BitLocker グループポリシーの設定

Sophos Central では、一部のグループポリシー設定が自動設定されるため、管理者はデバイス暗号化のためにコンピュータを事前準備する必要はありません。

なお、管理者によって既に設定されている値は、Sophos Central によって上書きされません。

ローカル グループ ポリシー エディター」で、「コンピュータの構成 > 管理用テンプレート > Windows コンポーネント > BitLocker ドライブ暗号化 > オペレーティング システムのドライブ」の順に選択します。次のポリシーが表示されます。

ポリシー

設定

Sophos Central によって設定される値

備考

スタートアップ時にネットワーク ロック解除を許可する

有効

あらかじめ BitLocker のネットワークロック解除を許可し、Central Device Encryption を有効にした後も、動作するようにできます。

スタートアップ時に追加の認証を要求する

互換性のある TPM が装備されていない BitLocker を許可する

チェックが入った状態

TPM が装備されていない Windows 8 コンピュータで、スタートアップ時に、パスワードを使用してシステムディスクのロックを解除できるようにします。

スタートアップ時に追加の認証を要求する

TPM スタートアップ PIN の構成

TPM でスタートアップ PIN を許可する

デバイス暗号化ポリシーの設定で「起動時に認証が必要」が有効化されていて、システムに TPM が装備されている場合、TPM およびユーザーによる PIN の入力で、システムドライブを保護することが許可されます。

スタートアップの拡張 PIN を許可する

該当なし

有効

TPM が装備されているシステムドライブを、英数字から構成される PIN で保護できるようにします。このオプションを設定できない場合は、数字のみが許可されます。

プリブート回復メッセージと URL を構成する

プリブート回復メッセージのオプションを選択してください

既定の回復メッセージと URL を使用する

デフォルトのソフォスのメッセージと URL を使用する設定になっています。

プリブート回復メッセージと URL を構成する

カスタム回復メッセージのオプション

復旧鍵を持っていない場合は、社内の IT ヘルプデスクに問い合わせるか、セルフサービスポータルにアクセスしてください:

https://sophos.com/ssp

プリブート回復メッセージと URL を構成する

カスタム回復 URL オプション

固定データ ドライブに対するハードウェア ベースの暗号化の使用を構成する

該当なし

無効

ソフトウェアベースの暗号化が施行される設定になっています。なお、既存の BitLocker グループポリシーの設定でハードウェアベースの暗号化が義務付けられている場合、そのポリシーの設定内容は変更されません。

オペレーティング システム ドライブに対するハードウェア ベースの暗号化の使用を構成する

該当なし

無効

ソフトウェアベースの暗号化が施行される設定になっています。なお、既存の BitLocker グループポリシーの設定でハードウェアベースの暗号化が義務付けられている場合、そのポリシーの設定内容は変更されません。

  • 使用する暗号化アルゴリズム: Sophos Central Device Encryption は、デフォルトで AES-256 を使用します。なお、グループポリシー設定で AES-128 を選択することもできます。
  • PIN/パスワードの要件: グループポリシー設定で、PIN/パスワードの最小文字数を設定したり、複雑なパスワードの使用を指定したりできます。
  • すべてのデータ、または使用領域のみの暗号化: ブートボリュームやデータボリューム用のグループポリシーでフルデータ暗号化が指定されている場合、使用領域のみの暗号化を許可する Sophos Central のポリシーはすべてオーバーライドされます。

グループポリシーの設定内容が Sophos Central と競合する場合、暗号化は実行されません。その場合は、Sophos Central にイベントが送信されます。

  • スマートカードの使用: BitLocker におけるスマートカードの使用がグループポリシーで指定されていても、これは Sophos Central でサポートされていないため、エラーが生成されます。
  • すべてのデータ、または使用領域のみの暗号化: ブートボリュームやデータボリューム用のグループポリシーで使用領域のみの暗号化が指定されている場合、Sophos Central ポリシーでフルデータ暗号化が指定されると、エラーが生成されます。

Microsoft Surface Pro などのタブレット端末を暗号化する場合で、起動時に認証を行うときは、次のグループポリシー設定を有効にする必要があります。

スレートでプリブートキーボード入力が必要な BitLocker 認証を使用できるようにする

詳細は、サポートデータベースの文章 125772 を参照してください。

BitLocker や TPM グループポリシー設定の一般的な情報は、BitLocker グループポリシーの設定およびTrusted Platform Module Services グループポリシー設定を参照してください。