BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理するBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker

適用対象Applies to

  • Windows 10Windows 10

IT プロフェッショナル向けの記事では、ツールを使用して BitLocker を管理する方法について説明しています。This article for the IT professional describes how to use tools to manage BitLocker.

BitLocker ドライブ暗号化ツールには、コマンドラインツールの manage-bde と repair-bde、および Windows PowerShell 用の BitLocker コマンドレットが含まれています。BitLocker Drive Encryption Tools include the command-line tools manage-bde and repair-bde and the BitLocker cmdlets for Windows PowerShell.

管理者と BitLocker コマンドレットの両方を使用して、BitLocker コントロールパネルで実現できる任意のタスクを実行できます。自動化された展開やその他のスクリプトシナリオで使用するのに適しています。Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel and are appropriate to use for automated deployments and other scripting scenarios.

修復-bde は、BitLocker で保護されたドライブのロックを正常に解除できない、または回復コンソールを使用している、障害回復シナリオのために用意されている特殊な環境ツールです。Repair-bde is a special circumstance tool that is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or using the recovery console.

  1. 管理-bdeManage-bde
  2. 修復-bdeRepair-bde
  3. Windows PowerShell 用 BitLocker コマンドレットBitLocker cmdlets for Windows PowerShell

管理-bdeManage-bde

Manage-bde は、BitLocker 操作のスクリプトに使用できるコマンドラインツールです。Manage-bde is a command-line tool that can be used for scripting BitLocker operations. 管理-bde は、BitLocker コントロールパネルに表示されないその他のオプションを提供します。Manage-bde offers additional options not displayed in the BitLocker control panel. Manage-bde オプションの完全な一覧につい ては、「manage-bde コマンドライン リファレンス」をご覧ください。For a complete list of the manage-bde options, see the Manage-bde command-line reference.

管理-bde には既定の設定が少なく、BitLocker を構成するためのより多くのカスタマイズが必要です。Manage-bde includes fewer default settings and requires greater customization for configuring BitLocker. たとえば、 manage-bde -on データボリュームのコマンドだけを使用すると、認証プロテクターを使わずにボリュームが完全に暗号化されます。For example, using just the manage-bde -on command on a data volume will fully encrypt the volume without any authenticating protectors. この方法で暗号化されたボリュームでは、完全に保護されるように認証方法をボリュームに追加する必要があるため、コマンドが正常に完了した場合でも、ユーザーによる操作が必要になります。A volume encrypted in this manner still requires user interaction to turn on BitLocker protection, even though the command successfully completed because an authentication method needs to be added to the volume for it to be fully protected. 以下のセクションでは、manage-bde の一般的な使用シナリオの例について説明します。The following sections provide examples of common usage scenarios for manage-bde.

オペレーティングシステムボリュームで管理を使用するUsing manage-bde with operating system volumes

オペレーティングシステムボリュームの基本的な有効なコマンドの例を次に示します。Listed below are examples of basic valid commands for operating system volumes. 一般に、コマンドのみを使う場合 manage-bde -on <drive letter> は、TPM のみのプロテクターと回復キーを使用して、オペレーティングシステムのボリュームを暗号化します。In general, using only the manage-bde -on <drive letter> command will encrypt the operating system volume with a TPM-only protector and no recovery key. ただし、多くの環境では、パスワードや PIN などの安全性の高いプロテクターが必要であり、回復キーを使用して情報を回復できることを期待しています。However, many environments require more secure protectors such as passwords or PIN and expect to be able to recover information with a recovery key. 少なくとも1つのプライマリプロテクターと回復プロテクターをオペレーティングシステムボリュームに追加することをお勧めします。We recommend that you add at least one primary protector and a recovery protector to an operating system volume.

Manage-bde を使用する場合は、ターゲットシステムのボリューム状態を確認することをお勧めします。A good practice when using manage-bde is to determine the volume status on the target system. ボリュームの状態を確認するには、次のコマンドを使用します。Use the following command to determine volume status:

manage-bde -status

このコマンドは、各ボリュームのターゲットのボリューム、現在の暗号化の状態、暗号化方法、およびボリュームの種類 (オペレーティングシステムまたはデータ) を返します。This command returns the volumes on the target, current encryption status, encryption method, and volume type (operating system or data) for each volume:

管理-bde を使用して暗号化の状態を確認する

次の例は、TPM チップがないコンピューターで BitLocker を有効にする方法を示しています。The following example illustrates enabling BitLocker on a computer without a TPM chip. 暗号化処理を開始する前に、BitLocker に必要なスタートアップキーを作成して、それを USB ドライブに保存する必要があります。Before beginning the encryption process, you must create the startup key needed for BitLocker and save it to the USB drive. Bitlocker がオペレーティングシステムボリュームに対して有効になっている場合、BitLocker では、暗号化キーを取得するために USB フラッシュドライブにアクセスする必要があります (この例では、ドライブ文字 E は USB ドライブを表します)。When BitLocker is enabled for the operating system volume, the BitLocker will need to access the USB flash drive to obtain the encryption key (in this example, the drive letter E represents the USB drive). 暗号化処理を完了するために、再起動するように求められます。You will be prompted to reboot to complete the encryption process.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

注: 暗号化が完了したら、オペレーティングシステムを起動する前に USB スタートアップキーを挿入する必要があります。Note: After the encryption is completed, the USB startup key must be inserted before the operating system can be started.

TPM 以外のハードウェアのスタートアップキーの保護機能の代わりに、パスワードと ADaccountorgroup プロテクターを使用して、オペレーティングシステムのボリュームを保護することができます。An alternative to the startup key protector on non-TPM hardware is to use a password and an ADaccountorgroup protector to protect the operating system volume. このシナリオでは、最初にプロテクターを追加します。In this scenario, you would add the protectors first. それらを追加するには、次のコマンドを使用します。To add them, use this command:

manage-bde -protectors -add C: -pw -sid <user or group>

このコマンドを実行するには、パスワードの保護機能を入力して、その後、ボリュームに追加する前に確認する必要があります。This command will require you to enter and then confirm the password protector before adding them to the volume. ボリューム上のプロテクターが有効になっている状態で、BitLocker を有効にすることができます。With the protectors enabled on the volume, you can then turn on BitLocker.

TPM が搭載されているコンピューターでは、管理者を使って定義済みプロテクターを使わずに、オペレーティングシステムのボリュームを暗号化することができます。On computers with a TPM, it is possible to encrypt the operating system volume without any defined protectors using manage-bde. 次のコマンドを使用します。Use this command:

manage-bde -on C:

このコマンドは、TPM を使ってドライブを既定のプロテクターとして暗号化します。This command encrypts the drive using the TPM as the default protector. TPM プロテクターが利用可能かどうかわからない場合は、ボリュームで利用可能なプロテクターの一覧を表示するには、次のコマンドを実行します。If you are not sure if a TPM protector is available, to list the protectors available for a volume, run the following command:

 manage-bde -protectors -get <volume>

データボリュームで管理を使用するUsing manage-bde with data volumes

データボリュームは、オペレーティングシステムボリュームと同じ構文で暗号化を使用しますが、操作を完了するためにプロテクターは必要ありません。Data volumes use the same syntax for encryption as operating system volumes but they do not require protectors for the operation to complete. データボリュームの暗号化は、base コマンドを使用して行うことができます。 manage-bde -on <drive letter> または、最初に追加のプロテクターをボリュームに追加することもできます。Encrypting data volumes can be done using the base command: manage-bde -on <drive letter> or you can choose to add additional protectors to the volume first. 少なくとも1つのプライマリプロテクターと回復用プロテクターをデータボリュームに追加することをお勧めします。We recommend that you add at least one primary protector and a recovery protector to a data volume.

データボリュームの一般的なプロテクターはパスワードの保護機能です。A common protector for a data volume is the password protector. 次の例では、ボリュームにパスワードプロテクターを追加して、BitLocker を有効にします。In the example below, we add a password protector to the volume and turn on BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

修復-bdeRepair-bde

BitLocker に重要な情報が格納されているハードディスクの領域に影響する問題が発生する可能性があります。You may experience a problem that damages an area of a hard disk on which BitLocker stores critical information. この種の問題は、ハードディスクの障害が発生したか、Windows が突然終了した場合に発生する可能性があります。This kind of problem may be caused by a hard disk failure or if Windows exits unexpectedly.

Bitlocker 修復ツール (修復-bde) を使用すると、BitLocker を使用してドライブが暗号化されている場合に、深刻な損傷を受けたハードディスク上の暗号化されたデータにアクセスできます。The BitLocker Repair Tool (Repair-bde) can be used to access encrypted data on a severely damaged hard disk if the drive was encrypted by using BitLocker. 修復-bde は、有効な回復パスワードまたは回復キーを使用してデータの暗号化を解除する限り、ドライブの重要な部分を再構築し、回復可能なデータを復元することができます。Repair-bde can reconstruct critical parts of the drive and salvage recoverable data as long as a valid recovery password or recovery key is used to decrypt the data. ドライブ上の BitLocker メタデータデータが破損している場合は、回復パスワードまたは回復キーに加えて、バックアップキーパッケージを提供できる必要があります。If the BitLocker metadata data on the drive has become corrupt, you must be able to supply a backup key package in addition to the recovery password or recovery key. AD DS バックアップの既定の設定を使用している場合は、このキーパッケージは Active Directory ドメインサービス (AD DS) でバックアップされます。This key package is backed up in Active Directory Domain Services (AD DS) if you used the default setting for AD DS backup. このキーパッケージと、回復パスワードまたは回復キーのいずれかを使用すると、ディスクが破損している場合、BitLocker で保護されたドライブの一部の暗号化を解除することができます。With this key package and either the recovery password or recovery key, you can decrypt portions of a BitLocker-protected drive if the disk is corrupted. 各キーパッケージは、対応するドライブ識別子を持つドライブでのみ機能します。Each key package will work only for a drive that has the corresponding drive identifier. BitLocker 回復パスワードビューアーを使用して、AD DS からこのキーパッケージを取得することができます。You can use the BitLocker Recovery Password Viewer to obtain this key package from AD DS.

ヒント: 回復情報を AD DS にバックアップしていない場合、またはキーパッケージを保存する場合は、このコマンドを使用して、 manage-bde -KeyPackage ボリュームのキーパッケージを生成できます。Tip: If you are not backing up recovery information to AD DS or if you want to save key packages alternatively, you can use the command manage-bde -KeyPackage to generate a key package for a volume.

Repair-bde コマンドラインツールは、オペレーティングシステムが起動しない場合、または BitLocker 回復コンソールを開始できない場合に使用することを目的としています。The Repair-bde command-line tool is intended for use when the operating system does not start or when you cannot start the BitLocker Recovery Console. 次の条件に該当する場合は、Repair-bde を使用します。Use Repair-bde if the following conditions are true:

  • BitLocker ドライブ暗号化を使用してドライブを暗号化しました。You have encrypted the drive by using BitLocker Drive Encryption.
  • Windows が起動しないか、BitLocker 回復コンソールを起動できません。Windows does not start, or you cannot start the BitLocker recovery console.
  • 暗号化されたドライブに含まれているデータのコピーがありません。You do not have a copy of the data that is contained on the encrypted drive.

注: ドライブの破損は、BitLocker に関連していない可能性があります。Note: Damage to the drive may not be related to BitLocker. そのため、BitLocker の修復ツールを使用する前に、ドライブに関する問題の診断と解決に役立つその他のツールを試すことをお勧めします。Therefore, we recommend that you try other tools to help diagnose and resolve the problem with the drive before you use the BitLocker Repair Tool. Windows 回復環境 (Windows RE) には、コンピューターを修復するための追加オプションが用意されています。The Windows Recovery Environment (Windows RE) provides additional options to repair computers.

次のような制限があります。The following limitations exist for Repair-bde:

  • 修復コマンドラインツールは、暗号化または暗号化解除のプロセス中に失敗したドライブを修復することはできません。The Repair-bde command-line tool cannot repair a drive that failed during the encryption or decryption process.
  • Repair-bde コマンドラインツールは、ドライブに暗号化が含まれている場合は、ドライブが完全に暗号化されていることを前提としています。The Repair-bde command-line tool assumes that if the drive has any encryption, then the drive has been fully encrypted.

修復-bde の使い方について詳しくは、「 修復-bde」をご覧ください。For more information about using repair-bde, see Repair-bde.

Windows PowerShell 用 BitLocker コマンドレットBitLocker cmdlets for Windows PowerShell

Windows PowerShell コマンドレットを使うと、管理者は BitLocker を操作するときに新しい方法を使用できます。Windows PowerShell cmdlets provide a new way for administrators to use when working with BitLocker. Windows PowerShell のスクリプト機能を使用すると、管理者は BitLocker オプションを簡単に既存のスクリプトに統合することができます。Using Windows PowerShell's scripting capabilities, administrators can integrate BitLocker options into existing scripts with ease. 以下の一覧は、利用可能な BitLocker コマンドレットを示しています。The list below displays the available BitLocker cmdlets.

名前Name

パラメーターParameters

Add-BitLockerKeyProtectorAdd-BitLockerKeyProtector

-ADAccountOrGroup-ADAccountOrGroup

-ADAccountOrGroupProtector-ADAccountOrGroupProtector

-確認-Confirm

-MountPoint-MountPoint

-Password-Password

-PasswordProtector-PasswordProtector

-ピン-Pin

-RecoveryKeyPath パス-RecoveryKeyPath

-RecoveryKeyProtector-RecoveryKeyProtector

-RecoveryPassword-RecoveryPassword

-回復機能-RecoveryPasswordProtector

-サービス-Service

-StartupKeyPath パス-StartupKeyPath

-StartupKeyProtector-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector-TpmAndPinProtector

-TpmAndStartupKeyProtector-TpmAndStartupKeyProtector

-TpmProtector-TpmProtector

-WhatIf-WhatIf

Backup-BitLockerKeyProtectorBackup-BitLockerKeyProtector

-確認-Confirm

-KeyProtectorId-KeyProtectorId

-MountPoint-MountPoint

-WhatIf-WhatIf

Disable-BitLockerDisable-BitLocker

-確認-Confirm

-MountPoint-MountPoint

-WhatIf-WhatIf

Disable-BitLockerAutoUnlockDisable-BitLockerAutoUnlock

-確認-Confirm

-MountPoint-MountPoint

-WhatIf-WhatIf

Enable-BitLockerEnable-BitLocker

-AdAccountOrGroup-AdAccountOrGroup

-AdAccountOrGroupProtector-AdAccountOrGroupProtector

-確認-Confirm

-EncryptionMethod-EncryptionMethod

-ハードウェア暗号化-HardwareEncryption

-Password-Password

-PasswordProtector-PasswordProtector

-ピン-Pin

-RecoveryKeyPath パス-RecoveryKeyPath

-RecoveryKeyProtector-RecoveryKeyProtector

-RecoveryPassword-RecoveryPassword

-回復機能-RecoveryPasswordProtector

-サービス-Service

-SkipHardwareTest-SkipHardwareTest

-StartupKeyPath パス-StartupKeyPath

-StartupKeyProtector-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector-TpmAndPinProtector

-TpmAndStartupKeyProtector-TpmAndStartupKeyProtector

-TpmProtector-TpmProtector

-未使用スペースのみ-UsedSpaceOnly

-WhatIf-WhatIf

Enable-BitLockerAutoUnlockEnable-BitLockerAutoUnlock

-確認-Confirm

-MountPoint-MountPoint

-WhatIf-WhatIf

Get-BitLockerVolumeGet-BitLockerVolume

-MountPoint-MountPoint

Lock-BitLockerLock-BitLocker

-確認-Confirm

-ForceDismount マウント解除-ForceDismount

-MountPoint-MountPoint

-WhatIf-WhatIf

Remove-BitLockerKeyProtectorRemove-BitLockerKeyProtector

-確認-Confirm

-KeyProtectorId-KeyProtectorId

-MountPoint-MountPoint

-WhatIf-WhatIf

Resume-BitLockerResume-BitLocker

-確認-Confirm

-MountPoint-MountPoint

-WhatIf-WhatIf

Suspend-BitLockerSuspend-BitLocker

-確認-Confirm

-MountPoint-MountPoint

-RebootCount-RebootCount

-WhatIf-WhatIf

Unlock-BitLockerUnlock-BitLocker

-AdAccountOrGroup-AdAccountOrGroup

-確認-Confirm

-MountPoint-MountPoint

-Password-Password

-RecoveryKeyPath パス-RecoveryKeyPath

-RecoveryPassword-RecoveryPassword

-RecoveryPassword-RecoveryPassword

-WhatIf-WhatIf

管理-bde の場合と同様に、Windows PowerShell コマンドレットを使用すると、コントロールパネルに用意されているオプション以外の設定を行うことができます。Similar to manage-bde, the Windows PowerShell cmdlets allow configuration beyond the options offered in the control panel. 管理者と同様に、ユーザーは Windows PowerShell コマンドレットを実行する前に、暗号化する必要があるボリュームの特定のニーズを考慮する必要があります。As with manage-bde, users need to consider the specific needs of the volume they are encrypting prior to running Windows PowerShell cmdlets. 最初の手順として、コンピューター上のボリュームの現在の状態を確認することをお勧めします。A good initial step is to determine the current state of the volume(s) on the computer. これは、コマンドレットを使用して行うことができ Get-BitLockerVolume ます。You can do this using the Get-BitLockerVolume cmdlet. Get-BitLockerVolumeコマンドレットの出力は、ボリュームの種類、プロテクター、保護の状態、その他の詳細に関する情報を提供します。The Get-BitLockerVolume cmdlet output gives information on the volume type, protectors, protection status, and other details.

ヒント: 出力表示の領域が不足しているために、すべてのプロテクターが表示されないことがあり Get-BitLockerVolume ます。Tip: Occasionally, all protectors may not be shown when using Get-BitLockerVolume due to lack of space in the output display. ボリュームのすべてのプロテクターが表示されない場合は、Windows PowerShell パイプコマンド (|) を使用して、プロテクターの完全な一覧の書式設定を行うことができます。If you do not see all of the protectors for a volume, you can use the Windows PowerShell pipe command (|) to format a full listing of the protectors. Get-BitLockerVolume C: | fl

ボリューム上に BitLocker をプロビジョニングする前に、既存のプロテクターを削除する場合は、コマンドレットを使用でき Remove-BitLockerKeyProtector ます。If you want to remove the existing protectors prior to provisioning BitLocker on the volume, you could use the Remove-BitLockerKeyProtector cmdlet. そのためには、プロテクターに関連付けられている GUID を削除する必要があります。Accomplishing this requires the GUID associated with the protector to be removed.

単純なスクリプトでは、次のように、各 Get-BitLockerVolume の値を別の変数にパイプできます。A simple script can pipe the values of each Get-BitLockerVolume return out to another variable as seen below:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

このスクリプトを使うと、$keyprotectors 変数に情報を表示して、各プロテクターの GUID を確認できます。By using this script, you can display the information in the $keyprotectors variable to determine the GUID for each protector.

この情報を使用して、次のコマンドを使用して特定のボリュームのキーの保護機能を削除できます。By using this information, you can then remove the key protector for a specific volume using the command:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

注: BitLocker コマンドレットを実行するには、引用符で囲まれたキープロテクター GUID が必要です。Note: The BitLocker cmdlet requires the key protector GUID enclosed in quotation marks to execute. コマンドには、中かっこ付きの GUID 全体が含まれていることを確認します。Ensure the entire GUID, with braces, is included in the command.

オペレーティングシステムボリュームでの BitLocker Windows PowerShell コマンドレットの使用Using the BitLocker Windows PowerShell cmdlets with operating system volumes

BitLocker Windows PowerShell コマンドレットの使用は、オペレーティングシステムボリュームを暗号化するための manage-bde ツールの操作と似ています。Using the BitLocker Windows PowerShell cmdlets is similar to working with the manage-bde tool for encrypting operating system volumes. Windows PowerShell では、ユーザーがさまざまな柔軟性を提供します。Windows PowerShell offers users a lot of flexibility. たとえば、ボリュームを暗号化するための [パーツ] コマンドとして、必要なプロテクターを追加することができます。For example, users can add the desired protector as part command for encrypting the volume. 以下は、一般的なユーザーシナリオと、それらを BitLocker Windows PowerShell で実行するための手順の例です。Below are examples of common user scenarios and steps to accomplish them in BitLocker Windows PowerShell.

次の例は、TPM プロテクターのみを使用して、オペレーティングシステムドライブで BitLocker を有効にする方法を示しています。The following example shows how to enable BitLocker on an operating system drive using only the TPM protector:

Enable-BitLocker C:

次の例では、追加のプロテクター、StartupKey プロテクターの1つを追加して、BitLocker ハードウェアテストをスキップすることを選択します。In the example below, adds one additional protector, the StartupKey protector and chooses to skip the BitLocker hardware test. この例では、再起動する必要なく、直ちに暗号化が開始されます。In this example, encryption starts immediately without the need for a reboot.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

データボリュームでの BitLocker Windows PowerShell コマンドレットの使用Using the BitLocker Windows PowerShell cmdlets with data volumes

Windows PowerShell を使用したデータボリュームの暗号化は、オペレーティングシステムボリュームの場合と同じです。Data volume encryption using Windows PowerShell is the same as for operating system volumes. ボリュームを暗号化する前に、目的のプロテクターを追加します。Add the desired protectors prior to encrypting the volume. 次の例では、パスワードとして変数 $pw を使って、E: volume にパスワード保護機能を追加します。The following example adds a password protector to the E: volume using the variable $pw as the password. $Pw 変数は、ユーザー定義のパスワードを格納する「値として保持されます。The $pw variable is held as a SecureString value to store the user-defined password.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Windows PowerShell で広告アカウントまたはグループの保護機能を使用するUsing an AD Account or Group protector in Windows PowerShell

Windows 8 および Windows Server 2012 で導入された ADAccountOrGroup プロテクターは ACTIVE Directory SID ベースのプロテクターです。The ADAccountOrGroup protector, introduced in Windows 8 and Windows Server 2012, is an Active Directory SID-based protector. このプロテクターは、オペレーティングシステムとデータの両方のボリュームに追加できますが、プレブート環境ではオペレーティングシステムのボリュームのロックは解除されません。This protector can be added to both operating system and data volumes, although it does not unlock operating system volumes in the pre-boot environment. プロテクターを使用するには、ドメインアカウントまたはグループの SID がプロテクターにリンクされている必要があります。The protector requires the SID for the domain account or group to link with the protector. BitLocker では、クラスターに対応したディスクを保護して、クラスターのメンバーコンピューターによってディスクが適切にフェールオーバーされ、ロックが解除されるようにする、クラスター名オブジェクト (CNO) に SID ベースのプロテクターを追加することができます。BitLocker can protect a cluster-aware disk by adding a SID-based protector for the Cluster Name Object (CNO) that lets the disk properly fail over to and be unlocked by any member computer of the cluster.

警告: ADAccountOrGroup プロテクターでは、オペレーティングシステムボリュームで使用するために追加のプロテクター (TPM、PIN、または回復キーなど) を使用する必要があります。Warning: The ADAccountOrGroup protector requires the use of an additional protector for use (such as TPM, PIN, or recovery key) when used on operating system volumes

ボリュームに ADAccountOrGroup プロテクターを追加するには、実際のドメイン SID またはドメインとバックスラッシュで始まるグループ名のいずれかを使用します。To add an ADAccountOrGroup protector to a volume, use either the actual domain SID or the group name preceded by the domain and a backslash. 次の例では、CONTOSO\Administrator アカウントがプロテクターとしてデータボリューム G に追加されています。In the example below, the CONTOSO\Administrator account is added as a protector to the data volume G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

アカウントまたはグループの SID を使用したいユーザーの場合は、最初の手順として、アカウントに関連付けられている SID が決定されます。For users who wish to use the SID for the account or group, the first step is to determine the SID associated with the account. Windows PowerShell でユーザーアカウントの特定の SID を取得するには、次のコマンドを使用します。To get the specific SID for a user account in Windows PowerShell, use the following command:

注: このコマンドを使用するには、RSAT-AD PowerShell 機能が必要です。Note: Use of this command requires the RSAT-AD-PowerShell feature.

get-aduser -filter {samaccountname -eq "administrator"}

ヒント: 上記の PowerShell コマンドに加えて、ローカルでログオンしたユーザーやグループメンバーシップに関する情報については、以下を参照してください。Tip: In addition to the PowerShell command above, information about the locally logged on user and group membership can be found using: WHOAMI /ALL. これには、追加機能を使用する必要はありません。This does not require the use of additional features.

次の例では、アカウントの SID を使って、以前に暗号化されたオペレーティングシステムボリュームに ADAccountOrGroup プロテクターを追加します。The following example adds an ADAccountOrGroup protector to the previously encrypted operating system volume using the SID of the account:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

注: Active Directory ベースのプロテクターは通常、フェールオーバークラスターが有効になっているボリュームのロックを解除するために使用されます。Note: Active Directory-based protectors are normally used to unlock Failover Cluster enabled volumes.

詳細情報More information