このポリシー設定を使用すると、BitLocker ドライブ暗号化セットアップ ウィザードを表示して BitLocker 回復オプションを指定できるようにするかどうかを制御できます。このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。このポリシー設定は、BitLocker を有効にすると適用されます。
必要なスタートアップ キー情報がない場合は、2 つの回復オプションを使用して BitLocker で暗号化されたデータのロックを解除できます。ユーザーは、48 桁の数字の回復パスワードを入力するか、256 ビットの回復キーを含む USB フラッシュ ドライブを挿入することもできます。
このポリシー設定を有効にすると、BitLocker で暗号化されたデータを回復するためのセットアップ ウィザードをユーザーに表示するオプションを構成できます。USB フラッシュ ドライブに保存すると、48 桁の回復パスワードはテキスト ファイルとして格納され、256 ビットの回復キーは隠しファイルとして格納されます。フォルダーに保存すると、48 桁の回復パスワードがテキスト ファイルとして格納されます。印刷すると、48 桁の回復パスワードは既定のプリンターに送信されます。たとえば、48 桁の回復パスワードを許可しなければ、ユーザーは回復情報を印刷したりフォルダーに保存したりできません。
このポリシー設定を無効にするか、または構成しない場合、BitLocker セットアップ ウィザードは回復オプションを格納する方法をユーザーに提示します。
注: BitLocker セットアップ中にトラステッド プラットフォーム モジュール (TPM) 初期化が必要な場合は、TPM 所有者情報が BitLocker 回復情報と共に保存または印刷されます。
注: 48 桁の回復パスワードは、FIPS 準拠のモードでは利用できません。
重要: このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。どちらのユーザー回復オプションも許可しない場合は、[Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)] ポリシー設定を有効にして、ポリシー エラーを回避する必要があります。
重要: データの損失を避けるために、BitLocker 暗号化キーを回復する方法を用意しておく必要があります。以下の回復オプションをどちらも許可しない場合は、AD DS への BitLocker 回復情報のバックアップを有効にする必要があります。そうしなければ、ポリシー エラーが発生します。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryPassword |
Value Type | REG_DWORD |
Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 1 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\FVE |
Value Name | UseRecoveryDrive |
Value Type | REG_DWORD |
Value | 0 |
注: 回復パスワードを無効にし回復キーを要求する場合は、ユーザーは USB への保存を行わずに BitLocker を有効にすることはできません。