コンテンツにスキップ

よくある質問 (FAQ) - Windows

Windows コンピュータ上の Sophos Central Device Encryption に関するよくある質問 (FAQ) は次のとおりです。

どの Windows バージョンを使用できますか?

サポートされているプラットフォームの一覧は、サポートされている Windows エンドポイントおよびサーバープラットフォームを参照してください。

Sophos Central Device Encryption は、Boot Camp を使用して Mac に作成された Windows パーティションには対応していません。

どのような種類のボリュームを暗号化できますか?

Sophos Central Device Encryption では、システムボリュームとデータボリュームを暗号化できます。Sophos Central Device Encryption 1.4 以降では、システムボリュームのみを暗号化し、データボリュームは暗号化しないようにできます。

Sophos Central Device Encryption は、リムーバブルメディアには対応していません。このようなデバイスは、BitLocker To Go を使用して暗号化できますが、Sophos Central Device Encryption によって復旧鍵は管理されず、Sophos Central Admin に表示されることもありません。

安全なファイル共有はどのように機能しますか?

ユーザーは、次の 2種類の方法で、安全な共有のためにファイルをパスワード保護できます。

  • Windows Outlook で、メールの添付ファイルを暗号化できます。
  • Windows エクスプローラで、選択したファイルを暗号化できます。

どちらの場合でも、共有するファイルは AES-256 暗号化を使用して暗号化され、パスワード保護された HTML ファイルに保存されます。ユーザーは、HTML ファイルを内部または外部で共有できます。受信者は、ファイルを復号化するために Web ブラウザとパスワードのみを必要とします。

詳細は、安全にファイルを共有するためにファイルをパスワード保護する方法を参照してください。

パスワードをリセットするようにユーザーに指示することができますか?

BitLocker のパスワードや PIN の変更をユーザーに求める間隔を設定するには、「デバイス暗号化」ポリシーの「認証用パスワード/PIN をユーザーがリセットする」設定を使用します。

1台のコンピュータのパスワードを今すぐ変更するように求める場合は、コンピュータの詳細ページ (「デバイス暗号化」の「サマリー」タブ) にある「パスワード/PIN の変更の実行」を使用します。

詳細は、ユーザーにパスワード/PIN の変更を求める方法を参照してください。

BitLocker 保護の種類のどれを設定できますか?

設定できる保護の種類は次のとおりです。

  • TPM のみ
  • TPM + PIN
  • パスフレーズ
  • USB キー

どの Windows OS がどの種類をサポートしているかについては、デバイス暗号化のシステム互換性を参照してください。

「TPM のみ」から「TPM + PIN」に切り替える方法を教えてください。

起動時に認証 (TPM のみ) を実行せずに BitLocker を展開した場合は、「デバイス暗号化」ポリシーで「起動時に認証する」をオンにすることで、いつでも「TPM + PIN」に切り替えることができます。

BitLocker Network Unlock はサポートされていますか?

BitLocker Network Unlock を Sophos Central Device Encryption で設定、管理することはできません。

ただし、BitLocker で暗号化されたコンピュータで Network Unlock を使用するようにインフラを構成している場合、Sophos Central Device Encryption は Network Unlock と共存できます。

FIPS モードはサポートされていますか?

はい。Sophos Central Device Encryption では、Windows グループ ポリシー オブジェクト (GPO) 設定の「システム暗号化: 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う」をオンにしてコンピュータを管理できます。

既に暗号化されているコンピュータを管理できますか?

はい。既に BitLocker で暗号化されているコンピュータの管理を開始すると、Sophos Central Device Encryption は既存の鍵プロテクターを置き換えます。

SafeGuard Enterprise から移行できますか?

Sophos SafeGuard Enterprise 8 以降の場合は、ボリュームを復号化することなく BitLocker モジュールをアンインストールできます。その後、Sophos Central Device Encryption で BitLocker を管理できます。

復旧鍵を Active Directory に保存できますか?

はい。BitLocker 復旧鍵は Active Directory に保存できます。

SGN File Encryption モジュールに対応していますか?

Sophos SafeGuard Enterprise File Encryption モジュール (Data, Exchange、File Encryption、Synchronized Encryption) を使用してファイルを保護しています。Sophos Central Device Encryption を使用できますか?

はい。両方の製品を並行して使用できます。

ボリュームを復号化する方法を教えてください。

選択しているポリシーの種類に応じて、ポリシーからすべてのユーザーまたはコンピュータを削除します。そして、次の手順を実行します。

  1. Windows エクスプローラで、復号化するボリュームを右クリックします。
  2. BitLocker の管理」を選択します。
  3. BitLocker ドライブ暗号化」ダイアログで、「BitLocker を無効にする」を選択します。

この操作を実行するには、Windows の管理者である必要があります。

ユーザーは暗号化されたデータボリュームを復旧できますか?

いいえ。Sophos Central Self Service Portal では、ユーザーはブートボリュームのみを復旧でき、コンピュータに最後にサインインしたユーザーはシステムボリュームを復旧できます。

BitLocker はどういう状況において、復旧モードで起動しますか?

BitLocker が起動時に回復キーを要求する一般的な理由は次のとおりです。

  • ユーザーが TPM の PIN を忘れた (TPM + PIN 認証をオンにした場合)。
  • BitLocker で保護されたドライブが新しいコンピュータにインストールされた。
  • TPM がオフ、無効、またはクリアされた。
  • BIOS が更新された。
  • システム整合性検証の失敗の原因となる重要な初期起動コンポーネントのアップデートを行った (TPM)。
  • 任意の ROM ファームウェアが更新された。
  • マザーボードが、新しい TPM 搭載の新しいマザーボードに交換された。

考えられる原因の詳細については、Microsoft の文章、BitLocker が回復モードで起動する原因となるものは?を参照してください。

問題のトラブルシューティング方法を教えてください。

ログとトレースをオンにしてください。そして、ステータスとエラーメッセージをログで確認します。

詳細は、ログおよびトレースファイルを設定する方法を参照してください。

ボリュームの最小サイズは何ですか?

Sophos Central Device Encryption は、64MB 以下のボリュームを無視します。

どのロールが復旧鍵を取得できますか?

Sophos Central Admin で復旧鍵を取得するには、次のいずれか 1つのロールが割り当てられている必要があります: ヘルプデスク管理者スーパー管理者

復旧鍵をエクスポートする方法を教えてください。

Sophos Central Device Encryption から BitLocker 復旧鍵をエクスポートすることはできません。これによって、鍵が Sophos Central 外の安全でない環境で保存されるリスクが軽減されます。

復旧鍵は、ユーザーがサインイン用 PIN やパスワードを忘れた際に、管理者が使用するものです。管理者が Sophos Central Admin にある復旧鍵にアクセスすると、BitLocker は新しい鍵を生成し、これは Sophos Central に安全に保存されます。

デバイスをサードパーティの BitLocker 管理アプリケーションに移行する場合は、デバイスの管理を開始する際に、そのアプリケーションで新しい復旧鍵を作成することを推奨します。