デバイス暗号化の認証モード

デバイス暗号化の設定画面にある「起動時に認証が必要」スイッチを使用して、ユーザーがコンピュータにログオンする際に認証を要求するかどうかを制御できます。

コンピュータにインストールされている認証モードは、システム、BitLocker グループポリシーの設定、および設定済みのデバイス暗号化ポリシーに依存します。デバイス暗号化のシステム互換性に応じて、次のいずれか 1つの認証モードがエンドポイントにインストールされます。

  • TPM + PIN
  • パスフレーズ
  • TPM のみ
  • USB キー

既に BitLocker で暗号化されているエンドポイントの場合、必要な手順に関するメッセージがユーザーに表示されます。

起動時に認証が必要」を有効にすると、ユーザーは、PIN/パスフレーズ/USB メモリを定義し、「適用」をクリックするよう促されます。ユーザーは今後、コンピュータを起動するたびに、この PIN/パスフレーズ/USB メモリを入力する必要があります。「起動時に認証が必要」を無効にすると、「TPM のみ」モードが自動的に適用され、他の認証操作は不要になります。コンピュータの起動時にデバイスのロックが自動的に解除されることが、ユーザーに通知されます。

Sophos Device Encryption では、該当するオプションが「未構成」に設定されている場合、すべての認証モードが許可されるように、GPO (グループ ポリシー オブジェクト) を自動設定できます。なお、管理者によって手動で設定された値は、Sophos Device Encryption によって上書きされません。詳細は、BitLocker グループポリシーの設定を参照してください。

ユーザーは、認証モードのインストールを延期できます。この場合、暗号化は実行されません。ユーザーが Windows に再度ログインしたり、新しい暗号化ポリシーが適用されたりするたびに、ユーザーは、コンピュータの再起動を促されます。再起動すると、認証モードがインストールされ、デバイス暗号化が開始されます。今後、ユーザーは自分のデバイスを復号化できなくなります。