暗号化: デバイス暗号化

デバイス暗号化では、BitLocker (Windows) や FileVault (Mac) など、OS に搭載されているドライブ暗号化機能を管理できます。ハードディスクを暗号化することで、デバイスの盗難・紛失時にもデータを安全に保つことができます。

暗号化を設定する⽅法は次のとおりです。

  1. 標準の Windows エージェントのインストーラを使用すると、デバイス暗号化エージェントが Windows コンピュータに自動的にインストールされます (該当するライセンスがある場合)。Mac には手動でデバイス暗号化エージェントをインストールする必要があります。
  2. デバイス暗号化機能」デフォルトポリシーを編集し、以下の説明に従ってユーザーに適用します。
  3. ポリシーを適用したユーザーがログインするとコンピュータが暗号化されます。
    FileVault の暗号化はユーザー単位で行われるため、エンドポイントの各ユーザーアカウントで暗号化をオンにする必要があります。

コンピュータを暗号化する方法について詳細は、Device Encryption 管理者ガイドを参照してください。

デバイス暗号化は、ブートボリュームや固定データドライブに適用できますが、リムーバブルメディアには適用できません。

ポリシーを設定する方法は次のとおりです。

  • デバイス暗号化機能」デフォルトポリシーを編集します。
  • ポリシーの「設定」タブを開き、以下の説明に従って設定します。

設定

デバイス暗号化が有効化/無効化されています: 暗号化ポリシーが適用されているユーザーのいずれかがログインすると、コンピュータは暗号化されます。

Windows エンドポイントの場合、暗号化ポリシーが適用されていないユーザーがログインしても、暗号化された状態が維持されます。

警告 macOS の場合、エンドポイントを完全に暗号化するには、対象のエンドポイントのすべてのユーザーに暗号化ポリシーを適用する必要があります。

ブートボリュームのみを暗号化する: このオプションを選択すると、ブートボリュームのみを暗号化することができます。データボリュームは無視されます。

Windows の詳細設定

起動時に認証する: このオプションはデフォルトでオンになっています。その場合、TPM + PIN、パスフレーズ、または USB 鍵を使用した認証が必要になります。オフにすると、TPM のみを使用したログオン時の保護が、対応しているコンピュータにインストールされます。認証方式の詳細は、Device Encryption 管理者ガイドを参照してください。

認証用パスワード/PIN をユーザーがリセットする: このオプションはデフォルトでオフになっています。その場合、指定した期間後に BitLocker のパスワードまたは PIN の変更が必要になります。ユーザーがパスワードまたは PIN を変更した際に、イベントがログに記録されます。

エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。

ユーザーが新しいパスワードや PIN を入力せずにダイアログを閉じると、30秒後にダイアログが再表示され、入力するまでこれが繰り返されます。パスワードや PIN を変更せずにダイアログを 5回閉じると、警告がログに記録されます。

使用領域のみ暗号化する: このオプションはデフォルトでオフになっています。その場合、ドライブ全体でなく、使用領域のみ暗号化できます。これによって、初期暗号化 (ポリシーがはじめてコンピュータに適用されたときに実行される暗号化) が高速化されます。

警告 使用領域のみを暗号化する場合、コンピュータ上の削除されたデータが暗号化されないことがあります。したがって、新たにセットアップしたコンピュータのみで実行するようにしてください。
このオプションは、Windows 7 エンドポイントには適用されません。

安全にファイルを共有するためにファイルをパスワード保護する (Windows のみ)

エンドポイントでこの機能は、Central Device Encryption 2.0 以降のみで使用できます。

最大 50MB のファイルを保護できます。

コンテキストメニューを有効にする: このオプションをオンにすると、ファイルの右クリックメニューに「ファイルのパスワード保護」オプションが表示されるようになります。ユーザーは、社外に機密情報を送信する際に、ファイルをパスワードで保護してメールに添付することができます。ファイルは、コンテンツが暗号化された新しい HTML ファイルにラップされます。

受信者は、このファイルをダブルクリックしてパスワードを入力することで、ファイルを開くことができます。受信者は、同じパスワードや新しいパスワードを使用して受信したファイルを保護して返送するか、またはパスワード保護されたファイルを新たに作成できます。

Outlook アドインを有効にする: このオプションをオンにすると、メールの添付ファイルの暗号化機能が Outlook に追加されます。ユーザーは、Outlook のリボンにある「添付ファイルの保護」を選択することにより、添付ファイルを保護することができます。平文の添付ファイルはすべて、コンテンツが暗号化された新しい HTML 形式の添付ファイルにラップされたうえで、メール送信されます。

添付ファイルの処理について、常にユーザーに確認する: このオプションをオンにすると、メッセージにファイルが添付されているときは、ユーザーは必ず、添付ファイルの送信方法を選択する必要があります。ユーザーは、ファイルをパスワードで保護して送信することも、平文のまま送信することもできます。

添付ファイルの処理について、常にユーザーに確認する」オプションの適用対象から除外するドメインを入力できます。たとえば、社内ドメインなどです。送信先がそういったドメインの場合、添付ファイルの処理方法を確認するメッセージは表示されません。

完全ドメイン名のみを入力し、複数指定する場合は、コンマで区切ってください。