デバイス暗号化の操作手順

デバイスを暗号化する手順は、次のとおりです。

ユーザーが操作を開始する前に、次の事柄を確認します。

  • Sophos Central のエージェントソフトウェアがエンドポイントにインストール済みである。
  • Sophos Central でデバイス暗号化ポリシーが設定されており、かつ有効になっている。
  • ユーザーはエンドポイントに直接ログインして Sophos Central に接続・同期する。リモートログインはサポートされません。
  • OS で BitLocker ドライブ暗号化がサポートされている。詳細は、デバイス暗号化の準備およびデバイス暗号化のシステム互換性を参照してください。

エンドポイントに表示されるメッセージと必要な操作は次のとおりです。

  1. TPM セキュリティハードウェアがまだ有効化されていない場合、BIOS のセットアップ画面で有効にすることができます。再起動が必要になります。ユーザーは、ただちに再起動するか、または後で再起動するかを選択できます。
    再起動後、TPM の有効化を促す画面が表示されます。TPM を有効化できない場合や、ユーザーが応答しない場合はメッセージが表示されます。
  2. TPM がアクティブで有効化されているが、所有者が指定されていない場合、Sophos Central のエージェントソフトウェアによって、TPM の所有者情報が自動的に生成・適用されます。これに失敗すると Sophos Central に警告が送信されます。
  3. TPM のエンドースメント鍵がない場合は、Sophos Central のエージェントソフトウェアによって自動的に作成されます。これに失敗すると Sophos Central に警告が送信されます。
  4. デバイス暗号化ポリシーで「起動時に認証が必要」が指定されなかった場合、ハードディスクの暗号化は自動的に開始されます。この場合、ユーザーによる操作は何も必要ありません。ステップ 8 に進んでください。
  5. デバイス暗号化ポリシーで「起動時に認証が必要」が指定されている場合、ユーザーに対して「Sophos Device Encryption」ダイアログが表示されます。
    • PIN やパスワードを使用した認証がデバイス暗号化ポリシーで設定されている場合は、ユーザーは画面の指示に従って PIN やパスワードを定義する必要があります。TPM + PIN を使用すると、システムディスクの暗号鍵は TPM に保存されます。

      注: パスワードを設定する際は注意が必要です。プリブート環境は、「EN-US」キーボードのみに対応しています。記号を含む PIN やパスワードを設定した場合、ユーザーはログインする際に、キーボード上の実際の配置と異なるキーを押さなくてはならないことがあります。
    • USB キーを使用した認証がデバイス暗号化ポリシーで設定されている場合、ユーザーは、コンピュータに USB メモリを接続する必要があります。NTFS、FAT、または FAT32 でフォーマットされている USB メモリを使用する必要があります。
  6. ユーザーが「再起動&暗号化」をクリックすると、コンピュータが再起動し、デバイス暗号化が動作するかどうかが検証されます。
    ユーザーは「後で作成」を選択して、ダイアログを閉じることができます。ただし、ユーザーが再ログオンしたり、管理者がデバイス暗号化ポリシーを変更したりすると、再び表示されます。
  7. 正しい PIN やパスワードを入力できない場合、ユーザーは「Esc」キーを押すことができます。この段階では、暗号化が適用されていないため、システムは通常どおりに起動します。ログオン後、PIN やパスワードの入力が再び促されます。
  8. 管理者は、暗号化の有効化が済んでいないユーザーを確認できます。これは、ユーザーがコンピュータを再起動していない、または画面に表示される操作を完了していないことを意味します。Sophos Central の「レポート」を参照してください。
  9. プリブートの検証に成功すると、Sophos Central のエージェントソフトウェアによって、ハードディスクの暗号化が開始されます。暗号化はバックグラウンドで実行されるため、ユーザーは通常どおり作業を進めることができます。
    ハードウェアの検証に失敗すると、システムは再起動しますが、暗号化は実行されません。Sophos Central にイベントが送信され、管理者への通知が行われます。
  10. Sophos Central のエージェントがシステムボリュームを暗号化した後、データボリュームの暗号化が開始します (ポリシーで指定されている場合)。データボリュームの保護機能はシステムボリュームに保存されているため、システムの起動後、データボリュームは自動的に使用できるようになります。したがって、ユーザーは、コンピュータにログオンすると、追加の操作なしでデータボリュームにアクセスできます。USB メモリなど、リムーバブル データ ボリュームは暗号化されません。

エンドポイントの %ProgramData%\Sophos\Sophos Data Protection\Logs に、CDE.log および CDE_trace.xml というログファイルが出力されます。