このポリシー設定を使用して、オペレーティング システム ドライブを暗号化する必要があるかどうかを管理できます。
TPM + PIN による保護を有効にしている場合、セキュリティを強化するために、[システム] / [電源の管理] / [スリープの設定] で次のポリシーを無効にすることを検討してください:
スリープ時にスタンバイ状態 (S1-S3) を許可する (電源接続時)
スリープ時にスタンバイ状態 (S1-S3) を許可する (バッテリ使用時)
TPM がないコンピューターで BitLocker を使用するには、[互換性のある TPM が装備されていない BitLocker を許可する] チェック ボックスをオンにします (Windows 8 以降でサポート)。このモードの場合、起動時にパスワードが要求されます。パスワードを忘れた場合、ドライブにアクセスするにはいずれかの BitLocker 回復オプションを使用する必要があります。
互換性のある TPM を搭載したコンピューターでは、起動時に 2 種類の認証方法を使うことで、暗号化データをさらに保護できます。コンピューターの起動時に、TPM のみを認証に使用することも、4 桁~ 20 桁の暗証番号 (PIN) の入力を求めることもできます。
このポリシー設定を有効にすると、ユーザーはオペレーティング システム ドライブを BitLocker で保護する必要があるため、ドライブが暗号化されます。
このポリシー設定を無効にすると、ユーザーはオペレーティング システム ドライブを BitLocker で保護できなくなります。オペレーティング システム ドライブを暗号化した後でこのポリシーを適用すると、暗号化が解除されることに注意してください。
このポリシーを構成しない場合、オペレーティング システム ドライブを BitLocker で保護する必要はありません。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | ShouldEncryptOSDrive |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | EnableBDEWithNoTPM |
Value Type | REG_DWORD |
Default Value | 1 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | OSDriveProtector |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | Registry Path: | Value Name | Value Type | Value |
---|---|---|---|---|
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | DisallowStandardUserPINReset | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePartialEncryptionKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseAdvancedStartup | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPM | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMPIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKeyPIN | REG_DWORD | 2 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement |
Value Name | OSDriveProtector |
Value Type | REG_DWORD |
Value | 4 |
Registry Hive | Registry Path: | Value Name | Value Type | Value |
---|---|---|---|---|
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | DisallowStandardUserPINReset | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePartialEncryptionKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UsePIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseAdvancedStartup | REG_DWORD | 1 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPM | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKey | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMPIN | REG_DWORD | 2 |
HKEY_LOCAL_MACHINE | SOFTWARE\Policies\Microsoft\FVE\MDOPBitLockerManagement | UseTPMKeyPIN | REG_DWORD | 2 |
TPM が装備されているコンピューターの設定:
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Microsoft\FVE |
Value Name | MinimumPIN |
Value Type | REG_DWORD |
Default Value | 4 |
Min Value | 4 |
Max Value | 20 |