BitLocker: BitLocker ドライブ暗号化ツールを使用して BitLocker を管理する

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

IT プロフェッショナル向けこの記事では、ツールを使用して BitLocker を管理する方法について説明します。

BitLocker ドライブ暗号化ツールには、コマンド ライン ツール manage-bde と repair-bde、および BitLocker コマンドレットが含Windows PowerShell。

manage-bde コマンドレットと BitLocker コマンドレットの両方を使用して、BitLocker コントロール パネルで実行できるタスクを実行し、自動展開や他のスクリプトシナリオに適しています。

Repair-bde は、障害復旧シナリオで、BitLocker で保護されたドライブを通常はロック解除できない、または回復コンソールを使用して提供される特別な状況ツールです。

  1. Manage-bde
  2. Repair-bde
  3. Windows PowerShell 用 BitLocker コマンドレット

Manage-bde

Manage-bde は、BitLocker 操作のスクリプト作成に使用できるコマンド ライン ツールです。 Manage-bde は、BitLocker コントロール パネルに表示されない追加のオプションを提供します。 manage-bde オプションの完全な一覧については 、「Manage-bde コマンド ライン リファレンス」を参照してください。

Manage-bde には、既定の設定が少なく、BitLocker を構成するためのカスタマイズが必要になります。 たとえば、データ ボリュームでコマンドを使用すると、認証プロテクタなしでボリューム manage-bde -on が完全に暗号化されます。 この方法で暗号化されたボリュームでは、完全に保護するために認証方法をボリュームに追加する必要があるため、コマンドが正常に完了した場合でも、BitLocker 保護を有効にするユーザー操作が必要です。 次のセクションでは、manage-bde の一般的な使用シナリオの例を示します。

オペレーティング システム ボリュームでの manage-bde の使用

以下に、オペレーティング システム ボリュームの基本的な有効なコマンドの例を示します。 一般に、コマンドのみを使用すると、TPM 専用プロテクタと回復キーを使用してオペレーティング システム ボリューム manage-bde -on <drive letter> が暗号化されます。 ただし、多くの環境では、パスワードや PIN などのセキュリティ保護機能が必要であり、回復キーを使用して情報を回復できると予想されます。 少なくとも 1 つのプライマリ プロテクタと回復プロテクタをオペレーティング システム ボリュームに追加することをお勧めします。

manage-bde を使用する場合の良い方法は、ターゲット システムのボリュームの状態を判断する方法です。 ボリュームの状態を確認するには、次のコマンドを使用します。

manage-bde -status

このコマンドは、各ボリュームのターゲット、現在の暗号化状態、暗号化方法、およびボリュームの種類 (オペレーティング システムまたはデータ) のボリュームを返します。

manage-bde を使用して暗号化の状態を確認します。

次の例は、TPM チップのないコンピューターで BitLocker を有効にする方法を示しています。 暗号化プロセスを開始する前に、BitLocker に必要なスタートアップ キーを作成し、USB ドライブに保存する必要があります。 オペレーティング システム ボリュームに対して BitLocker が有効になっている場合、BitLocker は USB フラッシュ ドライブにアクセスして暗号化キーを取得する必要があります (この例では、ドライブ文字 E は USB ドライブを表します)。 暗号化プロセスを完了するために再起動するように求めるメッセージが表示されます。

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

注意

暗号化が完了したら、オペレーティング システムを開始する前に USB スタートアップ キーを挿入する必要があります。

TPM 以外のハードウェアのスタートアップ キー プロテクターの代わりに、パスワードと ADaccountorgroup プロテクタを使用してオペレーティング システムのボリュームを保護します。 このシナリオでは、最初にプロテクタを追加します。 追加するには、次のコマンドを使用します。

manage-bde -protectors -add C: -pw -sid <user or group>

このコマンドでは、ボリュームにパスワードプロテクターを追加する前に、パスワードプロテクタを入力してから確認する必要があります。 ボリュームでプロテクターを有効にすると、BitLocker を有効にできます。

TPM を使用するコンピューターでは、manage-bde を使用して定義されたプロテクタなしでオペレーティング システム ボリュームを暗号化できます。 次のコマンドを使用します。

manage-bde -on C:

このコマンドは、TPM を既定のプロテクタとして使用してドライブを暗号化します。 TPM プロテクタが使用できるのか分からない場合は、ボリュームで使用できるプロテクタを一覧表示するには、次のコマンドを実行します。

 manage-bde -protectors -get <volume>

データ ボリュームでの manage-bde の使用

データ ボリュームは、オペレーティング システム ボリュームと暗号化に同じ構文を使用しますが、操作が完了するためにプロテクタを必要としません。 データ ボリュームの暗号化は、基本コマンドを使用して行います。または、最初にボリュームに追加のプロテ manage-bde -on <drive letter> クタを追加することもできます。 少なくとも 1 つのプライマリ プロテクタと回復プロテクタをデータ ボリュームに追加することをお勧めします。

データ ボリュームの一般的な保護機能は、パスワード プロテクタです。 次の例では、ボリュームにパスワード プロテクターを追加し、BitLocker を有効にしています。

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

BitLocker が重要な情報を格納しているハード ディスクの領域に損害を与える問題が発生する可能性があります。 この種の問題は、ハード ディスクに障害が発生した場合、または予期Windows発生する可能性があります。

ドライブが BitLocker を使用して暗号化されている場合、BitLocker 修復ツール (Repair-bde) を使用して、深刻な損傷を受けたハード ディスク上の暗号化されたデータにアクセスできます。 Repair-bde は、有効な回復パスワードまたは回復キーを使用してデータを復号化する限り、ドライブの重要な部分を再構築し、回復可能なデータをサルベージできます。 ドライブ上の BitLocker メタデータ データが破損している場合は、回復パスワードまたは回復キーに加えて、バックアップ キー パッケージを指定できる必要があります。 このキー パッケージは、ACTIVE Directory ドメイン サービス (AD DS) でバックアップされます 。このキー パッケージは、DS バックアップの既定AD使用します。 このキー パッケージと回復パスワードまたは回復キーを使用すると、ディスクが破損している場合、BitLocker で保護されたドライブの一部を復号化できます。 各キー パッケージは、対応するドライブ識別子を持つドライブでのみ機能します。 BitLocker 回復パスワード ビューアーを使用して、DS からこのキー パッケージADできます。

ヒント

AD DS に回復情報をバックアップしない場合、またはキー パッケージを保存する場合は、コマンドを使用してボリュームのキー パッケージ manage-bde -KeyPackage を生成できます。

Repair-bde コマンド ライン ツールは、オペレーティング システムが起動しない場合、または BitLocker 回復コンソールを起動できない場合に使用することを目的としています。 次の条件に当てはまる場合は、Repair-bde を使用します。

  • BitLocker ドライブ暗号化を使用してドライブを暗号化しました。
  • Windows起動しないか、BitLocker 回復コンソールを起動できません。
  • 暗号化されたドライブに含まれているデータのコピーを持つ必要があります。

注意

ドライブの損傷が BitLocker に関連していない可能性があります。 そのため、BitLocker 修復ツールを使用する前に、ドライブの問題の診断と解決に役立つ他のツールを試することをお勧めします。 [Windows回復環境 (Windows RE) には、コンピューターを修復するための追加のオプションがあります。

Repair-bde には次の制限があります。

  • Repair-bde コマンド ライン ツールは、暗号化または復号化プロセス中に失敗したドライブを修復できません。
  • Repair-bde コマンド ライン ツールは、ドライブに暗号化がある場合、ドライブが完全に暗号化されたと想定します。

repair-bde の使用の詳細については 、「Repair-bde」を参照してください

Windows PowerShell 用 BitLocker コマンドレット

Windows PowerShellコマンドレットは、BitLocker を操作するときに管理者が使用する新しい方法を提供します。 管理者Windows PowerShellスクリプト機能を使用して、BitLocker オプションを既存のスクリプトに簡単に統合できます。 次の一覧には、使用可能な BitLocker コマンドレットが表示されます。

名前 パラメーター
Add-BitLockerKeyProtector
  • ADAccountOrGroup
  • ADAccountOrGroupProtector
  • 確認
  • MountPoint
  • パスワード
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • サービス
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • WhatIf
  • Backup-BitLockerKeyProtector
  • 確認
  • KeyProtectorId
  • MountPoint
  • WhatIf
  • Disable-BitLocker
  • 確認
  • MountPoint
  • WhatIf
  • Disable-BitLockerAutoUnlock
  • 確認
  • MountPoint
  • WhatIf
  • Enable-BitLocker
  • AdAccountOrGroup
  • AdAccountOrGroupProtector
  • 確認
  • EncryptionMethod
  • HardwareEncryption
  • パスワード
  • PasswordProtector
  • Pin
  • RecoveryKeyPath
  • RecoveryKeyProtector
  • RecoveryPassword
  • RecoveryPasswordProtector
  • サービス
  • SkipHardwareTest
  • StartupKeyPath
  • StartupKeyProtector
  • TpmAndPinAndStartupKeyProtector
  • TpmAndPinProtector
  • TpmAndStartupKeyProtector
  • TpmProtector
  • UsedSpaceOnly
  • WhatIf
  • Enable-BitLockerAutoUnlock
  • 確認
  • MountPoint
  • WhatIf
  • Get-BitLockerVolume
  • MountPoint
  • Lock-BitLocker
  • 確認
  • ForceDismount
  • MountPoint
  • WhatIf
  • Remove-BitLockerKeyProtector
  • 確認
  • KeyProtectorId
  • MountPoint
  • WhatIf
  • Resume-BitLocker
  • 確認
  • MountPoint
  • WhatIf
  • Suspend-BitLocker
  • 確認
  • MountPoint
  • RebootCount
  • WhatIf
  • Unlock-BitLocker
  • AdAccountOrGroup
  • 確認
  • MountPoint
  • パスワード
  • RecoveryKeyPath
  • RecoveryPassword
  • RecoveryPassword
  • WhatIf
  • manage-bde と同様に、Windows PowerShellコマンドレットを使用すると、コントロール パネルで提供されるオプションを超えて構成できます。 manage-bde と同様に、ユーザーは、暗号化するボリュームの特定のニーズを考慮した上で、Windows PowerShell必要があります。

    最初の手順として、コンピューター上のボリュームの現在の状態を確認します。 これを行うには、コマンドレットを使用 Get-BitLockerVolume します。

    コマンドレット Get-BitLockerVolume 出力は、ボリュームの種類、プロテクタ、保護状態、その他の詳細に関する情報を提供します。

    ヒント

    場合によっては、出力ディスプレイにスペースが不足して使用している場合、すべてのプロテクタ Get-BitLockerVolume が表示されない場合があります。 ボリュームのすべてのプロテクタが表示されない場合は、Windows PowerShell パイプ コマンド (|) を使用してプロテクタの完全な一覧を書式設定できます。 Get-BitLockerVolume C: | fl

    ボリュームに BitLocker をプロビジョニングする前に既存のプロテクタを削除する場合は、コマンドレットを使用 Remove-BitLockerKeyProtector できます。 これを行うには、プロテクタに関連付けられている GUID を削除する必要があります。

    単純なスクリプトでは、各変数の値をパイプGet-BitLockerVolume別の変数に戻ることができます。

    $vol = Get-BitLockerVolume
    $keyprotectors = $vol.KeyProtector
    

    このスクリプトを使用すると、変数 $keyprotectorsに情報を表示して、各プロテクタの GUID を決定できます。

    この情報を使用すると、次のコマンドを使用して、特定のボリュームのキー プロテクタを削除できます。

    Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
    

    注意

    BitLocker コマンドレットを実行するには、キー プロテクター GUID が二重引用符で囲まれている必要があります。 GUID 全体を中かっこで囲み、コマンドに含める必要があります。

    オペレーティング システム ボリュームで bitLocker Windows PowerShellコマンドレットを使用する

    BitLocker コマンドレットWindows PowerShellは、オペレーティング システム ボリュームを暗号化するための manage-bde ツールの操作に似ています。 Windows PowerShellユーザーに多くの柔軟性を提供します。 たとえば、ユーザーはボリュームを暗号化するパーツ コマンドとして目的のプロテクタを追加できます。 BitLocker の一般的なシナリオと手順の例を以下に示Windows PowerShell。

    次の例は、TPM プロテクタのみを使用してオペレーティング システム ドライブで BitLocker を有効にする方法を示しています。

    Enable-BitLocker C:
    

    次の例では、1 つの追加プロテクタ StartupKey プロテクタを追加し、BitLocker ハードウェア テストをスキップすることを選択します。 この例では、再起動を必要とせずにすぐに暗号化が開始されます。

    Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
    

    データ ボリュームで BitLocker Windows PowerShellコマンドレットを使用する

    データ ボリュームの暗号化Windows PowerShellオペレーティング システム のボリュームと同じです。 ボリュームを暗号化する前に、必要なプロテクタを追加します。 次の使用例は、変数を使用して E: ボリュームにパスワード 保護機能$pwとして追加します。 この$pwは、ユーザー定義のパスワードを格納するための SecureString 値として保持されます。

    $pw = Read-Host -AsSecureString
    <user inputs password>
    Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
    

    アカウントまたはグループADプロテクタを使用するWindows PowerShell

    ADAccountOrGroup プロテクタは、Windows 8および Windows Server 2012で導入された Active Directory SID ベースのプロテクタです。 このプロテクタは、プレブート環境でオペレーティング システム ボリュームのロックを解除しませんが、オペレーティング システムとデータ ボリュームの両方に追加できます。 プロテクタにリンクするには、ドメイン アカウントまたはグループの SID が必要です。 BitLocker は、クラスター名オブジェクト (CNO) の SID ベースのプロテクタを追加してクラスター対応ディスクを保護できます。これにより、クラスターのメンバー コンピューターによってディスクが適切にフェールオーバーされ、ロック解除されます。

    警告

    ADAccountOrGroup プロテクタでは、オペレーティング システム ボリュームで使用する場合に、追加のプロテクタ (TPM、PIN、回復キーなど) を使用する必要があります。

    ADAccountOrGroup プロテクタをボリュームに追加するには、実際のドメイン SID またはドメインの前に付いたグループ名と円記号を使用します。 次の例では、CONTOSO\Administrator アカウントがデータ ボリューム G のプロテクタとして追加されています。

    Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
    

    アカウントまたはグループに SID を使用するユーザーの場合、最初の手順は、アカウントに関連付けられている SID を決定します。 ユーザー アカウントの特定の SID を取得するには、Windows PowerShellコマンドを使用します。

    注意

    このコマンドを使用するには、RSAT-AD-PowerShell 機能が必要です。

    get-aduser -filter {samaccountname -eq "administrator"}
    

    ヒント

    上記の PowerShell コマンドに加えて、ローカルにログオンしているユーザーおよびグループ メンバーシップに関する情報は、WHOAMI /ALL を使用して確認できます。 これは、追加の機能の使用を必要とします。

    次の使用例は、アカウントの SID を使用して、以前に暗号化されたオペレーティング システム ボリュームに ADAccountOrGroup プロテクタを追加します。

    Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500
    

    注意

    Active Directory ベースのプロテクタは、通常、フェールオーバー クラスターが有効なボリュームのロックを解除するために使用されます。

    詳細情報