BitLocker ドライブ暗号化の開始

ディスク全体の暗号化を行う前に、コンピューターが感染していないことを確認してください。確認するには、完全スキャンか簡易スキャンを開始します。ルートキットによって感染したコンピューターでディスク全体の暗号化を行うと、ハードディスクが動作しなくなる可能性があります。

Windows サーバーのオペレーティングシステムが搭載されたコンピューターで BitLocker ドライブ暗号化を使用するには、BitLocker ドライブ暗号化機能をインストールする必要がある場合があります。オペレーティングシステムツール(ロールとコンポーネントを追加するウィザード)を使用して機能をインストールしてください。BitLocker ドライブ暗号化のインストールについて詳しくは、Microsoft 社の資料を参照してください。

管理コンソール(MMC)を使用した BitLocker ドライブ暗号化を実行する方法

Web コンソールおよび Cloud コンソールを使用した BitLocker ドライブ暗号化を実行する方法

暗号化モニターツールを使用して、ディスクの暗号化またはユーザーのコンピューター上でのディスクの復号化を制御します。暗号化モニターツールは製品のメインウィンドウから実行できます。

暗号化が実行されているドライブのリストを表示したウィンドウ。暗号化技術、ステータスおよびドライブ ID が表示されています。

暗号化モニター

ポリシーの適用後、認証の設定によって次の内容が表示されます:

コンピューターのオペレーティングシステムで連邦情報処理標準(FIPS)準拠モードが有効になっている場合、Windows 8 以前のオペレーティングシステムでは、回復キーのファイルを保存するのに USB デバイスなどのストレージデバイスの接続を求めるウィンドウが表示されます。複数の回復キーのファイルを、単一のストレージデバイスに保存できます。

パスワードまたは PIN を設定したあと、暗号化を完了するために BitLocker は再起動を求めます。次に、BitLocker の認証の手順を完了します。認証手順の後に、システムにログオンする必要があります。オペレーティングシステムが読み込まれると、BitLocker は暗号化を完了します。

暗号鍵にアクセスできない場合、回復キーを付与してもらうよう、ユーザーからローカルネットワークの管理者にリクエストできます(回復キーが事前にストレージデバイスに保存されていない場合、または回復キーを紛失した場合)。

BitLocker ドライブ暗号化の設定

パラメータ

説明

タブレットでプリブート キーボード入力が必要な BitLocker 認証を使用できるようにする

このチェックボックスでは、起動前の環境でデータ入力を必要とする認証を使用するかしないかを選択します。この設定は、起動前に入力できる機能がないプラットフォームに対しても適用されます(例:タブレットのタッチスクリーンキーボード)。

タブレットコンピューターのタッチスクリーンは起動前環境では利用できません。タブレットコンピューターで BitLocker 認証を完了するには、ユーザーは USB キーボードなどを接続する必要があります。

このチェックボックスをオンにすると、起動前の入力を必要とする認証の使用が許可されます。この設定は、起動前の環境でデータ入力ができるツールがあるデバイスに対してのみ使用してください(例:タッチスクリーンキーボードだけでなく USB キーボードも付いているデバイスなど)。

チェックボックスをオフにすると、タブレットコンピューターで BitLocker ドライブ暗号化が使用できなくなります。

ハードウェア暗号化を使用(Windows 8 以降)

このチェックボックスをオンにすると、ハードウェア暗号化が適用されます。ハードウェア暗号化を使用すると、より少ないコンピューターリソースで、より速く暗号化することができます。

使用されているディスク領域のみを暗号化(暗号化時間を短縮)

このチェックボックスでは、暗号化の対象をハードディスクの使用中のセクターのみに限定する設定を有効または無効にします。限定することにより、暗号化にかかる時間を短縮できます。

暗号化の開始後に[使用されているディスク領域のみを暗号化(暗号化時間を短縮)]を有効または無効にしても、ハードドライブが復号化されるまでこの設定は変更されません。チェックボックスのオン / オフは、暗号化が開始する前に選択してください。

このチェックボックスをオンにすると、ハードディスク内のファイルがある領域のみが暗号化されます。新しいデータは、追加されると自動的に暗号化されます。

チェックボックスをオフにすると、過去に削除されたファイルや変更が加えられたファイルの残存フラグメントも含め、ハードディスク全体が暗号化されます。

データが変更されたり削除されていない新しいハードディスクでは、このオプションをオンにしてください。既に使用されているハードディスクに暗号化を適用する場合、ハードディスク全体を暗号化してください。それにより、削除されているが回復の可能性があるデータを含め、すべてのデータが保護されます。

既定では、このチェックボックスはオフです。

認証方法

パスワードのみ (OS が Windows 8 以降のバージョンの場合)

このオプションを選択すると、暗号化されたドライブにアクセスしようとした際に、パスワードの入力が要求されます。

このオプションは、Trusted Platform Module(TPM)が使用されていない場合に選択できます。

トラステッド プラットフォーム モジュール(TPM)

このオプションを選択すると、BitLocker は Trusted Platform Module(TPM)を使用します。

Trusted Platform Module(TPM)は、セキュリティ関連の基本機能(暗号化鍵の保存など)を提供するために開発されたマイクロチップです。Trusted Platform Module は通常、コンピューターのマザーボードにインストールされ、ハードウェアバスを介して他のすべてのシステムコンポーネントと連携します。

Windows 7 と Windows 2008 R2 では、TPM モジュールを使用した暗号化のみを利用できます。TPM モジュールがインストールされていない場合、BitLocker 暗号化は実行できません。これらのオペレーティングシステムを使用しているコンピューターでは、パスワードを使用した暗号化はサポートされません。

Trusted Platform Module を搭載したデバイスで作成された暗号鍵は、そのデバイスでしか復号化できません。Trusted Platform Module は、各 TPM が保持するストレージルートキーを使って暗号鍵を暗号化します。ストレージルートキーは Trusted Platform Module 内部に格納されています。そのため、暗号鍵を盗もうとする試みに対して、より強固な保護を提供することができます。

既定では、この処理が選択されています。

暗号化鍵およびパスワードまたは PIN で保護された暗号化鍵へのアクセスに、より強固な保護を提供することが可能です。

  • TPM の PIN を使用する:このチェックボックスをオンにすると、Trusted Platform Module(TPM)内に格納されている暗号鍵にアクセスする際に暗証番号を使用できます。

    このチェックボックスをオフにすると、PIN コードの使用が禁止されます。暗号鍵へのアクセスには、パスワードの入力が必要となります。

  • トラステッド プラットフォーム モジュール(TPM)、TPM が使用できない場合はパスワード:このチェックボックスをオンにすると、Trusted Platform Module(TPM)が使用できない場合、パスワードを使用して暗号鍵にアクセスできます。

    チェックボックスがオフの場合は TPM は使用できず、ディスク全体の暗号化は開始されません。

    パスワードまたは PIN の要件を指定して、選択した認証方法を設定する必要があります:

  • PIN の最小文字数
  • パスワードの最小文字数
  • TPM のパスワード / PIN の有効期間を設定する(日)
  • 拡張 PIN を使用する(文字と数字)拡張 PIN を使用すると数字以外にも半角英数字の大文字小文字、特殊文字、スペースを使用できるようになります。

回復キーを自動的に再生成する(日)

パスワードを自動的に更新して、BitLocker で保護されたハードドライブへのアクセスを復元します。このチェックボックスをオンにしたら、回復キーのパスワードの有効期間を指定します。これは、回復キーのパスワードの再使用を防ぐのに役立ちます。

ページのトップに戻る