を行うだけで済む可能性があります。A TPM 2.0 in this example could be configured to allow only 32 PIN guesses immediately, and then only one more guess every two hours. これは、年間最大約 4415 件の推測を合計します。This totals a maximum of about 4415 guesses per year. PIN が 4 桁の場合、9999 の可能性がある PIN の組み合わせはすべて、2 年以上で試行される可能性があります。If the PIN is 4 digits, all 9999 possible PIN combinations could be attempted in a little over two years.

PIN の長さを増やすには、攻撃者の推測の数が多く必要です。Increasing the PIN length requires a greater number of guesses for an attacker. その場合、正当なユーザーが同様のレベルの保護を維持しながら、失敗した試行を早く再試行できるよう、各推測間のロックアウト期間を短縮できます。In that case, the lockout duration between each guess can be shortened to allow legitimate users to retry a failed attempt sooner, while maintaining a similar level of protection.

Windows 10 バージョン 1703 より、BitLocker PIN の最小長は 6 文字に増加し、Windows Hello を含む TPM 2.0 を活用する他の Windows 機能とよりよく一致しました。Beginning with Windows 10, version 1703, the minimum length for the BitLocker PIN was increased to 6 characters to better align with other Windows features that leverage TPM 2.0, including Windows Hello. 2017 年 10 月の累積的な更新プログラムがインストールされた Windows 10 バージョン 1709 および Windows 10 バージョン 1703 から組織を支援するために、BitLocker PIN の長さは既定で 6 文字ですが、4 文字に短縮できます。To help organizations with the transition, beginning with Windows 10, version 1709 and Windows 10, version 1703 with the October 2017 cumulative update installed, the BitLocker PIN length is 6 characters by default, but it can be reduced to 4 characters. PIN の最小長が既定の 6 文字から小さくなると、TPM 2.0 ロックアウト期間が延長されます。If the minimum PIN length is reduced from the default of six characters, then the TPM 2.0 lockout period will be extended.

このコンピューターがロックされているときに新しい DMA デバイスを無効にするDisable new DMA devices when this computer is locked

このポリシー設定を使用すると、ユーザーが Windows にサインインするまで、すべてのホット プラグ可能 PCI ポートのダイレクト メモリ アクセス (DMA) をブロックできます。This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI ports until a user signs in to Windows.

ポリシーの説明Policy description この設定は、外部 PCI ベースのデバイスを使用して BitLocker キーにアクセスする攻撃を防ぐのに役立ちます。This setting helps prevent attacks that use external PCI-based devices to access BitLocker keys.
導入Introduced Windows 10 Version 1703Windows 10, version 1703
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled ユーザーがスクリーをロックする度に、ユーザーが再びサインインするまで、DMA はホット プラグ可能な PCI ポートでブロックされます。Every time the user locks the scree, DMA will be blocked on hot pluggable PCI ports until the user signs in again.
無効または構成されていない場合When disabled or not configured DMA は、ユーザーがサインインしているかどうかに関係なく、デバイスがオンになっている場合、ホット プラグ可能な PCI デバイスで使用できます。DMA is available on hot pluggable PCI devices if the device is turned on, regardless of whether a user is signed in.

リファレンスReference

このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。This policy setting is only enforced when BitLocker or device encryption is enabled. Microsoft Security Guidanceブログで説明したように、この設定を有効にすると、ワイヤレス ネットワーク ドライバーや入力周辺機器、オーディオ 周辺機器など、内部の PCI ベースの周辺機器が失敗することがあります。As explained in the Microsoft Security Guidance blog, in some cases when this setting is enabled, internal, PCI-based peripherals can fail, including wireless network drivers and input and audio peripherals. この問題は 、2018 年 4月の品質更新プログラムで修正されています。This problem is fixed in the April 2018 quality update.

標準ユーザーによる PIN またはパスワードの変更を禁止するDisallow standard users from changing the PIN or password

このポリシー設定では、オペレーティング システム ドライブの保護に使用される PIN またはパスワードを標準ユーザーが変更できるかどうかを構成できます。This policy setting allows you to configure whether standard users are allowed to change the PIN or password that is used to protect the operating system drive.

ポリシーの説明Policy description このポリシー設定を使用すると、標準ユーザーがオペレーティング システム ドライブの保護に使用する PIN またはパスワードを変更できるかどうかを構成できます。With this policy setting, you can configure whether standard users are allowed to change the PIN or password used to protect the operating system drive.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled 標準ユーザーは BitLocker PIN またはパスワードを変更できません。Standard users are not allowed to change BitLocker PINs or passwords.
無効または構成されていない場合When disabled or not configured 標準的なユーザーは、BitLocker PIN またはパスワードを変更できます。Standard users are permitted to change BitLocker PINs or passwords.

リファレンスReference

PIN またはパスワードを変更するには、ユーザーが現在の PIN またはパスワードを指定できる必要があります。To change the PIN or password, the user must be able to provide the current PIN or password. このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

オペレーティング システム ドライブのパスワードの使用を構成するConfigure use of passwords for operating system drives

このポリシーは、TPM ベース以外のシステムがパスワード プロテクタを使用する方法を制御します。This policy controls how non-TPM based systems utilize the password protector. パスワードと組み合 わせて使用 するには、複雑さの要件ポリシーを満たす必要があります。このポリシーを使用すると、管理者はパスワード 保護機能を使用するためにパスワードの長さと複雑さを要求できます。Used in conjunction with the Password must meet complexity requirements policy, this policy allows administrators to require password length and complexity for using the password protector. 既定では、パスワードの長さは 8 文字である必要があります。By default, passwords must be eight characters in length. 複雑な構成オプションは、クライアントに対するドメイン接続の重要な方法を決定します。Complexity configuration options determine how important domain connectivity is for the client. 最も強力なパスワード セキュリティの場合、管理者**** はドメイン接続が必要であり、BitLocker パスワードがドメイン サインイン パスワードと同じパスワードの複雑さの要件を満たしている必要があるため、[パスワードの複雑さを要求する] を選択する必要があります。For the strongest password security, administrators should choose Require password complexity because it requires domain connectivity, and it requires that the BitLocker password meets the same password complexity requirements as domain sign-in passwords.

ポリシーの説明Policy description このポリシー設定では、BitLocker で保護されているオペレーティング システム ドライブのロックを解除するために使用されるパスワードの制約を指定できます。With this policy setting, you can specify the constraints for passwords that are used to unlock operating system drives that are protected with BitLocker.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts FIPS コンプライアンスが有効になっている場合、パスワードは使用できません。Passwords cannot be used if FIPS-compliance is enabled.


注: システム暗号化: 暗号化、ハッシュ、署名の各ポリシー設定に FIPS 準拠のアルゴリズムを使用します。これは、コンピューター構成**\Windows Settings\セキュリティ設定**ローカル ポリシー\セキュリティ オプションで 、FIPS準拠が有効かどうかを指定します。NOTE: The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting, which is located at Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS-compliance is enabled.

有効になっている場合When enabled ユーザーは、定義した要件を満たすパスワードを構成できます。Users can configure a password that meets the requirements you define. パスワードに複雑さの要件を適用するには、[複雑さを要求する ] を選択しますTo enforce complexity requirements for the password, select Require complexity.
無効または構成されていない場合When disabled or not configured 8 文字の既定の長さの制約は、オペレーティング システム ドライブのパスワードに適用され、複雑さのチェックは行われません。The default length constraint of 8 characters will apply to operating system drive passwords and no complexity checks will occur.

リファレンスReference

オペレーティング システム ドライブで TPM 以外の保護機能が許可されている場合は、パスワードをプロビジョニングし、パスワードに複雑な要件を適用し、パスワードの最小長を構成できます。If non-TPM protectors are allowed on operating system drives, you can provision a password, enforce complexity requirements on the password, and configure a minimum length for the password. 複雑さの要件設定を有効にするには、グループ ポリシー設定の**** パスワードが複雑な要件を満たす必要があります。これは、コンピューター構成**\Windows Settings\\Security Settings\Account Policyes\\Password Policy\**にあるものも有効にする必要があります。For the complexity requirement setting to be effective, the Group Policy setting Password must meet complexity requirements, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\ must be also enabled.

注意

これらの設定は、ボリュームのロックを解除する場合ではなく、BitLocker を有効にするときに適用されます。These settings are enforced when turning on BitLocker, not when unlocking a volume. BitLocker を使用すると、ドライブで使用可能なプロテクタを使用してドライブのロックを解除できます。BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

[複雑さを 要求する] に設定すると、パスワードの複雑さを検証するために BitLocker が有効になっている場合、ドメイン コントローラーへの接続が必要です。When set to Require complexity, a connection to a domain controller is necessary when BitLocker is enabled to validate the complexity the password. [複雑さを 許可する] に設定すると、ドメイン コントローラーへの接続が試行され、その複雑性がポリシーによって設定されたルールに準拠しているという検証が試行されます。When set to Allow complexity, a connection to a domain controller is attempted to validate that the complexity adheres to the rules set by the policy. ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さにかかわらず受け入れ、ドライブは保護機能としてそのパスワードを使用して暗号化されます。If no domain controllers are found, the password will be accepted regardless of actual password complexity, and the drive will be encrypted by using that password as a protector. [複雑さを 許可しない] に設定すると、パスワードの複雑さの検証はありません。When set to Do not allow complexity, there is no password complexity validation. パスワードは 8 文字以上である必要があります。Passwords must be at least 8 characters. パスワードの最小長を長く構成するには、[最小パスワードの長さ] ボックスに必要な文字数 を入力 します。To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

このポリシー設定を有効にすると、[オペレーティング システム ドライブのパスワードの複雑さを構成する] オプションを次 に設定 できます。When this policy setting is enabled, you can set the option Configure password complexity for operating system drives to:

  • パスワードの複雑さを許可するAllow password complexity
  • パスワードの複雑さを許可しないDo not allow password complexity
  • パスワードの複雑さを要求するRequire password complexity

起動時に追加の認証を要求する (Windows Server 2008 および Windows Vista)Require additional authentication at startup (Windows Server 2008 and Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターで使用可能なロック解除オプションを制御するために使用されます。This policy setting is used to control what unlock options are available for computers running Windows Server 2008 or Windows Vista.

ポリシーの説明Policy description このポリシー設定を使用すると、Windows Vista または Windows Server 2008 を実行しているコンピューター上の BitLocker セットアップ ウィザードで、コンピューターの起動ごとに必要な追加の認証方法をセットアップできるかどうかを制御できます。With this policy setting, you can control whether the BitLocker Setup Wizard on computers running Windows Vista or Windows Server 2008 can set up an additional authentication method that is required each time the computer starts.
導入Introduced Windows Server 2008 と Windows VistaWindows Server 2008 and Windows Vista
ドライブの種類Drive type オペレーティング システム ドライブ (Windows Server 2008 および Windows Vista)Operating system drives (Windows Server 2008 and Windows Vista)
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts 追加の認証方法を要求する場合は、他の認証方法を使用できません。If you choose to require an additional authentication method, other authentication methods cannot be allowed.
有効になっている場合When enabled BitLocker セットアップ ウィザードには、ユーザーが BitLocker の高度なスタートアップ オプションを構成できるページが表示されます。The BitLocker Setup Wizard displays the page that allows the user to configure advanced startup options for BitLocker. TPM を使用するコンピューターまたは TPM を使用しないコンピューターの設定オプションをさらに構成できます。You can further configure setting options for computers with or without a TPM.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードには、ユーザーが TPM を使用するコンピューターで BitLocker を有効にできる基本的な手順が表示されます。The BitLocker Setup Wizard displays basic steps that allow users to enable BitLocker on computers with a TPM. この基本ウィザードでは、追加のスタートアップ キーまたはスタートアップ PIN を構成できます。In this basic wizard, no additional startup key or startup PIN can be configured.

リファレンスReference

互換性のある TPM を使用するコンピューターでは、起動時に 2 つの認証方法を使用して、暗号化されたデータに対する保護を強化できます。On a computer with a compatible TPM, two authentication methods can be used at startup to provide added protection for encrypted data. コンピューターが起動すると、ユーザーがスタートアップ キーを含む USB ドライブを挿入する必要があります。When the computer starts, it can require users to insert a USB drive that contains a startup key. また、ユーザーが 6 桁から 20 桁のスタートアップ PIN を入力する必要があります。It can also require users to enter a 6-digit to 20-digit startup PIN.

互換性のある TPM のないコンピューターでは、スタートアップ キーを含む USB ドライブが必要です。A USB drive that contains a startup key is needed on computers without a compatible TPM. TPM を使用しない場合、BitLocker で暗号化されたデータは、この USB ドライブ上のキー マテリアルによってのみ保護されます。Without a TPM, BitLocker-encrypted data is protected solely by the key material that is on this USB drive.

TPM が有効なコンピューターまたはデバイスには、次の 2 つのオプションがあります。There are two options for TPM-enabled computers or devices:

  • TPM スタートアップ PIN の構成Configure TPM startup PIN

    • TPM でスタートアップ PIN を許可するAllow startup PIN with TPM
    • TPM を使用してスタートアップ PIN を要求するRequire startup PIN with TPM
    • TPM でスタートアップ PIN を許可しないDo not allow startup PIN with TPM
  • TPM スタートアップ キーの構成Configure TPM startup key

    • TPM でスタートアップ キーを許可するAllow startup key with TPM
    • TPM を使用してスタートアップ キーを要求するRequire startup key with TPM
    • TPM でスタートアップ キーを許可しないDo not allow startup key with TPM

これらのオプションは相互に排他的です。These options are mutually exclusive. スタートアップ キーが必要な場合は、スタートアップ PIN を許可しない必要があります。If you require the startup key, you must not allow the startup PIN. スタートアップ PIN が必要な場合は、スタートアップ キーを許可しない必要があります。If you require the startup PIN, you must not allow the startup key. それ以外の場合、ポリシー エラーが発生します。Otherwise, a policy error will occur.

TPM が有効なコンピューターまたはデバイスで高度なページを非表示にする場合は、**** これらのオプションを [スタートアップ キーとスタートアップ PIN に対して許可しない] に設定します。To hide the advanced page on a TPM-enabled computer or device, set these options to Do not allow for the startup key and for the startup PIN.

固定データ ドライブでのスマート カードの使用を構成するConfigure use of smart cards on fixed data drives

このポリシー設定は、固定データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。This policy setting is used to require, allow, or deny the use of smart cards with fixed data drives.

ポリシーの説明Policy description このポリシー設定では、スマート カードを使用して、コンピューター上の BitLocker で保護された固定データ ドライブへのユーザー アクセスを認証できるかどうかを指定できます。With this policy setting, you can specify whether smart cards can be used to authenticate user access to the BitLocker-protected fixed data drives on a computer.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts BitLocker でスマート カードを使用するには、[コンピューター構成 ][管理用テンプレート][BitLocker ドライブの暗号化]\スマート カード証明書の使用状況ルールのコンプライアンス ポリシー設定で、スマート カード証明書のオブジェクト識別子と一致するオブジェクト識別子の設定を変更する必要があります。To use smart cards with BitLocker, you may also need to modify the object identifier setting in the Computer Configuration\Administrative Templates\BitLocker Drive Encryption\Validate smart card certificate usage rule compliance policy setting to match the object identifier of your smart card certificates.
有効になっている場合When enabled スマート カードを使用して、ドライブへのユーザー アクセスを認証できます。Smart cards can be used to authenticate user access to the drive. [固定データ ドライブでのスマート カードの使用を要求する] チェック ボックスをオンにすると、スマート カード認証 要求できます。You can require smart card authentication by selecting the Require use of smart cards on fixed data drives check box.
無効にした場合When disabled ユーザーは、スマート カードを使用して BitLocker で保護された固定データ ドライブへのアクセスを認証できません。Users cannot use smart cards to authenticate their access to BitLocker-protected fixed data drives.
構成されていない場合When not configured スマート カードを使用して、BitLocker で保護されたドライブへのユーザー アクセスを認証できます。Smart cards can be used to authenticate user access to a BitLocker-protected drive.

リファレンスReference

注意

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker を有効にするときに適用されます。These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker を使用すると、ドライブで使用可能なプロテクタを使用して、ドライブのロックを解除できます。BitLocker allows unlocking a drive by using any of the protectors that are available on the drive.

固定データ ドライブでのパスワードの使用を構成するConfigure use of passwords on fixed data drives

このポリシー設定は、固定データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。This policy setting is used to require, allow, or deny the use of passwords with fixed data drives.

ポリシーの説明Policy description このポリシー設定では、BitLocker で保護された固定データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。With this policy setting, you can specify whether a password is required to unlock BitLocker-protected fixed data drives.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts パスワードの複雑さを使用するには、 コンピューター構成\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード ポリシー\パスワードは、複雑さの要件ポリシー設定も有効にする必要があります。To use password complexity, the Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements policy setting must also be enabled.
有効になっている場合When enabled ユーザーは、定義した要件を満たすパスワードを構成できます。Users can configure a password that meets the requirements you define. パスワードの使用を要求するには、[固定データ ドライブに パスワードを要求する] を選択しますTo require the use of a password, select Require password for fixed data drive. パスワードに複雑さの要件を適用するには、[複雑さを要求する ] を選択しますTo enforce complexity requirements on the password, select Require complexity.
無効にした場合When disabled ユーザーはパスワードを使用できません。The user is not allowed to use a password.
構成されていない場合When not configured パスワードは、パスワードの複雑さの要件を含め、8 文字しか必要としない既定の設定でサポートされます。Passwords are supported with the default settings, which do not include password complexity requirements and require only 8 characters.

リファレンスReference

[複雑さを 要求する] に設定すると、BitLocker が有効な場合にパスワードの複雑さを検証するために、ドメイン コントローラーへの接続が必要です。When set to Require complexity, a connection to a domain controller is necessary to validate the complexity of the password when BitLocker is enabled.

[複雑さを 許可する] に設定すると、ドメイン コントローラーへの接続が試行され、その複雑性がポリシーによって設定されたルールに準拠しているという検証が試行されます。When set to Allow complexity, a connection to a domain controller is attempted to validate that the complexity adheres to the rules set by the policy. ただし、ドメイン コントローラーが見つからない場合、パスワードは実際のパスワードの複雑さにかかわらず受け入れ、ドライブは保護機能としてそのパスワードを使用して暗号化されます。However, if no domain controllers are found, the password is accepted regardless of the actual password complexity, and the drive is encrypted by using that password as a protector.

[複雑さを 許可しない] に設定すると、パスワードの複雑さの検証は実行されません。When set to Do not allow complexity, no password complexity validation is performed.

パスワードは 8 文字以上である必要があります。Passwords must be at least 8 characters. パスワードの最小長を長く構成するには、[最小パスワードの長さ] ボックスに必要な文字数 を入力 します。To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

注意

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker を有効にするときに適用されます。These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker を使用すると、ドライブで使用可能なプロテクタを使用してドライブのロックを解除できます。BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

複雑さの要件の設定を有効にするには、グループ ポリシー設定の [コンピューター 構成\Windows の設定\セキュリティ設定\ アカウント ポリシー\パスワード ポリシー\パスワード] も、複雑さの要件を満たす必要があります。For the complexity requirement setting to be effective, the Group Policy setting Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements must also be enabled. このポリシー設定は、コンピューター単位で構成されます。This policy setting is configured on a per-computer basis. つまり、ローカル ユーザー アカウントとドメイン ユーザー アカウントに適用されます。This means that it applies to local user accounts and domain user accounts. パスワードの複雑さを検証するために使用されるパスワード フィルターはドメイン コントローラー上にあるため、ローカル ユーザー アカウントはドメイン アクセス用に認証されないので、パスワード フィルターにアクセスできません。Because the password filter that is used to validate password complexity is located on the domain controllers, local user accounts cannot access the password filter because they are not authenticated for domain access. このポリシー設定が有効になっている場合、ローカル ユーザー アカウントでサインインし、ドライブの暗号化や、既存の BitLocker で保護されたドライブのパスワードの変更を試みる場合は、"アクセスが拒否されました" というエラー メッセージが表示されます。When this policy setting is enabled, if you sign in with a local user account, and you attempt to encrypt a drive or change a password on an existing BitLocker-protected drive, an "Access denied" error message is displayed. この状況では、パスワード キー プロテクターをドライブに追加できません。In this situation, the password key protector cannot be added to the drive.

このポリシー設定を有効にすると、BitLocker で保護されたドライブにパスワード キー プロテクターを追加する前に、ドメインへの接続を確立する必要があります。Enabling this policy setting requires that connectivity to a domain be established before adding a password key protector to a BitLocker-protected drive. リモートで作業し、ドメインに接続できない期間があるユーザーは、BitLocker を有効にしたり、BitLocker で保護されたデータ ドライブでパスワードを変更したりするために、ドメインに接続する時間をスケジュールできるよう、この要件を認識する必要があります。Users who work remotely and have periods of time in which they cannot connect to the domain should be made aware of this requirement so that they can schedule a time when they will be connected to the domain to turn on BitLocker or to change a password on a BitLocker-protected data drive.

重要

FIPS コンプライアンスが有効になっている場合は、パスワードを使用できません。Passwords cannot be used if FIPS compliance is enabled. System cryptography: Computer Configuration\Windows Settings\Security Settings\Local Policies\\Security Options の暗号化、ハッシュ、署名ポリシー設定に FIPS 準拠のアルゴリズムを使用して、FIPS コンプライアンスが有効かどうかを指定します。The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS compliance is enabled.

リムーバブル データ ドライブでのスマート カードの使用を構成するConfigure use of smart cards on removable data drives

このポリシー設定は、リムーバブル データ ドライブでのスマート カードの使用を要求、許可、または拒否するために使用されます。This policy setting is used to require, allow, or deny the use of smart cards with removable data drives.

ポリシーの説明Policy description このポリシー設定では、スマート カードを使用して、コンピューター上の BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証できるかどうかを指定できます。With this policy setting, you can specify whether smart cards can be used to authenticate user access to BitLocker-protected removable data drives on a computer.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts BitLocker でスマート カードを使用するには、[コンピューター構成 ][管理用テンプレート][BitLocker ドライブの暗号化]\スマート カード証明書の使用状況ルールのコンプライアンス ポリシー設定で、スマート カード証明書のオブジェクト識別子と一致するオブジェクト識別子の設定を変更する必要があります。To use smart cards with BitLocker, you may also need to modify the object identifier setting in the Computer Configuration\Administrative Templates\BitLocker Drive Encryption\Validate smart card certificate usage rule compliance policy setting to match the object identifier of your smart card certificates.
有効になっている場合When enabled スマート カードを使用して、ドライブへのユーザー アクセスを認証できます。Smart cards can be used to authenticate user access to the drive. [リムーバブル データ ドライブでスマート カードの使用を要求する] チェック ボックスをオンにすると、スマート カード認証 要求できます。You can require smart card authentication by selecting the Require use of smart cards on removable data drives check box.
無効または構成されていない場合When disabled or not configured ユーザーは、スマート カードを使用して BitLocker で保護されたリムーバブル データ ドライブへのアクセスを認証することはできません。Users are not allowed to use smart cards to authenticate their access to BitLocker-protected removable data drives.
構成されていない場合When not configured スマート カードは、BitLocker で保護されたリムーバブル データ ドライブへのユーザー アクセスを認証するために使用できます。Smart cards are available to authenticate user access to a BitLocker-protected removable data drive.

リファレンスReference

注意

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker を有効にするときに適用されます。These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker を使用すると、ドライブで使用可能なプロテクタを使用してドライブのロックを解除できます。BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

リムーバブル データ ドライブでのパスワードの使用を構成するConfigure use of passwords on removable data drives

このポリシー設定は、リムーバブル データ ドライブでのパスワードの使用を要求、許可、または拒否するために使用されます。This policy setting is used to require, allow, or deny the use of passwords with removable data drives.

||| |--- |--- | |ポリシーの説明Policy description|このポリシー設定では、BitLocker で保護されたリムーバブル データ ドライブのロックを解除するためにパスワードが必要かどうかを指定できます。With this policy setting, you can specify whether a password is required to unlock BitLocker-protected removable data drives.| |導入Introduced|Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7| |ドライブの種類Drive type|リムーバブル データ ドライブRemovable data drives| |ポリシーのパスPolicy path|コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives| |競合Conflicts|パスワードの複雑さを使用するには、**** パスワードが複雑な要件ポリシー設定を満たす必要があります。これは、コンピューター構成**\Windows 設定\セキュリティ設定\アカウント ポリシー\パスワード**ポリシーも有効にする必要があります。To use password complexity, the Password must meet complexity requirements policy setting, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy must also be enabled.| |有効になっている場合When enabled|ユーザーは、定義した要件を満たすパスワードを構成できます。Users can configure a password that meets the requirements you define. パスワードの使用を要求するには、[リムーバブル データ ドライブに パスワードを要求する] を選択しますTo require the use of a password, select Require password for removable data drive. パスワードに複雑さの要件を適用するには、[複雑さを要求する ] を選択しますTo enforce complexity requirements on the password, select Require complexity.| |無効にした場合When disabled|ユーザーはパスワードを使用できません。The user is not allowed to use a password.| |構成されていない場合When not configured|パスワードは、パスワードの複雑さの要件を含め、8 文字しか必要としない既定の設定でサポートされます。Passwords are supported with the default settings, which do not include password complexity requirements and require only 8 characters.| リファレンスReference

パスワードの使用を許可する場合は、使用するパスワードを要求し、複雑さの要件を適用し、最小の長さを構成できます。If you choose to allow the use of a password, you can require a password to be used, enforce complexity requirements, and configure a minimum length. 複雑さの要件設定を有効にするには、グループ ポリシー設定の**** パスワードが複雑な要件を満たす必要があります 。これは、コンピューター構成**\Windows Settings\セキュリティ設定\アカウント ポリシー\パスワード**ポリシーも有効にする必要があります。For the complexity requirement setting to be effective, the Group Policy setting Password must meet complexity requirements, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy must also be enabled.

注意

これらの設定は、ドライブのロックを解除する場合ではなく、BitLocker を有効にするときに適用されます。These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker を使用すると、ドライブで使用可能なプロテクタを使用してドライブのロックを解除できます。BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

パスワードは 8 文字以上である必要があります。Passwords must be at least 8 characters. パスワードの最小長を長く構成するには、[最小パスワードの長さ] ボックスに必要な文字数 を入力 します。To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

[複雑さを 要求する] に設定すると、パスワードの複雑さを検証するために BitLocker が有効になっている場合、ドメイン コントローラーへの接続が必要です。When set to Require complexity, a connection to a domain controller is necessary when BitLocker is enabled to validate the complexity the password.

[複雑さを 許可する] に設定すると、ドメイン コントローラーへの接続が試行され、その複雑性がポリシーによって設定されたルールに準拠しているという検証が試行されます。When set to Allow complexity, a connection to a domain controller will be attempted to validate that the complexity adheres to the rules set by the policy. ただし、ドメイン コントローラーが見つからない場合、実際のパスワードの複雑さにかかわらず、パスワードは引き続き受け入れ、ドライブは保護機能としてそのパスワードを使用して暗号化されます。However, if no domain controllers are found, the password will still be accepted regardless of actual password complexity and the drive will be encrypted by using that password as a protector.

[複雑さを 許可しない] に設定すると、パスワードの複雑さの検証は実行しません。When set to Do not allow complexity, no password complexity validation will be done.

注意

FIPS コンプライアンスが有効になっている場合は、パスワードを使用できません。Passwords cannot be used if FIPS compliance is enabled. System cryptography: Computer Configuration\Windows Settings\Security Settings\Local Policies\\Security Options の暗号化、ハッシュ、署名ポリシー設定に FIPS 準拠のアルゴリズムを使用して、FIPS コンプライアンスが有効かどうかを指定します。The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS compliance is enabled.

この設定の詳細については 、「System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing 」を参照してくださいFor information about this setting, see System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing.

スマート カード証明書の使用状況ルールの準拠を検証するValidate smart card certificate usage rule compliance

このポリシー設定は、BitLocker で使用する証明書を決定するために使用されます。This policy setting is used to determine what certificate to use with BitLocker.

ポリシーの説明Policy description このポリシー設定を使用すると、スマート カード証明書のオブジェクト識別子を BitLocker で保護されたドライブに関連付けます。With this policy setting, you can associate an object identifier from a smart card certificate to a BitLocker-protected drive.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブとリムーバブル データ ドライブFixed and removable data drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled [オブジェクト識別子] 設定で指定するオブジェクト 識別子 は、スマート カード証明書のオブジェクト識別子と一致している必要があります。The object identifier that is specified in the Object identifier setting must match the object identifier in the smart card certificate.
無効または構成されていない場合When disabled or not configured 既定のオブジェクト識別子が使用されます。The default object identifier is used.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

オブジェクト識別子は、証明書の拡張キー使用法 (EKU) で指定されます。The object identifier is specified in the enhanced key usage (EKU) of a certificate. BitLocker は、証明書内のオブジェクト識別子と、このポリシー設定で定義されているオブジェクト識別子を照合することで、BitLocker で保護されたドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。BitLocker can identify which certificates can be used to authenticate a user certificate to a BitLocker-protected drive by matching the object identifier in the certificate with the object identifier that is defined by this policy setting.

既定のオブジェクト識別子は 1.3.6.1.4.1.311.67.1.1 です。The default object identifier is 1.3.6.1.4.1.311.67.1.1.

注意

BitLocker では、証明書に EKU 属性が必要ではありません。ただし、証明書用に構成されている場合は、BitLocker 用に構成されたオブジェクト識別子と一致するオブジェクト識別子に設定する必要があります。BitLocker does not require that a certificate have an EKU attribute; however, if one is configured for the certificate, it must be set to an object identifier that matches the object identifier configured for BitLocker.

スレートでプレブート キーボード入力を必要とする BitLocker 認証の使用を有効にするEnable use of BitLocker authentication requiring preboot keyboard input on slates

このポリシー設定を使用すると、プラットフォームがプレブート入力機能の不足を示している場合でも、プレブート環境からのユーザー入力を必要とする認証オプションを有効にできます。This policy setting allows users to enable authentication options that require user input from the preboot environment even if the platform indicates a lack of preboot input capability.

ポリシーの説明Policy description このポリシー設定を使用すると、プラットフォームがプレブート入力機能の不足を示している場合でも、ユーザーがプレブート環境からのユーザー入力を必要とする認証オプションを有効にできます。With this policy setting, you can allow users to enable authentication options that require user input from the preboot environment, even if the platform indicates a lack of preboot input capability.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drive
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive
競合Conflicts なしNone
有効になっている場合When enabled デバイスには、プレブート入力の代替手段 (接続されている USB キーボードなど) が必要です。Devices must have an alternative means of preboot input (such as an attached USB keyboard).
無効または構成されていない場合When disabled or not configured BitLocker 回復パスワードの入力をサポートするには、タブレットで Windows 回復環境を有効にする必要があります。The Windows Recovery Environment must be enabled on tablets to support entering the BitLocker recovery password.

リファレンスReference

Windows タッチ キーボード (タブレットで使用されるなど) は、BitLocker が PIN やパスワードなどの追加情報を必要とするプレブート環境では使用できません。The Windows touch keyboard (such as used by tablets) is not available in the preboot environment where BitLocker requires additional information, such as a PIN or password.

管理者は、USB キーボードの接続など、プレブート入力の代替手段が確認されたデバイスに対してのみ、このポリシーを有効にしてください。It is recommended that administrators enable this policy only for devices that are verified to have an alternative means of preboot input, such as attaching a USB keyboard.

Windows 回復環境が有効で、このポリシーが有効になっていない場合、Windows タッチ キーボードを使用するデバイスで BitLocker を有効にすることはできません。When the Windows Recovery Environment is not enabled and this policy is not enabled, you cannot turn on BitLocker on a device that uses the Windows touch keyboard.

このポリシー設定を有効にしない場合は、[起動時に追加認証**** を要求する] ポリシーの次のオプションを使用できない場合があります。If you do not enable this policy setting, the following options in the Require additional authentication at startup policy might not be available:

  • TPM スタートアップ PIN の構成: 必須と許可Configure TPM startup PIN: Required and Allowed
  • TPM スタートアップ キーと PIN を構成する: 必須と許可Configure TPM startup key and PIN: Required and Allowed
  • オペレーティング システム ドライブのパスワードの使用を構成するConfigure use of passwords for operating system drives

BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否するDeny write access to fixed drives not protected by BitLocker

このポリシー設定は、書き込みアクセスを許可する前に固定ドライブの暗号化を要求するために使用されます。This policy setting is used to require encryption of fixed drives prior to granting Write access.

ポリシーの説明Policy description このポリシー設定を使用すると、固定データ ドライブをコンピューターで書き込み可能にするために BitLocker 保護が必要かどうかを設定できます。With this policy setting, you can set whether BitLocker protection is required for fixed data drives to be writable on a computer.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts 競合の詳細については、「リファレンス」セクションを参照してください。See the Reference section for a description of conflicts.
有効になっている場合When enabled BitLocker で保護されていない固定データ ドライブはすべて、読み取り専用としてマウントされます。All fixed data drives that are not BitLocker-protected are mounted as Read-only. ドライブが BitLocker で保護されている場合は、読み取りおよび書き込みアクセスでマウントされます。If the drive is protected by BitLocker, it is mounted with Read and Write access.
無効または構成されていない場合When disabled or not configured コンピューター上のすべての固定データ ドライブは、読み取りおよび書き込みアクセスでマウントされます。All fixed data drives on the computer are mounted with Read and Write access.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

競合に関する考慮事項は次のとおりです。Conflict considerations include:

  1. このポリシー設定を有効にすると、ユーザーが暗号化されていない固定データ ドライブにデータを保存しようとするときに、"アクセスが拒否されました" というエラー メッセージが表示されます。When this policy setting is enabled, users receive "Access denied" error messages when they try to save data to unencrypted fixed data drives. その他の競合については、「リファレンス」セクションを参照してください。See the Reference section for additional conflicts.

  2. このBdeHdCfg.exeが有効になっているときにコンピューターで実行すると、次の問題が発生する可能性があります。If BdeHdCfg.exe is run on a computer when this policy setting is enabled, you could encounter the following issues:

    • ドライブを縮小してシステム ドライブを作成しようとした場合、ドライブ サイズは正常に縮小され、生のパーティションが作成されます。If you attempted to shrink the drive and create the system drive, the drive size is successfully reduced and a raw partition is created. ただし、生のパーティションは書式設定されていない。However, the raw partition is not formatted. 次のエラー メッセージが表示されます。"新しいアクティブ なドライブを書式設定できません。The following error message is displayed: "The new active drive cannot be formatted. BitLocker 用にドライブを手動で準備する必要がある場合があります。You may need to manually prepare your drive for BitLocker."
    • 未分割の領域を使用してシステム ドライブを作成しようとすると、生のパーティションが作成されます。If you attempt to use unallocated space to create the system drive, a raw partition will be created. ただし、生のパーティションは書式設定されない。However, the raw partition will not be formatted. 次のエラー メッセージが表示されます。"新しいアクティブ なドライブを書式設定できません。The following error message is displayed: "The new active drive cannot be formatted. BitLocker 用にドライブを手動で準備する必要がある場合があります。You may need to manually prepare your drive for BitLocker."
    • 既存のドライブをシステム ドライブにマージしようとすると、ツールは必要なブート ファイルをターゲット ドライブにコピーしてシステム ドライブを作成できません。If you attempt to merge an existing drive into the system drive, the tool fails to copy the required boot file onto the target drive to create the system drive. 次のエラー メッセージが表示されます。"BitLocker セットアップがブート ファイルのコピーに失敗しました。The following error message is displayed: "BitLocker setup failed to copy boot files. BitLocker 用にドライブを手動で準備する必要がある場合があります。You may need to manually prepare your drive for BitLocker."
  3. このポリシー設定を適用すると、ドライブが保護されたため、ハード ドライブを再パーティション化できません。If this policy setting is enforced, a hard drive cannot be repartitioned because the drive is protected. 組織のコンピューターを以前のバージョンの Windows からアップグレードし、それらのコンピューターが 1 つのパーティションで構成されている場合は、このポリシー設定をコンピューターに適用する前に、必要な BitLocker システム パーティションを作成する必要があります。If you are upgrading computers in your organization from a previous version of Windows, and those computers were configured with a single partition, you should create the required BitLocker system partition before you apply this policy setting to the computers.

BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否するDeny write access to removable drives not protected by BitLocker

このポリシー設定は、書き込みアクセスを許可する前にリムーバブル ドライブを暗号化することを要求し、別の組織で構成された BitLocker で保護されたリムーバブル ドライブを書き込みアクセスで開くことができるかどうかを制御するために使用されます。This policy setting is used to require that removable drives are encrypted prior to granting Write access, and to control whether BitLocker-protected removable drives that were configured in another organization can be opened with Write access.

ポリシーの説明Policy description このポリシー設定を使用して、コンピューターがリムーバブル データ ドライブにデータを書き込むには BitLocker 保護が必要かどうかを構成できます。With this policy setting, you can configure whether BitLocker protection is required for a computer to be able to write data to a removable data drive.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts 競合の詳細については、「リファレンス」セクションを参照してください。See the Reference section for a description of conflicts.
有効になっている場合When enabled BitLocker で保護されていないすべてのリムーバブル データ ドライブは、読み取り専用としてマウントされます。All removable data drives that are not BitLocker-protected are mounted as Read-only. ドライブが BitLocker で保護されている場合は、読み取りおよび書き込みアクセスでマウントされます。If the drive is protected by BitLocker, it is mounted with Read and Write access.
無効または構成されていない場合When disabled or not configured コンピューター上のすべてのリムーバブル データ ドライブは、読み取りおよび書き込みアクセスでマウントされます。All removable data drives on the computer are mounted with Read and Write access.

リファレンスReference

[別の 組織で 構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合、コンピューターの ID フィールドに一致する ID フィールドを持つドライブだけが書き込みアクセス権を与えます。If the Deny write access to devices configured in another organization option is selected, only drives with identification fields that match the computer's identification fields are given Write access. リムーバブル データ ドライブにアクセスすると、有効な ID フィールドと許可されている識別フィールドがチェックされます。When a removable data drive is accessed, it is checked for a valid identification field and allowed identification fields. これらのフィールドは、[組織ポリシーの一 意の識別子を指定する] 設定で 定義されます。These fields are defined by the Provide the unique identifiers for your organization policy setting.

注意

このポリシー設定は、[ユーザー構成\管理用テンプレート \System\リムーバブル記憶域アクセス] のポリシー設定で上書きできます。You can override this policy setting with the policy settings under User Configuration\Administrative Templates\System\Removable Storage Access. [リムーバブル ディスク : 書き込みアクセスの拒否] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。If the Removable Disks: Deny write access policy setting is enabled, this policy setting will be ignored.

競合に関する考慮事項は次のとおりです。Conflict considerations include:

  1. BitLocker ポリシー設定で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定が有効になっている場合は、TPM とスタートアップ キー、または TPM と PIN とスタートアップ キーを使用して BitLocker を使用することはできません。Use of BitLocker with the TPM plus a startup key or with the TPM plus a PIN and startup key must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
  2. BitLockerポリシーで保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定が有効になっている場合は、回復キーの使用を禁止する必要があります。Use of recovery keys must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
  3. 別の組織で構成 された ドライブへの書き込みアクセスを拒否する場合は、[組織の一意の識別子を提供する] ポリシー設定を有効にする必要があります。You must enable the Provide the unique identifiers for your organization policy setting if you want to deny Write access to drives that were configured in another organization.

リムーバブル ドライブでの BitLocker の使用を制御するControl use of BitLocker on removable drives

このポリシー設定は、ユーザーがリムーバブル データ ドライブで BitLocker をオンまたはオフにすることを防ぐために使用されます。This policy setting is used to prevent users from turning BitLocker on or off on removable data drives.

ポリシーの説明Policy description このポリシー設定を使用すると、リムーバブル データ ドライブでの BitLocker の使用を制御できます。With this policy setting, you can control the use of BitLocker on removable data drives.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts なしNone
有効になっている場合When enabled ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。You can select property settings that control how users can configure BitLocker.
無効にした場合When disabled ユーザーは、リムーバブル データ ドライブで BitLocker を使用できません。Users cannot use BitLocker on removable data drives.
構成されていない場合When not configured ユーザーは、リムーバブル データ ドライブで BitLocker を使用できます。Users can use BitLocker on removable data drives.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

BitLocker 保護の中断の詳細については 、「BitLocker Basic Deployment」を参照してくださいFor information about suspending BitLocker protection, see BitLocker Basic Deployment.

ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択するためのオプションは次のとおりです。The options for choosing property settings that control how users can configure BitLocker are:

  • ユーザーがリムーバブル データ ドライブに BitLocker 保護を適用することを許可する ユーザーがリムーバブル データ ドライブで BitLocker セットアップ ウィザードを実行できます。Allow users to apply BitLocker protection on removable data drives Enables the user to run the BitLocker Setup Wizard on a removable data drive.
  • ユーザーがリムーバブル データ ドライブで BitLocker を中断および復号化することを許可する ユーザーがドライブから BitLocker を削除するか、メンテナンスの実行中に暗号化を中断できます。Allow users to suspend and decrypt BitLocker on removable data drives Enables the user to remove BitLocker from the drive or to suspend the encryption while performing maintenance.

ドライブの暗号化方法と暗号の強さを選択するChoose drive encryption method and cipher strength

このポリシー設定は、暗号化方法と暗号強度を制御するために使用されます。This policy setting is used to control the encryption method and cipher strength.

ポリシーの説明Policy description このポリシー設定を使用すると、ドライブの暗号化方法と強度を制御できます。With this policy setting, you can control the encryption method and strength for drives.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type すべてのドライブAll drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled ドライブの暗号化に使用する BitLocker の暗号化アルゴリズムとキー暗号強度を選択できます。You can choose an encryption algorithm and key cipher strength for BitLocker to use to encrypt drives.
無効または構成されていない場合When disabled or not configured Windows 10 バージョン 1511 より、BitLocker は XTS-AES 128 ビットの既定の暗号化方法、またはセットアップ スクリプトで指定された暗号化方法を使用します。Beginning with Windows 10, version 1511, BitLocker uses the default encryption method of XTS-AES 128-bit or the encryption method that is specified by the setup script. Windows Phone は XTS をサポートしていない。既定では AES-CBC 128 ビットを使用し、ポリシーによって AES-CBC 256 ビットをサポートします。Windows Phone does not support XTS; it uses AES-CBC 128-bit by default and supports AES-CBC 256-bit by policy.

リファレンスReference

このポリシーの値は、BitLocker が暗号化に使用する暗号の強度を決定します。The values of this policy determine the strength of the cipher that BitLocker uses for encryption. 企業は、セキュリティを強化するために暗号化レベルを制御する必要があります (AES-256 は AES-128 より強力です)。Enterprises may want to control the encryption level for increased security (AES-256 is stronger than AES-128).

この設定を有効にすると、固定データ ドライブ、オペレーティング システム ドライブ、およびリムーバブル データ ドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できます。If you enable this setting, you will be able to configure an encryption algorithm and key cipher strength for fixed data drives, operating system drives, and removable data drives individually. 固定およびオペレーティング システム ドライブの場合は、XTS-AES アルゴリズムを使用することをお勧めします。For fixed and operating system drives, we recommend that you use the XTS-AES algorithm. リムーバブル ドライブの場合は、Windows 10 バージョン 1511 以降を実行していない他のデバイスでドライブを使用する場合は、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要があります。For removable drives, you should use AES-CBC 128-bit or AES-CBC 256-bit if the drive will be used in other devices that are not running Windows 10, version 1511 or later.

ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化方法を変更する場合は効果がありません。Changing the encryption method has no effect if the drive is already encrypted or if encryption is in progress. このような場合、このポリシー設定は無視されます。In these cases, this policy setting is ignored.

警告

このポリシーは、暗号化されたドライブには適用されません。This policy does not apply to encrypted drives. 暗号化されたドライブは、パーティション分割中にドライブによって設定される独自のアルゴリズムを使用します。Encrypted drives utilize their own algorithm, which is set by the drive during partitioning.

このポリシー設定が無効になっているか構成されていない場合、BitLocker は XTS-AES 128 ビットの既定の暗号化方法、またはセットアップ スクリプトで指定された暗号化方法を使用します。When this policy setting is disabled or not configured, BitLocker will use the default encryption method of XTS-AES 128-bit or the encryption method that is specified in the setup script.

固定データ ドライブのハードウェア ベースの暗号化の使用を構成するConfigure use of hardware-based encryption for fixed data drives

このポリシーは、BitLocker が固定データ ボリュームとして使用される場合に、暗号化されたドライブが装備されているシステムに対する BitLocker の反応を制御します。This policy controls how BitLocker reacts to systems that are equipped with encrypted drives when they are used as fixed data volumes. ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスが向上します。Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

ポリシーの説明Policy description このポリシー設定を使用すると、固定データ ドライブでのハードウェア ベースの暗号化の BitLocker の使用を管理し、BitLocker がハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。With this policy setting, you can manage BitLocker’s use of hardware-based encryption on fixed data drives and to specify which encryption algorithms BitLocker can use with hardware-based encryption.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts なしNone
有効になっている場合When enabled ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定できます。You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
無効にした場合When disabled BitLocker では、固定データ ドライブでハードウェア ベースの暗号化を使用することはできません。BitLocker ソフトウェア ベースの暗号化は、ドライブが暗号化されている場合に既定で使用されます。BitLocker cannot use hardware-based encryption with fixed data drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
構成されていない場合When not configured BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

リファレンスReference

注意

[ ドライブの暗号化方法と暗号強度の選択] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割時に設定されます。The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. 既定では、BitLocker はドライブで構成されているアルゴリズムを使用してドライブを暗号化します。By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. この 設定の [ ハードウェア ベースの暗号化に使用できる暗号化アルゴリズムと暗号スイートを制限する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. ドライブに設定されているアルゴリズムが使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。Encryption algorithms are specified by object identifiers (OID), for example:

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

オペレーティング システム ドライブのハードウェア ベースの暗号化の使用を構成するConfigure use of hardware-based encryption for operating system drives

このポリシーは、暗号化されたドライブをオペレーティング システム ドライブとして使用する場合の BitLocker の反応を制御します。This policy controls how BitLocker reacts when encrypted drives are used as operating system drives. ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスが向上します。Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

ポリシーの説明Policy description このポリシー設定を使用すると、オペレーティング システム ドライブでの BitLocker によるハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。With this policy setting, you can manage BitLocker’s use of hardware-based encryption on operating system drives and specify which encryption algorithms it can use with hardware-based encryption.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定できます。You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
無効にした場合When disabled BitLocker は、オペレーティング システム ドライブでハードウェア ベースの暗号化を使用することはできません。BitLocker ソフトウェア ベースの暗号化は、暗号化されたドライブの場合は既定で使用されます。BitLocker cannot use hardware-based encryption with operating system drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
構成されていない場合When not configured BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

リファレンスReference

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。If hardware-based encryption is not available, BitLocker software-based encryption is used instead.

注意

[ ドライブの暗号化方法と暗号強度の選択] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割時に設定されます。The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. 既定では、BitLocker はドライブで構成されているアルゴリズムを使用してドライブを暗号化します。By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. この 設定の [ ハードウェア ベースの暗号化に使用できる暗号化アルゴリズムと暗号スイートを制限する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. ドライブに設定されているアルゴリズムが使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。Encryption algorithms are specified by object identifiers (OID), for example:

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

リムーバブル データ ドライブのハードウェア ベースの暗号化の使用を構成するConfigure use of hardware-based encryption for removable data drives

このポリシーは、BitLocker がリムーバブル データ ドライブとして使用される場合の暗号化されたドライブへの対応を制御します。This policy controls how BitLocker reacts to encrypted drives when they are used as removable data drives. ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ操作のパフォーマンスが向上します。Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker によるリムーバブル データ ドライブでのハードウェア ベースの暗号化の使用を管理し、ハードウェア ベースの暗号化で使用できる暗号化アルゴリズムを指定できます。With this policy setting, you can manage BitLocker’s use of hardware-based encryption on removable data drives and specify which encryption algorithms it can use with hardware-based encryption.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drive
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts なしNone
有効になっている場合When enabled ハードウェア ベースの暗号化をサポートしていないコンピューターでハードウェア ベースの暗号化ではなく、BitLocker ソフトウェア ベースの暗号化を使用するかどうかを制御する追加のオプションを指定できます。You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. また、ハードウェア ベースの暗号化で使用される暗号化アルゴリズムと暗号スイートを制限するかどうかを指定できます。You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
無効にした場合When disabled BitLocker では、リムーバブル データ ドライブでハードウェア ベースの暗号化を使用することはできません。BitLocker ソフトウェア ベースの暗号化は、暗号化されたドライブの場合は既定で使用されます。BitLocker cannot use hardware-based encryption with removable data drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
構成されていない場合When not configured BitLocker ソフトウェア ベースの暗号化は、ハードウェア ベースの暗号化機能に関係なく使用されます。BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

リファレンスReference

ハードウェア ベースの暗号化を使用できない場合は、代わりに BitLocker ソフトウェア ベースの暗号化が使用されます。If hardware-based encryption is not available, BitLocker software-based encryption is used instead.

注意

[ ドライブの暗号化方法と暗号強度の選択] ポリシー設定は、ハードウェア ベースの暗号化には適用されません。The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

ハードウェア ベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割時に設定されます。The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. 既定では、BitLocker はドライブで構成されているアルゴリズムを使用してドライブを暗号化します。By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. この 設定の [ ハードウェア ベースの暗号化に使用できる暗号化アルゴリズムと暗号スイートを制限する] オプションを使用すると、BitLocker がハードウェア暗号化で使用できる暗号化アルゴリズムを制限できます。The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. ドライブに設定されているアルゴリズムが使用できない場合、BitLocker はハードウェア ベースの暗号化の使用を無効にします。If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. 暗号化アルゴリズムは、次に示すオブジェクト識別子 (OID) によって指定されます。Encryption algorithms are specified by object identifiers (OID), for example:

  • 暗号化ブロック チェーン (CBC) モード OID の高度な暗号化標準 (AES) 128: 2.16.840.1.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • CBC モード OID の AES 256: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

固定データ ドライブにドライブの暗号化の種類を適用するEnforce drive encryption type on fixed data drives

このポリシーは、固定データ ドライブが使用スペースのみ暗号化または完全暗号化を使用するかどうかを制御します。This policy controls whether fixed data drives utilize Used Space Only encryption or Full encryption. また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択がユーザーに表示されません。Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page so no encryption selection displays to the user.

ポリシーの説明Policy description このポリシー設定では、BitLocker で使用される暗号化の種類を構成できます。With this policy setting, you can configure the encryption type that is used by BitLocker.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type 固定データ ドライブFixed data drive
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts なしNone
有効になっている場合When enabled このポリシーは、BitLocker がドライブの暗号化に使用する暗号化の種類を定義します。BitLocker セットアップ ウィザードでは、暗号化の種類オプションは表示されません。This policy defines the encryption type that BitLocker uses to encrypt drives, and the encryption type option is not presented in the BitLocker Setup Wizard.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードは、BitLocker を有効にする前に暗号化の種類を選択することをユーザーに求める。The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更する場合は影響しません。Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. [完全暗号化] を選択して、BitLocker がオンになっているときにドライブ全体を暗号化する必要があります。Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. [使用スペースのみ] 暗号化を選択して、BitLocker がオンになっているときに、データの保存に使用されるドライブの部分のみを暗号化することを要求します。Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

注意

ボリュームを縮小または展開する場合、BitLocker ドライバーが現在の暗号化方法を使用している場合、このポリシーは無視されます。This policy is ignored when you are shrinking or expanding a volume and the BitLocker driver uses the current encryption method. たとえば、使用スペースのみ暗号化を使用しているドライブが展開されている場合、完全暗号化を使用しているドライブの場合と同様に、新しい空き領域は消去されません。For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that is using Full encryption. ユーザーは 、manage-bde -wというコマンドを使用して、使用領域専用ドライブの空き領域をワイプできます。The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されます。If the volume is shrunk, no action is taken for the new free space.

BitLocker を管理するツールの詳細については 、「Manage-bde」を参照してくださいFor more information about the tool to manage BitLocker, see Manage-bde.

オペレーティング システム ドライブにドライブの暗号化の種類を適用するEnforce drive encryption type on operating system drives

このポリシーは、オペレーティング システム ドライブが完全暗号化または使用領域のみ暗号化を使用するかどうかを制御します。This policy controls whether operating system drives utilize Full encryption or Used Space Only encryption. また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択はユーザーに表示されません。Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page, so no encryption selection displays to the user.

ポリシーの説明Policy description このポリシー設定では、BitLocker で使用される暗号化の種類を構成できます。With this policy setting, you can configure the encryption type that is used by BitLocker.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drive
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、BitLocker セットアップ ウィザードには暗号化の種類オプションは表示されません。The encryption type that BitLocker uses to encrypt drives is defined by this policy, and the encryption type option is not presented in the BitLocker Setup Wizard.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードは、BitLocker を有効にする前に暗号化の種類を選択することをユーザーに求める。The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更する場合は影響しません。Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. [完全暗号化] を選択して、BitLocker がオンになっているときにドライブ全体を暗号化する必要があります。Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. [使用スペースのみ] 暗号化を選択して、BitLocker がオンになっているときに、データの保存に使用されるドライブの部分のみを暗号化することを要求します。Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

注意

ボリュームを縮小または展開する場合、このポリシーは無視され、BitLocker ドライバーは現在の暗号化方法を使用します。This policy is ignored when shrinking or expanding a volume, and the BitLocker driver uses the current encryption method. たとえば、Using Space Only 暗号化を使用しているドライブを展開した場合、完全暗号化を使用するドライブの場合と同様に、新しい空き領域は消去されません。For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that uses Full encryption. ユーザーは 、manage-bde -wというコマンドを使用して、使用領域専用ドライブの空き領域をワイプできます。The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されます。If the volume is shrunk, no action is taken for the new free space.

BitLocker を管理するツールの詳細については 、「Manage-bde」を参照してくださいFor more information about the tool to manage BitLocker, see Manage-bde.

リムーバブル データ ドライブにドライブの暗号化の種類を適用するEnforce drive encryption type on removable data drives

このポリシーは、固定データ ドライブが完全暗号化または使用済みスペースのみ暗号化を使用するかどうかを制御します。This policy controls whether fixed data drives utilize Full encryption or Used Space Only encryption. また、このポリシーを設定すると、BitLocker セットアップ ウィザードは暗号化オプション ページをスキップし、暗号化の選択はユーザーに表示されません。Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page, so no encryption selection displays to the user.

ポリシーの説明Policy description このポリシー設定では、BitLocker で使用される暗号化の種類を構成できます。With this policy setting, you can configure the encryption type that is used by BitLocker.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drive
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts なしNone
有効になっている場合When enabled BitLocker がドライブの暗号化に使用する暗号化の種類は、このポリシーによって定義され、BitLocker セットアップ ウィザードには暗号化の種類オプションは表示されません。The encryption type that BitLocker uses to encrypt drives is defined by this policy, and the encryption type option is not presented in the BitLocker Setup Wizard.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードは、BitLocker を有効にする前に暗号化の種類を選択することをユーザーに求める。The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. ドライブが既に暗号化されている場合、または暗号化が進行中の場合、暗号化の種類を変更する場合は影響しません。Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. [完全暗号化] を選択して、BitLocker がオンになっているときにドライブ全体を暗号化する必要があります。Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. [使用スペースのみ] 暗号化を選択して、BitLocker がオンになっているときに、データの保存に使用されるドライブの部分のみを暗号化することを要求します。Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

注意

ボリュームを縮小または展開する場合、このポリシーは無視され、BitLocker ドライバーは現在の暗号化方法を使用します。This policy is ignored when shrinking or expanding a volume, and the BitLocker driver uses the current encryption method. たとえば、Using Space Only 暗号化を使用しているドライブが展開されている場合、新しい空き領域は、完全暗号化を使用しているドライブの場合と同様に消去されません。For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that is using Full Encryption. ユーザーは 、manage-bde -wというコマンドを使用して、使用領域専用ドライブの空き領域をワイプできます。The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. ボリュームが縮小された場合、新しい空き領域に対してアクションは実行されます。If the volume is shrunk, no action is taken for the new free space.

BitLocker を管理するツールの詳細については 、「Manage-bde」を参照してくださいFor more information about the tool to manage BitLocker, see Manage-bde.

BitLocker で保護されたオペレーティング システム ドライブの回復方法を選択するChoose how BitLocker-protected operating system drives can be recovered

このポリシー設定は、オペレーティング システム ドライブの回復方法を構成するために使用されます。This policy setting is used to configure recovery methods for operating system drives.

ポリシーの説明Policy description このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されたオペレーティング システム ドライブを回復する方法を制御できます。With this policy setting, you can control how BitLocker-protected operating system drives are recovered in the absence of the required startup key information.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts BitLocker ポリシーで保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定が有効になっている場合は、回復キーの使用を禁止 する 必要があります。You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.

データ復旧エージェントを使用する場合は、[組織の一意の識別子を指定する] ポリシー設定 を有効にする 必要があります。When using data recovery agents, you must enable the Provide the unique identifiers for your organization policy setting.

有効になっている場合When enabled BitLocker で保護されたオペレーティング システム ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。You can control the methods that are available to users to recover data from BitLocker-protected operating system drives.
無効または構成されていない場合When disabled or not configured BitLocker の回復では、既定の回復オプションがサポートされています。The default recovery options are supported for BitLocker recovery. 既定では、データ回復エージェントは許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定できます。回復情報は AD DS にバックアップされません。By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

[ データ回復エージェントを許可 する] チェック ボックスを使用して、BitLocker で保護されたオペレーティング システム ドライブでデータ回復エージェントを使用できるかどうかを指定します。The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected operating system drives. データ回復エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーからデータ回復エージェントを追加する必要があります。 ****Before a data recovery agent can be used, it must be added from Public Key Policies, which is located in the Group Policy Management Console (GPMC) or in the Local Group Policy Editor.

データ復旧エージェントの追加の詳細については 、「BitLocker の基本的な展開」を参照してくださいFor more information about adding data recovery agents, see BitLocker basic deployment.

[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password.

ドライブ で BitLocker を有効にするときに ユーザーが回復オプションを指定することを防ぐには、[BitLocker セットアップ ウィザードから回復オプションを省略する] を選択します。Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。This means that you will not be able to specify which recovery option to use when you enable BitLocker. 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。Instead, BitLocker recovery options for the drive are determined by the policy setting.

[BitLocker 回復情報を Active Directory ドメイン サービスに保存する] で、オペレーティング システム ドライブの Active Directory ドメイン サービス (AD DS) に格納する BitLocker 回復情報を選択します。In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in Active Directory Domain Services (AD DS) for operating system drives. [回復パスワードと キー パッケージを保存する] を選択すると、BitLocker 回復パスワードとキー パッケージが DS にADされます。If you select Store recovery password and key packages, the BitLocker recovery password and the key package are stored in AD DS. キー パッケージを格納すると、物理的に破損したドライブからのデータの回復がサポートされます。Storing the key package supports recovering data from a drive that is physically corrupted. [回復パスワードのみを 保存する] を選択した場合、回復パスワードだけが DS にADされます。If you select Store recovery password only, only the recovery password is stored in AD DS.

コンピューターがドメインに接続され 、bitLocker 回復情報の AD DS へのバックアップが成功しない限り、ユーザーが BitLocker を有効にしない場合は、[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。Select the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

注意

[オペレーティング システム ドライブの DS に 回復情報がADされるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。If the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives check box is selected, a recovery password is automatically generated.

ユーザーが BitLocker で保護されたドライブを回復する方法を選択する (Windows Server 2008 と Windows Vista)Choose how users can recover BitLocker-protected drives (Windows Server 2008 and Windows Vista)

このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューター上の BitLocker で保護されたドライブの回復方法を構成するために使用されます。This policy setting is used to configure recovery methods for BitLocker-protected drives on computers running Windows Server 2008 or Windows Vista.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker セットアップ ウィザードで BitLocker 回復オプションを表示および指定できるかどうかを制御できます。With this policy setting, you can control whether the BitLocker Setup Wizard can display and specify BitLocker recovery options.
導入Introduced Windows Server 2008 と Windows VistaWindows Server 2008 and Windows Vista
ドライブの種類Drive type Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブOperating system drives and fixed data drives on computers running Windows Server 2008 and Windows Vista
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts このポリシー設定は、BitLocker によって暗号化されたデータを回復する管理方法を提供し、キー情報の不足によるデータ損失を防ぐ。This policy setting provides an administrative method of recovering data that is encrypted by BitLocker to prevent data loss due to lack of key information. 両方 のユーザー回復 オプションに対して [許可しない] オプションを選択した場合は、ポリシー エラーを防止するために、Active Directory ドメイン サービス (Windows Server 2008 および Windows Vista) ポリシー設定で BitLocker 回復情報の保存を有効にする必要があります。If you choose the Do not allow option for both user recovery options, you must enable the Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista) policy setting to prevent a policy error.
有効になっている場合When enabled BitLocker の暗号化されたデータを回復するために、Bitlocker セットアップ ウィザードがユーザーに表示するオプションを構成できます。You can configure the options that the Bitlocker Setup Wizard displays to users for recovering BitLocker encrypted data.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードは、回復オプションを保存する方法をユーザーに提示します。The BitLocker Setup Wizard presents users with ways to store recovery options.

リファレンスReference

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。This policy is only applicable to computers running Windows Server 2008 or Windows Vista. このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

2 つの回復オプションを使用して、必要なスタートアップ キー情報がない場合に BitLocker で暗号化されたデータのロックを解除できます。Two recovery options can be used to unlock BitLocker-encrypted data in the absence of the required startup key information. ユーザーは、48 桁の数値回復パスワードを入力するか、256 ビットの回復キーを含む USB ドライブを挿入できます。Users can type a 48-digit numerical recovery password, or they can insert a USB drive that contains a 256-bit recovery key.

回復パスワードを USB ドライブに保存すると、48 桁の回復パスワードがテキスト ファイルとして保存され、256 ビットの回復キーが非表示のファイルとして保存されます。Saving the recovery password to a USB drive stores the 48-digit recovery password as a text file and the 256-bit recovery key as a hidden file. フォルダーに保存すると、48 桁の回復パスワードがテキスト ファイルとして保存されます。Saving it to a folder stores the 48-digit recovery password as a text file. 印刷すると、48 桁の回復パスワードが既定のプリンターに送信されます。Printing it sends the 48-digit recovery password to the default printer. たとえば、48 桁の回復パスワードを許可しない場合、ユーザーは回復情報をフォルダーに印刷または保存できません。For example, not allowing the 48-digit recovery password prevents users from printing or saving recovery information to a folder.

重要

BitLocker のセットアップ中に TPM の初期化が実行された場合、TPM 所有者情報は BitLocker 回復情報と一緒に保存または印刷されます。If TPM initialization is performed during the BitLocker setup, TPM owner information is saved or printed with the BitLocker recovery information. 48 桁の回復パスワードは、FIPS コンプライアンス モードでは使用できません。The 48-digit recovery password is not available in FIPS-compliance mode.

重要

データの損失を防ぐには、BitLocker 暗号化キーを回復する方法が必要です。To prevent data loss, you must have a way to recover BitLocker encryption keys. 両方の回復オプションを許可しない場合は、BitLocker 回復情報のバックアップを DS にAD必要があります。If you do not allow both recovery options, you must enable the backup of BitLocker recovery information to AD DS. それ以外の場合は、ポリシー エラーが発生します。Otherwise, a policy error occurs.

Active Directory ドメイン サービスに BitLocker 回復情報を格納する (Windows Server 2008 および Windows Vista)Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista)

このポリシー設定は、Ds の BitLocker 回復情報のストレージを構成ADします。This policy setting is used to configure the storage of BitLocker recovery information in AD DS. これにより、BitLocker で暗号化されたデータを回復する管理方法が提供され、キー情報が不足してデータが失われるのを防ぐことが可能です。This provides an administrative method of recovering data that is encrypted by BitLocker to prevent data loss due to lack of key information.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker ドライブ暗号化ADの DS バックアップを管理できます。With this policy setting, you can manage the AD DS backup of BitLocker Drive Encryption recovery information.
導入Introduced Windows Server 2008 と Windows VistaWindows Server 2008 and Windows Vista
ドライブの種類Drive type Windows Server 2008 および Windows Vista を実行しているコンピューター上のオペレーティング システム ドライブと固定データ ドライブ。Operating system drives and fixed data drives on computers running Windows Server 2008 and Windows Vista.
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled BitLocker の回復情報は、コンピューターに対して BitLocker がオンになっているAD DS に自動的にサイレント バックアップされます。BitLocker recovery information is automatically and silently backed up to AD DS when BitLocker is turned on for a computer.
無効または構成されていない場合When disabled or not configured BitLocker の回復情報は、DS にADではありません。BitLocker recovery information is not backed up to AD DS.

リファレンスReference

このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用されます。This policy is only applicable to computers running Windows Server 2008 or Windows Vista.

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

BitLocker の回復情報には、回復パスワードと一意の識別子データが含まれます。BitLocker recovery information includes the recovery password and unique identifier data. BitLocker で保護されたドライブの暗号化キーを含むパッケージも含めできます。You can also include a package that contains an encryption key for a BitLocker-protected drive. このキー パッケージは、1 つ以上の回復パスワードで保護され、ディスクが破損または破損した場合に特別な回復を実行するのに役立ちます。This key package is secured by one or more recovery passwords, and it can help perform specialized recovery when the disk is damaged or corrupted.

[AD DSに BitLocker バックアップを要求する] を選択した場合、コンピューターがドメインに接続され、bitLocker の回復情報のバックアップが AD DS に接続されていない限り、BitLocker を有効にできません。If you select Require BitLocker backup to AD DS, BitLocker cannot be turned on unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds. このオプションは、BitLocker の回復が可能な場合に役立つ既定で選択されています。This option is selected by default to help ensure that BitLocker recovery is possible.

回復パスワードは、BitLocker で保護されたドライブへのアクセスをロック解除する 48 桁の番号です。A recovery password is a 48-digit number that unlocks access to a BitLocker-protected drive. キー パッケージには、ドライブの BitLocker 暗号化キーが含まれています。これは、1 つ以上の回復パスワードで保護されます。A key package contains a drive’s BitLocker encryption key, which is secured by one or more recovery passwords. キー パッケージは、ディスクが破損または破損した場合に特別な回復を実行するのに役立ちます。Key packages may help perform specialized recovery when the disk is damaged or corrupted.

[bitLockerバックアップを AD DS に要求する] オプションが選択されていない場合は、AD DS バックアップが試行されますが、ネットワークなどのバックアップエラーによって BitLocker のセットアップが妨がりはありません。If the Require BitLocker backup to AD DS option is not selected, AD DS backup is attempted, but network or other backup failures do not prevent the BitLocker setup. バックアップ プロセスは自動的に再試行されないので、BitLocker のセットアップ中に回復パスワードAD DS に保存されない場合があります。The Backup process is not automatically retried, and the recovery password might not be stored in AD DS during BitLocker setup. BitLocker のセットアップ中に TPM の初期化が必要になる場合があります。TPM initialization might be needed during the BitLocker setup. [コンピューターの構成\管理用テンプレート**\System\**信頼できるプラットフォーム モジュール サービス] で [TPMバックアップを Active Directory ドメイン サービスに有効にする] ポリシー設定を有効にして、TPM 情報もバックアップします。Enable the Turn on TPM backup to Active Directory Domain Services policy setting in Computer Configuration\Administrative Templates\System\Trusted Platform Module Services to ensure that TPM information is also backed up.

この設定の詳細については、「TPM グループ ポリシー 設定」を参照してくださいFor more information about this setting, see TPM Group Policy settings.

回復パスワードの既定のフォルダーを選択するChoose default folder for recovery password

このポリシー設定は、回復パスワードの既定のフォルダーを構成するために使用されます。This policy setting is used to configure the default folder for recovery passwords.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker セットアップ ウィザードが回復パスワードを保存するフォルダーの場所を入力するようにユーザーに求めるメッセージが表示される既定のパスを指定できます。With this policy setting, you can specify the default path that is displayed when the BitLocker Setup Wizard prompts the user to enter the location of a folder in which to save the recovery password.
導入Introduced Windows VistaWindows Vista
ドライブの種類Drive type すべてのドライブAll drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled ユーザーが回復パスワードをフォルダーに保存するオプションを選択した場合に、既定のフォルダーの場所として使用するパスを指定できます。You can specify the path that will be used as the default folder location when the user chooses the option to save the recovery password in a folder. 完全修飾パスを指定するか、ターゲット コンピューターの環境変数をパスに含めます。You can specify a fully qualified path or include the target computer's environment variables in the path. パスが無効な場合、BitLocker セットアップ ウィザードはコンピューターのトップ レベル のフォルダー ビューを表示します。If the path is not valid, the BitLocker Setup Wizard displays the computer's top-level folder view.
無効または構成されていない場合When disabled or not configured BitLocker セットアップ ウィザードは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択すると、コンピューターのトップ レベル のフォルダー ビューを表示します。The BitLocker Setup Wizard displays the computer's top-level folder view when the user chooses the option to save the recovery password in a folder.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

注意

このポリシー設定では、ユーザーが回復パスワードを別のフォルダーに保存することはできません。This policy setting does not prevent the user from saving the recovery password in another folder.

BitLocker で保護された固定ドライブを回復する方法を選択するChoose how BitLocker-protected fixed drives can be recovered

このポリシー設定は、固定データ ドライブの回復方法を構成するために使用されます。This policy setting is used to configure recovery methods for fixed data drives.

ポリシーの説明Policy description このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御できます。With this policy setting, you can control how BitLocker-protected fixed data drives are recovered in the absence of the required credentials.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts BitLocker ポリシーで保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定が有効になっている場合は、回復キーの使用を禁止 する 必要があります。You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.

データ復旧エージェントを使用する場合は、[組織の一意の識別子を提供する] ポリシー設定を有効にして 構成する 必要があります。When using data recovery agents, you must enable and configure the Provide the unique identifiers for your organization policy setting.

有効になっている場合When enabled BitLocker で保護された固定データ ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。You can control the methods that are available to users to recover data from BitLocker-protected fixed data drives.
無効または構成されていない場合When disabled or not configured BitLocker の回復では、既定の回復オプションがサポートされています。The default recovery options are supported for BitLocker recovery. 既定では、データ回復エージェントは許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定できます。回復情報は AD DS にバックアップされません。By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

[ データ回復エージェントを許可する ] チェック ボックスを使用して、BitLocker で保護された固定データ ドライブでデータ回復エージェントを使用できるかどうかを指定します。The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected fixed data drives. データ回復エージェントを使用するには、グループ ポリシー管理コンソール (GPMC) またはローカル グループ ポリシー エディターにある公開キー ポリシーからデータ回復エージェントを追加する必要があります。 ****Before a data recovery agent can be used, it must be added from Public Key Policies, which is located in the Group Policy Management Console (GPMC) or in the Local Group Policy Editor.

[BitLocker回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードまたは 256 ビットの回復キーを生成できるかどうかを選択します。In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password or a 256-bit recovery key.

ドライブ で BitLocker を有効にするときに ユーザーが回復オプションを指定することを防ぐには、[BitLocker セットアップ ウィザードから回復オプションを省略する] を選択します。Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。This means that you cannot specify which recovery option to use when you enable BitLocker. 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。Instead, BitLocker recovery options for the drive are determined by the policy setting.

[BitLocker の回復情報を Active Directory ドメイン サービスに保存する] で、固定データ ドライブの場合は、AD DS に格納する BitLocker 回復情報を選択します。In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in AD DS for fixed data drives. [ 回復パスワードとキー パッケージのバックアップ] を選択すると、BitLocker 回復パスワードとキー パッケージが DS にADされます。If you select Backup recovery password and key package, the BitLocker recovery password and the key package are stored in AD DS. キー パッケージを格納すると、物理的に破損したドライブからのデータの回復がサポートされます。Storing the key package supports recovering data from a drive that has been physically corrupted. このデータを回復するには 、Repair-bde コマンド ライン ツールを使用します。To recover this data, you can use the Repair-bde command-line tool. [回復パスワードの バックアップのみ] を選択した場合、回復パスワードだけが DS にADされます。If you select Backup recovery password only, only the recovery password is stored in AD DS.

BitLocker 修復ツールの詳細については 、「Repair-bde」を参照してくださいFor more information about the BitLocker repair tool, see Repair-bde.

コンピューターがドメインに接続され 、bitLocker 回復情報の AD DS へのバックアップが成功しない限り、ユーザーが BitLocker を有効にしない場合は、[固定データ ドライブの回復情報が AD DS に保存されるまで BitLocker を有効にしない] チェック ボックスをオンにします。Select the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

注意

[固定データ ドライブの回復情報が DS に保存されるまで BitLocker を有効にしないAD] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。If the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box is selected, a recovery password is automatically generated.

BitLocker で保護されたリムーバブル ドライブを回復する方法を選択するChoose how BitLocker-protected removable drives can be recovered

このポリシー設定は、リムーバブル データ ドライブの回復方法を構成するために使用されます。This policy setting is used to configure recovery methods for removable data drives.

ポリシーの説明Policy description このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されたリムーバブル データ ドライブを回復する方法を制御できます。With this policy setting, you can control how BitLocker-protected removable data drives are recovered in the absence of the required credentials.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts BitLocker ポリシーで保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定が有効になっている場合は、回復キーの使用を禁止 する 必要があります。You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
データ復旧エージェントを使用する場合は、[組織の一意の識別子を提供する] ポリシー設定を有効にして 構成する 必要があります。When using data recovery agents, you must enable and configure the Provide the unique identifiers for your organization policy setting.
有効になっている場合When enabled BitLocker で保護されたリムーバブル データ ドライブからデータを回復するためにユーザーが使用できるメソッドを制御できます。You can control the methods that are available to users to recover data from BitLocker-protected removable data drives.
無効または構成されていない場合When disabled or not configured BitLocker の回復では、既定の回復オプションがサポートされています。The default recovery options are supported for BitLocker recovery. 既定では、データ回復エージェントは許可され、回復オプションはユーザー (回復パスワードと回復キーを含む) で指定できます。回復情報は AD DS にバックアップされません。By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker.

[ データ回復エージェントを許可する ] チェック ボックスを使用して、BitLocker で保護されたリムーバブル データ ドライブでデータ回復エージェントを使用できるかどうかを指定します。The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected removable data drives. データ復旧エージェントを使用するには、GPMC またはローカル グループ**** ポリシー エディターを使用してアクセスする公開キー ポリシーからデータ回復エージェントを追加する必要があります。Before a data recovery agent can be used, it must be added from Public Key Policies , which is accessed using the GPMC or the Local Group Policy Editor.

[BitLocker 回復情報のユーザー ストレージの構成] で、ユーザーが 48 桁の回復パスワードを生成できるかどうかを選択します。In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password.

ドライブ で BitLocker を有効にするときに ユーザーが回復オプションを指定することを防ぐには、[BitLocker セットアップ ウィザードから回復オプションを省略する] を選択します。Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. つまり、BitLocker を有効にするときに使用する回復オプションを指定することはできません。This means that you cannot specify which recovery option to use when you enable BitLocker. 代わりに、ドライブの BitLocker 回復オプションは、ポリシー設定によって決まります。Instead, BitLocker recovery options for the drive are determined by the policy setting.

[BitLocker の回復情報を Active Directory ドメイン サービスに保存する] で、リムーバブル データ ドライブ用に、AD DS に格納する BitLocker 回復情報を選択します。In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in AD DS for removable data drives. [ 回復パスワードとキー パッケージのバックアップ] を選択すると、BitLocker 回復パスワードとキー パッケージが DS にADされます。If you select Backup recovery password and key package, the BitLocker recovery password and the key package are stored in AD DS. [回復パスワードの バックアップのみ] を選択した場合、回復パスワードだけが DS にADされます。If you select Backup recovery password only, only the recovery password is stored in AD DS.

コンピューターがドメインに接続され 、bitLocker 回復情報の AD DS へのバックアップが成功しない限り、ユーザーが BitLocker を有効にしない場合は、[リムーバブル データ ドライブの回復情報が AD DS に保存されるまで BitLocker を有効にしない] チェック ボックスをオンにします。Select the Do not enable BitLocker until recovery information is stored in AD DS for removable data drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

注意

[固定データ ドライブの回復情報が DS に保存されるまで BitLocker を有効にしないAD] チェック ボックスがオンの場合、回復パスワードが自動的に生成されます。If the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box is selected, a recovery password is automatically generated.

起動前の回復メッセージと URL を構成するConfigure the pre-boot recovery message and URL

このポリシー設定は、回復メッセージ全体を構成し、オペレーティング システム ドライブがロックされているときにブート前の回復画面に表示される既存の URL を置き換える場合に使用します。This policy setting is used to configure the entire recovery message and to replace the existing URL that is displayed on the pre-boot recovery screen when the operating system drive is locked.

ポリシーの説明Policy description このポリシー設定を使用すると、カスタマイズされたメッセージと URL を表示する BitLocker 回復画面を構成できます。With this policy setting, you can configure the BitLocker recovery screen to display a customized message and URL.
導入Introduced Windows 10Windows 10
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューターの構成 \ 管理用テンプレート \ Windows コンポーネント \ BitLocker ドライブ暗号化 \ オペレーティング システム ドライブ \ プレブート回復メッセージと URL の構成Computer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives \ Configure pre-boot recovery message and URL
競合Conflicts なしNone
有効になっている場合When enabled カスタマイズされたメッセージと URL は、ブート前の回復画面に表示されます。The customized message and URL are displayed on the pre-boot recovery screen. 以前にカスタム回復メッセージと URL を有効にし、既定のメッセージと URL に戻す場合は、ポリシー設定を有効にし、[既定の回復メッセージと URL を使用する] オプションを選択する 必要 があります。If you have previously enabled a custom recovery message and URL and want to revert to the default message and URL, you must keep the policy setting enabled and select the Use default recovery message and URL option.
無効または構成されていない場合When disabled or not configured 設定が以前に有効になっていない場合は、BitLocker 回復の既定のプレブート回復画面が表示されます。If the setting has not been previously enabled the default pre-boot recovery screen is displayed for BitLocker recovery. 設定が以前に有効で、その後、ブート構成データ (BCD) の最後のメッセージが無効になっている場合は、既定の回復メッセージかカスタム メッセージかを示します。If the setting previously was enabled and is subsequently disabled the last message in Boot Configuration Data (BCD) is displayed whether it was the default recovery message or the custom message.

リファレンスReference

[起動前の 回復メッセージ と URL ポリシーを構成する] 設定を有効にすると、既定の回復画面メッセージと URL をカスタマイズして、ユーザーがキーを回復できます。Enabling the Configure the pre-boot recovery message and URL policy setting allows you to customize the default recovery screen message and URL to assist customers in recovering their key.

設定を有効にすると、次の 3 つのオプションがあります。Once you enable the setting you have three options:

  • [既定の回復メッセージと URL を使用する] オプションを選択すると、既定の BitLocker 回復メッセージと URL が起動前の回復画面に表示されます。If you select the Use default recovery message and URL option, the default BitLocker recovery message and URL will be displayed on the pre-boot recovery screen.
  • [カスタム回復メッセージを使用する] オプション を選択した 場合は、[カスタム回復メッセージ オプション] テキスト ボックスにカスタム メッセージを 入力します。If you select the Use custom recovery message option, type the custom message in the Custom recovery message option text box. [ユーザー設定の回復メッセージ オプション] テキスト ボックスに入力したメッセージが、起動前の回復画面に表示されます。The message that you type in the Custom recovery message option text box will be displayed on the pre-boot recovery screen. 回復 URL を使用できる場合は、メッセージに含める必要があります。If a recovery URL is available, include it in the message.
  • [カスタム回復 URL を 使用する ] オプションを選択した場合は、[カスタム回復 URL] オプション テキスト ボックスにカスタム メッセージ URL を 入力します。If you select the Use custom recovery URL option, type the custom message URL in the Custom recovery URL option text box. [カスタム回復 URL] オプション テキスト ボックスに入力した URL は、既定の回復メッセージの既定の URL を置き換え、起動前の回復画面に表示されます。The URL that you type in the Custom recovery URL option text box replaces the default URL in the default recovery message, which will be displayed on the pre-boot recovery screen.

重要

プレブート環境では、すべての文字と言語がサポートされている場合ではありません。Not all characters and languages are supported in the pre-boot environment. ブート前の回復画面でカスタム メッセージと URL に使用する文字の正しい外観を確認してください。We strongly recommended that you verify the correct appearance of the characters that you use for the custom message and URL on the pre-boot recovery screen.

重要

グループ ポリシー設定を設定する前に BCDEdit コマンドを手動で変更することができますので、このポリシー設定を構成した後で [**** 構成されていない] オプションを選択して、ポリシー設定を既定の設定に戻す必要はありません。Because you can alter the BCDEdit commands manually before you have set Group Policy settings, you cannot return the policy setting to the default setting by selecting the Not Configured option after you have configured this policy setting. 既定の起動前の回復画面に戻る場合は、ポリシー設定を有効のままに**** し、[起動前の回復**** メッセージのオプションを選択する] ドロップダウン リスト ボックスから [既定のメッセージ オプションを使用する] を選択します。To return to the default pre-boot recovery screen leave the policy setting enabled and select the Use default message options from the Choose an option for the pre-boot recovery message drop-down list box.

整合性検証のためにセキュア ブートを許可するAllow Secure Boot for integrity validation

このポリシーは、BitLocker が有効なシステム ボリュームをセキュア ブート機能と組み合わせて処理する方法を制御します。This policy controls how BitLocker-enabled system volumes are handled in conjunction with the Secure Boot feature. この機能を有効にすると、ブート プロセス中にセキュア ブート検証が強制的に実行され、セキュア ブート ポリシーに従ってブート構成データ (BCD) 設定が検証されます。Enabling this feature forces Secure Boot validation during the boot process and verifies Boot Configuration Data (BCD) settings according to the Secure Boot policy.

ポリシーの説明Policy description このポリシー設定を使用して、BitLocker オペレーティング システム ドライブのプラットフォーム整合性プロバイダーとして Secure Boot を許可するかどうかを構成できます。With this policy setting, you can configure whether Secure Boot will be allowed as the platform integrity provider for BitLocker operating system drives.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type すべてのドライブAll drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts 整合性検証のために**** セキュア ブートを許可するを有効にする場合は、[ネイティブUEFIファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定が有効になっていないか、BitLocker がプラットフォームまたは BCD 整合性検証にセキュア ブートを使用することを許可する PCR 7 を含める必要があります。If you enable Allow Secure Boot for integrity validation, make sure the Configure TPM platform validation profile for native UEFI firmware configurations Group Policy setting is not enabled or include PCR 7 to allow BitLocker to use Secure Boot for platform or BCD integrity validation.

PCR 7 の詳細については、このトピックの 「プラットフォーム構成レジスタ (PCR)」 を参照してください。For more information about PCR 7, see Platform Configuration Register (PCR) in this topic.

有効または構成されていない場合When enabled or not configured プラットフォームで Secure Boot ベースの整合性検証が可能な場合、BitLocker はプラットフォームの整合性のために Secure Boot を使用します。BitLocker uses Secure Boot for platform integrity if the platform is capable of Secure Boot-based integrity validation.
無効にした場合When disabled BitLocker は、Secure Boot ベースの整合性検証が可能なシステムでも、従来のプラットフォーム整合性検証を使用します。BitLocker uses legacy platform integrity validation, even on systems that are capable of Secure Boot-based integrity validation.

リファレンスReference

Secure Boot を使用すると、コンピューターのプレブート環境では、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。Secure Boot ensures that the computer's preboot environment loads only firmware that is digitally signed by authorized software publishers. セキュア ブートでは、プレブート構成を管理するための柔軟性も、BitLocker の整合性チェックより前に行Windows Server 2012およびWindows 8。Secure Boot also provides more flexibility for managing preboot configurations than BitLocker integrity checks prior to Windows Server 2012 and Windows 8. このポリシーが有効で、ハードウェアが BitLocker シナリオで Secure Boot を使用**** できる場合は、[拡張ブート構成データ検証プロファイルグループ ポリシーを使用する] 設定は無視され、Secure Boot は BitLocker とは別に構成される Secure Boot ポリシー設定に従って BCD 設定を検証します。When this policy is enabled and the hardware is capable of using Secure Boot for BitLocker scenarios, the Use enhanced Boot Configuration Data validation profile Group Policy setting is ignored, and Secure Boot verifies BCD settings according to the Secure Boot policy setting, which is configured separately from BitLocker.

警告

このポリシーを無効にすると、製造元固有のファームウェアが更新された場合に BitLocker の回復が発生する可能性があります。Disabling this policy might result in BitLocker recovery when manufacturer-specific firmware is updated. このポリシーを無効にした場合は、ファームウェア更新プログラムを適用する前に BitLocker を中断してください。If you disable this policy, suspend BitLocker prior to applying firmware updates.

組織の一意の識別子を指定するProvide the unique identifiers for your organization

このポリシー設定は、組織内で暗号化されているすべてのドライブに適用される識別子を確立するために使用されます。This policy setting is used to establish an identifier that is applied to all drives that are encrypted in your organization.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker で有効になっている新しいドライブに一意の組織識別子を関連付けできます。With this policy setting, you can associate unique organizational identifiers to a new drive that is enabled with BitLocker.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type すべてのドライブAll drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts BitLocker で保護されたドライブ上の証明書ベースのデータ復旧エージェントを管理するには、識別フィールドが必要です。Identification fields are required to manage certificate-based data recovery agents on BitLocker-protected drives. BitLocker は、ID フィールドがドライブ上に存在し、コンピューターで構成されている値と同じ場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。BitLocker manages and updates certificate-based data recovery agents only when the identification field is present on a drive and it is identical to the value that is configured on the computer.
有効になっている場合When enabled BitLocker で保護されたドライブの ID フィールドと、組織で使用される許可されている ID フィールドを構成できます。You can configure the identification field on the BitLocker-protected drive and any allowed identification field that is used by your organization.
無効または構成されていない場合When disabled or not configured ID フィールドは必須ではありません。The identification field is not required.

リファレンスReference

これらの識別子は、ID フィールドと許可されている ID フィールドとして格納されます。These identifiers are stored as the identification field and the allowed identification field. ID フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けます。The identification field allows you to associate a unique organizational identifier to BitLocker-protected drives. この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され 、Manage-bde コマンド ライン ツールを使用して、既存の BitLocker で保護されたドライブで更新できます。This identifier is automatically added to new BitLocker-protected drives, and it can be updated on existing BitLocker-protected drives by using the Manage-bde command-line tool.

BitLocker で保護されたドライブ上の証明書ベースのデータ復旧エージェントを管理し、BitLocker To Go Reader を更新する可能性がある場合は、識別フィールドが必要です。An identification field is required to manage certificate-based data recovery agents on BitLocker-protected drives and for potential updates to the BitLocker To Go Reader. BitLocker は、ドライブの ID フィールドが ID フィールドで構成されている値と一致する場合にのみ、データ回復エージェントを管理および更新します。BitLocker manages and updates data recovery agents only when the identification field on the drive matches the value that is configured in the identification field. 同様の方法で、BitLocker は、ドライブ上の ID フィールドが識別フィールドに構成されている値と一致する場合にのみ、BitLocker To Go Reader を更新します。In a similar manner, BitLocker updates the BitLocker To Go Reader only when the identification field on the drive matches the value that is configured for the identification field.

BitLocker を管理するツールの詳細については 、「Manage-bde」を参照してくださいFor more information about the tool to manage BitLocker, see Manage-bde.

許可される ID フィールドは、組織内のリムーバブル ドライブの使用を制御するために 、BitLocker ポリシーで保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する設定と組み合わせて使用されます。The allowed identification field is used in combination with the Deny write access to removable drives not protected by BitLocker policy setting to help control the use of removable drives in your organization. これは、組織または外部組織からの識別フィールドのコンマ区切りのリストです。It is a comma-separated list of identification fields from your organization or external organizations.

Manage-bdeコマンド ライン ツールを使用して、既存のドライブの識別フィールドを構成できます。You can configure the identification fields on existing drives by using the Manage-bde command-line tool.

BitLocker で保護されたドライブが別の BitLocker 対応コンピューターにマウントされている場合、ID フィールドと許可された ID フィールドを使用して、ドライブが外部組織からのドライブであるかどうかを判断します。When a BitLocker-protected drive is mounted on another BitLocker-enabled computer, the identification field and the allowed identification field are used to determine whether the drive is from an outside organization.

複数の値をコンマで区切って識別フィールドと許可された識別フィールドに入力できます。Multiple values separated by commas can be entered in the identification and allowed identification fields. ID フィールドには、最大 260 文字の任意の値を指定できます。The identification field can be any value up to 260 characters.

再起動時にメモリの上書きを防止するPrevent memory overwrite on restart

このポリシー設定は、次回コンピューターを再起動する場合にコンピューターのメモリを上書きするかどうかを制御するために使用されます。This policy setting is used to control whether the computer's memory will be overwritten the next time the computer is restarted.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker シークレットを公開するリスクがあるコンピューターの再起動パフォーマンスを制御できます。With this policy setting, you can control computer restart performance at the risk of exposing BitLocker secrets.
導入Introduced Windows VistaWindows Vista
ドライブの種類Drive type すべてのドライブAll drives
ポリシーのパスPolicy path コンピューターの構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブの暗号化Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
競合Conflicts なしNone
有効になっている場合When enabled コンピューターは再起動時にメモリを上書きしない。The computer will not overwrite memory when it restarts. メモリの上書きを防止すると、再起動のパフォーマンスが向上する可能性がありますが、BitLocker シークレットが公開されるリスクが高い場合があります。Preventing memory overwrite may improve restart performance, but it increases the risk of exposing BitLocker secrets.
無効または構成されていない場合When disabled or not configured BitLocker シークレットは、コンピューターの再起動時にメモリから削除されます。BitLocker secrets are removed from memory when the computer restarts.

リファレンスReference

このポリシー設定は、BitLocker を有効にすると適用されます。This policy setting is applied when you turn on BitLocker. BitLocker シークレットには、データの暗号化に使用される重要な資料が含まれます。BitLocker secrets include key material that is used to encrypt data. このポリシー設定は、BitLocker 保護が有効になっている場合にのみ適用されます。This policy setting applies only when BitLocker protection is enabled.

BIOS ベースのファームウェア構成用に TPM プラットフォーム検証プロファイルを構成するConfigure TPM platform validation profile for BIOS-based firmware configurations

このポリシー設定は、BIOS 構成または互換性サポート モジュール (CSM) が有効になっている UEFI ファームウェアでオペレーティング システム ドライブのロックを解除する前に、TPM が早期ブート コンポーネントを検証するときに測定する値を決定します。This policy setting determines what values the TPM measures when it validates early boot components before it unlocks an operating system drive on a computer with a BIOS configuration or with UEFI firmware that has the Compatibility Support Module (CSM) enabled.

ポリシーの説明Policy description このポリシー設定を使用して、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。With this policy setting, you can configure how the computer's TPM security hardware secures the BitLocker encryption key.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。You can configure the boot components that the TPM validates before unlocking access to the BitLocker-encrypted operating system drive. BitLocker 保護が有効な間にこれらのコンポーネントが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. 代わりに、コンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するために回復パスワードまたは回復キーが提供されている必要があります。Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
無効または構成されていない場合When disabled or not configured TPM は、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。The TPM uses the default platform validation profile or the platform validation profile that is specified by the setup script.

リファレンスReference

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または BITLocker が TPM 保護で既に有効になっている場合は適用されません。This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker has already been turned on with TPM protection.

重要

このグループ ポリシー設定は、BIOS 構成を持つコンピューター、または CSM が有効な UEFI ファームウェアを持つコンピューターにのみ適用されます。This Group Policy setting only applies to computers with BIOS configurations or to computers with UEFI firmware with the CSM enabled. ネイティブの UEFI ファームウェア構成を使用するコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。Computers that use a native UEFI firmware configuration store different values in the Platform Configuration Registers (PCRs). ネイティブ UEFI ファームウェア構成 の TPM プラットフォーム検証プロファイルの構成グループ ポリシー設定を使用して、ネイティブ UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成します。Use the Configure TPM platform validation profile for native UEFI firmware configurations Group Policy setting to configure the TPM PCR profile for computers that use native UEFI firmware.

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR インデックスのセットで構成されます。A platform validation profile consists of a set of PCR indices that range from 0 to 23. 既定のプラットフォーム検証プロファイルは、暗号化キーを次の変更に対してセキュリティで保護します。The default platform validation profile secures the encryption key against changes to the following:

  • 測定の信頼のコア ルート (CRTM)、BIOS、およびプラットフォーム拡張機能 (PCR 0)Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0)
  • オプション ROM コード (PCR 2)Option ROM Code (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)Master Boot Record (MBR) Code (PCR 4)
  • NTFS ブート セクター (PCR 8)NTFS Boot Sector (PCR 8)
  • NTFS ブート ブロック (PCR 9)NTFS Boot Block (PCR 9)
  • ブート マネージャー (PCR 10)Boot Manager (PCR 10)
  • BitLocker アクセス制御 (PCR 11)BitLocker Access Control (PCR 11)

注意

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。Changing from the default platform validation profile affects the security and manageability of your computer. プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増加または減少します。BitLocker’s sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

次の一覧は、使用可能なすべての PCR を識別します。The following list identifies all of the PCRs available:

  • PCR 0: 測定、BIOS、およびプラットフォーム拡張機能のコアルートオブトラストPCR 0: Core root-of-trust for measurement, BIOS, and Platform extensions
  • PCR 1: プラットフォームとマザーボードの構成とデータ。PCR 1: Platform and motherboard configuration and data.
  • PCR 2: オプション ROM コードPCR 2: Option ROM code
  • PCR 3: オプション ROM データと構成PCR 3: Option ROM data and configuration
  • PCR 4: マスター ブート レコード (MBR) コードPCR 4: Master Boot Record (MBR) code
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブルPCR 5: Master Boot Record (MBR) partition table
  • PCR 6: 状態の移行およびウェイク イベントPCR 6: State transition and wake events
  • PCR 7: コンピューターの製造元固有PCR 7: Computer manufacturer-specific
  • PCR 8: NTFS ブート セクターPCR 8: NTFS boot sector
  • PCR 9: NTFS ブート ブロックPCR 9: NTFS boot block
  • PCR 10: ブート マネージャーPCR 10: Boot manager
  • PCR 11: BitLocker アクセス制御PCR 11: BitLocker access control
  • PCR 12-23: 将来の使用のために予約済みPCR 12-23: Reserved for future use

TPM プラットフォーム検証プロファイルの構成 (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2)Configure TPM platform validation profile (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

このポリシー設定は、Windows Vista、Windows Server 2008、または Windows 7 を実行しているコンピューターでドライブのロックを解除する前に、TPM が初期ブート コンポーネントを検証するときに測定する値を決定します。This policy setting determines what values the TPM measures when it validates early boot components before unlocking a drive on a computer running Windows Vista, Windows Server 2008, or Windows 7.

ポリシーの説明Policy description このポリシー設定を使用して、コンピューターの TPM セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。With this policy setting, you can configure how the computer's TPM security hardware secures the BitLocker encryption key.
導入Introduced Windows Server 2008 と Windows VistaWindows Server 2008 and Windows Vista
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled BitLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。You can configure the boot components that the TPM validates before unlocking access to the BitLocker-encrypted operating system drive. BitLocker 保護が有効な間にこれらのコンポーネントが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. 代わりに、コンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するために回復パスワードまたは回復キーが提供されている必要があります。Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
無効または構成されていない場合When disabled or not configured TPM は、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。The TPM uses the default platform validation profile or the platform validation profile that is specified by the setup script.

リファレンスReference

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護を使用して BitLocker が既に有効になっている場合は適用されません。This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker is already turned on with TPM protection.

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR インデックスのセットで構成されます。A platform validation profile consists of a set of PCR indices that range from 0 to 23. 既定のプラットフォーム検証プロファイルは、暗号化キーを次の変更に対してセキュリティで保護します。The default platform validation profile secures the encryption key against changes to the following:

  • 測定の信頼のコア ルート (CRTM)、BIOS、およびプラットフォーム拡張機能 (PCR 0)Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0)
  • オプション ROM コード (PCR 2)Option ROM Code (PCR 2)
  • マスター ブート レコード (MBR) コード (PCR 4)Master Boot Record (MBR) Code (PCR 4)
  • NTFS ブート セクター (PCR 8)NTFS Boot Sector (PCR 8)
  • NTFS ブート ブロック (PCR 9)NTFS Boot Block (PCR 9)
  • ブート マネージャー (PCR 10)Boot Manager (PCR 10)
  • BitLocker アクセス制御 (PCR 11)BitLocker Access Control (PCR 11)

注意

拡張ファームウェア インターフェイス (EFI) を使用するコンピューターの既定の TPM 検証プロファイル PCR 設定は、PCR 0、2、4、および 11 のみです。The default TPM validation profile PCR settings for computers that use an Extensible Firmware Interface (EFI) are the PCRs 0, 2, 4, and 11 only.

次の一覧は、使用可能なすべての PCR を識別します。The following list identifies all of the PCRs available:

  • PCR 0: 測定、EFI ブートおよび実行時サービス、システム ROM に埋め込まれた EFI ドライバー、ACPI 静的テーブル、組み込み SMM コード、BIOS コードのコア ルートオブトラストPCR 0: Core root-of-trust for measurement, EFI boot and run-time services, EFI drivers embedded in system ROM, ACPI static tables, embedded SMM code, and BIOS code
  • PCR 1: プラットフォームとマザーボードの構成とデータ。PCR 1: Platform and motherboard configuration and data. システム構成に影響を与えるハンドオフ テーブルと EFI 変数Hand-off tables and EFI variables that affect system configuration
  • PCR 2: オプション ROM コードPCR 2: Option ROM code
  • PCR 3: オプション ROM データと構成PCR 3: Option ROM data and configuration
  • PCR 4: マスター ブート レコード (MBR) コードまたは他のブート デバイスからのコードPCR 4: Master Boot Record (MBR) code or code from other boot devices
  • PCR 5: マスター ブート レコード (MBR) パーティション テーブル。PCR 5: Master Boot Record (MBR) partition table. さまざまな EFI 変数と GPT テーブルVarious EFI variables and the GPT table
  • PCR 6: 状態の移行およびウェイク イベントPCR 6: State transition and wake events
  • PCR 7: コンピューターの製造元固有PCR 7: Computer manufacturer-specific
  • PCR 8: NTFS ブート セクターPCR 8: NTFS boot sector
  • PCR 9: NTFS ブート ブロックPCR 9: NTFS boot block
  • PCR 10: ブート マネージャーPCR 10: Boot manager
  • PCR 11: BitLocker アクセス制御PCR 11: BitLocker access control
  • PCR 12 ~ 23: 将来の使用のために予約済みPCR 12 - 23: Reserved for future use

警告

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。Changing from the default platform validation profile affects the security and manageability of your computer. プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増加または減少します。BitLocker's sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

ネイティブの UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成するConfigure TPM platform validation profile for native UEFI firmware configurations

このポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューター上のオペレーティング システム ドライブのロックを解除する前に、TPM が早期ブート コンポーネントを検証するときに測定する値を決定します。This policy setting determines what values the TPM measures when it validates early boot components before unlocking an operating system drive on a computer with native UEFI firmware configurations.

ポリシーの説明Policy description このポリシー設定を使用して、コンピューターのトラステッド プラットフォーム モジュール (TPM) セキュリティ ハードウェアが BitLocker 暗号化キーをセキュリティで保護する方法を構成できます。With this policy setting, you can configure how the computer's Trusted Platform Module (TPM) security hardware secures the BitLocker encryption key.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts PCR 7 を省略してこのポリシーを設定し****、[整合性検証のセキュリティで保護されたブートを許可する] グループ ポリシー設定を上書きし、BitLocker がプラットフォームの Secure Boot または Boot Configuration Data (BCD) 整合性検証を使用することを防止します。Setting this policy with PCR 7 omitted, overrides the Allow Secure Boot for integrity validation Group Policy setting, and it prevents BitLocker from using Secure Boot for platform or Boot Configuration Data (BCD) integrity validation,

環境でプラットフォーム整合性チェックに TPM と Secure Boot を使用する場合、このポリシーを構成しないでください。If your environments use TPM and Secure Boot for platform integrity checks, this policy should not be configured.

PCR 7 の詳細については、このトピックの 「プラットフォーム構成レジスタ (PCR)」 を参照してください。For more information about PCR 7, see Platform Configuration Register (PCR) in this topic.

有効になっている場合When enabled BitLocker を有効にする前に、BITLocker で暗号化されたオペレーティング システム ドライブへのアクセスをロック解除する前に、TPM が検証するブート コンポーネントを構成できます。Before you turn on BitLocker, you can configure the boot components that the TPM validates before it unlocks access to the BitLocker-encrypted operating system drive. BitLocker 保護が有効な間にこれらのコンポーネントが変更された場合、TPM はドライブのロックを解除するための暗号化キーを解放しません。If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. 代わりに、コンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するために回復パスワードまたは回復キーが提供されている必要があります。Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
無効または構成されていない場合When disabled or not configured BitLocker は、既定のプラットフォーム検証プロファイルまたはセットアップ スクリプトで指定されたプラットフォーム検証プロファイルを使用します。BitLocker uses the default platform validation profile or the platform validation profile that is specified by the setup script.

リファレンスReference

このポリシー設定は、コンピューターに互換性のある TPM がない場合、または TPM 保護を使用して BitLocker が既に有効になっている場合は適用されません。This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker is already turned on with TPM protection.

重要

このグループ ポリシー設定は、ネイティブの UEFI ファームウェア構成を持つコンピューターにのみ適用されます。This Group Policy setting only applies to computers with a native UEFI firmware configuration. 互換性サポート モジュール (CSM) が有効な BIOS または UEFI ファームウェアを持つコンピューターは、プラットフォーム構成レジスタ (PCR) に異なる値を格納します。Computers with BIOS or UEFI firmware with a Compatibility Support Module (CSM) enabled store different values in the Platform Configuration Registers (PCRs). BIOS ベース のファームウェア 構成用に TPM プラットフォーム検証プロファイルを構成する グループ ポリシー設定を使用して、BIOS 構成を持つコンピューターまたは CSM が有効な UEFI ファームウェアを持つコンピューターの TPM PCR プロファイルを構成します。Use the Configure TPM platform validation profile for BIOS-based firmware configurations Group Policy setting to configure the TPM PCR profile for computers with BIOS configurations or for computers with UEFI firmware with a CSM enabled.

プラットフォーム検証プロファイルは、0 ~ 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。A platform validation profile consists of a set of Platform Configuration Register (PCR) indices ranging from 0 to 23. 既定のプラットフォーム検証プロファイルは、コア システム ファームウェア実行可能コード (PCR 0)、拡張またはプラグ可能な実行可能コード (PCR 2)、ブート マネージャー (PCR 4)、BitLocker アクセス制御 (PCR 11) への変更に対して暗号化キーを保護します。The default platform validation profile secures the encryption key against changes to the core system firmware executable code (PCR 0), extended or pluggable executable code (PCR 2), boot manager (PCR 4), and the BitLocker access control (PCR 11).

次の一覧は、使用可能なすべての PCR を識別します。The following list identifies all of the PCRs available:

  • PCR 0: コア システム ファームウェアの実行可能コードPCR 0: Core System Firmware executable code

  • PCR 1: コア システム ファームウェア データPCR 1: Core System Firmware data

  • PCR 2: 拡張またはプラグ可能な実行可能コードPCR 2: Extended or pluggable executable code

  • PCR 3: 拡張またはプラグ可能なファームウェア データPCR 3: Extended or pluggable firmware data

  • PCR 4: ブート マネージャーPCR 4: Boot Manager

  • PCR 5: GPT/パーティション テーブルPCR 5: GPT/Partition Table

  • PCR 6: S4 および S5 Power State イベントからの再開PCR 6: Resume from S4 and S5 Power State Events

  • PCR 7: セキュア ブート状態PCR 7: Secure Boot State

    この PCR の詳細については、このトピックの 「プラットフォーム構成レジスタ (PCR)」 を参照してください。For more information about this PCR, see Platform Configuration Register (PCR) in this topic.

  • PCR 8: Extends を使用して 0 に初期化 (将来の使用のために予約済み)PCR 8: Initialized to 0 with no Extends (reserved for future use)

  • PCR 9: Extends を使用して 0 に初期化されます (将来の使用のために予約済み)PCR 9: Initialized to 0 with no Extends (reserved for future use)

  • PCR 10: Extends を使用して 0 に初期化されます (将来の使用のために予約済み)PCR 10: Initialized to 0 with no Extends (reserved for future use)

  • PCR 11: BitLocker アクセス制御PCR 11: BitLocker access control

  • PCR 12: データ イベントと揮発性の高いイベントPCR 12: Data events and highly volatile events

  • PCR 13: ブート モジュールの詳細PCR 13: Boot Module Details

  • PCR 14: ブート権限PCR 14: Boot Authorities

  • PCR 15 ~ 23: 将来の使用のために予約済みPCR 15 – 23: Reserved for future use

警告

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。Changing from the default platform validation profile affects the security and manageability of your computer. プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増加または減少します。BitLocker's sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

BitLocker の回復後にプラットフォーム検証データをリセットするReset platform validation data after BitLocker recovery

このポリシー設定は、BitLocker の回復後に Windows が起動するときにプラットフォーム検証データを更新するかどうかを決定します。This policy setting determines if you want platform validation data to refresh when Windows is started following a BitLocker recovery. プラットフォーム検証データ プロファイルは、0 ~ 23 の範囲の一連のプラットフォーム構成レジスタ (PCR) インデックスの値で構成されます。A platform validation data profile consists of the values in a set of Platform Configuration Register (PCR) indices that range from 0 to 23.

ポリシーの説明Policy description このポリシー設定を使用すると、BitLocker の回復後に Windows が起動するときにプラットフォーム検証データを更新するかどうかを制御できます。With this policy setting, you can control whether platform validation data is refreshed when Windows is started following a BitLocker recovery.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts なしNone
有効になっている場合When enabled プラットフォーム検証データは、Windows が BitLocker の回復後に開始すると更新されます。Platform validation data is refreshed when Windows is started following a BitLocker recovery.
無効にした場合When disabled BitLocker の回復後に Windows が開始された場合、プラットフォーム検証データは更新されません。Platform validation data is not refreshed when Windows is started following a BitLocker recovery.
構成されていない場合When not configured プラットフォーム検証データは、Windows が BitLocker の回復後に開始すると更新されます。Platform validation data is refreshed when Windows is started following a BitLocker recovery.

リファレンスReference

回復プロセスの詳細については 、「BitLocker 回復ガイド」を参照してくださいFor more information about the recovery process, see the BitLocker recovery guide.

拡張ブート構成データ検証プロファイルの使用Use enhanced Boot Configuration Data validation profile

このポリシー設定は、プラットフォームの検証中に確認する特定のブート構成データ (BCD) 設定を決定します。This policy setting determines specific Boot Configuration Data (BCD) settings to verify during platform validation. プラットフォーム検証では、プラットフォーム検証プロファイルのデータが使用されます。これは、0 ~ 23 の範囲のプラットフォーム構成レジスタ (PCR) インデックスのセットで構成されます。A platform validation uses the data in the platform validation profile, which consists of a set of Platform Configuration Register (PCR) indices that range from 0 to 23.

ポリシーの説明Policy description このポリシー設定を使用すると、プラットフォームの検証中に確認するブート構成データ (BCD) 設定を指定できます。With this policy setting, you can specify Boot Configuration Data (BCD) settings to verify during platform validation.
導入Introduced Windows Server 2012 と Windows 8Windows Server 2012 and Windows 8
ドライブの種類Drive type オペレーティング システム ドライブOperating system drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\オペレーティング システム ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
競合Conflicts BitLocker がプラットフォーム用セキュア ブートとブート構成データ整合性検証を使用している**** 場合、[拡張ブート構成データ検証プロファイルグループ ポリシーの使用] 設定は**** 無視されます (整合性検証グループ ポリシーのセキュリティで保護されたブートを許可する設定で定義)。When BitLocker is using Secure Boot for platform and Boot Configuration Data integrity validation, the Use enhanced Boot Configuration Data validation profile Group Policy setting is ignored (as defined by the Allow Secure Boot for integrity validation Group Policy setting).
有効になっている場合When enabled BCD 設定を追加したり、指定した BCD 設定を除外したり、包含リストと除外リストを組み合わせてカスタマイズされた BCD 検証プロファイルを作成したりできます。これにより、これらの BCD 設定を確認できます。You can add additional BCD settings, exclude the BCD settings you specify, or combine inclusion and exclusion lists to create a customized BCD validation profile, which gives you the ability to verify those BCD settings.
無効にした場合When disabled コンピューターは、Windows 7 で使用される既定の BCD プロファイルと同様の BCD プロファイル検証に戻ります。The computer reverts to a BCD profile validation similar to the default BCD profile that is used by Windows 7.
構成されていない場合When not configured コンピューターは、Windows で既定の BCD 設定を確認します。The computer verifies the default BCD settings in Windows.

リファレンスReference

注意

ブート デバッグ (0x16000010) を制御する設定は常に検証され、包含リストまたは除外リストに含まれている場合は無効になります。The setting that controls boot debugging (0x16000010) is always validated, and it has no effect if it is included in the inclusion or the exclusion list.

以前のバージョンの Windows から BitLocker で保護された固定データ ドライブへのアクセスを許可するAllow access to BitLocker-protected fixed data drives from earlier versions of Windows

このポリシー設定は、BitLocker To Go Reader を使用してドライブへのアクセスを許可するかどうか、およびアプリケーションがドライブにインストールされているかどうかを制御するために使用されます。This policy setting is used to control whether access to drives is allowed by using the BitLocker To Go Reader, and if the application is installed on the drive.

ポリシーの説明Policy description このポリシー設定を使用すると、FAT ファイル システムで書式設定された固定データ ドライブを、Windows Vista、Windows XP with Service Pack 3 (SP3)、または Windows XP with Service Pack 2 (SP2) を実行しているコンピューターでロック解除および表示できるかどうかを構成できます。With this policy setting, you can configure whether fixed data drives that are formatted with the FAT file system can be unlocked and viewed on computers running Windows Vista, Windows XP with Service Pack 3 (SP3), or Windows XP with Service Pack 2 (SP2).
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type 固定データ ドライブFixed data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\固定データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
競合Conflicts なしNone
有効になっている場合と構成されていない場合When enabled and When not configured FAT ファイル システムで書式設定された固定データ ドライブは、Windows Server 2008、Windows Vista、SP3 の Windows XP、SP2 を使用した Windows XP を実行しているコンピューターでロックを解除し、そのコンテンツを表示できます。Fixed data drives that are formatted with the FAT file system can be unlocked on computers running Windows Server 2008, Windows Vista, Windows XP with SP3, or Windows XP with SP2, and their content can be viewed. これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。These operating systems have Read-only access to BitLocker-protected drives.
無効にした場合When disabled FAT ファイル システムで書式設定され、BitLocker で保護されている固定データ ドライブは、Windows Vista、SP3 の Windows XP、SP2 の Windows XP を実行しているコンピューターではロックを解除できません。Fixed data drives that are formatted with the FAT file system and are BitLocker-protected cannot be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2. BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。BitLocker To Go Reader (bitlockertogo.exe) is not installed.

リファレンスReference

注意

このポリシー設定は、NTFS ファイル システムで書式設定されたドライブには適用されません。This policy setting does not apply to drives that are formatted with the NTFS file system.

このポリシー設定が有効になっている場合は、[FAT 形式の固定ドライブに BitLocker To Go Reader をインストールしない] チェック ボックスをオンにして、ユーザーが固定ドライブから BitLocker To Go Reader を実行することを防ぐのに役立ちます。When this policy setting is enabled, select the Do not install BitLocker To Go Reader on FAT formatted fixed drives check box to help prevent users from running BitLocker To Go Reader from their fixed drives. Id フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、または[組織ポリシーの一意の識別子を提供する****] 設定で指定したのと同じ ID フィールドがドライブにある場合は、BitLocker の更新を求めるメッセージが表示され、BitLocker To Go Reader がドライブから削除されます。If BitLocker To Go Reader (bitlockertogo.exe) is present on a drive that does not have an identification field specified, or if the drive has the same identification field as specified in the Provide unique identifiers for your organization policy setting, the user is prompted to update BitLocker, and BitLocker To Go Reader is deleted from the drive. この状況では、Windows Vista、SP3 を搭載した Windows XP、SP2 を搭載した Windows XP を実行しているコンピューターで固定ドライブのロックを解除するには、BitLocker To Go Reader をコンピューターにインストールする必要があります。In this situation, for the fixed drive to be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, BitLocker To Go Reader must be installed on the computer. このチェック ボックスがオンではない場合は、固定ドライブに BitLocker To Go Reader がインストールされ、Windows Vista、SP3 の Windows XP、SP2 を使用した Windows XP を実行しているコンピューターでドライブのロックを解除できます。If this check box is not selected, BitLocker To Go Reader will be installed on the fixed drive to enable users to unlock the drive on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2.

以前のバージョンの Windows から BitLocker で保護されたリムーバブル データ ドライブへのアクセスを許可するAllow access to BitLocker-protected removable data drives from earlier versions of Windows

このポリシー設定は、BitLocker To Go Reader を使用しているリムーバブル データ ドライブへのアクセスと、ドライブに BitLocker To Go Reader をインストールできるかどうかを制御します。This policy setting controls access to removable data drives that are using the BitLocker To Go Reader and whether the BitLocker To Go Reader can be installed on the drive.

ポリシーの説明Policy description このポリシー設定を使用すると、FAT ファイル システムで書式設定されたリムーバブル データ ドライブのロックを解除して、Windows Vista、SP3 を搭載した Windows XP、SP2 の Windows XP を実行しているコンピューターで表示するかどうかを構成できます。With this policy setting, you can configure whether removable data drives that are formatted with the FAT file system can be unlocked and viewed on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2.
導入Introduced Windows Server 2008 R2 および Windows 7Windows Server 2008 R2 and Windows 7
ドライブの種類Drive type リムーバブル データ ドライブRemovable data drives
ポリシーのパスPolicy path コンピューター構成\管理用テンプレート\Windows コンポーネント\BitLocker ドライブ暗号化\リムーバブル データ ドライブComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
競合Conflicts なしNone
有効になっている場合と構成されていない場合When enabled and When not configured FAT ファイル システムで書式設定されたリムーバブル データ ドライブは、Windows Vista、SP3 を搭載した Windows XP、SP2 を搭載した Windows XP を実行しているコンピューターでロックを解除し、そのコンテンツを表示できます。Removable data drives that are formatted with the FAT file system can be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, and their content can be viewed. これらのオペレーティング システムには、BitLocker で保護されたドライブへの読み取り専用アクセス権があります。These operating systems have Read-only access to BitLocker-protected drives.
無効にした場合When disabled BitLocker で保護された FAT ファイル システムで書式設定されたリムーバブル データ ドライブは、Windows Vista、SP3 を搭載した Windows XP、SP2 の Windows XP を実行しているコンピューターではロック解除できません。Removable data drives that are formatted with the FAT file system that are BitLocker-protected cannot be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2. BitLocker To Go Reader (bitlockertogo.exe) がインストールされていません。BitLocker To Go Reader (bitlockertogo.exe) is not installed.

リファレンスReference

注意

このポリシー設定は、NTFS ファイル システムで書式設定されたドライブには適用されません。This policy setting does not apply to drives that are formatted with the NTFS file system.

このポリシー設定が有効になっている場合は、[FAT 形式のリムーバブル ドライブに BitLocker To Go Reader をインストールしない] チェック ボックスをオンにして、ユーザーがリムーバブル ドライブから BitLocker To Go Reader を実行することを防ぐのに役立ちます。When this policy setting is enabled, select the Do not install BitLocker To Go Reader on FAT formatted removable drives check box to help prevent users from running BitLocker To Go Reader from their removable drives. Id フィールドが指定されていないドライブに BitLocker To Go Reader (bitlockertogo.exe) が存在する場合、またはドライブの ID フィールドが [組織**** ポリシーの一意識別子の提供] 設定で指定されているのと同じ場合は、BitLocker の更新を求めるメッセージが表示され、BitLocker To Go Reader がドライブから削除されます。If BitLocker To Go Reader (bitlockertogo.exe) is present on a drive that does not have an identification field specified, or if the drive has the same identification field as specified in the Provide unique identifiers for your organization policy setting, the user will be prompted to update BitLocker, and BitLocker To Go Reader is deleted from the drive. この状況では、Windows Vista、SP3 を搭載した Windows XP、SP2 を搭載した Windows XP を実行しているコンピューターでリムーバブル ドライブのロックを解除するには、BitLocker To Go Reader をコンピューターにインストールする必要があります。In this situation, for the removable drive to be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, BitLocker To Go Reader must be installed on the computer. このチェック ボックスがオンではない場合は、BitLocker To Go Reader がリムーバブル ドライブにインストールされ、BitLocker To Go Reader がインストールされていない WINDOWS Vista、SP3 の Windows XP、SP2 を搭載した Windows XP を実行しているコンピューターでドライブのロックを解除できます。If this check box is not selected, BitLocker To Go Reader will be installed on the removable drive to enable users to unlock the drive on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2 that do not have BitLocker To Go Reader installed.

FIPS 設定FIPS setting

FIPS コンプライアンスの連邦情報処理標準 (FIPS) 設定を構成できます。You can configure the Federal Information Processing Standard (FIPS) setting for FIPS compliance. FIPS 準拠の影響として、ユーザーは回復またはキー プロテクターとして BitLocker パスワードを作成または保存できません。As an effect of FIPS compliance, users cannot create or save a BitLocker password for recovery or as a key protector. 回復キーの使用が許可されています。The use of a recovery key is permitted.

ポリシーの説明Policy description Notes
導入Introduced SP1 を使用した Windows Server 2003Windows Server 2003 with SP1
ドライブの種類Drive type システム全体System-wide
ポリシーのパスPolicy path ローカル ポリシー\セキュリティ オプション\システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠のアルゴリズム を使用するLocal Policies\Security Options\System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
競合Conflicts ターミナル サービスなどの一部のアプリケーションでは、すべてのオペレーティング システムで FIPS-140 がサポートされていません。Some applications, such as Terminal Services, do not support FIPS-140 on all operating systems.
有効になっている場合When enabled ユーザーは、回復パスワードを任意の場所に保存できません。Users will be unable to save a recovery password to any location. これには、DS ADネットワーク フォルダーが含まれます。This includes AD DS and network folders. また、WMI または BitLocker ドライブ暗号化セットアップ ウィザードを使用して回復パスワードを作成することはできません。In addition, you cannot use WMI or the BitLocker Drive Encryption Setup wizard to create a recovery password.
無効または構成されていない場合When disabled or not configured BitLocker 暗号化キーが生成されませんNo BitLocker encryption key is generated

リファレンスReference

BitLocker の暗号化キーが生成される前に、このポリシーを有効にする必要があります。This policy needs to be enabled before any encryption key is generated for BitLocker. このポリシーを有効にすると、BitLocker は回復パスワードの作成や使用を防止します。そのため、代わりに回復キーを使用する必要があります。Note that when this policy is enabled, BitLocker prevents creating or using recovery passwords, so recovery keys should be used instead.

オプションの回復キーを USB ドライブに保存できます。You can save the optional recovery key to a USB drive. FIPS が有効な場合、回復パスワードを AD DS に保存できないので、グループ ポリシーで AD DS バックアップが必要な場合にエラーが発生します。Because recovery passwords cannot be saved to AD DS when FIPS is enabled, an error is caused if AD DS backup is required by Group Policy.

FIPS 設定を編集するには、セキュリティ ポリシー エディター (Secpol.msc) を使用するか、Windows レジストリを編集します。You can edit the FIPS setting by using the Security Policy Editor (Secpol.msc) or by editing the Windows registry. これらの手順を実行するには、管理者である必要があります。You must be an administrator to perform these procedures.

このポリシーの設定の詳細については、「システム暗号化: 暗号化、ハッシュ、署名に FIPS 準拠アルゴリズムを使用する」 を参照してくださいFor more information about setting this policy, see System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing.

電源管理グループ ポリシーの設定: スリープ状態と休止状態Power management Group Policy settings: Sleep and Hibernate

コンピューターの PC の既定の電源設定では、コンピューターが頻繁にスリープ モードに入り、アイドル時に電力を節約し、システムのバッテリ寿命を延ばします。PCs default power settings for a computer will cause the computer to enter Sleep mode frequently to conserve power when idle and to help extend the system’s battery life. コンピューターが Sleep に移行すると、開いているプログラムとドキュメントがメモリに保持されます。When a computer transitions to Sleep, open programs and documents are persisted in memory. コンピューターがスリープ状態から再開すると、暗号化されたデータにアクセスするために PIN または USB スタートアップ キーを使用して再認証する必要はありません。When a computer resumes from Sleep, users are not required to re-authenticate with a PIN or USB startup key to access encrypted data. これにより、データ セキュリティが侵害される状況が発生する可能性があります。This might lead to conditions where data security is compromised.

ただし、コンピューターが休止状態の場合、ドライブはロックされ、休止状態から再開すると、ドライブのロックが解除されます。つまり、BitLocker で多要素認証を使用する場合、ユーザーは PIN またはスタートアップ キーを指定する必要があります。However, when a computer hibernates the drive is locked, and when it resumes from hibernation the drive is unlocked, which means that users will need to provide a PIN or a startup key if using multifactor authentication with BitLocker. そのため、BitLocker を使用する組織では、セキュリティを強化するために Sleep の代わりに休止状態を使用する必要があります。Therefore, organizations that use BitLocker may want to use Hibernate instead of Sleep for improved security. この設定は、起動時に透過的なユーザー エクスペリエンスを提供し、休止状態から再び終了する場合に、TPM 専用モードには影響しません。This setting does not have an impact on TPM-only mode, because it provides a transparent user experience at startup and when resuming from the Hibernate states.

コンピューター構成\管理用テンプレート \System\Power Management にある次のグループ ポリシー設定を無効にして、使用可能なすべてのスリープ状態を無効にできます。You can use disable the following Group Policy settings, which are located in Computer Configuration\Administrative Templates\System\Power Management to disable all available sleep states:

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)Allow Standby States (S1-S3) When Sleeping (Plugged In)
  • スリープ時にスタンバイ状態を許可する (S1-S3) (バッテリー)Allow Standby States (S1-S3) When Sleeping (Battery)

プラットフォーム構成レジスタ (PCR) についてAbout the Platform Configuration Register (PCR)

プラットフォーム検証プロファイルは、0 ~ 23 の範囲の PCR インデックスのセットで構成されます。A platform validation profile consists of a set of PCR indices that range from 0 to 23. 値の範囲は、オペレーティング システムのバージョンに固有の値を指定できます。The scope of the values can be specific to the version of the operating system.

既定のプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理性に影響します。Changing from the default platform validation profile affects the security and manageability of your computer. プラットフォームの変更 (悪意のある、または承認された) に対する BitLocker の感度は、PCR の包含または除外 (それぞれ) に応じて増加または減少します。BitLocker’s sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

PCR 7 についてAbout PCR 7

PCR 7 は、セキュア ブートの状態を測定します。PCR 7 measures the state of Secure Boot. PCR 7 を使用すると、BitLocker は整合性検証のために Secure Boot を活用できます。With PCR 7, BitLocker can leverage Secure Boot for integrity validation. Secure Boot を使用すると、コンピューターのプレブート環境では、承認されたソフトウェア発行元によってデジタル署名されたファームウェアのみが読み込まれます。Secure Boot ensures that the computer's preboot environment loads only firmware that is digitally signed by authorized software publishers. PCR 7 測定値は、Secure Boot がオンかどうか、およびプラットフォームで信頼されているキーを示します。PCR 7 measurements indicate whether Secure Boot is on and which keys are trusted on the platform. Secure Boot がオンで、ファームウェアが UEFI 仕様に基いて PCR 7 を正しく測定している場合、BitLocker は、正確なファームウェアと Bootmgr イメージの測定値が読み込まれた PCR 0、2、および 4 ではなく、この情報にバインドできます。If Secure Boot is on and the firmware measures PCR 7 correctly per the UEFI specification, BitLocker can bind to this information rather than to PCRs 0, 2, and 4 which have the measurements of the exact firmware and Bootmgr images loaded. これにより、ファームウェアとイメージの更新の結果として BitLocker が回復モードで起動する可能性が低く、プレブート構成を管理する柔軟性が向上します。This reduces the likelihood of BitLocker starting in recovery mode as a result of firmware and image updates, and it provides you with greater flexibility to manage the preboot configuration.

PCR 7 測定値は、「付録 A 信頼された実行環境 EFI プロトコル」で説明されている ガイダンスに従う必要がありますPCR 7 measurements must follow the guidance that is described in Appendix A Trusted Execution Environment EFI Protocol.

PCR 7 測定値は、Microsoft Surface RT などのモダン スタンバイ (Always On、Always Connected PC とも呼ばれる) をサポートするシステムに必須のロゴ要件です。PCR 7 measurements are a mandatory logo requirement for systems that support Modern Standby (also known as Always On, Always Connected PCs), such as the Microsoft Surface RT. このようなシステムでは、PCR 7 測定とセキュア ブートを使用する TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドされます。On such systems, if the TPM with PCR 7 measurement and Secure Boot are correctly configured, BitLocker binds to PCR 7 and PCR 11 by default.

関連項目See also