BitLocker で保護されているリムーバブル ドライブの回復方法を選択する
このポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されているリムーバブル データ ドライブの回復方法を指定できます。このポリシー設定は、BitLocker が有効な場合に適用されます。
[データ回復エージェントを使用する] チェック ボックスを使用して、BitLocker で保護されているリムーバブル データ ドライブにデータ回復エージェントを使用できるかどうかを指定します。データ回復エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターで、[公開キーのポリシー] からデータ回復エージェントを追加しておく必要があります。データ回復エージェントの追加について詳しくは、 Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。
[BitLocker 回復情報のユーザー記憶域の構成] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、必須とするか、禁止するかを指定します。
ユーザーがドライブで BitLocker を有効にするときにユーザーが回復オプションを指定できないようにするには、[BitLocker のセットアップ ウィザードに回復オプションを表示しない] をオンにします。この場合、BitLocker を有効にするときに使用する回復オプションを指定できなくなり、そのドライブの BitLocker 回復オプションはポリシー設定によって決まります。
[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、リムーバブル データ ドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。
コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[リムーバブル データ ドライブ ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。
注: [リムーバブル データ データドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。
このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されているリムーバブル データ ドライブからデータを回復するための方法を制限できます。
このポリシー設定を構成しなかった場合、または無効にした場合、BitLocker による回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。
サポートされるバージョン: Windows 7 以降
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | RDVRecovery |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
bitlockermanagement.admx