デバイス暗号化ポリシー
デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されているドライブ暗号化機能を管理できます。ハードディスクを暗号化することで、デバイスの盗難・紛失時にもデータを安全に保つことができます。
注
パートナーやエンタープライズ管理者によってグローバル設定が適用されたオプションは、ロックされています。
「マイプロダクト > Encryption > ポリシー」を参照して、デバイス暗号化を管理します。
暗号化を設定する⽅法は次のとおりです。
- 標準の Windows エージェントのインストーラを使用すると、デバイス暗号化エージェントが Windows コンピュータに自動的にインストールされます (該当するライセンスがある場合)。Mac には手動でデバイス暗号化エージェントをインストールする必要があります。
-
「デバイス暗号化」ポリシーを作成し、以下の説明に従ってユーザーに適用します。
ポリシーを適用したユーザーがログインするとコンピュータが暗号化されます。
注
FileVault の暗号化はユーザー単位で行われるため、エンドポイントの各ユーザーアカウントで暗号化をオンにする必要があります。
コンピュータを暗号化する方法について詳細は、Device Encryption 管理者ガイドを参照してください。
制限事項
デバイス暗号化は、ブートボリュームや固定データドライブに適用できますが、リムーバブルメディアには適用できません。
ポリシーを設定するには、次の手順を実行します。
- 「ポリシーの追加」をクリックし て、デバイス暗号化ポリシーを作成します。詳細は、ポリシーの作成/編集を参照してください。
- ポリシーの「設定」タブを開き、以下の説明に従って設定します。ポリシーがオンになっていることを確認してください。
設定
-
デバイス暗号化が有効化されています: 暗号化ポリシーが適用されているユーザーのいずれかがログインすると、コンピュータは暗号化されます。
Windows エンドポイントの場合、暗号化ポリシーが適用されていないユーザーがログインしても、暗号化された状態が維持されます。
警告
macOS の場合、エンドポイントを完全に暗号化するには、対象のエンドポイントのすべてのユーザーに暗号化ポリシーを適用する必要があります。
-
ブートボリュームのみを暗号化する: このオプションを選択すると、ブートボリュームのみを暗号化することができます。データボリュームは無視されます。
Windows の詳細設定
-
起動時に認証する: このオプションはデフォルトでオンになっています。その場合、TPM + PIN、パスフレーズ、または USB 鍵を使用した認証が必要になります。オフにすると、TPM のみを使用したログオン時の保護が、対応しているコンピュータにインストールされます。認証方式の詳細は、Device Encryption 管理者ガイドを参照してください。
-
認証用パスワード/PIN をユーザーがリセットする: このオプションはデフォルトでオフになっています。その場合、指定した期間後に BitLocker のパスワードまたは PIN の変更が必要になります。ユーザーがパスワードまたは PIN を変更した際に、イベントがログに記録されます。
ユーザーが新しいパスワードまたは PIN を入力せずにダイアログを閉じると、コンピュータを再起動するたびにダイアログが再表示されます。ユーザーがパスワードや PIN を変更せずにダイアログを 5回閉じた後には、警告をログに記録します。
制限事項
エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。
-
使用領域のみ暗号化する: このオプションはデフォルトでオフになっています。その場合、ドライブ全体でなく、使用領域のみ暗号化できます。これによって、初期暗号化 (ポリシーがはじめてコンピュータに適用されたときに実行される暗号化) が高速化されます。
警告
使用領域のみを暗号化する場合、コンピュータ上の削除されたデータが暗号化されないことがあります。したがって、新たにセットアップしたコンピュータのみで実行するようにしてください。
注
このオプションは、Windows 7 エンドポイントには適用されません。
安全にファイルを共有するためにファイルをパスワード保護する (Windows のみ)
制限事項
エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。
最大 50MB のファイルを保護できます。
-
コンテキストメニューを有効にする: このオプションをオンにすると、ファイルの右クリックメニューに「ファイルのパスワード保護」オプションが表示されるようになります。ユーザーは、社外に機密情報を送信する際に、ファイルをパスワードで保護してメールに添付することができます。ファイルは、コンテンツが暗号化された新しい HTML ファイルにラップされます。
受信者は、このファイルをダブルクリックしてパスワードを入力することで、ファイルを開くことができます。受信者は、同じパスワードや新しいパスワードを使用して受信したファイルを保護して返送するか、またはパスワード保護されたファイルを新たに作成できます。
-
Outlook アドインを有効にする: このオプションをオンにすると、メールの添付ファイルの暗号化機能が Outlook に追加されます。ユーザーは、Outlook のリボンにある「添付ファイルの保護」を選択することにより、添付ファイルを保護することができます。平文の添付ファイルはすべて、コンテンツが暗号化された新しい HTML 形式の添付ファイルにラップされたうえで、メール送信されます。
-
添付ファイルの処理について、常にユーザーに確認する: このオプションをオンにすると、メッセージにファイルが添付されているときは、ユーザーは必ず、添付ファイルの送信方法を選択する必要があります。ユーザーは、ファイルをパスワードで保護して送信することも、平文のまま送信することもできます。
「添付ファイルの処理について、常にユーザーに確認する」オプションの適用対象から除外するドメインを入力できます。たとえば、社内ドメインなどです。送信先がそういったドメインの場合、添付ファイルの処理方法を確認するメッセージは表示されません。
完全ドメイン名のみを入力し、複数指定する場合は、コンマで区切ってください。