Dell Encryption Enterprise BitLocker Manager向けDell推奨ポリシー

概要: Dell Encryption Enterprise BitLocker Manager(旧Dell Data Protection |BitLocker Manager)は、一般にBitLockerと呼ばれるMicrosoftの統合フル ボリューム暗号化プロトコルを利用して、保護とセキュリティを提供します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

対象製品:

  • Dell Encryption Enterprise BitLocker Manager
  • Dell Data Protection | BitLocker Manager

これらは、フル ボリューム暗号化メカニズム、オペレーティング システムを保護する複数のシナリオ、および攻撃からのブート サイクルの保護を提供します。

Dellでは、BitLockerで保護されているデバイスを管理するための単一コンソールと、これらのデバイスの保護に関する広範なレポート機能を提供します。

注:環境の現在の保護ステータスを表示するには、次の ダッシュボード エントリーを使用します。 Dell Encryption(旧Dell Data Protection |Encryption)コンソール。

BitLocker暗号化ポリシーをDell推奨設定にするには、次の手順を実行します。

  1. Enterprise]に移動します。
  2. [BitLocker Encryption]をクリックします。
    [BitLocker Encryption]をクリック
  3. すべての設定を表示するには、[Show advanced settings]をクリックします。
    [Show advanced settings]をクリック

推奨される設定は次のとおりです。

注:この記事の最終更新日は2019年11月です。ポリシーはDell Security Management Server v10.2.9用です。
ポリシー Dell推奨設定 ポリシーの説明
[BitLocker Encryption] 点灯 BitLocker Manager プラグインを有効または無効にします (このプラグインは、すべての Dell BitLocker Manager ポリシーを適切に適用するために必要です)
[TPM Manager Enabled] 点灯 TPM管理プラグインを有効または無効にします(TPMが「オン」になっていても正しくアクティブ化されていない場合、このプラグインはTPMをアクティブ化します)
[Disable Sleep Mode] 消灯 有効にすると、暗号化中にデバイスをスリープ状態にすることはできません。
[Encrypt System Drive] [Turn On Encryption] Do Not Manage]に設定すると、デバイスのローカル管理者はBitLockerを変更できます。
これを [Turn On Encryption ]に設定すると、ボリュームの暗号化が強制的に行われ、ローカル管理者はそれを変更できません。
これを [Turn Off Encryption] に設定すると、ボリュームの復号化が強制的に行われ、ローカル管理者はそれを変更できません。
[Encrypt Fixed Drives] [Do Not Manage] Do Not Manage]に設定すると、デバイスのローカル管理者はBitLockerを変更できます。
これを [Turn On Encryption ]に設定すると、ボリュームの暗号化が強制的に行われ、ローカル管理者はそれを変更できません。
これを [Turn Off Encryption] に設定すると、ボリュームの復号化が強制的に行われ、ローカル管理者はそれを変更できません。
[Encrypt Removable Drives] [Do Not Manage] Do Not Manage]に設定すると、デバイスのローカル管理者はBitLockerを変更できます。
これを [Turn On Encryption ]に設定すると、ボリュームの暗号化が強制的に行われ、ローカル管理者はそれを変更できません。
これを [Turn Off Encryption] に設定すると、ボリュームの復号化が強制的に行われ、ローカル管理者はそれを変更できません。
[Require other Authentication at System Startup] Enabled このプロパティは、次の5つのポリシーを有効にし、定義済みのプロテクターを管理対象エンドポイントで有効にすることができます。
[Allow BitLocker Encryption Without a Compatible TPM] Enabled [Enabled]に設定すると、古いTPMモデルがサポートされ、TPMなしでデバイスでBitLockerキーをUSBにエスクローする機能が有効になります。
[Configure TPM Startup] 電力 Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Configure TPM Startup PIN] [Do Not Allow] Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Configure TPM Startup Key] [Do Not Allow] Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Configure TPM Startup Key and PIN] [Do Not Allow] Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Disable BitLocker on Self-Encrypting Drives] Disabled Enable]に設定すると、自己暗号化ドライブ(SED)が検出された場合に、BitLockerはエンドポイントを保護しません。
このポリシーを[Disabled]に設定すると、BitLockerはディスクの機能に関係なくエンドポイントを保護します。
ポリシー Dell推奨設定 ポリシーの説明
固定データ ボリューム設定
[Configure the Use of Smart Cards on Fixed Data Drives] [Disallow] このポリシーは、[Encrypt Fixed Disks]が[Turn On Encryption]に設定されている場合に、固定(非オペレーティング システム ボリューム)ディスクを保護するためのオプションを表示します。
Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Disallow]に設定すると、このオプションは使用不可になり、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Deny Write Access to Fixed Drives Not Protected by BitLocker] Disabled このポリシー設定では、固定データ ドライブをコンピューターで書き込み可能にするためにBitLocker保護が必要かどうかを設定できます。
Disabled]に設定すると、そのコンピューター上のすべての固定データ ドライブが読み取りおよび書き込みアクセス権付きでマウントされます。
Enabled]に設定すると、暗号化されていない固定データ ドライブにデータを保存しようとすると、「Access denied」エラー メッセージが表示されます。
[Enabled for Organization]に設定すると、ポリシー内で組織IDのみが設定されているデバイスを持つユーザーが、暗号化されていない固定データ ドライブにデータを保存しようとすると、「Access denied」エラー メッセージが表示されます。その他のすべてのデバイスでは、すべての固定データ ドライブが読み取りおよび書き込みアクセス権付きでコンピューターにマウントされます。
[Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows] Enabled Enabled]に設定すると、FATファイル システムでフォーマットされたデータ ドライブは、Windows Server 2008、Windows Vista、Windows XP with SP3、またはWindows XP with SP2を実行しているコンピューターでロック解除でき、それらのデータ ドライブのコンテンツを表示できます。これらのオペレーティング システムには、BitLockerで保護されたドライブへの読み取り専用アクセス権があります。
Disabled]に設定すると、FATファイル システムでフォーマットされたデータ ドライブは、以前のバージョンのWindowsを実行しているコンピューターではロック解除できません。
[Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives] Disabled 選択すると、BitLocker To Go Readerがインストールされなくなり、旧バージョンのWindowsを実行しているデバイスを使用するユーザーがBitLockerで保護されたドライブにアクセスできなくなります。
[Configure Use of Passwords for Fixed Data Drives] Allow このポリシーは、[Encrypt Fixed Disks]が[Turn On Encryption]に設定されている場合に、固定(非オペレーティング システム ボリューム)ディスクを保護するためのオプションを表示します。
Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Disallow]に設定すると、このオプションは使用不可になり、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Configure Password Complexity for Fixed Data Drives] [Require] Required]に設定すると、BitLockerが有効になっている場合、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必要になります。
Allow]に設定すると、ポリシーによって設定されたルールに複雑性が準拠していることを検証するため、ドメイン コントローラーへの接続を試みます。ただし、ドメイン コントローラーが見つからない場合、パスワードはパスワードの複雑さに関係なく受け入れられ、そのパスワードをプロテクターとして使用してドライブが暗号化されます。
Do Not Allow]に設定すると、パスワードの複雑性検証は実行されません。
[Minimum Password Length for Fixed Data Drives] 8 BitLocker で保護された固定ディスクボリュームのパスワードの最小長を設定します (この設定では、[固定データドライブのパスワードの使用を構成する] が [必須] または [許可] に設定されている必要があります)
[Encryption Type for Fixed Data Drives] [Full Encryption] このポリシーは、固定データ ドライブが[Used Space Only]の暗号化または[Full encryption]のどちらを使用するかを制御します。BitLockerが保護する仮想マシンには、[Used Space Only]が必要です。
[Choose How BitLocker-protected Fixed Drives Can be Recovered] Disabled 次の7つのポリシーの親。
[Enabled]に設定すると、追加のリカバリー オプションを構成できます。
Disabled]の場合は、リカバリーはDell Security Management ServerまたはDell Security Management Server Virtualを介してのみ使用できます。
[Allow Data Recovery Agent for Protected Fixed Data Drives] Disabled [Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーの子。
[Allow Data Recovery Agent]チェック ボックスを使用して、BitLockerで保護されたドライブでデータ リカバリー エージェントを使用できるかどうかを指定します。データ リカバリー エージェントは使用する前に、グループ ポリシー管理コンソール(GPMC)またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。
BitLockerで保護されたデバイスのリカバリーにデータ リカバリー エージェントを使用する方法の詳細については、https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/を参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Configure User Storage of BitLocker 48-digit Recovery Password] Allow Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:[Do Not Allow]に設定すると、BitLockerで保護されたコンピューターのリカバリーができない場合があります。
[Configure User Storage of BitLocker 256-bit Recovery Key] Allow Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:[Do Not Allow]に設定すると、BitLockerで保護されたコンピューターのリカバリーができない場合があります。
[Omit Recovery Options from the BitLocker Setup Wizard] Disabled Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーの子。
Omit recovery options from the BitLocker setup wizard]を選択して、ユーザーがドライブでBitLockerを有効にしているときに回復オプションを指定できなくします。[Enabled]に設定すると、ポリシー設定によってBitLocker回復オプションが決定されます。
[Save BitLocker Recovery Information to AD DS for Fixed Data Drives] Enabled Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーの子。
次の2つのポリシーの親:
Save BitLocker recovery information to Active Directory Domain Services]は、Active Directory Domain Services (AD DS)に保存するBitLocker回復情報を選択します。
[BitLocker Recovery Information to Store in AD DS] [Recovery Passwords and Key Packages] Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Fixed Data Drives]ポリシーの子。
Recovery password and key packages]に設定すると、BitLocker回復パスワード、およびキー パッケージはAD DSに保存されます。キー パッケージを保存すると、物理的に破損しているドライブからのデータのリカバリーをサポートします。[回復パスワードのみ] を選択した場合、AD DS に格納されるのは回復パスワードのみです。
[Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives] Disabled Choose How BitLocker-protected Fixed Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Fixed Data Drives]ポリシーの子。
コンピューターがドメインに接続され、BitLocker回復情報がAD DSに正常にバックアップされないかぎり、ユーザーがBitLockerを有効できないようにするには、[Do not enable BitLocker until recovery information is stored in AD DS for fixed drives]チェック ボックスを選択します。
[Configure Use of Hardware-Based Encryption for Fixed Data Drives] Enabled 次の4つのポリシーの親。
このポリシーは、暗号化されたドライブが固定データ ボリュームとして使用されている場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use Hardware-Based Encryption for Fixed Data Drives] Enabled Configure Use of Hardware-Based Encryption for Fixed Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブが固定データ ボリュームとして使用されている場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use BitLocker Software-Based Encryption on Fixed Data Drives When Hardware Encryption is Not Available] Enabled Configure Use of Hardware-Based Encryption for Fixed Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブが固定データ ボリュームとして使用されている場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives] Disabled Configure Use of Hardware-Based Encryption for Fixed Data Drives]ポリシーの子。
Restrict encryption algorithms and cipher suites allowed for hardware-based encryption]オプションを使用すると、BitLockerがハードウェア暗号化に使用できる暗号化アルゴリズムを制限できます。ドライブに設定されているアルゴリズムが使用できない場合、BitLockerはハードウェア ベースの暗号化の使用を無効にします。
[Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives] [2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42] Configure Use of Hardware-Based Encryption for Fixed Data Drives]ポリシーの子。
暗号化アルゴリズムは、オブジェクト識別子(OID)によって指定され、コンマで区切られます。
暗号化アルゴリズムのOIDの例:
  • Cipher Block Chaining (CBC)モードのAdvanced Encryption Standard (AES) 128のOID:2.16.840.1.101.3.4.1.2
  • CBCモードのAES 256のOID:2.16.840.1.101.3.4.1.42
グローバル設定
[Default Folder Location to Save Recovery Password] (空白) 設定すると、ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、デフォルトのフォルダーの場所として使用されるパスを指定します。完全修飾パスを使用するか、ターゲット コンピューターの環境変数をパスに含めることができます。パスが有効でない場合は、BitLockerセットアップ ウィザードにコンピューターの最上位フォルダー ビューが表示されます。
[Encryption Method and Cipher Strength] [AES256 with Diffuser]
注:このポリシーは、暗号化されたドライブには適用されません。暗号化されたドライブは、パーティション作成中にドライブが設定する独自のアルゴリズムを使用します。
[Enable Organizational Unique Identifiers] Disabled 次の2つのポリシーの親。
Enabled]に設定すると、BitLockerで保護されたドライブの識別子フィールドと、組織が使用する任意の許可された識別子フィールドを設定できます。
これらの識別子は、識別子フィールドと許可された識別子フィールドとして格納されます。識別子フィールドでは、一意の組織識別子をBitLockerで保護されたドライブに関連付けることができます。この識別子は、新しいBitLockerで保護されたドライブに自動的に追加され、Manage-bdeコマンド ライン ツールを使用して、BitLockerで保護された既存のドライブでアップデートできます。
識別子フィールドは、BitLockerで保護されたドライブで証明書ベースのデータ リカバリー エージェントを管理する場合、およびBitLocker To Go Readerへの潜在的なアップデートを管理する場合に必要です。BitLockerは、ドライブ上の識別子フィールドが識別子フィールドに設定された値と一致する場合にのみ、データ リカバリー エージェントを管理およびアップデートします。同様に、ドライブ上の識別子フィールドが識別子フィールドに設定された値と一致する場合にのみ、BitLockerはBitLocker To Go Readerをアップデートします。
注:Enable Organizational Unique Identifiers]は、[Deny write access to removable drives not protected by BitLocker]ポリシー設定と併用して、組織内のリムーバブル ドライブの使用を制御するのに役立ちます。
[Set Organizational Unique Identifiers] (空白) Enable Organizational Unique Identifiers]ポリシーの子。
これは、デバイスに一意の識別子を設定するための英数字の値です。これにより、会社はデバイスを確実に管理できます。
この識別子は、新しいBitLockerで保護されたドライブに自動的に追加され、Manage-bdeコマンド ライン ツールを使用して、BitLockerで保護された既存のドライブでアップデートできます。
[Set Allowed Organizational Unique Identifiers] (空白) Enable Organizational Unique Identifiers]ポリシーの子。
これは、デバイスに一意の識別子を設定するための英数字の値です。これにより、会社はデバイスを確実に管理できます。
この識別子は、新しいBitLockerで保護されたドライブに自動的に追加され、Manage-bdeコマンド ライン ツールを使用して、BitLockerで保護された既存のドライブでアップデートできます。
注:リカバリー中の問題を回避するには、[Set Allowed Organizational Unique Identifiers]ポリシーと[Set Organizational Unique Identifiers]ポリシーを一致させることをお勧めします。
[Prevent Memory Overwrite on Restart] Disabled Disabled]に設定すると、BitLockerシークレットはメモリーから消去されます。[Enabled]に設定すると、BitLockerシークレットはメモリーに残ります。これにより、BitLockerシークレットはその他のリスクにさらされますが、パフォーマンスが向上する可能性があります。
[Enable Smart Card Certificate Identifier] Disabled Enabled]に設定すると、証明書の[Object Identifier]設定で指定されたオブジェクト識別子が、[Smart Card Certificate Identifier]ポリシーのオブジェクト識別子と一致する必要があります。
[Smart Card Certificate Identifier] [1.3.6.1.4.1.311.67.1.1] オブジェクト識別子は、証明書の拡張キー使用法(EKU)で指定されます。BitLockerは、証明書内のオブジェクト識別子とこのポリシー設定のオブジェクト識別子を照合することで、BitLockerで保護されたドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。
デフォルトのオブジェクト識別子は、1.3.6.1.4.1.311.67.1.1です。
オペレーティング システム ボリューム設定
[Allow Enhanced PINs for Startup] Disabled 起動時の拡張PINでは、文字(大文字と小文字、記号、数字、スペースなど)の使用が許可されています。
注:起動前環境では、すべてのコンピューターで拡張PIN文字がサポートされているわけではありません。
[Number of Characters Required in PIN] 6 起動前環境に必要な最小文字数を定義します。
注:BitLocker PINの最小長は、Windows 10バージョン1703以降で6文字に増えました。
[Allow Network Unlock at Startup on Operating System Drives] Disabled このポリシーは、BitLockerのネットワーク ロック解除機能の動作の一部を制御します。このポリシーは、ネットワーク上でBitLockerネットワーク ロック解除機能を有効にするために必要です。このポリシーにより、BitLockerを実行しているクライアントが暗号化中に必要なネットワーク キー プロテクターを作成できるようになるためです。
ネットワーク ロック解除機能を有効にする方法の詳細については、https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。 を参照してください。
[Allow SecureBoot on Operating System Drives] Enabled BitLockerが有効なコンピューター ボリュームをセキュア ブート機能で処理する方法を制御します。この機能を有効にすると、ブート プロセス中にセキュア ブート検証が強制的に実行され、セキュア ブート ポリシーに従ってBoot Configuration Data (BCD)設定が検証されます。
[Disallow Standard Users from Changing the PIN on Operating System Drives] Disabled このポリシー設定では、標準ユーザーがオペレーティング システム ドライブの保護に使用するPINまたはパスワードを変更できるかどうかを設定できます。
Enabled]に設定すると、ローカル管理者権限を持たないユーザーは、エンドポイントのPINを変更できません。
Disabled]に設定すると、エンドポイント上のすべてのユーザーが起動前PINを変更できます。
[Enable Use of Preboot Keyboard Input on Slates] Enabled [Enabled]に設定すると、プラットフォームに起動前入力機能がないことが示されている場合でも、ユーザーは起動前環境からのユーザー入力を必要とする認証オプションを有効にすることができます。
[Reset Platform Validation Data After Recovery] Enabled Enabled]に設定すると、BitLockerのリカバリー後にWindowsが起動すると、プラットフォーム検証データが更新されます。
Disabled]に設定すると、BitLockerのリカバリー後にプラットフォーム検証データは更新されません。これにより、プラットフォームの基本構成が変更された場合、起動のたびにリカバリーが発生する可能性があります。
[Choose How BitLocker-protected Operating System Drives Can be Recovered] Disabled 次の7つのポリシーの親。
[Enabled]に設定すると、追加のリカバリー オプションを構成できます。
Disabled]の場合は、リカバリーはDell Security Management ServerまたはDell Security Management Server Virtualを介してのみ使用できます。
[Allow Data Recovery Agent for Protected Operating System Drives] Enabled Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーの子。
Allow data recovery agent]チェック ボックスを使用して、BitLockerで保護されたオペレーティング システム ドライブでデータ リカバリー エージェントを使用できるかどうかを指定します。データ リカバリー エージェントは使用する前に、グループ ポリシー管理コンソール(GPMC)またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。
データ リカバリー エージェントを使用してBitLockerで保護されたデバイスをリカバリーする方法の詳細については、https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ を参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Configure User Storage of BitLocker 48-digit Recovery Password] Allow Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:Do Not Allow]に設定すると、BitLockerで保護されたコンピューターのリカバリーができない場合があります。
[Configure User Storage of BitLocker 256-bit Recovery Key] Allow Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:Do Not Allow]に設定すると、BitLockerで保護されたコンピューターのリカバリーができない場合があります。
[Omit Recovery Options from the BitLocker Setup Wizard] Disabled Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーの子。
Omit recovery options from the BitLocker setup wizard]を選択して、ユーザーがドライブでBitLockerを有効にしているときに回復オプションを指定できなくします。
[Enabled]に設定すると、ポリシー設定によってドライブのBitLocker回復オプションが決定されます。
[Save BitLocker Recovery Information to AD DS for Operating System Drives] Enabled Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーの子。
次の2つのポリシーの親:
Save BitLocker recovery information to Active Directory Domain Services]は、Active Directory Domain Services (AD DS)に保存するBitLocker回復情報を選択します。
[BitLocker Recovery Information to Store in AD DS (Windows Server 2008 Only)] [Recovery Password and Key Packages] Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Operating System Data Drives]ポリシーの子。
Recovery password and key packages]に設定すると、BitLocker回復パスワード、およびキー パッケージはAD DSに保存されます。キー パッケージを保存すると、物理的に破損しているドライブからのデータのリカバリーをサポートします。[Recovery password only]を選択すると、回復パスワードのみがAD DSに保存されます。
[Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives] Disabled Choose How BitLocker-protected Operating System Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Operating System Data Drives]ポリシーの子。
コンピューターがドメインに接続され、BitLocker回復情報がAD DSに正常にバックアップされるまで、ユーザーがBitLockerを有効にできないようにするには、[Do not enable BitLocker until recovery information is stored in AD DS for operating system drives]チェック ボックスを選択します。
[Configure Use of Hardware-Based Encryption for Operating System Drives] Enabled 次の4つのポリシーの親。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use Hardware-Based Encryption for Operating System Drives] Enabled [Configure Use of Hardware-Based Encryption for Operating System Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use BitLocker Software-Based Encryption on Operating System Drives When Hardware Encryption is Not Available] Enabled [Configure Use of Hardware-Based Encryption for Operating System Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。

古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives] Disabled Configure Use of Hardware-Based Encryption for Operating System Data Drives]ポリシーの子。
Restrict encryption algorithms and cipher suites allowed for hardware-based encryption]オプションを使用すると、BitLockerがハードウェア暗号化に使用できる暗号化アルゴリズムを制限できます。ドライブに設定されているアルゴリズムが使用できない場合、BitLockerはハードウェア ベースの暗号化の使用を無効にします。
[Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives] [2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42] Configure Use of Hardware-Based Encryption for Operating System Data Drives]ポリシーの子。
暗号化アルゴリズムはオブジェクト識別子(OID)で指定され、コンマで区切られます
暗号化暗号のOIDの例:
  • Cipher Block Chaining (CBC)モードのAdvanced Encryption Standard (AES) 128のOID:2.16.840.1.101.3.4.1.2
  • CBCモードのAES 256のOID:2.16.840.1.101.3.4.1.42
[Encryption Type for Operating System Drives] [Full Encryption] このポリシーは、データ ドライブが[Used Space Only]の暗号化または[Full encryption]のどちらを使用するかを制御します。BitLockerが保護する仮想マシンには、[Used Space Only]が必要です。
[Configure Use of Passwords for Operating System Drives] [Not Configured] このポリシーは、TPMベース以外のコンピューターがパスワード プロテクターを使用する方法を制御します。[Configure Password Complexity for Operating System Drives]ポリシーと一緒に使用すると、管理者はパスワード プロテクターを使用する際にパスワードの長さと複雑さを要求できます。デフォルトでは、パスワードの長さは8文字である必要があります。
Enabled]に設定すると、ユーザーは、定義した要件を満たすパスワードを設定できます。
[Not Configured]または[Disabled]に設定すると、オペレーティング システム ドライブのパスワードに8文字というデフォルトの長さの制約が適用され、複雑性チェックは行われません。
注:FIPSコンプライアンスが有効になっている場合は、パスワードを使用できません。
[Configure Password Complexity for Operating System Drives] [Require] Required]に設定すると、BitLockerが有効になっている場合、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必要になります。
Allow]に設定すると、ポリシーによって設定されたルールに複雑性が準拠していることを検証するため、ドメイン コントローラーへの接続を試みます。ただし、ドメイン コントローラーが見つからない場合、パスワードはパスワードの複雑さに関係なく受け入れられ、そのパスワードをプロテクターとして使用してドライブが暗号化されます。
Do Not Allow]に設定すると、パスワードの複雑性検証は実行されません。
[Minimum Password Length for Operating System Drives] 8 BitLockerで保護されているドライブの最小パスワード長を設定します。
注:ドライブのロックを解除したときではなく、BitLockerをオンにしたときに設定が適用されます。BitLockerを使用すると、ドライブで使用可能なプロテクターを使用してドライブのロックを解除できます。
[Require ASCII-Only Passwords for Operating System Drives] Disabled [Enabled]に設定すると、オペレーティング システム ドライブのパスワード プロンプト内でUnicode文字を使用できません。
Disabled]に設定すると、すべての文字が許可されます。
[Use Enhanced Boot Configuration Data Profile] 未構成(このポリシーを[未構成]以外の値に変更すると、Windows 10でHyper-V機能が有効になっているときにリカバリー プロンプトが表示される場合があります)。 次の2つのポリシーの親。
このポリシー設定は、プラットフォーム検証中に確認する特定のBoot Configuration Data (BCD)設定を決定します。プラットフォーム検証では、プラットフォーム検証プロファイルのデータを使用します。このプロファイルは、0~23の範囲のPlatform Configuration Register (PCR)インデックスで構成されます。
注:BitLockerがプラットフォーム向けセキュア ブートおよびBoot Configuration Data整合性検証を使用している場合、[Use enhanced Boot Configuration Data Profile]グループ ポリシー設定は無視されます。
その他のBCD設定を確認します (空白) Use Enhanced Boot Configuration Data Profile]の子。
BCD設定をカスタマイズする方法の詳細については、https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlockerを参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
注:ブート デバッグ(0x16000010)を制御する設定は常に検証され、包含リストまたは除外リストにある場合は影響を受けません。
他の BCD 設定を除外する (空白) Use Enhanced Boot Configuration Data Profile]の子。
BCD設定をカスタマイズする方法の詳細については、https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlockerを参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
注:ブート デバッグ(0x16000010)を制御する設定は常に検証され、包含リストまたは除外リストにある場合は影響を受けません。
[Configure TPM Platform Validation Profile] Disabled [Configure Specific TPM Platform Settings]の親。
Enabled]に設定すると、このポリシー設定は、Windows Vista、Windows Server 2008、またはWindows 7を実行しているコンピューターでドライブのロックを解除する前に、TPMが早期ブート コンポーネントを検証する際に測定する値を決定します。
[Configure Specific TPM Platform Settings] デル・テクノロジーズは、特に必要な場合を除き、Microsoftの現在のデフォルトのPCRを使用することをお勧めします。 Configure TPM Platform Validation Profile]の子。
プラットフォーム検証プロファイルは、0~23の範囲のPCRインデックスで構成されています。デフォルトのプラットフォーム検証プロファイルは、暗号化キーを次の変更に対して保護します。
  • Core Root of Trust of Measurement (CRTM)、BIOS、およびプラットフォーム拡張機能(PCR 0)
  • オプションROMコード(PCR 2)
  • マスター ブート レコード(MBR)コード(PCR 4)
  • NTFSブート セクター(PCR 8)
  • NTFSブート ブロック(PCR 9)
  • ブート マネージャー(PCR 10)
  • BitLockerアクセス制御(PCR 11)
次のリストは、使用可能なすべてのPCRを示しています。
  • PCR 0:Core Root of Trust of Measurement、EFIブートおよびランタイム サービス、コンピューターROMに組み込まれたEFIドライバー、埋め込み型SMMコードであるACPI静的テーブル、BIOSコード
  • PCR 1:プラットフォームとマザーボードの構成とデータ(コンピューターの構成に影響するハンドオフ テーブルとEFI変数)
  • PCR 2:オプションROMコード
  • PCR 3:オプションROMのデータと構成
  • PCR 4:マスター ブート レコード(MBR)コードまたは他のブート デバイスからのコード
  • PCR 5:マスター ブート レコード(MBR)のパーティション テーブル。さまざまなEFI変数とGPTテーブル
  • PCR 6:状態遷移およびウェイク イベント
  • PCR 7:コンピューター製造元固有
  • PCR 8:NTFSブート セクター
  • PCR 9:NTFSブート ブロック
  • PCR 10:ブート マネージャー
  • PCR 11:BitLockerアクセス制御
  • PCR 12~23:今後使用するために予約済み
    Warning: デフォルトのプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理機能に影響します。プラットフォームの変更(悪意のある、または認証済み)に対するBitLockerの感度は、PCRの包含または除外(それぞれ)に応じて増減します。
[Configure BIOS TPM Platform Validation Profile] Disabled Configure Specific BIOS TPM Platform Settings]の親。
Enabled]に設定すると、このポリシー設定は、BIOS設定または互換性サポート モジュール(CSM)が有効になっているUEFIファームウェアを搭載したコンピューター上のオペレーティング システム ドライブのロックを解除する前に、TPMが早期ブート コンポーネントを検証する際に測定する値を決定します。
[Configure Specific BIOS TPM Platform Settings] デル・テクノロジーズは、特に必要な場合を除き、Microsoftの現在のデフォルトのPCRを使用することをお勧めします。 Configure TPM Platform Validation Profile]の子。
プラットフォーム検証プロファイルは、0~23の範囲のPCRインデックスで構成されています。デフォルトのプラットフォーム検証プロファイルは、暗号化キーを次の変更に対して保護します。
  • Core Root of Trust of Measurement (CRTM)、BIOS、およびプラットフォーム拡張機能(PCR 0)
  • オプションROMコード(PCR 2)
  • マスター ブート レコード(MBR)コード(PCR 4)
  • NTFSブート セクター(PCR 8)
  • NTFSブート ブロック(PCR 9)
  • ブート マネージャー(PCR 10)
  • BitLockerアクセス制御(PCR 11)
次のリストは、使用可能なすべてのPCRを示しています。
  • PCR 0:Core Root of Trust of Measurement、EFIブートおよびランタイム サービス、コンピューターROMに組み込まれたEFIドライバー、埋め込み型SMMコードであるACPI静的テーブル、BIOSコード
  • PCR 1:プラットフォームとマザーボードの構成とデータ(コンピューターの構成に影響するハンドオフ テーブルとEFI変数)
  • PCR 2:オプションROMコード
  • PCR 3:オプションROMのデータと構成
  • PCR 4:マスター ブート レコード(MBR)コードまたは他のブート デバイスからのコード
  • PCR 5:マスター ブート レコード(MBR)のパーティション テーブル。さまざまなEFI変数とGPTテーブル
  • PCR 6:状態遷移およびウェイク イベント
  • PCR 7:コンピューター製造元固有
  • PCR 8:NTFSブート セクター
  • PCR 9:NTFSブート ブロック
  • PCR 10:ブート マネージャー
  • PCR 11:BitLockerアクセス制御
  • PCR 12~23:今後使用するために予約済み
    Warning: デフォルトのプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理機能に影響します。プラットフォームの変更(悪意のある、または認証済み)に対するBitLockerの感度は、PCRの包含または除外(それぞれ)に応じて増減します。
[Configure UEFI TPM Platform Validation Profile] Disabled Configure Specific UEFI TPM Platform Settings]の親。
Enabled]に設定すると、このポリシー設定は、ネイティブUEFIファームウェア構成を持つコンピューター上のオペレーティング システム ドライブのロックを解除する前に、TPMが早期ブート コンポーネントを検証する際に測定する値を決定します。
[Configure Specific UEFI TPM Platform Settings] デル・テクノロジーズは、特に必要な場合を除き、Microsoftの現在のデフォルトのPCRを使用することをお勧めします。 Configure TPM Platform Validation Profile]の子。
プラットフォーム検証プロファイルは、0~23の範囲のPCRインデックスで構成されています。デフォルトのプラットフォーム検証プロファイルは、暗号化キーを次の変更に対して保護します。
  • Core Root of Trust of Measurement (CRTM)、BIOS、およびプラットフォーム拡張機能(PCR 0)
  • オプションROMコード(PCR 2)
  • マスター ブート レコード(MBR)コード(PCR 4)
  • NTFSブート セクター(PCR 8)
  • NTFSブート ブロック(PCR 9)
  • ブート マネージャー(PCR 10)
  • BitLockerアクセス制御(PCR 11)
次のリストは、使用可能なすべてのPCRを示しています。
  • PCR 0:Core Root of Trust of Measurement、EFIブートおよびランタイム サービス、コンピューターROMに組み込まれたEFIドライバー、埋め込み型SMMコードであるACPI静的テーブル、BIOSコード
  • PCR 1:プラットフォームとマザーボードの構成、およびコンピューターの構成に影響を与えるデータ ハンドオフ テーブルとEFI変数)
  • PCR 2:オプションROMコード
  • PCR 3:オプションROMのデータと構成
  • PCR 4:マスター ブート レコード(MBR)コードまたは他のブート デバイスからのコード
  • PCR 5:マスター ブート レコード(MBR)のパーティション テーブル。さまざまなEFI変数とGPTテーブル
  • PCR 6:状態遷移およびウェイク イベント
  • PCR 7:コンピューター製造元固有
  • PCR 8:NTFSブート セクター
  • PCR 9:NTFSブート ブロック
  • PCR 10:ブート マネージャー
  • PCR 11:BitLockerアクセス制御
  • PCR 12~23:今後使用するために予約済み
    Warning: デフォルトのプラットフォーム検証プロファイルから変更すると、コンピューターのセキュリティと管理機能に影響します。プラットフォームの変更(悪意のある、または認証済み)に対するBitLockerの感度は、PCRの包含または除外(それぞれ)に応じて増減します。
     
    注:Extensible Firmware Interface (EFI)を使用するコンピューターのデフォルトのTPM検証プロファイルのPCR設定は、PCR 0、2、4、11のみです。
リムーバブル ストレージ設定
[Allow User to Apply BitLocker Protection on Removable Drives] Enabled [Enabled]に設定すると、ユーザーはBitLockerを有効にしてリムーバブル ドライブを保護できます。
[Disabled]に設定すると、[Encrypt Removable Drives]ポリシーによって、BitLockerがリムーバブル ドライブを保護するタイミングが制御されます。
[Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives] Enabled Enabled]に設定すると、ユーザーはドライブからBitLockerを削除したり、メンテナンス中に暗号化を一時停止したりすることができます。
[Disabled]に設定すると、[Encrypt Removable Drives]ポリシーによって、BitLockerがリムーバブル ドライブを保護するタイミングが制御されます。
[Configure Use of Smart Cards on Removable Data Drives] [Disallow] Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではありません。
[Deny Write Access to Removable Drives Not Protected by BitLocker] Disabled このポリシー設定は、書き込みアクセス権を付与する前にリムーバブル ドライブを暗号化することを要求し、別の組織で構成された BitLocker で保護されたリムーバブル ドライブを書き込みアクセス権で開くことができるかどうかを制御するために使用されます。
[Enabled]に設定すると、BitLockerで保護されていないデバイスでは、データを読み取ることはできますが、ディスクへのデータの書き込みは許可されません。
[Disabled]に設定すると、BitLockerで保護されていないデバイスでは、データの読み取りと書き込みが許可されます。
[Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows] Enabled Enabled]に設定すると、FATファイル システムでフォーマットされたデータ ドライブは、Windows Server 2008、Windows Vista、Windows XP with SP3、またはWindows XP with SP2を実行しているコンピューターでロック解除でき、それらのデータ ドライブのコンテンツを表示できます。これらのオペレーティング システムには、BitLockerで保護されたドライブへの読み取り専用アクセス権があります。
Disabled]に設定すると、FATファイル システムでフォーマットされたデータ ドライブは、以前のバージョンのWindowsを実行しているコンピューターではロック解除できません。
[Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives] Disabled 選択すると、BitLocker To Go Readerがインストールされなくなり、旧バージョンのWindowsを実行しているデバイスを使用するユーザーがBitLockerで保護されたドライブにアクセスできなくなります。
[Configure Use of Passwords for Removable Data Drives] Allow Required]に設定すると、これがエンド ユーザーにとって唯一のオプションになります。エンドポイントでエンド ユーザーにプロンプトは表示されません。
Allow]に設定すると、この設定はエンド ユーザーに対して選択可能なオプションとして有効になります。複数の項目が[Allow]に設定されている場合、エンド ユーザーには選択を行うための選択ボックスが表示されます。
[Do Not Allow]に設定すると、このオプションは使用できず、Dell Encryption UI内でもWindows設定でも選択可能なオプションではなくなります。
[Configure Password Complexity for Removable Data Drives] [Require] Required]に設定すると、BitLockerが有効になっている場合、パスワードの複雑さを検証するためにドメイン コントローラーへの接続が必要になります。
Allow]に設定すると、ポリシーによって設定されたルールに複雑性が準拠していることを検証するため、ドメイン コントローラーへの接続を試みます。ただし、ドメイン コントローラーが見つからない場合、パスワードはパスワードの複雑さに関係なく受け入れられ、そのパスワードをプロテクターとして使用してドライブが暗号化されます。
Do Not Allow]に設定すると、パスワードの複雑性検証は実行されません。
[Minimum Password Length for Removable Data Drives] 8 BitLocker で保護されたボリュームのパスワードの最小長を設定します (この設定では、[リ ムーバブルデータドライブのパスワードの使用を構成する ] が [必須 ] または [許可] に設定されている必要があります)
[Encryption Type for Removable Data Drives] [Full Encryption] このポリシーは、データ ドライブが[Used Space Only]の暗号化または[Full Encryption]のどちらを使用するかを制御します。BitLockerが保護する仮想マシンには、[Used Space Only]が必要です。
[Choose How BitLocker-protected Removable Drives Can be Recovered] Disabled 次の7つのポリシーの親。
[Enabled]に設定すると、追加のリカバリー オプションを構成できます。
Disabled]の場合は、リカバリーはDell Security Management ServerまたはDell Security Management Server Virtualを介してのみ使用できます。
[Allow Data Recovery Agent for Protected Removable Data Drives] Enabled Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーの子。
Allow data recovery agent]チェック ボックスを使用して、BitLockerで保護されたドライブでデータ リカバリー エージェントを使用できるかどうかを指定します。データ リカバリー エージェントは使用する前に、グループ ポリシー管理コンソール(GPMC)またはローカル グループ ポリシー エディターにある公開キー ポリシーから追加する必要があります。
BitLockerで保護されたデバイスのリカバリーにデータ リカバリー エージェントを使用する方法の詳細については、https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/を参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Configure User Storage of BitLocker 48-digit Recovery Password] Allow Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:[Do Not Allow]に設定すると、BitLockerで保護されたドライブのリカバリーができない場合があります。
[Configure User Storage of BitLocker 256-bit Recovery Key] Allow Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーの子。
Required]に設定すると、BitLocker回復情報が強制的に生成され、デバイス管理者がアクセスできるようになります。
Allow]に設定すると、BitLocker回復情報が自動的に生成され、デバイス管理者がアクセスできるようになります。
Do Not Allow]に設定すると、BitLocker回復情報は作成されません。
注:[Do Not Allow]に設定すると、BitLockerで保護されたドライブのリカバリーができない場合があります。
[Omit Recovery Options from the BitLocker Setup Wizard for Removable Media] Disabled Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーの子。
Omit recovery options from the BitLocker setup wizard]を選択して、ユーザーがドライブでBitLockerを有効にしているときに回復オプションを指定できなくします。[Enabled]に設定すると、ポリシー設定によってドライブのBitLocker回復オプションが決定されます。
[Save BitLocker Recovery Information to AD DS for Removable Data Drives] Enabled Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーの子。
次の2つのポリシーの親。
Save BitLocker recovery information to Active Directory Domain Services]は、Active Directory Domain Services (AD DS)に保存するBitLocker回復情報を選択します。
[BitLocker Recovery Information to Store in AD DS for Removable Data Drives] [Recovery Passwords and Key Packages] Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Removable Data Drives]ポリシーの子。
Recovery password and key packages]に設定すると、BitLocker回復パスワード、およびキー パッケージはAD DSに保存されます。キー パッケージを保存すると、物理的に破損しているドライブからのデータのリカバリーをサポートします。[Recovery password only]を選択すると、回復パスワードのみがAD DSに保存されます。
[Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives] Disabled Choose How BitLocker-protected Removable Drives Can be Recovered]ポリシーと[Save BitLocker Recovery Information to AD DS for Removable Data Drives]ポリシーの子。
コンピューターがドメインに接続され、BitLocker回復情報がAD DAに正常にバックアップされないかぎり、ユーザーがBitLockerを有効にできないようにするには、[Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives]チェック ボックスを選択します。
[Configure Use of Hardware-Based Encryption for Removable Data Drives] Enabled 次の4つのポリシーの親。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use Hardware-Based Encryption for Removable Data Drives] Enabled Configure Use of Hardware-Based Encryption for Removable Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available] Enabled Configure Use of Hardware-Based Encryption for Removable Data Drives]ポリシーの子。
このポリシーは、暗号化されたドライブがデータ ボリュームとして使用される場合に、それらを搭載したコンピューターに対するBitLockerの対応方法を制御します。ハードウェア ベースの暗号化を使用すると、ドライブへのデータの頻繁な読み取りまたは書き込みを伴うドライブ動作のパフォーマンスを向上することができます。
注:Choose drive encryption method and cipher strength]ポリシー設定は、ハードウェア ベースの暗号化には適用されません。古いファームウェアを搭載したドライブでこのポリシーを有効にすると、次のようなさまざまなCVEにさらされる可能性があります https://www.kb.cert.org/vuls/id/395981/ このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。
[Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data] Disabled Configure Use of Hardware-Based Encryption for Removable Data Drives]ポリシーの子。
Restrict encryption algorithms and cipher suites allowed for hardware-based encryption]オプションを使用すると、BitLockerがハードウェア暗号化に使用できる暗号化アルゴリズムを制限できます。ドライブに設定されているアルゴリズムが使用できない場合、BitLockerはハードウェア ベースの暗号化の使用を無効にします。
[Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives] [2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42] Configure Use of Hardware-Based Encryption for Removable Data Drives]ポリシーの子。
暗号化アルゴリズムは、オブジェクト識別子(OID)で指定し、コンマで区切ります。
暗号化アルゴリズムのOIDの例:
  • Cipher Block Chaining (CBC)モードのAdvanced Encryption Standard (AES) 128のOID:2.16.840.1.101.3.4.1.2
  • CBCモードのAES 256のOID:2.16.840.1.101.3.4.1.42
注:これらのポリシーの詳細については、MicrosoftのBitLockerポリシー ガイドKB(https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。)を参照してください。

サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

対象製品

Dell Encryption
文書のプロパティ
文書番号: 000125922
文書の種類: How To
最終更新: 06 9月 2024
バージョン:  8
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。