オペレーティング システム ドライブの暗号化設定

このポリシー設定を使用して、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。

TPM + PIN による保護を有効にしている場合、セキュリティを強化するために、[システム] / [電源の管理] / [スリープの設定] で次のポリシーを無効にすることを検討してください:
スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)
スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)

TPM がないコンピューターで BitLocker を使用するには、[互換性のある TPM が装備されていない BitLocker を許可する] チェック ボックスをオンにします (Windows 8 以降でサポート)。このモードの場合、起動時にパスワードが要求されます。パスワードを忘れた場合、ドライブにアクセスするにはいずれかの BitLocker 回復オプションを使用する必要があります。

互換性のある TPM を搭載したコンピューターでは、起動時に 2 種類の認証方法を使うことで、暗号化データをさらに保護できます。コンピューターの起動時に、TPM のみを認証に使用することも、4 桁～ 20 桁の暗証番号 (PIN) の入力を求めることもできます。

このポリシー設定を有効にすると、ユーザーはオペレーティング システム ドライブを BitLocker で保護する必要があるため、ドライブが暗号化されます。

このポリシー設定を無効にすると、ユーザーはオペレーティング システム ドライブを BitLocker で保護できなくなります。オペレーティング システム ドライブを暗号化した後でこのポリシーを適用すると、暗号化が解除されることに注意してください。

このポリシーを構成しない場合、オペレーティング システム ドライブを BitLocker で保護する必要はありません。

互換性のある TPM が装備されていない BitLocker を許可する (パスワードが必要)

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	SOFTWARE\Policies\Microsoft\FVE
Value Name	EnableBDEWithNoTPM
Value Type	REG_DWORD
Default Value	1
True Value	1
False Value	0

オペレーティング システム ドライブの保護に使用する情報の選択:

0. TPM のみ
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
   Value Name	OSDriveProtector
   Value Type	REG_DWORD
   Value	1

   Registry Hive	Registry Path:	Value Name	Value Type	Value
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	DisallowStandardUserPINReset	REG_DWORD	1
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UsePartialEncryptionKey	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UsePIN	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseAdvancedStartup	REG_DWORD	1
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPM	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMKey	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMPIN	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMKeyPIN	REG_DWORD	2

1. TPM と PIN
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement
   Value Name	OSDriveProtector
   Value Type	REG_DWORD
   Value	4

   Registry Hive	Registry Path:	Value Name	Value Type	Value
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	DisallowStandardUserPINReset	REG_DWORD	1
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UsePartialEncryptionKey	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UsePIN	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseAdvancedStartup	REG_DWORD	1
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPM	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMKey	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMPIN	REG_DWORD	2
   HKEY_LOCAL_MACHINE	SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement	UseTPMKeyPIN	REG_DWORD	2

TPM が装備されているコンピューターの設定:

スタートアップ PIN の最小桁数の構成

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Microsoft\FVE
Value Name	MinimumPIN
Value Type	REG_DWORD
Default Value	4
Min Value	4
Max Value	20