コンテンツにスキップ

デバイス暗号化ポリシー

デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されているドライブ暗号化機能を管理できます。ハードディスクを暗号化することで、デバイスの盗難・紛失時にもデータを安全に保つことができます。

パートナーやエンタープライズ管理者によってグローバル設定が適用されたオプションは、ロックされています。

マイプロダクト > Encryption > ポリシー」を参照して、デバイス暗号化を管理します。

暗号化を設定する⽅法は次のとおりです。

  1. 標準の Windows エージェントのインストーラを使用すると、デバイス暗号化エージェントが Windows コンピュータに自動的にインストールされます (該当するライセンスがある場合)。Mac には手動でデバイス暗号化エージェントをインストールする必要があります。
  2. 「デバイス暗号化」ポリシーを作成し、以下の説明に従ってユーザーに適用します。

    ポリシーを適用したユーザーがログインするとコンピュータが暗号化されます。

    FileVault の暗号化はユーザー単位で行われるため、エンドポイントの各ユーザーアカウントで暗号化をオンにする必要があります。

コンピュータを暗号化する方法について詳細は、Device Encryption 管理者ガイドを参照してください。

制限事項

デバイス暗号化は、ブートボリュームや固定データドライブに適用できますが、リムーバブルメディアには適用できません。

ポリシーを設定するには、次の手順を実行します。

  1. ポリシーの追加」をクリックし て、デバイス暗号化ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
  2. ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。

設定

  • デバイス暗号化が有効化されています: 暗号化ポリシーが適用されているユーザーのいずれかがログインすると、コンピュータは暗号化されます。

    Windows エンドポイントの場合、暗号化ポリシーが適用されていないユーザーがログインしても、暗号化された状態が維持されます。

    警告

    macOS の場合、エンドポイントを完全に暗号化するには、対象のエンドポイントのすべてのユーザーに暗号化ポリシーを適用する必要があります。

  • ブートボリュームのみを暗号化する: このオプションを選択すると、ブートボリュームのみを暗号化することができます。データボリュームは無視されます。

Windows の詳細設定

  • 起動時に認証する: このオプションはデフォルトでオンになっています。その場合、TPM + PIN、パスフレーズ、または USB 鍵を使用した認証が必要になります。オフにすると、TPM のみを使用したログオン時の保護が、対応しているコンピュータにインストールされます。認証方式の詳細は、Device Encryption 管理者ガイドを参照してください。

  • 認証用パスワード/PIN をユーザーがリセットする: このオプションはデフォルトでオフになっています。その場合、指定した期間後に BitLocker のパスワードまたは PIN の変更が必要になります。ユーザーがパスワードまたは PIN を変更した際に、イベントがログに記録されます。

    ユーザーが新しいパスワードまたは PIN を入力せずにダイアログを閉じると、コンピュータを再起動するたびにダイアログが再表示されます。ユーザーがパスワードや PIN を変更せずにダイアログを 5回閉じた後には、警告をログに記録します。

    制限事項

    エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。

  • 使用領域のみ暗号化する: このオプションはデフォルトでオフになっています。その場合、ドライブ全体でなく、使用領域のみ暗号化できます。これによって、初期暗号化 (ポリシーがはじめてコンピュータに適用されたときに実行される暗号化) が高速化されます。

    警告

    使用領域のみを暗号化する場合、コンピュータ上の削除されたデータが暗号化されないことがあります。したがって、新たにセットアップしたコンピュータのみで実行するようにしてください。

    このオプションは、Windows 7 エンドポイントには適用されません。

安全にファイルを共有するためにファイルをパスワード保護する (Windows のみ)

制限事項

エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。

最大 50MB のファイルを保護できます。

  • コンテキストメニューを有効にする: このオプションをオンにすると、ファイルの右クリックメニューに「ファイルのパスワード保護」オプションが表示されるようになります。ユーザーは、社外に機密情報を送信する際に、ファイルをパスワードで保護してメールに添付することができます。ファイルは、コンテンツが暗号化された新しい HTML ファイルにラップされます。

    受信者は、このファイルをダブルクリックしてパスワードを入力することで、ファイルを開くことができます。受信者は、同じパスワードや新しいパスワードを使用して受信したファイルを保護して返送するか、またはパスワード保護されたファイルを新たに作成できます。

  • Outlook アドインを有効にする: このオプションをオンにすると、メールの添付ファイルの暗号化機能が Outlook に追加されます。ユーザーは、Outlook のリボンにある「添付ファイルの保護」を選択することにより、添付ファイルを保護することができます。平文の添付ファイルはすべて、コンテンツが暗号化された新しい HTML 形式の添付ファイルにラップされたうえで、メール送信されます。

  • 添付ファイルの処理について、常にユーザーに確認する: このオプションをオンにすると、メッセージにファイルが添付されているときは、ユーザーは必ず、添付ファイルの送信方法を選択する必要があります。ユーザーは、ファイルをパスワードで保護して送信することも、平文のまま送信することもできます。

    添付ファイルの処理について、常にユーザーに確認する」オプションの適用対象から除外するドメインを入力できます。たとえば、社内ドメインなどです。送信先がそういったドメインの場合、添付ファイルの処理方法を確認するメッセージは表示されません。

    完全ドメイン名のみを入力し、複数指定する場合は、コンマで区切ってください。