表示名をここに入力する説明をここに入力するこのポリシー設定を使用すると、BitLocker ドライブ暗号化回復情報の Active Directory ドメインサービス (AD DS) バックアップを管理できます。このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。このポリシー設定は、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。このポリシー設定を有効にした場合、コンピューターで BitLocker を有効にしたときに、BitLocker 回復情報は通知なしに自動的に AD DS にバックアップされます。このポリシー設定は、BitLocker を有効にすると適用されます。注: AD DS バックアップを完了するには、最初にドメイン上で適切なスキーマ拡張機能とアクセス制御設定をセットアップしなければならないことがあります。BitLocker の AD DS バックアップのセットアップの詳細については、Microsoft TechNet を参照してください。 BitLocker 回復情報には、回復パスワードと一意の識別子データが含まれています。BitLocker で保護されているドライブの暗号化キーを含むパッケージも、回復情報に含めることができます。このキーパッケージは、1 つまたは複数の回復パスワードでセキュリティが保護されており、ディスクが破損した場合に特別な回復を実行するのに役立ちます。 [AD DS への BitLocker バックアップが必要] オプションを選択すると、コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合は、BitLocker を有効にできません。既定ではこのオプションが選択され、BitLocker 回復を確実に利用できます。このオプションを選択しない場合は、AD DS バックアップは試行されますが、ネットワークエラーまたは他のバックアップエラーが発生しても BitLocker セットアップに影響しません。バックアップは自動的に再試行されず、BitLocker セットアップ中に回復パスワードが AD DS に格納されない可能性があります。このポリシー設定を無効にするか、または構成しない場合、BitLocker 回復情報は AD DS にバックアップされません。注: BitLocker セットアップ中に、トラステッドプラットフォームモジュール (TPM) の初期化が実行される場合があります。システム\トラステッドプラットフォームモジュールサービスで [Active Directory ドメインサービスへの TPM バックアップを有効にする] ポリシー設定を有効にし、TPM 情報もバックアップされるようにします。 Active Directory Domain Servicesに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista) 回復パスワードとキーパッケージ回復パスワードのみこのポリシー設定を使用すると、BitLocker ドライブ暗号化セットアップウィザードが、コンピューターを起動するたびに要求される追加の認証方法をセットアップできるようにするかどうかを制御できます。このポリシー設定は、BitLocker を有効にすると適用されます。注: このポリシーは Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。互換性のあるトラステッドプラットフォームモジュール (TPM) が装備されているコンピューターでは、スタートアップ時に 2 種類の認証方法を使用して暗号化されたデータの保護を強化できます。コンピューターが起動すると、ユーザーに、スタートアップキーが格納された USB フラッシュドライブを挿入するように要求できます。また、4 桁から 20 桁のスタートアップ PIN を入力するように要求することもできます。互換性のある TPM が装備されていないコンピューターでは、スタートアップキーを含む USB フラッシュドライブが必要です。TPM が装備されていない場合、BitLocker 暗号化データは、この USB フラッシュドライブのキーマテリアルのみで保護されます。このポリシー設定を有効にすると、ウィザードによって、BitLocker の詳細なスタートアップオプションを構成できるページが表示されます。TPM が装備されているコンピューターおよび TPM が装備されていないコンピューターについて、さらに設定オプションを構成できます。このポリシー設定を無効にするか、または構成しない場合、BitLocker セットアップウィザードは、TPM が装備されているコンピューターで BitLocker を有効にできる基本的な手順を表示します。この基本のウィザードでは、追加のスタートアップキーまたはスタートアップ PIN は構成できません。スタートアップ時に追加の認証を要求する (Windows Server 2008 および Windows Vista) スタートアップ時に追加の認証を要求するこのポリシー設定を使用すると、コンピューターを起動するたびに BitLocker で追加の認証を要求するかどうか、および BitLocker をトラステッドプラットフォームモジュール (TPM) と併用するかどうかを構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。注: スタートアップ時に要求できる追加の認証オプションは 1 つだけです。複数のオプションを追加すると、ポリシーエラーが発生します。TPM が装備されていないコンピューターで BitLocker を使用する場合は、[互換性のある TPM が装備されていない BitLocker を許可する] チェックボックスをオンにします。このモードでは、スタートアップにパスワードまたは USB ドライブが必要です。スタートアップキーを使用する場合、ドライブの暗号化に使用されるキー情報は USB ドライブに格納され、USB キーが作成されます。USB キーが挿入されると、ドライブへのアクセスが認証され、ドライブにアクセスできるようになります。USB キーが失われたり、使用できなくなった場合、またはパスワードを忘れた場合は、BitLocker 回復オプションのいずれかを使用してドライブにアクセスする必要があります。互換性のある TPM が装備されているコンピューターでは、スタートアップ時に 4 種類の認証方法を使用して暗号化されたデータの保護を強化できます。コンピューターの起動時に、認証に TPM のみを使用することも、スタートアップキーを含む USB フラッシュドライブの挿入または 6 桁から 20 桁の PIN の入力、あるいはその両方を要求することもできます。このポリシー設定を有効にすると、BitLocker セットアップウィザードで詳細なスタートアップオプションを構成できます。このポリシー設定を無効にするか、または構成しない場合、TPM が装備されているコンピューターで基本オプションのみを構成できます。注: スタートアップ PIN および USB フラッシュドライブを使用する必要がある場合は、BitLocker ドライブ暗号化セットアップウィザードではなく、コマンドラインツール manage-bde を使用して BitLocker 設定を構成する必要があります。スタートアップ時にネットワークロック解除を許可するこのポリシー設定では、信頼されたワイヤード (有線) ローカルエリアネットワーク (LAN) に接続されてドメインに参加している BitLocker で保護されたコンピューターで、TPM が有効なコンピューターに対するネットワークキー保護機能を作成および使用して、そのコンピューターの起動時にオペレーティングシステムドライブのロックを自動的に解除できるかどうかを制御します。このポリシーを有効にした場合、BitLocker ネットワークロック解除証明書が構成されたクライアントでネットワークキー保護機能を作成および使用できます。コンピューターのロックを解除するためのネットワークキー保護機能を使用するには、コンピューターと BitLocker ドライブ暗号化ネットワークロック解除サーバーの両方でネットワークロック解除証明書を用意する必要があります。ネットワークロック解除証明書は、ネットワークキー保護機能を作成するときに、コンピューターのロックを解除するためにサーバーと交換される情報を保護する目的で使用されます。この証明書は、ドメインコントローラーの [コンピューターの構成\Windows の設定\セキュリティの設定\公開キーのポリシー\BitLocker ドライブ暗号化ネットワークロック解除証明書] グループポリシー設定を使用して組織のコンピューターに配布できます。このロック解除方法ではコンピューター上の TPM を使用するため、TPM がないコンピューターでは、ネットワークロック解除で自動的にロックを解除するためのネットワークキー保護機能を作成できません。このポリシー設定を無効にした場合、または構成しなかった場合は、BitLocker クライアントでネットワークキー保護機能を作成および使用することはできません。注: 信頼性とセキュリティを高めるために、スタートアップ時にコンピューターがワイヤード (有線) ネットワークやサーバーから切断されている場合に使用できる TPM スタートアップ PIN も構成しておくことをお勧めします。 TPM でスタートアップキーと PIN を許可する TPM でスタートアップキーと PIN を要求する TPM でスタートアップキーと PIN を許可しない TPM を許可する TPM を要求する TPM を許可しない TPM でスタートアップ PIN を許可する TPM でスタートアップ PIN を要求する TPM でスタートアップ PIN を許可しない TPM でスタートアップキーを許可する TPM でスタートアップキーを要求する TPM でスタートアップキーを許可しないこのポリシー設定を使用すると、BitLocker ドライブ暗号化セットアップウィザードを表示して BitLocker 回復オプションを指定できるようにするかどうかを制御できます。このポリシーは、Windows Server 2008 または Windows Vista を実行しているコンピューターにのみ適用できます。このポリシー設定は、BitLocker を有効にすると適用されます。必要なスタートアップキー情報がない場合は、2 つの回復オプションを使用して BitLocker で暗号化されたデータのロックを解除できます。ユーザーは、48 桁の数字の回復パスワードを入力するか、256 ビットの回復キーを含む USB フラッシュドライブを挿入することもできます。このポリシー設定を有効にすると、BitLocker で暗号化されたデータを回復するためのセットアップウィザードをユーザーに表示するオプションを構成できます。USB フラッシュドライブに保存すると、48 桁の回復パスワードはテキストファイルとして格納され、256 ビットの回復キーは隠しファイルとして格納されます。フォルダーに保存すると、48 桁の回復パスワードがテキストファイルとして格納されます。印刷すると、48 桁の回復パスワードは既定のプリンターに送信されます。たとえば、48 桁の回復パスワードを許可しなければ、ユーザーは回復情報を印刷したりフォルダーに保存したりできません。このポリシー設定を無効にするか、または構成しない場合、BitLocker セットアップウィザードは回復オプションを格納する方法をユーザーに提示します。注: BitLocker セットアップ中にトラステッドプラットフォームモジュール (TPM) 初期化が必要な場合は、TPM 所有者情報が BitLocker 回復情報と共に保存または印刷されます。注: 48 桁の回復パスワードは、FIPS 準拠のモードでは利用できません。重要: このポリシー設定には、キー情報がないことが原因でデータが損失するのを防ぐために BitLocker で暗号化されたデータを回復するための管理方法が用意されています。どちらのユーザー回復オプションも許可しない場合は、[Active Directory Domain Servicesに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)] ポリシー設定を有効にして、ポリシーエラーを回避する必要があります。 BitLocker で保護されているドライブの回復方法を選択する (Windows Server 2008 および Windows Vista) 回復パスワードを要求する (既定) 回復パスワードを許可しない回復キーを要求する (既定) 回復キーを許可しない BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択するこのポリシー設定を使用すると、必要なスタートアップキー情報がない場合に BitLocker で保護されているオペレーティングシステムドライブを回復する方法を制御できます。このポリシー設定は、BitLocker を有効にすると適用されます。 BitLocker で保護されているオペレーティングシステムドライブでデータ回復エージェントを使用できるかどうかは、[証明書に基づくデータ回復エージェントを許可する] チェックボックスで指定します。データ回復エージェントを使用するには、グループポリシー管理コンソールまたはローカルグループポリシーエディターで公開キーのポリシー項目からデータ回復エージェントを追加する必要があります。データ回復エージェントの追加の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。 [BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。ドライブで BitLocker を有効にする場合にユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップウィザードの回復オプションを省略する] を選択します。この場合、BitLocker が有効にするときに使用する回復オプションを指定できなくなり、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。 [Active Directory Domain Services に BitLocker 回復情報を保存する] で、オペレーティングシステムドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキーパッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキーパッケージの両方が AD DS に格納されます。キーパッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS にオペレーティングシステムドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスをオンにします。注: [AD DS にオペレーティングシステムドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスがオンの場合、回復パスワードは自動的に生成されます。このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されているオペレーティングシステムドライブからデータを回復する方法を制御できます。このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker の回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。 48 桁の回復パスワードを要求する 48 桁の回復パスワードを許可する 48 桁の回復パスワードを許可しない 256 ビットの回復キーを要求する 256 ビットの回復キーを許可しない 256 ビットの回復キーを許可する BitLocker で保護されている固定ドライブの回復方法を選択するこのポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されている固定データドライブを回復する方法を制御できます。このポリシー設定は、BitLocker を有効にすると適用されます。 BitLocker で保護されている固定データドライブでデータ回復エージェントを使用できるかどうかは、[データ回復エージェントを許可する] チェックボックスで指定します。データ回復エージェントを使用するには、グループポリシー管理コンソールまたはローカルグループポリシーエディターで公開キーのポリシー項目からデータ回復エージェントを追加する必要があります。データ回復エージェントの追加の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。 [BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。ドライブで BitLocker を有効にする場合にユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップウィザードの回復オプションを省略する] を選択します。この場合、BitLocker が有効にするときに使用する回復オプションを指定できなくなり、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。 [Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、固定データドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキーパッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキーパッケージの両方が AD DS に格納されます。キーパッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS に固定データドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスをオンにします。注: [AD DS に固定データドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスがオンの場合、回復パスワードは自動的に生成されます。このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されている固定データドライブからデータを回復する方法を制御できます。このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker の回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。 48 桁の回復パスワードを要求する 48 桁の回復パスワードを許可する 48 桁の回復パスワードを許可しない 256 ビットの回復キーを要求する 256 ビットの回復キーを許可しない 256 ビットの回復キーを許可する BitLocker で保護されているリムーバブルドライブの回復方法を選択するこのポリシー設定を使用すると、必要な資格情報がない場合に BitLocker で保護されている固定データドライブを回復する方法を制御できます。このポリシー設定は、BitLocker を有効にすると適用されます。 BitLocker で保護されている固定データドライブでデータ回復エージェントを使用できるかどうかは、[データ回復エージェントを許可する] チェックボックスで指定します。データ回復エージェントを使用するには、グループポリシー管理コンソールまたはローカルグループポリシーエディターで公開キーのポリシー項目からデータ回復エージェントを追加する必要があります。データ回復エージェントの追加の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。 [BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。ドライブで BitLocker を有効にする場合にユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップウィザードの回復オプションを省略する] を選択します。この場合、BitLocker が有効にするときに使用する回復オプションを指定できなくなり、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。 [Active Directory Domain Servicesに BitLocker 回復情報を保存する] で、固定データドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキーパッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキーパッケージの両方が AD DS に格納されます。キーパッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[AD DS に固定データドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスをオンにします。注: [AD DS に固定データドライブの回復情報が格納されるまで BitLocker を有効にしない] チェックボックスがオンの場合、回復パスワードは自動的に生成されます。このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されている固定データドライブからデータを回復する方法を制御できます。このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker の回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。 48 桁の回復パスワードを要求する 48 桁の回復パスワードを許可する 48 桁の回復パスワードを許可しない 256 ビットの回復キーを要求する 256 ビットの回復キーを許可しない 256 ビットの回復キーを許可するこのポリシー設定を使用すると、BitLocker ドライブ暗号化セットアップウィザードにより回復パスワードを保存するフォルダーの場所の入力がユーザーに要求されたときに表示される、既定のパスを指定できます。このポリシー設定は、BitLocker を有効にすると適用されます。このポリシー設定を有効にした場合、ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、既定のフォルダーの場所として使用されるパスを指定できます。完全修飾パスを指定することも、対象となるコンピューターの環境変数をパスに含めることもできます。指定されたパスが有効でない場合、BitLocker セットアップウィザードはコンピューターのトップレベルフォルダービューを表示します。このポリシー設定を無効にするか、または構成しない場合、BitLocker セットアップウィザードは、ユーザーが回復パスワードをフォルダーに保存するオプションを選択したときに、コンピューターのトップレベルフォルダービューを表示します。注: このポリシー設定を有効にしても、ユーザーが回復パスワードを別のフォルダーに保存することは妨げられません。回復パスワードの既定のフォルダーを選択するこのポリシー設定を使用すると、BitLocker ドライブ暗号化で使用されるアルゴリズムと暗号強度を構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化方法を変更しても影響はありません。使用可能な暗号化方法の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。このポリシーは、Windows Server 2008、Windows Vista、Windows Server 2008 R2、または Windows 7 を実行しているコンピューターにのみ適用できます。このポリシー設定を有効にすると、BitLocker がドライブの暗号化に使用する暗号化アルゴリズムおよびキーの暗号強度を選択できます。このポリシー設定を無効にするか、または構成しない場合、BitLocker は、ディフューザーを使用した AES 128 ビットの既定の暗号化方法か、セットアップスクリプトで指定された暗号化方法を使用します。このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用されるアルゴリズムと暗号強度を構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されている場合または暗号化が進行中の場合は、暗号化方法を変更しても影響はありません。使用可能な暗号化方法の詳細については、Microsoft TechNet の BitLocker ドライブ暗号化の展開ガイドを参照してください。このポリシーは、Windows 8 以降を実行しているコンピューターにのみ適用できます。このポリシー設定を有効にした場合、BitLocker がドライブの暗号化に使用する暗号化アルゴリズムおよびキーの暗号強度を選択できます。このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker は、"ドライブの暗号化方法と暗号強度を選択する (Windows Vista、Windows Server 2008、Windows 7)" ポリシー設定とビット強度 (128 ビットまたは 256 ビット) が同じ AES が設定されていればそれを使用します。いずれのポリシーも設定されていない場合、BitLocker は、既定の暗号化方法である AES 128 ビット、またはセットアップスクリプトで指定された暗号化方法を使用します。このポリシー設定を使用すると、BitLocker ドライブ暗号化で使用されるアルゴリズムと暗号強度を構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化方法を変更しても影響はありません。このポリシー設定を有効にすると、固定データドライブ、オペレーティングシステムドライブ、リムーバブルデータドライブの暗号化アルゴリズムおよびキーの暗号強度を別々に構成できます。固定ドライブとオペレーティングシステムドライブでは、XTS-AES アルゴリズムの使用をお勧めします。リムーバブルドライブでは、Windows 10 (Version 1511) が実行されていない他のデバイスで使用する場合、AES-CBC 128 ビットまたは AES-CBC 256 ビットを使用する必要があります。このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker は、"ドライブの暗号化方法と暗号強度を選択する (Windows Vista、Windows Server 2008、Windows 7)" ポリシー設定および "ドライブの暗号化方法と暗号強度を選択する" ポリシー設定が設定されていれば、これら (ここに示した順序で) と同じビット強度 (128 ビットまたは 256 ビット) の AES を使用します。いずれのポリシーも設定されていない場合、BitLocker は、既定の暗号化方法である XTS-AES 128 ビット、またはセットアップスクリプトで指定された暗号化方法を使用します。ドライブの暗号化方法と暗号強度を選択する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2) ドライブの暗号化方法と暗号強度を選択する (Windows 8、Windows Server 2012、Windows 8.1、Windows Server 2012 R2、Windows 10 [Version 1507]) ドライブの暗号化方法と暗号強度を選択してください (Windows 10 [Version 1511] 以降) ディフューザーを使用した AES 128 ビットディフューザーを使用した AES 256 ビット AES 128 ビット (既定) AES-CBC 128 ビット AES-CBC 128 ビット (既定) AES 256 ビット AES-CBC 256 ビット XTS-AES 128 ビット (既定) XTS-AES 128 ビット XTS-AES 256 ビット BitLocker ドライブ暗号化このポリシー設定を使用すると、コンピューターのトラステッドプラットフォームモジュール (TPM) セキュリティハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。 BitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker の暗号化オペレーティングシステムドライブへのアクセスのロックを解除する前に TPM が検証するブートコンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。このポリシー設定を無効にするか、または構成しない場合、TPM では、既定のプラットフォーム検証プロファイルか、セットアップスクリプトで指定されたプラットフォーム検証プロファイルを使用します。プラットフォーム検証プロファイルは、0 ～ 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。既定のプラットフォーム検証プロファイルは、コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 (PCR 0)、オプション ROM コード (PCR 2)、マスターブートレコード (MBR) コード (PCR 4)、NTFS ブートセクター (PCR 8)、NTFS ブートブロック (PCR 9)、ブートマネージャー (PCR 10)、および BitLocker アクセスコントロール (PCR 11) に対する変更から暗号化キーを保護します。拡張ファームウェアインターフェイス (EFI) を使用するコンピューターの PCR 設定の記述は、標準 BIOS を使用するコンピューター用に記述された PCR 設定とは異なります。警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。 TPM プラットフォーム検証プロファイルを構成する (Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2) このポリシー設定を使用すると、コンピューターのトラステッドプラットフォームモジュール (TPM) セキュリティハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。重要: このグループポリシーは、BIOS 構成を使用するコンピューターまたは互換性サービスモジュール (CSM) が有効な UEFI ファームウェアを使用するコンピューターにのみ適用されます。ネイティブの UEFI ファームウェア構成を使用するコンピューターでは、プラットフォーム構成レジスタ (PCR) に格納される値が異なります。ネイティブの UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成する場合は、[ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループポリシー設定を使用してください。 BitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker の暗号化オペレーティングシステムドライブへのアクセスのロックを解除する前に TPM が検証するブートコンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。このポリシー設定を無効にするか、または構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルか、セットアップスクリプトで指定されたプラットフォーム検証プロファイルを使用します。プラットフォーム検証プロファイルは、0 ～ 23 の範囲のプラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。既定のプラットフォーム検証プロファイルは、コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 (PCR 0)、オプション ROM コード (PCR 2)、マスターブートレコード (MBR) コード (PCR 4)、NTFS ブートセクター (PCR 8)、NTFS ブートブロック (PCR 9)、ブートマネージャー (PCR 10)、および BitLocker アクセスコントロール (PCR 11) に対する変更から暗号化キーを保護します。警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。 BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成するこのポリシー設定を使用すると、コンピューターのトラステッドプラットフォームモジュール (TPM) セキュリティハードウェアが BitLocker の暗号化キーをセキュリティで保護する方法を構成できます。コンピューターに互換性のある TPM が装備されていない場合、または BitLocker の TPM 保護が既に有効になっている場合は、このポリシー設定は適用されません。重要: このグループポリシーは、ネイティブの UEFI ファームウェア構成を使用するコンピューターにのみ適用されます。BIOS を使用するコンピューターまたは互換性サービスモジュール (CSM) が有効な UEFI ファームウェアを使用するコンピューターでは、プラットフォーム構成レジスタ (PCR) に格納される値が異なります。BIOS 構成を使用するコンピューターまたは CSM が有効な UEFI ファームウェアを使用するコンピューターの TPM PCR プロファイルを構成する場合は、[BIOS ベースのファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループポリシー設定を使用してください。 BitLocker を有効にする前にこのポリシー設定を有効にすると、BitLocker の暗号化オペレーティングシステムドライブへのアクセスのロックを解除する前に TPM が検証するブートコンポーネントを構成できます。BitLocker の保護が有効になっている間にこれらのコンポーネントのいずれかが変更された場合、TPM は、ドライブのロックを解除するための暗号化キーを解放せず、代わりにコンピューターは BitLocker 回復コンソールを表示し、ドライブのロックを解除するための回復パスワードまたは回復キーの指定を要求します。このポリシー設定を無効にするか、または構成しない場合、BitLocker では、既定のプラットフォーム検証プロファイルか、セットアップスクリプトで指定されたプラットフォーム検証プロファイルが使用されます。プラットフォーム検証プロファイルは、0 から 23 までの範囲のプラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。セキュアブートの状態 (PCR 7) をサポートしていない PC の場合、既定のプラットフォーム検証プロファイルは、コアシステムファームウェアの実行可能コード (PCR 0)、拡張またはプラグ可能な実行可能コード (PCR 2)、ブートマネージャー (PCR 4)、および BitLocker アクセスコントロール (PCR 11) に対する変更から暗号化キーを保護します。セキュアブートの状態 (PCR7) がサポートされている場合、既定のプラットフォーム検証プロファイルは、セキュアブートの状態 (PCR 7) と BitLocker アクセスコントロール (PCR 11) を使用して暗号化キーをセキュリティで保護します。警告: 既定のプラットフォーム検証プロファイルを変更すると、コンピューターのセキュリティと管理性に影響します。プラットフォームの (悪意があるまたは認可された) 変更に対する BitLocker の感度は、PCR が含まれているか含まれていないかに応じて、それぞれ高くなったり低くなったりします。具体的には、このポリシーの設定で PCR 7 を省略すると、[セキュアブートによる整合性の検証を許可する] グループポリシーが無効になり、BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュアブートが使用されなくなります。このポリシーを設定すると、ファームウェアの更新時に BitLocker 回復が実行される可能性があります。このポリシーの設定で PCR 0 を含めた場合は、ファームウェアの更新を適用する前に BitLocker を中断してください。 PC で使用可能なハードウェアに基づいて、セキュリティと利便性の最適な組み合わせの PCR プロファイルを Windows が選択できるように、このポリシーを未構成のままにすることをお勧めします。ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成するこのポリシー設定は、コンピューターの再起動時の速さを制御しますが、BitLocker の機密が漏洩する危険があります。このポリシー設定は、BitLocker を有効にすると適用されます。BitLocker の機密情報には、データの暗号化に使用されるキーマテリアルが含まれます。このポリシー設定は、BitLocker 保護が有効な場合に限り適用されます。このポリシー設定を有効にすると、コンピューターの再起動時にメモリが上書きされません。メモリの上書きを回避することで、再起動時のパフォーマンスが向上する可能性がありますが、BitLocker の機密情報が公開される危険性が増します。このポリシー設定を無効にするか、または構成しない場合は、コンピューターの再起動時に、BitLocker の機密情報がメモリから削除されます。再起動時のメモリ上書きの回避このポリシー設定を使用すると、ユーザーが Windows にログインするまで、すべての Thunderbolt ホットプラグ対応 PCI ダウンストリームポートの直接メモリアクセス (DMA) をブロックできます。ユーザーがログインすると、Windows はホストの Thunderbolt 対応 PCI ポートに接続されている PCI デバイスを列挙します。ユーザーがコンピューターをロックするたびに、DMA はユーザーが再びログインするまで、子デバイスのない Thunderbolt ホットプラグ対応 PCI ポートでブロックされます。コンピューターがロック解除された時点で既に列挙されていたデバイスは、取り外されるまで、またはシステムが再起動するか休止状態になるまで機能し続けます。このポリシー設定は、BitLocker またはデバイスの暗号化が有効になっている場合にのみ適用されます。メモ: 新しいデバイスを Windows に公開する前に、新しく接続された Thunderbolt デバイスに対してシステムファームウェアで DMA が有効になった場合、一部の PC はこのポリシーと互換性がない場合があります。このコンピューターがロックされているときに新しい DMA デバイスを無効にするオペレーティングシステムのドライブ固定データドライブリムーバブルデータドライブ組織に一意の識別子を提供するこのポリシー設定を使用すると、BitLocker が有効な新しいドライブに、一意の組織 ID を関連付けることができます。これらの ID は、ID フィールドおよび許可された ID フィールドとして格納されます。ID フィールドを使用すると、一意の組織 ID と BitLocker で保護されているドライブを関連付けることができます。この ID は、BitLocker で保護されている新しいドライブには自動的に追加され、BitLocker で保護されている既存のドライブについては manage-bde コマンドラインツールを使用して更新できます。ID フィールドは、BitLocker で保護されているドライブでの証明書に基づくデータ回復エージェントの管理、および BitLocker To Go リーダーに対して行われる可能性のある更新に必要です。BitLocker は、ドライブの ID フィールドが ID フィールドで構成されている値と一致するときに限り、データ回復エージェントを管理および更新します。同様に、BitLocker は、ドライブの ID フィールドが ID フィールドに対して構成されている値と一致するときに限り、BitLocker To Go リーダーを更新します。許可された ID フィールドは、[BitLocker で保護されていないリムーバブルドライブへの書き込みアクセスを拒否する] ポリシー設定と組み合わせて使用され、組織でのリムーバブルドライブの使用を管理するのに役立ちます。許可された ID フィールドは、自分の組織または他の外部組織からの ID フィールドのコンマ区切りの一覧です。既存のドライブの ID フィールドは、manage-bde.exe を使用して構成できます。このポリシー設定を有効にすると、BitLocker で保護されているドライブの ID フィールド、および組織で使用される許可された ID フィールドを構成できます。 BitLocker で保護されているドライブが、別の BitLocker が有効なコンピューターでマウントされるとき、ID フィールドおよび許可された ID フィールドは、そのドライブが外部の組織のものかどうかを判別するのに使用されます。このポリシー設定を無効にした場合、または構成しなかった場合、ID フィールドは必要ありません。注: BitLocker で保護されているドライブでの証明書に基づくデータ回復エージェントの管理には、ID フィールドが必要です。BitLocker は、ID フィールドがドライブに存在し、コンピューターで構成されている値と一致するときに限り、証明書に基づくデータ回復エージェントを管理および更新します。ID フィールドには、260 文字以下の任意の値を使用できます。スマートカード証明書の使用規則の準拠を検証するこのポリシー設定を使用すると、スマートカード証明書のオブジェクト識別子 (OID) を、BitLocker で保護されているドライブに関連付けることができます。このポリシー設定は、BitLocker を有効にすると適用されます。 OID は、証明書の拡張キー使用法 (EKU) で指定されます。 BitLocker は、証明書の OID と、このポリシー設定で定義されている OID を照合することにより、BitLocker で保護されているドライブに対するユーザー証明書の認証に使用できる証明書を識別できます。既定の OID は 1.3.6.1.4.1.311.67.1.1 です。注: 証明書に EKU 属性があることは BitLocker において必須ではありませんが、証明書に対して EKU 属性が構成されている場合は、BitLocker 用に構成した OID と同じ OID に設定されている必要があります。このポリシー設定を有効にした場合は、[オブジェクトの識別子] ボックスで指定されている OID が、スマートカード証明書の OID と一致する必要があります。このポリシー設定を無効にするか、または構成しない場合、既定の OID が使用されます。拡張ブート構成データ検証プロファイルを使用するこのポリシー設定では、プラットフォーム検証で検証する特定のブート構成データ (BCD) 設定を選択できます。このポリシー設定を有効にした場合、他の設定の追加、既定の設定の削除、またはその両方を行えるようになります。このポリシー設定を無効にした場合は、Windows 7 で使用される既定の BCD プロファイルと同様の BCD プロファイルに戻ります。このポリシー設定を構成しなかった場合は、Windows の既定の BCD 設定が検証されます。注: BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュアブートを使用するように [セキュアブートによる整合性の検証を許可する] グループポリシーで定義している場合、[拡張ブート構成データ検証プロファイルを使用する] グループポリシーは無視されます。ブートのデバッグを制御する設定 (0x16000010) は常に検証され、指定されたフィールドに含まれていても反映されません。回復パスワードとキーパッケージを保存する回復パスワードのみ保存するスタートアップに対する PIN の長さの最小値を構成するこのポリシー設定を使用すると、トラステッドプラットフォームモジュール (TPM) のスタートアップ PIN の最小の長さを構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。スタートアップ PIN の長さの許容範囲は、4 桁から 20 桁です。このポリシー設定を有効にすると、スタートアップ PIN を設定するときに使用する最小桁数の要件を適用できます。このポリシー設定を無効にするか、または構成しない場合、ユーザーは 6 桁から 20 桁の範囲で任意の長さのスタートアップ PIN を構成できます。注意: PIN の最小の長さを 6 桁未満に設定した場合、PIN が変更されると、Windows は TPM 2.0 ロックアウト期間を既定値より長くなるように更新します。更新に成功した場合、TPM がリセットされたときに、Windows は TPM ロックアウト期間の既定値へのリセットのみを行います。証明書に基づくデータ回復エージェントを許可する BitLocker で保護されていない固定ドライブへの書き込みアクセスを拒否するこのポリシー設定は、固定データドライブをコンピューターで書き込み可能にするために BitLocker の保護が必要かどうかを決定します。このポリシー設定を有効にした場合、BitLocker で保護されていないすべての固定データドライブは、読み取り専用としてマウントされます。ドライブが BitLocker で保護されている場合は、読み取りおよび書き込みのアクセスでマウントされます。このポリシー設定を無効にするか、または構成しない場合、コンピューターのすべての固定データドライブが読み取りおよび書き込みのアクセスでマウントされます。固定データドライブのパスワードの使用を構成するこのポリシー設定では、BitLocker で保護されている固定データドライブのロックを解除するときにパスワードを要求するかどうかを指定します。パスワードを使用する場合は、パスワードを必須にしたり、パスワードに複雑さの要件を強制したり、パスワードの長さの最小値を構成したりできます。複雑さの要件の設定を有効にするには、"コンピューターの構成\Windows の設定\セキュリティの設定\アカウントポリシー\パスワードのポリシー" にある [複雑さの要件を満たす必要があるパスワード] グループポリシー設定も有効にする必要があります。注: これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。このポリシー設定を有効にした場合、ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの使用を必須にするには、[固定データドライブに対してパスワードを要求する] を選択します。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。 [複雑さを要求する] に設定すると、BitLocker が有効な場合に、パスワードの複雑さを検証するためにドメインコントローラーへの接続が必須になります。[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメインコントローラーへの接続が試行されますが、ドメインコントローラーが見つからなかった場合でも、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。このポリシー設定を無効にした場合、ユーザーはパスワードを使用できません。このポリシー設定を構成しなかった場合は、既定の設定 (パスワードの複雑さの要件なし、長さの最小値は 8 文字) でパスワードがサポートされます。注: FIPS 準拠が有効な場合はパスワードは使用できません。FIPS 準拠を有効にするかどうかは、"コンピューターの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティオプション" にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定されます。オペレーティングシステムドライブのパスワードの使用を構成するこのポリシー設定では、BitLocker で保護されているオペレーティングシステムドライブのロックを解除するときに使用するパスワードの制約を指定します。オペレーティングシステムドライブで TPM 以外の保護機能を使用できる場合、パスワードを設定したり、パスワードに複雑さの要件を強制したり、パスワードの長さの最小値を構成したりできます。複雑さの要件の設定を有効にするには、"コンピューターの構成\Windows の設定\セキュリティの設定\アカウントポリシー\パスワードのポリシー" にある [複雑さの要件を満たす必要があるパスワード] グループポリシー設定も有効にする必要があります。注: これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。このポリシー設定を有効にした場合、ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。 [複雑さを要求する] に設定すると、BitLocker が有効な場合に、パスワードの複雑さを検証するためにドメインコントローラーへの接続が必須になります。[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメインコントローラーへの接続が試行されますが、ドメインコントローラーが見つからなかった場合でも、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。このポリシー設定を無効にした場合、または構成しなかった場合は、オペレーティングシステムドライブのパスワードの長さの制約は既定の 8 文字になり、複雑さのチェックは行われません。注: FIPS 準拠が有効な場合はパスワードは使用できません。FIPS 準拠を有効にするかどうかは、"コンピューターの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティオプション" にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定されます。パスワードの複雑さを許可するパスワードの複雑さを許可しないパスワードの複雑さを必要とする回復パスワードとキーパッケージをバックアップする回復パスワードのみバックアップする BitLocker で保護されている固定データドライブに対する以前のバージョンの Windows からのアクセスを許可するこのポリシー設定では、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) の各オペレーティングシステムを実行しているコンピューターで、FAT ファイルシステムでフォーマットされた固定データドライブのロックを解除して表示できるようにするかどうかを構成します。このポリシー設定を有効にした場合、または構成しなかった場合は、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイルシステムでフォーマットされた固定データドライブのロックを解除してその内容を表示することができます。BitLocker で保護されているドライブに対するこれらのオペレーティングシステムからのアクセスは読み取り専用になります。このポリシー設定を有効にした場合に、ユーザーによって固定ドライブから BitLocker To Go リーダーが実行されないようにするには、[FAT 形式の固定ドライブに BitLocker To Go リーダーをインストールしない] チェックボックスをオンにします。ID フィールドが指定されていないドライブに BitLocker To Go リーダー (bitlockertogo.exe) が存在する場合、またはドライブに [組織の一意な識別子を指定する] ポリシー設定と同じ ID フィールドが指定されている場合、ユーザーは BitLocker を更新するよう求められ、BitLocker To Go リーダーがドライブから削除されます。この場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで固定ドライブのロックを解除するには、そのコンピューターに BitLocker To Go リーダーがインストールされている必要があります。このチェックボックスをオフにすると、BitLocker To Go リーダーがインストールされていない固定ドライブに BitLocker To Go リーダーがインストールされ、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターでドライブのロックを解除できるようになります。このポリシー設定を無効にした場合は、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、BitLocker で保護されている FAT ファイルシステム形式の固定データドライブのロックを解除できません。bitlockertogo.exe はインストールされません。注: このポリシー設定は、NTFS ファイルシステムでフォーマットされたドライブには適用されません。証明書に基づくデータ回復エージェントを許可する固定データドライブでのスマートカードの使用を構成するこのポリシー設定では、コンピューター上の BitLocker で保護されている固定データドライブに対するユーザーアクセスの認証にスマートカードを使用できるようにするかどうかを指定できます。このポリシー設定を有効にした場合、ドライブに対するユーザーアクセスの認証にスマートカードを使用できます。スマートカード認証を必須にするには、[固定データドライブでスマートカードを必ず使用する] チェックボックスをオンにします。注: これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。このポリシー設定を無効にした場合、BitLocker で保護されている固定データドライブに対するアクセスの認証にスマートカードを使用できません。このポリシー設定を構成しなかった場合は、BitLocker で保護されているドライブに対するユーザーアクセスの認証にスマートカードを使用できます。リムーバブルデータドライブのパスワードの使用を構成するこのポリシー設定では、BitLocker で保護されているリムーバブルデータドライブのロックを解除するときにパスワードを要求するかどうかを指定します。パスワードを使用する場合は、パスワードを必須にしたり、複雑さの要件を強制したり、長さの最小値を構成したりすることができます。複雑さの要件の設定を有効にするには、"コンピューターの構成\Windows の設定\セキュリティの設定\アカウントポリシー\パスワードのポリシー" にある [複雑さの要件を満たす必要があるパスワード] グループポリシー設定も有効にする必要があります。注: これらの設定は、ボリュームのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。このポリシー設定を有効にした場合、ユーザーは定義された要件を満たすパスワードを構成できます。パスワードの使用を必須にするには、[リムーバブルデータドライブに対してパスワードを要求する] を選択します。パスワードの複雑さの要件を強制するには、[複雑さを要求する] を選択します。 [複雑さを要求する] に設定すると、BitLocker が有効な場合に、パスワードの複雑さを検証するためにドメインコントローラーへの接続が必須になります。[複雑さを許可する] に設定すると、ポリシーで設定された複雑さの規則を満たすかどうかを検証するためにドメインコントローラーへの接続が試行されますが、ドメインコントローラーが見つからなかった場合でも、実際のパスワードの複雑さにかかわらずそのパスワードが受け入れられ、そのパスワードを保護機能として使用してドライブが暗号化されます。[複雑さを許可しない] に設定すると、パスワードの複雑さの検証は行われません。パスワードは 8 文字以上にする必要があります。パスワードの長さの最小値を大きくするには、[パスワードの長さ] ボックスに文字数を入力します。このポリシー設定を無効にした場合、ユーザーはパスワードを使用できません。このポリシー設定を構成しなかった場合は、既定の設定 (パスワードの複雑さの要件なし、長さの最小値は 8 文字) でパスワードがサポートされます。注: FIPS 準拠が有効な場合はパスワードは使用できません。FIPS 準拠を有効にするかどうかは、"コンピューターの構成\Windows の設定\セキュリティの設定\ローカルポリシー\セキュリティオプション" にある [システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う] ポリシー設定で指定されます。 BitLocker で保護されていないリムーバブルドライブへの書き込みアクセスを拒否するこのポリシー設定では、コンピューターでリムーバブルデータドライブにデータを書き込む際に BitLocker 保護を必須にするかどうかを構成します。このポリシー設定を有効にした場合、BitLocker で保護されていないリムーバブルデータドライブは、すべて読み取り専用としてマウントされます。ドライブが BitLocker で保護されている場合は、読み取りおよび書き込みのアクセスでマウントされます。 [別の組織で構成されたデバイスへの書き込みアクセスを拒否する] オプションが選択されている場合は、ID フィールドがコンピューターの ID フィールドと一致するドライブだけに書き込みアクセスが付与されます。リムーバブルデータドライブへのアクセス時に、有効な ID フィールドと許可された ID フィールドが確認されます。これらのフィールドは [組織の一意な識別子を指定する] ポリシー設定で定義されます。このポリシー設定を無効にするか、または構成しない場合は、コンピューターのすべてのリムーバブルデータドライブが読み取りおよび書き込みのアクセスでマウントされます。注: このポリシー設定は、"ユーザーの構成\管理用テンプレート\システム\リムーバブル記憶域へのアクセス" にあるポリシー設定で上書きされることがあります。[リムーバブルディスク: 書き込みアクセスの拒否] ポリシー設定が有効になっている場合、このポリシー設定は無視されます。リムーバブルドライブでの BitLocker の使用を制御するこのポリシー設定では、リムーバブルデータドライブでの BitLocker の使用を制御します。このポリシー設定は、BitLocker を有効にすると適用されます。このポリシー設定を有効にすると、ユーザーが BitLocker を構成する方法を制御するプロパティ設定を選択できます。リムーバブルデータドライブで BitLocker セットアップウィザードを実行できるようにするには、[リムーバブルデータドライブに BitLocker 保護を適用できるようにする] を選択します。ドライブから BitLocker ドライブ暗号化を削除したり、メンテナンスの実行時に暗号化を中断できるようにするには、[リムーバブルデータドライブの BitLocker を中断および暗号化解除できるようにする] を選択します。BitLocker 保護の中断の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。このポリシー設定を構成しなかった場合、ユーザーはリムーバブルディスクドライブで BitLocker を使用できます。このポリシー設定を無効にした場合、ユーザーはリムーバブルディスクドライブで BitLocker を使用できません。回復パスワードとキーパッケージをバックアップする回復パスワードのみバックアップする BitLocker で保護されているリムーバブルデータドライブに対する以前のバージョンの Windows からのアクセスを許可するこのポリシー設定では、Windows Server 2008、Windows Vista、Windows XP Service Pack 3 (SP3)、または Windows XP Service Pack 2 (SP2) の各オペレーティングシステムを実行しているコンピューターで、FAT ファイルシステムでフォーマットされたリムーバブルデータドライブのロックを解除して表示できるようにするかどうかを構成します。このポリシー設定を有効にした場合、または構成しなかった場合は、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、FAT ファイルシステムでフォーマットされたリムーバブルデータドライブのロックを解除してその内容を表示することができます。BitLocker で保護されているドライブに対するこれらのオペレーティングシステムからのアクセスは読み取り専用になります。このポリシー設定を有効にした場合に、ユーザーによってリムーバブルドライブから BitLocker To Go リーダーが実行されないようにするには、[FAT 形式のリムーバブルドライブに BitLocker To Go リーダーをインストールしない] チェックボックスをオンにします。ID フィールドが指定されていないドライブに BitLocker To Go リーダー (bitlockertogo.exe) が存在する場合、またはドライブに [組織の一意な識別子を指定する] ポリシー設定と同じ ID フィールドが指定されている場合、ユーザーは BitLocker を更新するよう求められ、BitLocker To Go リーダーがドライブから削除されます。この場合、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターでリムーバブルドライブのロックを解除するには、そのコンピューターに BitLocker To Go リーダーがインストールされている必要があります。このチェックボックスをオフにすると、BitLocker To Go リーダーがインストールされていないリムーバブルドライブに BitLocker To Go リーダーがインストールされ、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターでドライブのロックを解除できるようになります。このポリシー設定を無効にした場合は、Windows Server 2008、Windows Vista、Windows XP SP3、または Windows XP SP2 を実行しているコンピューターで、BitLocker で保護されている FAT ファイルシステム形式のリムーバブルデータドライブのロックを解除できません。bitlockertogo.exe はインストールされません。注: このポリシー設定は、NTFS ファイルシステムでフォーマットされたドライブには適用されません。証明書に基づくデータ回復エージェントを許可するリムーバブルデータドライブでのスマートカードの使用を構成するこのポリシー設定では、コンピューター上の BitLocker で保護されているリムーバブルデータドライブに対するユーザーアクセスの認証にスマートカードを使用できるようにするかどうかを指定できます。このポリシー設定を有効にした場合、ドライブに対するユーザーアクセスの認証にスマートカードを使用できます。スマートカード認証を必須にするには、[リムーバブルデータドライブでスマートカードを必ず使用する] チェックボックスをオンにします。注: これらの設定は、ドライブのロックを解除するときではなく、BitLocker を有効にするときに強制されます。BitLocker では、ドライブで使用可能ないずれかの保護機能を使用してドライブのロックを解除できます。このポリシー設定を無効にした場合、BitLocker で保護されているリムーバブルデータドライブに対するアクセスの認証にスマートカードを使用できません。このポリシー設定を構成しなかった場合は、BitLocker で保護されているリムーバブルデータドライブに対するユーザーアクセスの認証にスマートカードを使用できます。スタートアップの拡張 PIN を許可するこのポリシー設定では、BitLocker で拡張スタートアップ PIN を使用するかどうかを構成できます。拡張スタートアップ PIN では、大文字と小文字、記号、数字、空白などの文字を使用できます。このポリシー設定は、BitLocker を有効にすると適用されます。このポリシー設定を有効にした場合、すべての新しい BitLocker スタートアップ PIN のセットが拡張 PIN になります。注: コンピューターによっては、プリブート環境で拡張 PIN がサポートされていない場合もあります。BitLocker セットアップでシステムチェックを実行することを強くお勧めします。このポリシー設定を無効にするか、または構成しない場合は、拡張 PIN は使用されません。 BitLocker 回復の実行後にプラットフォームの検証データをリセットするこのポリシー設定では、BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データを更新するかどうかを制御できます。このポリシー設定を有効にした場合、BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されます。このポリシー設定を無効にした場合、BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されません。このポリシー設定を構成しなかった場合、BitLocker 回復の実行後に Windows を起動したときにプラットフォームの検証データが更新されます。オペレーティングシステムドライブに特定の種類のドライブ暗号化を適用する固定データドライブに特定の種類のドライブ暗号化を適用するリムーバブルデータドライブに特定の種類のドライブ暗号化を適用するこのポリシー設定では、BitLocker ドライブ暗号化で使用される暗号化の種類を構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。ドライブが既に暗号化されているか、暗号化が進行中の場合は、暗号化の種類を変更しても影響はありません。BitLocker を有効にしたときにドライブ全体が暗号化されるようにするには、完全な暗号化を選択します。BitLocker を有効にしたときにデータの格納に使用されるドライブ領域だけが暗号化されるようにするには、使用領域のみの暗号化を選択します。このポリシー設定を有効にした場合、このポリシーで定義した暗号化の種類が BitLocker でのドライブの暗号化に使用され、BitLocker セットアップウィザードに暗号化の種類のオプションが表示されなくなります。このポリシー設定を無効にした場合、または構成しなかった場合は、BitLocker を有効にする前に、BitLocker セットアップウィザードでユーザーが暗号化の種類を選択できます。ユーザーが選択できるようにする (既定) 完全な暗号化使用領域のみの暗号化標準ユーザーによる PIN やパスワードの変更を禁止するこのポリシー設定では、標準ユーザーが BitLocker ボリュームの既存の PIN を最初に指定できる場合に、そのユーザーによる PIN の変更を許可するかどうかを構成できます。このポリシー設定は、BitLocker を有効にすると適用されます。このポリシー設定を有効にした場合、標準ユーザーは BitLocker の PIN やパスワードを変更できなくなります。このポリシー設定を無効にした場合、または構成しなかった場合、標準ユーザーは BitLocker の PIN やパスワードを変更できます。オペレーティングシステムドライブに対するハードウェアベースの暗号化の使用を構成する固定データドライブに対するハードウェアベースの暗号化の使用を構成するリムーバブルデータドライブに対するハードウェアベースの暗号化の使用を構成するこのポリシー設定では、BitLocker によるオペレーティングシステムドライブに対するハードウェアベースの暗号化の使用を管理し、ハードウェアベースの暗号化で使用できる暗号化アルゴリズムを指定できます。ハードウェアベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。このポリシー設定を有効にした場合は、ハードウェアベースの暗号化をサポートしないコンピューターでハードウェアベースの暗号化の代わりに BitLocker のソフトウェアベースの暗号化を使用するかどうかや、ハードウェアベースの暗号化で使用する暗号化アルゴリズムと暗号を制限するかどうかについて、追加のオプションを指定することができます。このポリシー設定を無効にした場合は、BitLocker でのオペレーティングシステムドライブの暗号化の際にハードウェアベースの暗号化を使用できなくなり、既定で BitLocker のソフトウェアベースの暗号化が使用されます。このポリシー設定を構成しなかった場合は、ハードウェアベースの暗号化が使用できるかどうかに関係なく、ソフトウェアベースの暗号化が使用されます。注: ハードウェアベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。ハードウェアベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割の際に設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムは、[ハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションで制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェアベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。例: - CBC モードの AES 128 の OID: 2.16.840.1.101.3.4.1.2 - CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42 このポリシー設定では、BitLocker による固定データドライブに対するハードウェアベースの暗号化の使用を管理し、ハードウェアベースの暗号化で使用できる暗号化アルゴリズムを指定できます。ハードウェアベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。このポリシー設定を有効にした場合は、ハードウェアベースの暗号化をサポートしないコンピューターでハードウェアベースの暗号化の代わりに BitLocker のソフトウェアベースの暗号化を使用するかどうかや、ハードウェアベースの暗号化で使用する暗号化アルゴリズムと暗号を制限するかどうかについて、追加のオプションを指定することができます。このポリシー設定を無効にした場合は、BitLocker でのオペレーティングシステムドライブの暗号化の際にハードウェアベースの暗号化を使用できなくなり、既定で BitLocker のソフトウェアベースの暗号化が使用されます。このポリシー設定を構成しなかった場合は、ハードウェアベースの暗号化が使用できるかどうかに関係なく、ソフトウェアベースの暗号化が使用されます。注: ハードウェアベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。ハードウェアベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割の際に設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムは、[ハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションで制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェアベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。例: - CBC モードの AES 128 の OID: 2.16.840.1.101.3.4.1.2 - CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42 このポリシー設定では、BitLocker によるリムーバブルデータドライブに対するハードウェアベースの暗号化の使用を管理し、ハードウェアベースの暗号化で使用できる暗号化アルゴリズムを指定できます。ハードウェアベースの暗号化を使用すると、ドライブに対するデータの読み取りや書き込みを頻繁に行うドライブ操作のパフォーマンスを高めることができます。このポリシー設定を有効にした場合は、ハードウェアベースの暗号化をサポートしないコンピューターでハードウェアベースの暗号化の代わりに BitLocker のソフトウェアベースの暗号化を使用するかどうかや、ハードウェアベースの暗号化で使用する暗号化アルゴリズムと暗号を制限するかどうかについて、追加のオプションを指定することができます。このポリシー設定を無効にした場合は、BitLocker でのオペレーティングシステムドライブの暗号化の際にハードウェアベースの暗号化を使用できなくなり、既定で BitLocker のソフトウェアベースの暗号化が使用されます。このポリシー設定を構成しなかった場合は、ハードウェアベースの暗号化が使用できるかどうかに関係なく、ソフトウェアベースの暗号化が使用されます。注: ハードウェアベースの暗号化には、[ドライブの暗号化方法と暗号強度を選択する] ポリシー設定は適用されません。ハードウェアベースの暗号化で使用される暗号化アルゴリズムは、ドライブのパーティション分割の際に設定されます。既定では、BitLocker でのドライブの暗号化には、ドライブで構成されたアルゴリズムが使用されます。BitLocker でのハードウェアの暗号化で使用できる暗号化アルゴリズムは、[ハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する] オプションで制限できます。ドライブに対して設定されたアルゴリズムを使用できない場合は、BitLocker でのハードウェアベースの暗号化の使用は無効になります。暗号化アルゴリズムはオブジェクト識別子 (OID) で指定されます。例: - CBC モードの AES 128 の OID: 2.16.840.1.101.3.4.1.2 - CBC モードの AES 256 の OID: 2.16.840.1.101.3.4.1.42 スレートでプリブートキーボード入力が必要な BitLocker 認証を使用できるようにするこのポリシー設定を使用すると、プラットフォームにプリブート入力機能がない場合でもプリブート環境からのユーザー入力を要求する認証オプションを有効にすることができます。 BitLocker で PIN やパスワードなどの追加の情報が要求されるプリブート環境では、Windows タッチキーボード (タブレットで使用されるものなど) は使用できません。このポリシー設定を有効にした場合、デバイスでは、プリブート入力に代わる方法 (接続された USB キーボードなど) が必要になります。このポリシーが無効になっている場合は、BitLocker 回復パスワードの入力をサポートするためにタブレットで Windows 回復環境を有効にする必要があります。Windows 回復環境が無効になっていて、このポリシーも無効になっている場合、Windows タッチキーボードを使用するデバイスで BitLocker を有効にすることはできません。このポリシー設定を有効にしないと、それらのデバイスで [スタートアップ時に追加の認証を要求する] ポリシーのオプションを使用できない場合があることに注意してください。これには次のオプションが含まれます。 - TPM スタートアップ PIN の構成: 必須/許可 - TPM スタートアップキーと PIN の構成: 必須/許可 - オペレーティングシステムドライブのパスワードの使用を構成する InstantGo または HSTI 準拠のデバイスがプレブート暗証番号 (PIN) をオプトアウトすることを許可します。このポリシー設定では、InstantGo または Microsoft ハードウェアセキュリティテストインターフェイス (HSTI) に準拠したデバイスのユーザーに対して、プリブート認証の暗証番号 (PIN) を使用しないことを許可できます。準拠ハードウェアに対するこの設定は、"スタートアップ時に追加の認証を要求する" ポリシーの "TPM でスタートアップ PIN を要求する" オプションと "TPM でスタートアップキーと PIN を要求する" オプションを上書きします。このポリシー設定を有効にすると、InstantGo と HSTI に準拠したデバイス上のユーザーは、プレブート認証なしで BitLocker を有効化できるようになります。このポリシーを有効にしなかった場合は、"スタートアップ時に追加の認証を要求する" ポリシーのオプションが適用されます。セキュアブートによる整合性の検証を許可するこのポリシー設定では、BitLocker のオペレーティングシステムドライブのプラットフォーム整合性の検証でセキュアブートを使用できるようにするかどうかを構成できます。セキュアブートを使用すると、PC のプリブート環境で、承認済みのソフトウェアの発行元によってデジタル署名されたファームウェアだけが読み込まれるようにすることができます。また、セキュアブートでは、BitLocker の従来の整合性チェックよりも柔軟にプリブート構成を管理できます。このポリシー設定を有効にした場合、または構成しなかった場合、プラットフォームがセキュアブートに基づく整合性チェックに対応していれば、BitLocker でのプラットフォーム整合性の検証にセキュアブートが使用されます。このポリシー設定を無効にした場合は、システムがセキュアブートに基づく整合性チェックに対応していても、従来のプラットフォーム整合性の検証が使用されます。このポリシーを有効にした場合、ハードウェアが BitLocker のシナリオでのセキュアブートの使用に対応していれば、[拡張ブート構成データ検証プロファイルを使用する] グループポリシーの設定は無視され、BitLocker とは別に構成されたセキュアブートのポリシー設定に従ってセキュアブートで BCD 設定が検証されます。注: [ネイティブの UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成する] グループポリシー設定を有効にする場合に PCR 7 を省略すると、BitLocker でのプラットフォームやブート構成データ (BCD) の整合性の検証にセキュアブートが使用されなくなります。警告: このポリシーを無効にすると、ファームウェアの更新時に BitLocker 回復が実行される可能性があります。このポリシーを無効にした場合は、ファームウェアの更新を適用する前に BitLocker を中断してください。 Windows Server 2012 または Windows 8 以降 Windows Server 2012 R2、Windows 8.1、Windows Server 2012、Windows 8、Windows Server 2008、Windows 7、および Windows Vista プリブート回復メッセージと URL を構成する既定の回復メッセージと URL を使用するカスタム回復メッセージを使用するカスタム回復 URL を使用するこのポリシー設定では、OS のドライブがロックされたときにプリブートキー回復画面に表示される、回復のメッセージ全体を構成するか既存の URL を置き換えることができます。 [既定の回復メッセージと URL を使用する] オプションを選択した場合は、既定の BitLocker 回復メッセージと URL がプリブートキー回復画面に表示されます。カスタム回復メッセージまたは URL を既に構成していて、既定のメッセージに戻す場合は、このポリシーを有効にしたまま、[既定の回復メッセージと URL を使用する] オプションを選択してください。 [カスタム回復メッセージを使用する] オプションを選択した場合は、[カスタム回復メッセージのオプション] ボックスに入力したメッセージがプリブートキー回復画面に表示されます。回復 URL が利用できる場合は、その URL をメッセージに含めてください。 [カスタム回復 URL を使用する] オプションを選択した場合は、(プリブートキー回復画面に表示される) 既定の回復メッセージの既定の URL が、[カスタム回復 URL オプション] ボックスに入力した URL で置き換えられます。注: プリブートでは、一部の文字と言語がサポートされていません。カスタムメッセージまたは URL に使用する文字がプリブート回復画面に正しく表示されるかどうかをテストすることを強くお勧めします。 AD DS への BitLocker バックアップが必要選択されている場合、バックアップに失敗すると、BitLocker を有効にできません (推奨される既定)。選択されていない場合、バックアップに失敗しても、BitLocker を有効にできます。バックアップは自動的に再試行されません。格納する BitLocker 回復情報を選択する: 回復パスワードは 48 桁の数字で、BitLocker で保護されているドライブへのアクセスのロックを解除します。キーパッケージには、1 つ以上の回復パスワードによってセキュリティで保護された、ドライブの BitLocker 暗号化キーが含まれていますキーパッケージは、ディスクが破損した場合に特別な回復を実行するのに役立ちます。互換性のある TPM が装備されていない BitLocker を許可する (USB フラッシュドライブでパスワードまたはスタートアップキーが必要) TPM が装備されているコンピューターの設定: TPM スタートアップキーの構成: TPM スタートアップ PIN の構成: 重要: スタートアップキーが必要な場合は、スタートアップ PIN を許可しないようにする必要があります。スタートアップ PIN が必要な場合は、スタートアップキーを許可しないようにする必要があります。そうしなければ、ポリシーエラーが発生します。注: スタートアップ PIN とスタートアップキーオプションの両方を無効にして、TPM が装備されているコンピューターの詳細設定のページを非表示にします。互換性のある TPM が装備されていない BitLocker を許可する (USB フラッシュドライブでパスワードまたはスタートアップキーが必要) TPM が装備されているコンピューターの設定: TPM スタートアップの構成: TPM スタートアップ PIN の構成: TPM スタートアップキーの構成: TPM スタートアップキーと PIN の構成: 重要: データの損失を避けるために、BitLocker 暗号化キーを回復する方法を用意しておく必要があります。以下の回復オプションをどちらも許可しない場合は、AD DS への BitLocker 回復情報のバックアップを有効にする必要があります。そうしなければ、ポリシーエラーが発生します。 48 桁の回復パスワードの構成: 256 ビットの回復キーの構成: 注: 回復パスワードを無効にし回復キーを要求する場合は、ユーザーは USB への保存を行わずに BitLocker を有効にすることはできません。データ回復エージェントを許可する BitLocker 回復情報のユーザー記憶域を構成する: BitLocker セットアップウィザードの回復オプションを省略する AD DS にオペレーティングシステムドライブの BitLocker 回復情報を保存する AD DS への BitLocker 回復情報の記憶域を構成する: AD DS にオペレーティングシステムドライブの回復情報が格納されるまで BitLocker を有効にしないデータ回復エージェントを許可する BitLocker 回復情報のユーザー記憶域を構成する: BitLocker セットアップウィザードの回復オプションを省略する AD DS に固定データドライブの BitLocker 回復情報を保存する AD DS への BitLocker 回復情報の記憶域を構成する: AD DS に固定データドライブの回復情報が格納されるまで BitLocker を有効にしないデータ回復エージェントを許可する BitLocker 回復情報のユーザー記憶域を構成する: BitLocker セットアップウィザードの回復オプションを省略する AD DS にリムーバブルデータドライブの BitLocker 回復情報を保存する AD DS への BitLocker 回復情報の記憶域を構成する: AD DS にリムーバブルデータドライブの回復情報が格納されるまで BitLocker を有効にしない既定のフォルダーパスの構成: 完全修飾パスを指定するか、コンピューターの環境変数をパスに含めてください。たとえば、「\\server\backupfolder」または「%SecureDriveEnvironmentVariable%\backupfolder」と入力してください注: いずれの場合でも、ユーザーは回復パスワードの保存先として他のフォルダーを選択できます。暗号化方法を選択してください: 暗号化方法を選択してください: オペレーティングシステムドライブの暗号化方法を選択してください: 固定データドライブの暗号化方法を選択してください: リムーバブルデータドライブの暗号化方法を選択してください: 暗号化の種類を選択してください: 暗号化の種類を選択してください: 暗号化の種類を選択してください: プラットフォーム検証プロファイルは、プラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。各 PCR インデックスは、Windows の起動時に実行されるコンポーネントに関連付けられます。以下で、プロファイルに含める PCR インデックスのチェックボックスをオンにします。この設定を変更する場合は注意が必要です。既定の PCR 0、2、4、8、9、10、および 11 を使用することをお勧めします。 BitLocker 保護を有効にするには、PCR 11 を含める必要があります。既定の TPM プラットフォーム検証プロファイルを変更するメリットとリスクの詳細については、オンラインドキュメントを参照してください。 PCR 0: コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 PCR 1: プラットフォームおよびマザーボードの構成とデータ PCR 2: オプションの ROM コード PCR 3: オプションの ROM 構成とデータ PCR 4: マスターブートレコード (MBR) コード PCR 5: マスターブートレコード (MBR) パーティションテーブル PCR 6: 状態の推移とウェイクイベント PCR 7: コンピューター製造元固有 PCR 8: NTFS ブートセクター PCR 9: NTFS ブートブロック PCR 10: ブートマネージャー PCR 11: BitLocker のアクセスの制御 PCR 12: 将来の使用のため予約済み PCR 13: 将来の使用のため予約済み PCR 14: 将来の使用のため予約済み PCR 15: 将来の使用のため予約済み PCR 16: 将来の使用のため予約済み PCR 17: 将来の使用のため予約済み PCR 18: 将来の使用のため予約済み PCR 19: 将来の使用のため予約済み PCR 20: 将来の使用のため予約済み PCR 21: 将来の使用のため予約済み PCR 22: 将来の使用のため予約済み PCR 23: 将来の使用のため予約済みプラットフォーム検証プロファイルは、プラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。各 PCR インデックスは、Windows の起動時に実行されるコンポーネントに関連付けられます。以下で、プロファイルに含める PCR インデックスのチェックボックスをオンにします。この設定を変更する場合は注意が必要です。既定の PCR 0、2、4、8、9、10、および 11 を使用することをお勧めします。 BitLocker 保護を有効にするには、PCR 11 を含める必要があります。既定の TPM プラットフォーム検証プロファイルを変更するメリットとリスクの詳細については、オンラインドキュメントを参照してください。 PCR 0: コアの信頼性測定のルート (CRTM)、BIOS、およびプラットフォーム拡張 PCR 1: プラットフォームおよびマザーボードの構成とデータ PCR 2: オプションの ROM コード PCR 3: オプションの ROM 構成とデータ PCR 4: マスターブートレコード (MBR) コード PCR 5: マスターブートレコード (MBR) パーティションテーブル PCR 6: 状態の推移とウェイクイベント PCR 7: コンピューター製造元固有 PCR 8: NTFS ブートセクター PCR 9: NTFS ブートブロック PCR 10: ブートマネージャー PCR 11: BitLocker のアクセスの制御 PCR 12: 将来の使用のため予約済み PCR 13: 将来の使用のため予約済み PCR 14: 将来の使用のため予約済み PCR 15: 将来の使用のため予約済み PCR 16: 将来の使用のため予約済み PCR 17: 将来の使用のため予約済み PCR 18: 将来の使用のため予約済み PCR 19: 将来の使用のため予約済み PCR 20: 将来の使用のため予約済み PCR 21: 将来の使用のため予約済み PCR 22: 将来の使用のため予約済み PCR 23: 将来の使用のため予約済みプラットフォーム検証プロファイルは、プラットフォーム構成レジスタ (PCR) のインデックスセットで構成されます。各 PCR インデックスは、Windows の起動時に実行されるコンポーネントに関連付けられます。以下で、プロファイルに含める PCR インデックスのチェックボックスをオンにします。この設定を変更する場合は注意が必要です。既定の PCR 0、2、4、および 11 を使用することをお勧めします。 BitLocker 保護を有効にするには、PCR 11 を含める必要があります。既定の TPM プラットフォーム検証プロファイルを変更するメリットとリスクの詳細については、オンラインドキュメントを参照してください。 PCR 0: コアシステムファームウェアの実行可能コード PCR 1: コアシステムファームウェアのデータ PCR 2: 拡張またはプラグ可能な実行可能コード PCR 3: 拡張またはプラグ可能なファームウェアのデータ PCR 4: ブートマネージャー PCR 5: GPT/パーティションテーブル PCR 6: S4 および S5 電力状態イベントから再開 PCR 7: セキュアブートの状態 PCR 8: 拡張なしで 0 に初期化 (将来の使用のため予約済み) PCR 9: 拡張なしで 0 に初期化 (将来の使用のため予約済み) PCR 10: 拡張なしで 0 に初期化 (将来の使用のため予約済み) PCR 11: BitLocker のアクセスの制御 PCR 12: データイベントおよび揮発性が高いイベント PCR 13: ブートモジュールの詳細 PCR 14: ブート機関 PCR 15: 将来の使用のため予約済み PCR 16: 将来の使用のため予約済み PCR 17: 将来の使用のため予約済み PCR 18: 将来の使用のため予約済み PCR 19: 将来の使用のため予約済み PCR 20: 将来の使用のため予約済み PCR 21: 将来の使用のため予約済み PCR 22: 将来の使用のため予約済み PCR 23: 将来の使用のため予約済み BitLocker ID フィールド: 許可された BitLocker ID フィールド: オブジェクトの識別子: 1.3.6.1.4.1.311.67.1.1 次の追加 BCD 設定を検証する: 次の追加 BCD 設定を除外する: 最小文字数: 固定データドライブに対してパスワードを要求する固定データドライブのパスワードの複雑さを構成する: 固定データドライブの最小パスワード長: 注: パスワードの複雑さの設定を有効にするには、[複雑さの要件を満たす必要があるパスワード] ポリシー設定を有効にする必要があります。オペレーティングシステムドライブのパスワードの複雑さを構成する: オペレーティングシステムドライブの最小パスワード長: 注: パスワードの複雑さの設定を有効にするには、[複雑さの要件を満たす必要があるパスワード] ポリシー設定を有効にする必要があります。リムーバブル OS ドライブに対して ASCII のみのパスワードを要求する固定データドライブでスマートカードを必ず使用するリムーバブルデータドライブに対してパスワードを要求するリムーバブルデータドライブのパスワードの複雑さを構成する: リムーバブルデータドライブの最小パスワード長: 注: パスワードの複雑さの設定を有効にするには、[複雑さの要件を満たす必要があるパスワード] ポリシー設定を有効にする必要があります。リムーバブルデータドライブに BitLocker 保護を適用できるようにするリムーバブルデータドライブの BitLocker 保護を中断および暗号化解除できるようにする別の組織で構成されたデバイスへの書き込みアクセスを許可しないリムーバブルデータドライブでスマートカードを必ず使用する FAT 形式の固定ドライブに BitLocker To Go リーダーをインストールしない FAT 形式のリムーバブルドライブに BitLocker To Go リーダーをインストールしないハードウェアの暗号化を使用できない場合は BitLocker のソフトウェアベースの暗号化を使用するハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する暗号化アルゴリズムまたは暗号を次のものに制限する: 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 ハードウェアの暗号化を使用できない場合は BitLocker のソフトウェアベースの暗号化を使用するハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する暗号化アルゴリズムまたは暗号を次のものに制限する: 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 ハードウェアの暗号化を使用できない場合は BitLocker のソフトウェアベースの暗号化を使用するハードウェアベースの暗号化で使用できる暗号化アルゴリズムと暗号を制限する暗号化アルゴリズムまたは暗号を次のものに制限する: 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 プリブート回復メッセージのオプションを選択してください: カスタム回復メッセージのオプション: カスタム回復 URL オプション: