暗号化ファイル システム (EFS) データ回復エージェント (DRA) 証明書の作成と検証

  • [アーティクル]

2022 年 7 月以降、Microsoft は Windows Information Protection (WIP) を非推奨としています。 Microsoft は引き続き、サポートされているバージョンの Windows で WIP をサポートします。 Windows の新しいバージョンには WIP の新機能は含まれません。また、今後のバージョンの Windows ではサポートされません。 詳細については、「Windows Information Protectionの日の入りを発表する」を参照してください。

データ保護のニーズに合わせて、Microsoft Purview 情報保護Microsoft Purview データ損失防止を使用することをお勧めします。 Purview を使用すると、構成のセットアップが簡略化され、高度な機能セットが提供されます。

適用対象:

  • Windows 10
  • Windows 11

EFS DRA 証明書がまだない場合は、organizationで Windows Information Protection (WIP) (旧称エンタープライズ データ保護 (EDP)) を使用する前に、システムから証明書を作成して抽出する必要があります。 このセクションでは、EFSDRA というファイル名を使用します。ただし、この名前は、意味のあるものに置き換えることができます。

重要

組織の EFS DRA 証明書を既にお持ちの場合は、新規作成の手順を省略できます。 ポリシーにおけるお持ちの EFS DRA 証明書を使用してください。 PKI をいつ使用するかについての詳細や、DRA 証明書の展開に使用する一般的な戦略について詳しくは、TechNet の記事「セキュリティ ウォッチ EFS を展開する : 第 1 部」をご覧ください。 EFS 保護の一般的な情報について詳しくは、「ハード ドライブの暗号化に EFS を使用してデータを保護する」をご覧ください。

DRA 証明書の有効期限が切れている場合、ファイルを暗号化することはできません。 この場合、本トピックの手順に従って新しい証明書を作成し、ポリシーによって展開する必要があります。

EFS DRA 証明書を手動で作成する

  1. EFS DRA 証明書がインストールされていないコンピューターで、管理者特権でコマンド プロンプトを開き、証明書を保存する場所に移動します。

  2. 次のコマンドを実行します。

    cipher /r:EFSRA

    EFSRA は、作成する ファイルと .pfx ファイルの.cer名前です。

  3. メッセージが表示されたら、新しい Personal Information Exchange (.pfx) ファイルを保護するパスワードを入力して確認します。

    EFSDRA.cer ファイルと EFSDRA.pfx ファイルは、手順 1 で指定した場所に作成されます。

    重要

    DRA .pfx ファイルの秘密キーは、あらゆる WIP ファイルの暗号化解除に使用できるため、適宜保護する必要があります。 これらのファイルはオフラインで保存することを強くお勧めします。スマート カードにコピーを保持して、通常使用する場合には強力な保護をかけます。また、安全が確保された物理的な場所にマスター コピーを保存します。

  4. Microsoft IntuneやMicrosoft Configuration Managerなどの展開ツールを使用して、EFS DRA 証明書を WIP ポリシー追加します。

    この証明書は、デバイス登録 (MDM) とデバイス登録 (MAM) 両方を使用するポリシーのIntuneで使用できます。

WIP クライアント コンピューターでデータ回復証明書が正しく設定されていることを確認する

  1. Windows 情報保護を使用して暗号化されているファイルを検索または作成します。 たとえば、許可されているアプリの一覧でアプリを開き、WIP によって暗号化されるようにファイルを作成して保存できます。

  2. 保護されたアプリの一覧でアプリを開き、WIP によって暗号化されるようにファイルを作成して保存します。

  3. 管理者特権でコマンド プロンプトを開き、先ほど作成したファイルの保存場所に移動して、次のコマンドを実行します。

    cipher /c filename

    filename は手順 1 で作成したファイルの名前になります。

  4. データ回復証明書が回復証明書の一覧にあることを確認します。

テスト環境で EFS DRA 証明書を使用してデータを回復する

  1. 管理者権限でのアクセス許可がある場所に、WIP で暗号化されたファイルをコピーします。

  2. パスワードを使用して EFSDRA.pfx ファイルをインストールします。

  3. 管理者特権でコマンド プロンプトを開き、暗号化されたファイルに移動して、次のコマンドを実行します。

    cipher /d encryptedfile.extension

    encryptedfile.extension は、暗号化されたファイルの名前になります。 例: corporatedata.docx

登録解除後に WIP で保護されたを回復する

登録解除されたデバイスのデータを無効化した後で、完全に復元する必要が出てくることがあります。 これは、紛失したデバイスが手元に戻ってきた場合や、登録解除された従業員が再登録する場合に起こり得ます。 従業員が元のユーザー プロファイルを使用して再び登録し、取り消されたキー ストアがまだデバイス上にある場合は、取り消されたすべてのデータを一度に復元できます。

重要

エンタープライズ データの制御を維持するため、そしてデータを今後再び無効化できるようにするために、このプロセスは従業員がデバイスに再登録した後にのみ実行してください。

  1. 登録されていないデバイスに従業員がサインインし、管理者特権でコマンド プロンプトを開き、次のように入力します。

    Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW

    "new_location" が別のディレクトリにある場合。 これは、従業員のデバイス上、またはWindows 8またはWindows Server 2012以降を実行するコンピューター上の共有フォルダー上にあり、データ復旧エージェントとしてログインしている間にアクセスできます。

    S モードで Robocopy を起動するには、タスク マネージャーを開きます。 [ファイル]> [新しいタスクの実行] の順にクリックし、コマンドを入力し、[管理者権限でこのタスクを作成する] をクリックします。

    S モードの Robocopy。

    従業員がクリーンインストールを実行し、ユーザー プロファイルがない場合は、各ドライブのシステム ボリューム フォルダーからキーを回復する必要があります。 タイプ: 

    Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW

  2. 組織の DRA 証明書にアクセスできる管理者の資格情報で別のデバイスにサインインしたら、次のように入力してファイルの暗号化解除と回復を実行します。

    cipher.exe /D "new_location"

  3. 登録解除されたデバイスにサインインして、次のように入力するよう従業員に指示します。

    Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"

  4. デバイスのロックとロック解除を行うよう従業員に指示します。

    Windows 資格情報サービスは、以前に取り消した従業員のキーを場所から自動的に Recovery\Input 回復します。

暗号化キーの自動回復

Windows 10 バージョン 1709 以降では、WIP にデータ回復機能が含まれており、暗号化キーが失われ、ファイルにアクセスできなくなった場合に、従業員は仕事用ファイルへのアクセスを自動回復できます。 これは通常、従業員がオペレーティング システム パーティションのイメージを再作成し、WIP のキー情報を削除した場合や、デバイスの紛失が報告され、誤って間違ったデバイスを登録解除した場合に発生します。

従業員が常にファイルにアクセスできるように、WIP によって、Microsoft Entra ID にバックアップされた自動回復キーが作成されます。

従業員エクスペリエンスは、Microsoft Entra ID職場アカウントでのサインインに基づいています。 従業員は次のいずれかを実行できます。

  • [Windows 設定>アカウント] [職場または学校>の接続] メニューから>職場アカウントを追加します。

    または

  • [Windows 設定>アカウント] > [職場または学校>へのアクセス] [接続] を開き、[このデバイスをMicrosoft Entra IDに参加させる] リンクの [代替アクション] を選択します。

    [設定] ページからMicrosoft Entraドメイン参加を実行するには、従業員がデバイスに対する管理者権限を持っている必要があります。

サインインすると、必要な WIP のキー情報が自動的にダウンロードされ、従業員は再びファイルにアクセスできます。

WIP のキーの回復プロセス注に従業員に表示される内容をテストするには

  1. 登録解除されたデバイスで仕事用ファイルを開こうとします。

    [職場に接続して作業ファイルにアクセスする] (Connect to Work to access work files) ボックスが表示されます。

  2. [接続] をクリックします。

    [職場または学校へのアクセスの設定] (Access work or school settings) ページが表示されます。

  3. 従業員としてMicrosoft Entra IDにサインインし、ファイルが開かれていることを確認します