BitLocker グループポリシーの設定
Sophos Central Device Encryption ではグループポリシー設定が自動的に定義されるため、コンピュータでデバイスの暗号化を準備する必要はありません。
Sophos Central Device Encryption では「コンピュータの構成 > 管理用テンプレート > Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システム ドライブ」の順に選択して「ローカル グループ ポリシー エディター」で行った設定は上書きされません。
注
ローカル グループ ポリシー エディターには、Sophos Central Device Encryption で設定された設定は表示されません。これらの設定は、Windows レジストリのノード HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE の下に あります。
ローカル グループ ポリシー エディターで設定できる設定の詳細については、次の表を参照してください。
| ポリシー | 設定 | Sophos Central によって設定される値 | 備考 |
|---|---|---|---|
| スタートアップ時にネットワーク ロック解除を許可する | 有効 | あらかじめ BitLocker のネットワークロック解除を許可し、Central Device Encryption を有効にした後も、動作するようにできます。 | |
| スタートアップ時に追加の認証を要求する | 互換性のある TPM が装備されていない BitLocker を許可する | チェックが入った状態 | TPM が装備されていない Windows 8 コンピュータで、スタートアップ時に、パスワードを使用してシステムディスクのロックを解除できるようにします。 |
| スタートアップ時に追加の認証を要求する | TPM スタートアップ PIN の構成 | TPM でスタートアップ PIN を許可する | デバイス暗号化ポリシーの設定で「起動時に認証が必要」が有効化されていて、システムに TPM が装備されている場合、TPM およびユーザーによる PIN の入力で、システムドライブを保護することが許可されます。 |
| スタートアップの拡張 PIN を許可する | 該当なし | 有効 | TPM が装備されているシステムドライブを、英数字から構成される PIN で保護できるようにします。このオプションを設定できない場合は、数字のみが許可されます。 |
| プリブート回復メッセージと URL を構成する | プリブート回復メッセージのオプションを選択してください | 既定の回復メッセージと URL を使用する | デフォルトのソフォスのメッセージと URL を使用する設定になっています。 |
| プリブート回復メッセージと URL を構成する | カスタム回復メッセージのオプション | 復旧鍵を持っていない場合は、社内の IT ヘルプデスクに問い合わせるか、セルフサービスポータルにアクセスしてください: https://sophos.com/ssp | |
| プリブート回復メッセージと URL を構成する | カスタム回復 URL オプション | ||
| 固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する | 該当なし | 無効 | ソフトウェアベースの暗号化が施行される設定になっています。なお、既存の BitLocker グループポリシーの設定でハードウェアベースの暗号化が義務付けられている場合、そのポリシーの設定内容は変更されません。 |
| オペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を構成する | 該当なし | 無効 | ソフトウェアベースの暗号化が施行される設定になっています。なお、既存の BitLocker グループポリシーの設定でハードウェアベースの暗号化が義務付けられている場合、そのポリシーの設定内容は変更されません。 |
- 使用する暗号化アルゴリズム: Sophos Central Device Encryption は、デフォルトで AES-256 を使用します。なお、グループポリシー設定で AES-128 を選択することもできます。
- PIN/パスワードの要件: グループポリシー設定で、PIN/パスワードの最小文字数を設定したり、複雑なパスワードの使用を指定したりできます。
- すべてのデータ、または使用領域のみの暗号化: ブートボリュームやデータボリューム用のグループポリシーでフルデータ暗号化が指定されている場合、使用領域のみの暗号化を許可する Sophos Central のポリシーはすべてオーバーライドされます。
グループポリシーの設定内容が Sophos Central と競合する場合、暗号化は実行されません。その場合は、Sophos Central にイベントが送信されます。
- スマートカードの使用: BitLocker におけるスマートカードの使用がグループポリシーで指定されていても、これは Sophos Central でサポートされていないため、エラーが生成されます。
- すべてのデータ、または使用領域のみの暗号化: ブートボリュームやデータボリューム用のグループポリシーで使用領域のみの暗号化が指定されている場合、Sophos Central ポリシーでフルデータ暗号化が指定されると、エラーが生成されます。
Microsoft Surface Pro などのタブレット端末を暗号化する場合で、起動時に認証を行うときは、グループポリシー設定、スレートでプリブートキーボード入力が必要な BitLocker 認証を使用できるようにするを有効にする必要があります。詳細は、タブレット (スレート) デバイス上で暗号化が開始されないを参照してください。
グループポリシー設定の詳細は、「BitLocker グループポリシーの設定」および「TPM グループポリシーの設定」を参照してください。