manage-bde on

  • [アーティクル]

ドライブを暗号化し、BitLocker をオンにします。

構文

manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]

パラメーター

パラメーター 説明
<drive> コロンの後にドライブ文字を表します。
-recoverypassword 数値パスワード保護機能を追加します。 このコマンドの簡易版として、-rp を使うこともできます。
<numericalpassword> 回復パスワードを表します。
-recoverykey 回復用の外部キーの保護機能を追加します。 このコマンドの簡易版として、-rk を使うこともできます。
<pathtoexternaldirectory> 回復キーへのディレクトリ パスを表します。
-startupkey スタートアップ用の外部キー保護機能を追加します。 このコマンドの簡易版として、-sk を使うこともできます。
<pathtoexternalkeydirectory> スタートアップ キーへのディレクトリ パスを表します。
-証明書 データ ドライブの公開キー保護機能を追加します。 使用することも -cert としてこのコマンドの簡易版です。
-tpmandpin オペレーティング システム ドライブ用にトラステッド プラットフォーム モジュール (TPM) と個人識別番号 (PIN) 保護機能を追加します。 このコマンドの簡易版として、-tp を使うこともできます。
-tpmandstartupkey オペレーティング システム ドライブ用に TPM とスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tsk を使うこともできます。
-tpmandpinandstartupkey オペレーティング システム ドライブ用に TPM、PIN およびスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tpsk を使うこともできます。
-パスワード データ ドライブのパスワード キー保護機能を追加します。 使用することも - pw としてこのコマンドの簡易版です。
-ADaccountorgroup SID ベースの ID 保護機能をボリュームに追加します。 ユーザーまたはコンピューターが適切な資格情報を持っている場合、ボリュームのロックが自動的に解除されます。 コンピューター アカウントを指定する場合は、コンピューター名に $ を付加し、-service を指定して、ユーザーではなく BitLocker サーバーのコンテンツでロック解除を行う必要があることを示します。 使用することも -sid としてこのコマンドの簡易版です。
-usedspaceonly 暗号化モードを使用領域のみの暗号化に設定します。 使用領域を含むボリュームのセクションは暗号化されますが、空き領域は暗号化されません。 このオプションを指定しない場合は、ボリューム上のすべての使用領域と空き領域が暗号化されます。 このコマンドの簡易版として -used を使うこともできます。
-encryptionMethod 暗号化アルゴリズムとキーのサイズを構成します。 このコマンドの簡易版として -em を使うこともできます。
-skiphardwaretest ハードウェア テストなしで暗号化を開始します。 このコマンドの簡易版として、-s を使うこともできます。
-discoveryvolumetype 検出データ ドライブに使うファイル システムを指定します。 検出データ ドライブは、BitLocker To Go Reader を含む FAT 形式の BitLocker で保護されたリムーバブル データ ドライブに追加される隠しドライブです。
-forceencryptiontype BitLocker にソフトウェアまたはハードウェアによる暗号化のいずれかを使うように強制します。 暗号化の種類として Hardware または Software のいずれかを指定できます。 hardware パラメーターを選択しても、ドライブからハードウェア暗号化をサポートしていない場合は、manage-bde からエラーが返されます。 グループ ポリシー設定で、指定した暗号化の種類が禁止されている場合、manage-bde からエラーが返されます。 このコマンドの簡易版として、-fet を使うこともできます。
-removevolumeshadowcopies ボリュームのボリューム シャドウ コピーを強制的に削除します。 このコマンドを実行した後は、以前のシステム復元ポイントを使ってこのボリュームを復元することができなくなります。 このコマンドの簡易版として、-rvsc を使うこともできます。
<filesystemtype> 検出データ ドライブで使用できるファイル システム (FAT32、default、none) を指定します。
-computername 別のコンピューター上の BitLocker 保護を変更するために manage-bde を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。
<name> BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。
-? または /? コマンド プロンプトに簡単なヘルプを表示します。
-help または -h 表示は、コマンド プロンプトでヘルプを完了します。

ドライブ C の BitLocker をオンにして、そのドライブに回復パスワードを追加するには、次のように入力します。

manage-bde –on C: -recoverypassword

ドライブ C の BitLocker をオンにして、そのドライブに回復パスワードを追加し、回復キーをドライブ E に保存するには、次のように入力します。

manage-bde –on C: -recoverykey E:\ -recoverypassword

ドライブ C の BitLocker をオンにして、外部キーの保護機能 (USB キーなど) を使ってオペレーティング システム ドライブのロックを解除するには、次のように入力します。

manage-bde -on C: -startupkey E:\

重要

この方法は、TPM を搭載していないコンピューターで BitLocker を使う場合に必要です。

データ ドライブ E の BitLocker をオンにして、パスワード キーの保護機能を追加するには、次のように入力します。

manage-bde –on E: -pw

オペレーティング システム ドライブ C の BitLocker をオンにして、ハードウェアベースの暗号化を使うには、次のように入力します。

manage-bde –on C: -fet hardware