コンテンツにスキップ

デバイス暗号化の操作手順

デバイスを暗号化する手順は、次のとおりです。

要件

  • Sophos Central のエージェントソフトウェアをエンドポイントにインストールする必要がある。
  • Sophos Central でデバイス暗号化ポリシーを設定してオンにする必要がある。
  • ユーザーはエンドポイントにログオンする必要がある。エンドポイントは Sophos Central に接続され、同期されている必要がある。

    リモートログオンはサポートされていないことに注意してください。

  • OS で BitLocker ドライブ暗号化がサポートされている。

以下を参照してください。

デバイスの暗号化

エンドポイントに表示されるメッセージと必要な操作は次のとおりです。

  1. TPM セキュリティハードウェアがまだ有効化されていない場合、BIOS のセットアップ画面で有効にすることができます。再起動が必要になります。ユーザーは、ただちに再起動するか、または後で再起動するかを選択できます。

    再起動後、TPM の有効化を促す画面が表示されます。TPM を有効化できない場合や、ユーザーが応答しない場合はメッセージが表示されます。

  2. TPM がアクティブで有効化されているが、所有者が指定されていない場合、Sophos Central のエージェントソフトウェアによって、TPM の所有者情報が自動的に生成・適用されます。

    これに失敗すると Sophos Central に警告が送信されます。

  3. TPM のエンドースメント鍵がない場合は、Sophos Central のエージェントソフトウェアによって自動的に作成されます。

    これに失敗すると Sophos Central に警告が送信されます。

  4. デバイス暗号化ポリシーで「起動時に認証が必要」が指定されなかった場合、ハードディスクの暗号化は自動的に開始されます。

    この場合、ユーザーによる操作は何も必要ありません。ステップ 8 に進んでください。

  5. デバイス暗号化ポリシーで「起動時に認証が必要」が指定されている場合、ユーザーに対して「Sophos Device Encryption」ダイアログが表示されます。

    • PIN やパスワードを使用した認証がデバイス暗号化ポリシーで設定されている場合は、ユーザーは画面の指示に従って PIN やパスワードを定義する必要があります。TPM + PIN を使用すると、システムディスクの暗号鍵は TPM に保存されます。

      警告

      パスワードを設定する際は注意が必要です。プリブート環境は、「EN-US」キーボードのみに対応しています。記号を含む PIN やパスワードを設定した場合、ユーザーはログインする際に、キーボード上の実際の配置と異なるキーを押さなくてはならないことがあります。

    • USB キーを使用した認証がデバイス暗号化ポリシーで設定されている場合、ユーザーは、コンピュータに USB メモリを接続する必要があります。NTFS、FAT、または FAT32 でフォーマットされている USB メモリを使用する必要があります。

  6. ユーザーが「再起動&暗号化」をクリックすると、コンピュータが再起動し、デバイス暗号化が動作するかどうかが検証されます。

    ユーザーは「後で作成」を選択して、ダイアログを閉じることができます。ただし、ユーザーが再ログオンしたり、管理者がデバイス暗号化ポリシーを変更したりすると、再び表示されます。

  7. 正しい PIN やパスワードを入力できない場合、ユーザーは「Esc」キーを押すことができます。この段階では、暗号化が適用されていないため、システムは通常どおりに起動します。

    ログオン後、PIN やパスワードの入力が再び促されます。

  8. 管理者は、暗号化の有効化が済んでいないユーザーを確認できます。これは、ユーザーがコンピュータを再起動していない、または画面に表示される操作を完了していないことを意味します。

    Sophos Central の「レポート」を参照してください。

  9. プリブートの検証に成功すると、Sophos Central のエージェントソフトウェアによって、ハードディスクの暗号化が開始されます。

    暗号化はバックグラウンドで実行されるため、ユーザーは通常どおり作業を進めることができます。

    ハードウェアの検証に失敗すると、システムは再起動しますが、暗号化は実行されません。Sophos Central にイベントが送信され、管理者への通知が行われます。

  10. Sophos Central のエージェントがシステムボリュームを暗号化した後、データボリュームの暗号化が開始します (ポリシーで指定されている場合)。

    データボリュームの保護機能はシステムボリュームに保存されているため、システムの起動後、データボリュームは自動的に使用できるようになります。したがって、ユーザーは、コンピュータにログオンすると、追加の操作なしでデータボリュームにアクセスできます。

    USB メモリなど、リムーバブル データ ボリュームは暗号化されません。

エンドポイントの %ProgramData%\Sophos\Sophos Data Protection\Logs に、CDE.log および CDE_trace.xml というログファイルが出力されます。