Active Directory ドメイン サービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)

このポリシー設定を使用すると、BitLocker ドライブ暗号化回復情報の Active Directory ドメイン サービス (AD DS) バックアップを管理できます。このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。

このポリシー設定を有効にした場合、コンピューターで BitLocker を有効にしたときに、BitLocker 回復情報は通知なしに自動的に AD DS にバックアップされます。このポリシー設定は、BitLocker を有効にすると適用されます。

注: AD DS バックアップを完了するには、最初にドメイン上で適切なスキーマ拡張機能とアクセス制御設定をセットアップしなければならないことがあります。BitLocker の AD DS バックアップのセットアップの詳細については、Microsoft TechNet を参照してください。

BitLocker 回復情報には、回復パスワードと一意の識別子データが含まれています。BitLocker で保護されているドライブの暗号化キーを含むパッケージも、回復情報に含めることができます。このキー パッケージは、1 つまたは複数の回復パスワードでセキュリティが保護されており、ディスクが破損した場合に特別な回復を実行するのに役立ちます。

[AD DS への BitLocker バックアップが必要] オプションを選択すると、コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合は、BitLocker を有効にできません。既定ではこのオプションが選択され、BitLocker 回復を確実に利用できます。このオプションを選択しない場合は、AD DS バックアップは試行されますが、ネットワーク エラーまたは他のバックアップ エラーが発生しても BitLocker セットアップに影響しません。バックアップは自動的に再試行されず、BitLocker セットアップ中に回復パスワードが AD DS に格納されない可能性があります。

このポリシー設定を無効にするか、または構成しない場合、BitLocker 回復情報は AD DS にバックアップされません。

注: BitLocker セットアップ中に、トラステッド プラットフォーム モジュール (TPM) の初期化が実行される場合があります。システム\トラステッド プラットフォーム モジュール サービスで [Active Directory ドメイン サービスへの TPM バックアップを有効にする] ポリシー設定を有効にし、TPM 情報もバックアップされるようにします。

サポートされるバージョン: Windows Server 2008 および Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameActiveDirectoryBackup
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

AD DS への BitLocker バックアップが必要
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\FVE
Value NameRequireActiveDirectoryBackup
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

選択されている場合、バックアップに失敗すると、BitLocker を有効にできません (推奨される既定)。

選択されていない場合、バックアップに失敗しても、BitLocker を有効にできます。バックアップは自動的に再試行されません。

格納する BitLocker 回復情報を選択する:


  1. 回復パスワードとキー パッケージ
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\FVE
    Value NameActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value1
  2. 回復パスワードのみ
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\FVE
    Value NameActiveDirectoryInfoToStore
    Value TypeREG_DWORD
    Value2

回復パスワードは 48 桁の数字で、BitLocker で保護されているドライブへのアクセスのロックを解除します。

キー パッケージには、1 つ以上の回復パスワードによってセキュリティで保護された、ドライブの BitLocker 暗号化キーが含まれています

キー パッケージは、ディスクが破損した場合に特別な回復を実行するのに役立ちます。


volumeencryption.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)