BitLocker の構成

BitLocker を構成するには、次のいずれかのオプションを使用します。

  • 構成サービス プロバイダー (CSP): このオプションは、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューションによって管理されるデバイスでよく使用されます。 BitLocker CSP は、BitLocker を構成し、さまざまな BitLocker 関数の状態を MDM ソリューションに報告するために使用されます。 Microsoft Intuneでは、コンプライアンス ポリシーで BitLocker 状態を使用し、条件付きアクセスと組み合わせて使用できます。 条件付きアクセスでは、BitLocker の状態に基づいて、Exchange Onlineや SharePoint Online などのサービスへのアクセスを禁止または許可できます。 BitLocker を構成および監視するためのIntune オプションの詳細については、次の記事をチェックします。
  • グループ ポリシー (GPO): このオプションは、Active Directory ドメインに参加していて、デバイス管理ソリューションによって管理されていないデバイスに使用できます。 グループ ポリシーは、ローカル グループ ポリシー エディターを使用して、Active Directory ドメインに参加していないデバイスにも使用できます
  • Microsoft Configuration Manager: このオプションは、BitLocker 管理エージェントを使用してMicrosoft Configuration Managerによって管理されるデバイスに使用できます。 Microsoft Configuration Managerを使用して BitLocker を構成するオプションの詳細については、「BitLocker 管理の展開」を参照してください。

Windows Server では、CSP またはMicrosoft Configuration Managerを使用した BitLocker の構成はサポートされていません。 代わりに GPO を使用します。

BitLocker ポリシー設定の多くは CSP と GPO の両方を使用して構成できますが、いずれかのオプションのみを使用して使用できる設定がいくつかあります。 CSP と GPO の両方で使用できるポリシー設定については、「 BitLocker ポリシー設定」セクションを参照してください。

Windows エディションとライセンスに関する要件

次の表に、BitLocker 管理をサポートする Windows エディションを示します。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
はい はい はい はい

BitLocker 管理ライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
なし はい はい はい はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

BitLocker ポリシー設定

このセクションでは、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) を使用して BitLocker を構成するためのポリシー設定について説明します。

重要

BitLocker ポリシー設定のほとんどは、ドライブに対して BitLocker が最初にオンになったときに適用されます。 設定が変更された場合、暗号化は再起動されません。

ポリシー設定の一覧

設定の一覧はアルファベット順に並べ替えられて、次の 4 つのカテゴリに分類されます。

  • 一般的な設定: すべての BitLocker で保護されたドライブに適用できる設定
  • オペレーティング システム ドライブ: Windows がインストールされているドライブに適用される設定
  • 固定データ ドライブ: オペレーティング システム ドライブを除く任意のローカル ドライブに適用される設定
  • リムーバブル データ ドライブ: リムーバブル ドライブに適用できる設定

いずれかのタブを選択して、使用可能な設定の一覧を表示します。

次の表に、すべてのドライブの種類に適用できる BitLocker ポリシーの一覧を示します。構成サービス プロバイダー (CSP) やグループ ポリシー (GPO) を使用して適用できるかどうかを示します。 詳細については、ポリシー名を選択してください。

ポリシー名 CSP GPO
標準ユーザー暗号化を許可する
回復パスワードの既定のフォルダーを選択する
ドライブ暗号化方法と暗号強度を選択する
回復パスワードのローテーションを構成する
このコンピューターがロックされているときに新しい DMA デバイスを無効にする
再起動時にメモリの上書きを防ぐ
organizationの一意の識別子を指定します
デバイスの暗号化を要求する
スマート カード証明書の使用規則のコンプライアンスを検証する

標準ユーザー暗号化を許可する

このポリシーを使用すると、現在ログオンしているユーザーに管理者権限がない場合にポリシーが適用されるシナリオに対して[ デバイス暗号化を要求 する]ポリシーを適用できます。

重要

標準ユーザー 暗号化を許可するには、[他のディスク暗号化に対する警告 を許可する] ポリシーを無効にする必要があります。

パス
CSP ./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO 使用不可

回復パスワードの既定のフォルダーを選択する

BitLocker ドライブ暗号化のセットアップ ウィザードで、回復パスワードを保存するフォルダーの場所の入力を求めるメッセージが表示される既定のパスを指定します。 完全修飾パスを指定するか、ターゲット コンピューターの環境変数をパスに含めることができます。

  • パスが有効でない場合は、BitLocker セットアップ ウィザードにコンピューターの最上位フォルダー ビューが表示されます
  • このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker セットアップ ウィザードは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、コンピューターの最上位フォルダー ビューを表示します

このポリシー設定では、ユーザーが別のフォルダーに回復パスワードを保存することはできません。

パス
CSP 使用不可
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

ドライブ暗号化方法と暗号強度を選択する

このポリシーを使用すると、固定データ ドライブ、オペレーティング システム ドライブ、リムーバブル データ ドライブの暗号化アルゴリズムとキー暗号強度を個別に構成できます。

推奨設定: すべてのドライブ XTS-AES アルゴリズム。 キー サイズ、128 ビット、または 256 ビットの選択は、デバイスのパフォーマンスによって異なります。 パフォーマンスの高いハード ドライブと CPU の場合は、256 ビット キーを選択します。パフォーマンスが低い場合は 128 を使用します。

重要

キー サイズは、レギュレータまたは業界で必要になる場合があります。

このポリシー設定を無効にするか、構成しない場合、BitLocker は既定の暗号化方法である XTS-AES 128-bitを使用します。

このポリシーは、暗号化されたドライブには適用されません。 暗号化されたドライブは、パーティション分割中にドライブによって設定される独自のアルゴリズムを利用します。

パス
CSP ./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

回復パスワードのローテーションを構成する

このポリシーを使用すると、参加済みデバイスとハイブリッド参加済みデバイス上の OS と固定ドライブMicrosoft Entra使用するときに、数値の回復パスワードローテーションMicrosoft Entra構成できます。

設定可能な値は、次のとおりです。

  • 0: 数値回復パスワードのローテーションがオフになっている
  • 1: Microsoft Entra参加済みデバイスでは、使用時の回復パスワードの数値ローテーションがオンになります。 これも既定値です
  • 2: 使用時の数値回復パスワードローテーションは、Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスの両方Microsoft Entraオンです

ポリシーは、回復パスワードの Micropsoft Entra ID または Active Directory バックアップが必須に構成されている場合にのみ有効です

  • OS ドライブの場合: [オペレーティング システム ドライブの AD DS に回復情報が保存されるまで BitLocker を有効にしない] を有効にします
  • 固定ドライブの場合: "固定データ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしないでください
パス
CSP ./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO 使用不可

このコンピューターがロックされているときに新しい DMA デバイスを無効にする

このポリシー設定を有効にすると、ユーザーが Windows にサインインするまで、すべてのホット プラグ可能な PCI ポートのダイレクト メモリ アクセス (DMA) がブロックされます。

ユーザーがサインインすると、Windows はホスト Thunderbolt PCI ポートに接続されている PCI デバイスを列挙します。 ユーザーがデバイスをロックするたびに、ユーザーが再びサインインするまで、DMA は子デバイスのないホット プラグ Thunderbolt PCI ポートでブロックされます。

デバイスのロックが解除されたときに既に列挙されたデバイスは、取り外されるか、システムが再起動または休止状態になるまで機能し続けます。

このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。

重要

このポリシーは、 カーネル DMA 保護と互換性がありません。 システムがカーネル DMA 保護をサポートしている場合は、カーネル DMA 保護によってシステムのセキュリティが強化されるため、このポリシーを無効にすることをお勧めします。 カーネル DMA 保護の詳細については、「 カーネル DMA 保護」を参照してください。

パス
CSP 使用不可
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

再起動時にメモリの上書きを防ぐ

このポリシー設定は、デバイスの再起動時にコンピューターのメモリを上書きするかどうかを制御するために使用されます。 BitLocker シークレットには、データの暗号化に使用されるキー マテリアルが含まれます。

  • このポリシー設定を有効にした場合、コンピューターの再起動時にメモリは上書きされません。 メモリの上書きを防ぐと、再起動のパフォーマンスが向上する可能性がありますが、BitLocker シークレットを公開するリスクが高くなります。
  • このポリシー設定を無効にするか、構成しない場合、コンピューターの再起動時に BitLocker シークレットがメモリから削除されます。

このポリシー設定は、BitLocker 保護が有効になっている場合にのみ適用されます。

パス
CSP 使用不可
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

organizationの一意の識別子を指定します

このポリシー設定を使用すると、BitLocker で暗号化されたドライブに一意の組織識別子を関連付けることができます。 識別子は、 識別フィールド許可された識別フィールドとして格納されます。

  • 識別フィールドを使用すると、一意の組織識別子を BitLocker で保護されたドライブに関連付けることができます。 この識別子は、新しい BitLocker で保護されたドライブに自動的に追加され、 BitLocker ドライブ暗号化: 構成ツール (manage-bde.exe) を使用して、既存の BitLocker で保護されたドライブで更新できます
  • 許可される識別フィールドは、organizationでのリムーバブル ドライブの使用を制御するのに役立つ[BitLocker で保護されていないリムーバブル ドライブへの書き込みアクセスを拒否する] ポリシー設定と組み合わせて使用されます。 これは、organizationやその他の外部組織からの識別フィールドのコンマ区切りの一覧です。 manage-bde.exeを使用して、既存のドライブの識別フィールドを構成できます。

このポリシー設定を有効にした場合は、BitLocker で保護されたドライブの識別フィールドと、organizationで使用できる識別フィールドを構成できます。 BitLocker で保護されたドライブが別の BitLocker 対応デバイスにマウントされている場合、識別フィールドと許可された識別フィールドを使用して、ドライブが別のorganizationからのものかどうかを判断します。

このポリシー設定を無効にするか、構成しない場合、識別フィールドは必要ありません。

重要

BitLocker で保護されたドライブでの証明書ベースのデータ復旧エージェントの管理には、識別フィールドが必要です。 BitLocker は、識別フィールドがドライブ上にあり、デバイスで構成されている値と同じである場合にのみ、証明書ベースのデータ復旧エージェントを管理および更新します。 識別フィールドには、260 文字以下の任意の値を指定できます。

パス
CSP ./Device/Vendor/MSFT/BitLocker/ IdentificationField
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

デバイスの暗号化を要求する

このポリシー設定は、BitLocker が必要かどうかを決定します。

  • 有効にすると、他のディスク暗号化ポリシーに対する 警告を許可 するに基づいて、すべてのドライブでサイレントまたはサイレント以外の暗号化がトリガーされます
  • 無効にすると、システム ドライブの BitLocker はオフになりませんが、ユーザーに BitLocker のオンを求めるメッセージが表示されなくなります。

通常、BitLocker はドライブ 暗号化方法と暗号強度 ポリシーの構成に従います。 ただし、このポリシー設定は、自己暗号化固定ドライブと自己暗号化 OS ドライブでは無視されます。

暗号化可能な固定データ ボリュームは OS ボリュームと同様に扱われますが、暗号化可能にするには他の条件を満たす必要があります。

  • 動的ボリュームにすることはできません
  • 回復パーティションにすることはできません
  • 非表示ボリュームにすることはできません
  • システム パーティションにすることはできません
  • 仮想ストレージでバックアップすることはできません
  • BCD ストアに参照を含めてはなりません

サイレント暗号化にこのポリシーを使用する場合は、完全ディスク暗号化のみがサポートされます。 非サイレント暗号化の場合、暗号化の種類は 、オペレーティング システム ドライブにドライブ暗号化の種類を適用 するポリシーと、デバイスで構成された 固定データ ドライブにドライブ暗号化の種類を適用 するポリシーによって異なります。

パス
CSP ./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO 使用不可

スマート カード証明書の使用規則のコンプライアンスを検証する

このポリシー設定は、スマート カード証明書から BitLocker で保護されたドライブにオブジェクト識別子 (OID) を関連付けることによって、BitLocker で使用する証明書を決定するために使用されます。 オブジェクト識別子は、証明書の拡張キー使用法 (EKU) で指定されます。

BitLocker は、証明書内のオブジェクト識別子と、このポリシー設定で定義されているオブジェクト識別子を照合することで、BitLocker で保護されたドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。 既定の OID は 1.3.6.1.4.1.311.67.1.1

このポリシー設定を有効にした場合、[オブジェクト識別子] フィールドで指定されたオブジェクト識別子は、スマート カード証明書のオブジェクト識別子と一致する必要があります。 このポリシー設定を無効にするか、構成しない場合は、既定の OID が使用されます。

BitLocker では、証明書に EKU 属性が必要ありません。ただし、証明書用に構成されている場合は、BitLocker 用に構成されたオブジェクト識別子と一致するオブジェクト識別子に設定する必要があります。

パス
CSP 使用不可
GPO コンピューターの構成>管理用テンプレート>Windows コンポーネント>BitLocker ドライブ暗号化

BitLocker とポリシー設定のコンプライアンス

デバイスが構成されたポリシー設定に準拠していない場合は、BitLocker がオンになっていないか、デバイスが準拠状態になるまで BitLocker の構成が変更される可能性があります。 ドライブがポリシー設定に準拠しなくなると、コンプライアンスに移行する BitLocker 構成への変更のみが許可されます。 このようなシナリオは、たとえば、以前に暗号化されたドライブがポリシー設定の変更によって非準拠になった場合に発生する可能性があります。

ドライブをコンプライアンスに移行するために複数の変更が必要な場合は、BitLocker 保護を中断し、必要な変更を加えてから保護を再開する必要があります。 このような状況は、たとえば、リムーバブル ドライブが最初にパスワードでロック解除するように構成され、ポリシー設定がスマート カードを必要とするように変更された場合に発生する可能性があります。 このシナリオでは、BitLocker 保護を中断し、パスワード ロック解除方法を削除し、スマート カード メソッドを追加する必要があります。 このプロセスが完了すると、BitLocker はポリシー設定に準拠し、ドライブの BitLocker 保護を再開できます。

他のシナリオでは、ドライブをポリシー設定の変更に準拠させるために、BitLocker を無効にし、ドライブの暗号化を解除してから BitLocker を再度有効にしてから、ドライブを再暗号化する必要がある場合があります。 このシナリオの例として、BitLocker 暗号化方法または暗号強度が変更された場合があります。

BitLocker を管理する方法の詳細については、 BitLocker 操作ガイドを参照してください。

サーバーの構成と管理

サーバーは、多くの場合、PowerShell を使用してデプロイ、構成、管理されます。 グループ ポリシー設定を使用してサーバーで BitLocker を構成し、PowerShell を使用して BitLocker を管理することをお勧めします。

BitLocker は、Windows Server のオプション コンポーネントです。 「Windows Server に BitLocker をインストールする」の指示に従って、BitLocker オプション コンポーネントを追加します。

いくつかの BitLocker 管理ツールでは、最小サーバー インターフェイスが前提条件となっています。 Server Core のインストールでは、最初に必要な GUI コンポーネントを追加する必要があります。 Server Core にシェル コンポーネントを追加する手順は、更新されたシステムや修正プログラムを適用したイメージでのオンデマンド機能の使用に関する記事と、ローカル ソース メディアを更新して役割と機能を追加する方法に関する記事で説明されています。 サーバーが手動でインストールされている場合は、GUI を Server Core に追加する手順を実行しないため、[ デスクトップ エクスペリエンスを使用したサーバー ] を選択するのが最も簡単なパスです。

ライトアウト データ センターでは、必要に応じて BitLocker (TPM+PIN) と BitLocker ネットワーク ロック解除を組み合わせて使用することで、再起動中のユーザー介入の必要性を回避しながら、第 2 要素の強化されたセキュリティを利用できます。 BitLocker ネットワーク ロック解除には、信頼された場所でのハードウェア保護、位置依存性、自動ロック解除の利点が集約されています。 構成手順については、「 ネットワークロック解除」を参照してください。

次のステップ

BitLocker 操作ガイドを参照して、さまざまなツールを使用して BitLocker を管理および操作する方法について説明します。

BitLocker 操作ガイド >