スタートアップ時に追加の認証を要求する (Windows Server 2008 および Windows Vista)

このポリシー設定を使用すると、BitLocker ドライブ暗号化セットアップ ウィザードが、コンピューターを起動するたびに要求される追加の認証方法をセットアップできるようにするかどうかを制御できます。このポリシー設定は、BitLocker を有効にすると適用されます。

注: このポリシーは Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。

互換性のあるトラステッド プラットフォーム モジュール (TPM) が装備されているコンピューターでは、スタートアップ時に 2 種類の認証方法を使用して暗号化されたデータの保護を強化できます。コンピューターが起動すると、ユーザーに、スタートアップ キーが格納された USB フラッシュ ドライブを挿入するように要求できます。また、4 ~ 20 桁のスタートアップ暗証番号 (PIN) を入力するように要求することもできます。

互換性のある TPM が装備されていないコンピューターでは、スタートアップ キーを含む USB フラッシュ ドライブが必要です。TPM が装備されていない場合、BitLocker 暗号化データは、この USB フラッシュ ドライブのキー マテリアルのみで保護されます。

このポリシー設定を有効にすると、ウィザードによって、BitLocker の詳細なスタートアップ オプションを構成できるページが表示されます。TPM が装備されているコンピューターおよび TPM が装備されていないコンピューターについて、さらに設定オプションを構成できます。

このポリシー設定を無効にするか、または構成しない場合、BitLocker セットアップ ウィザードは、TPM が装備されているコンピューターで BitLocker を有効にできる基本的な手順を表示します。この基本のウィザードでは、追加のスタートアップ キーまたはスタートアップ PIN は構成できません。

サポートされるバージョン: Windows Server 2008 および Windows Vista

互換性のある TPM が装備されていない BitLocker を許可する (USB フラッシュ ドライブでパスワードまたはスタートアップ キーが必要)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableNonTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

TPM が装備されているコンピューターの設定:

TPM スタートアップ キーの構成:


  1. TPM でスタートアップ キーを許可する
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value2
  2. TPM でスタートアップ キーを要求する
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value1
  3. TPM でスタートアップ キーを許可しない
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value0

TPM スタートアップ PIN の構成:


  1. TPM でスタートアップ PIN を許可する
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value2
  2. TPM でスタートアップ PIN を要求する
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value1
  3. TPM でスタートアップ PIN を許可しない
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value0

重要: スタートアップ キーが必要な場合は、スタートアップ PIN を許可しないようにする必要があります。

スタートアップ PIN が必要な場合は、スタートアップ キーを許可しないようにする必要があります。そうしなければ、ポリシー エラーが発生します。

注: スタートアップ PIN とスタートアップ キー オプションの両方を無効にして、TPM が装備されているコンピューターの詳細設定のページを非表示にします。


volumeencryption.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)