このポリシー設定では、BitLocker のオペレーティング システム ドライブのプラットフォーム整合性の検証でセキュア ブートを使用できるようにするかどうかを構成できます。
セキュア ブートを使用すると、PC のプリブート環境で、承認済みのソフトウェアの発行元によってデジタル署名されたファームウェアだけが読み込まれるようにすることができます。また、セキュア ブートでは、BitLocker の従来の整合性チェックよりも柔軟にプリブート構成を管理できます。
このポリシー設定を有効にした場合、または構成しなかった場合、プラットフォームがセキュア ブートに基づく整合性チェックに対応していれば、BitLocker でのプラットフォーム整合性の検証にセキュア ブートが使用されます。
このポリシー設定を無効にした場合は、システムがセキュア ブートに基づく整合性チェックに対応していても、従来のプラットフォーム整合性の検証が使用されます。
このポリシーを有効にした場合、ハードウェアが BitLocker のシナリオでのセキュア ブートの使用に対応していれば、[拡張ブート構成データ検証プロファイルを使用する] グループ ポリシーの設定は無視され、BitLocker とは別に構成されたセキュア ブートのポリシー設定に従ってセキュア ブートで BCD 設定が検証されます。
注: [ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループ ポリシー設定を有効にする場合に PCR 7 を省略すると、BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュア ブートが使用されなくなります。
警告: このポリシーを無効にすると、ファームウェアの更新時に BitLocker 回復が実行される可能性があります。このポリシーを無効にした場合は、ファームウェアの更新を適用する前に BitLocker を中断してください。
| Registry Hive | HKEY_LOCAL_MACHINE |
| Registry Path | Software\Policies\Microsoft\FVE |
| Value Name | OSAllowSecureBootForIntegrity |
| Value Type | REG_DWORD |
| Enabled Value | 1 |
| Disabled Value | 0 |