BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する
このポリシー設定を使用すると、必要な起動キー情報がない場合に BitLocker で保護されているオペレーティング システム ドライブの回復方法を指定できます。このポリシー設定は、BitLocker が有効な場合に適用されます。
[データ回復エージェントを使用する] チェック ボックスを使用して、BitLocker で保護されているオペレーティング システム ドライブにデータ回復エージェントを使用できるかどうかを指定します。データ回復エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターで、[公開キーのポリシー] からデータ回復エージェントを追加しておく必要があります。データ回復エージェントの追加について詳しくは、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。
ユーザーがドライブで BitLocker を有効にするときにユーザーが回復オプションを指定できないようにするには、[BitLocker のセットアップ ウィザードに回復オプションを表示しない] をオンにします。この場合、BitLocker を有効にするときに使用する回復オプションを指定できなくなり、そのドライブの BitLocker 回復オプションはポリシー設定によって決まります。
[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、オペレーティング システム ドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。キー パッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。
コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。
注: [オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。
このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されているオペレーティング システム ドライブからデータを回復するための方法を制限できます。
このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker による回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。
BitLocker Management Solution を使用する場合、キー回復情報はキー回復サーバーの場所に保存されます。この場所は、データ回復カテゴリのサーバーの場所ポリシーを使用して構成されます。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSRecovery |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |
データ回復エージェントを使用する| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSManageDRA |
| Value Type | REG_DWORD |
| Default Value | 1 |
| True Value | 1 |
| False Value | 0 |
BitLocker Management Solution を使用する場合は、[オペレーティング システム ドライブの BitLocker 回復情報を AD DS に保存する] チェック ボックスをオフにする必要があります。
BitLocker のセットアップ ウィザードに回復オプションを表示しない| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSHideRecoveryPage |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
オペレーティング システム ドライブの BitLocker 回復情報を AD DS に保存する| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSActiveDirectoryBackup |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
- 回復パスワードとキー パッケージを保存する
Registry Hive HKEY_LOCAL_MACHINE Registry Path SOFTWARE\Policies\Microsoft\FVE Value Name OSActiveDirectoryInfoToStore Value Type REG_DWORD Value 1 - 回復パスワードのみを保存する
Registry Hive HKEY_LOCAL_MACHINE Registry Path SOFTWARE\Policies\Microsoft\FVE Value Name OSActiveDirectoryInfoToStore Value Type REG_DWORD Value 2
オペレーティング システム ドライブの回復情報が AD DS に保存されるまで BitLocker を有効にしない| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | SOFTWARE\Policies\Microsoft\FVE |
| Value Name | OSRequireActiveDirectoryBackup |
| Value Type | REG_DWORD |
| Default Value | 0 |
| True Value | 1 |
| False Value | 0 |
bitlockermanagement.admx
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- オペレーティング システム ドライブ
- BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する
- BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する
- BitLocker 回復後にプラットフォーム検証データをリセットする
- TPM のプラットフォーム検証プロファイルを構成する
- オペレーティング システム ドライブのパスワードの使用を構成する
- オペレーティング システム ドライブの暗号化設定
- スタートアップ用拡張 PIN の使用を許可する
- ネイティブ UEFI ファームウェア構成の TPM のプラットフォーム検証プロファイルを構成する
- プリブート回復メッセージと URL を構成する
- 拡張ブート構成データ検証プロファイルを使用する
- 暗号化ポリシーの実施設定
- クライアントの管理
- リムーバブル ドライブ
- 固定ドライブ
- スマート カード証明書の使用規則の準拠を検証する
- ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511] 以降)
- ドライブの暗号化方法と暗号強度を選択する
- 再起動時にメモリを上書きしない
- 組織固有の識別子を使用する
- オペレーティング システム ドライブ
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- [IT に問い合わせる] の URL
- [IT に問い合わせる] のリンク テキスト
- トレイ アイコン
- ローミング時でも従量課金接続で設定を同期する
- 一覧にない Windows アプリの同期
- 初回使用の通知
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定テンプレート カタログのパス
- 設定パッケージ サイズの警告しきい値
- MDOP MBAM (BitLocker Management)
- システム
- App-V
- CEIP
- クライアントの共存
- スクリプト
- ストリーミング
- レポート
- 仮想化
- 公開
- 統合
- App-V
- Windows コンポーネント
- MDOP MBAM (BitLocker Management)
- Microsoft User Experience Virtualization
- Windows アプリ
- アプリケーション
- Access 2013 のバックアップのみ
- Excel 2013 のバックアップのみ
- InfoPath 2013 のバックアップのみ
- Internet Explorer 8
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 11
- Internet Explorer の共通設定
- Lync 2013 のバックアップのみ
- Microsoft Access 2010
- Microsoft Access 2013
- Microsoft Excel 2010
- Microsoft Excel 2013
- Microsoft InfoPath 2010
- Microsoft InfoPath 2013
- Microsoft Lync 2010
- Microsoft Lync 2013
- Microsoft Office 365 Access 2013
- Microsoft Office 365 Excel 2013
- Microsoft Office 365 InfoPath 2013
- Microsoft Office 365 Lync 2013
- Microsoft Office 365 OneNote 2013
- Microsoft Office 365 Outlook 2013
- Microsoft Office 365 PowerPoint 2013
- Microsoft Office 365 Project 2013
- Microsoft Office 365 Publisher 2013
- Microsoft Office 365 Visio 2013
- Microsoft Office 365 Word 2013
- Microsoft Office 365 共通 2013
- Microsoft Office 2010 の共通設定
- Microsoft Office 2013 の共通設定
- Microsoft Office 2013 アップロード センター
- Microsoft OneDrive for Business 2013
- Microsoft OneNote 2010
- Microsoft OneNote 2013
- Microsoft Outlook 2010
- Microsoft Outlook 2013
- Microsoft PowerPoint 2010
- Microsoft PowerPoint 2013
- Microsoft Project 2010
- Microsoft Project 2013
- Microsoft Publisher 2010
- Microsoft Publisher 2013
- Microsoft Visio 2010
- Microsoft Visio 2013
- Microsoft Word 2010
- Microsoft Word 2013
- OneNote 2013 のバックアップのみ
- Outlook 2013 のバックアップのみ
- PowerPoint 2013 のバックアップのみ
- Project 2013 のバックアップのみ
- Publisher 2013 のバックアップのみ
- Visio 2013 のバックアップのみ
- Word 2013 のバックアップのみ
- メモ帳
- ワードパッド
- 共通 2013 のバックアップのみ
- 電卓
- User Experience Virtualization (UE-V) を使用する
- VDI の構成
- Windows アプリを同期しない
- Windows 設定の同期
- ローミング時でも従量課金接続で設定を同期する
- 同期のタイムアウト
- 同期前に設定の保存場所に Ping を送信
- 同期方法の構成
- 従量課金接続で設定を同期する
- 設定の保存パス
- 設定パッケージ サイズの警告しきい値