ベスト プラクティス: ポリシーの設定とユーザーエクスペリエンス

セキュリティ担当者は暗号化するドライブに対する暗号化ポリシーと認証ポリシーを設定します。TPM は可能な限り使用する必要がありますが、TPM がなくてもブートボリュームは暗号化されます。ユーザーによる操作は最小限に抑える必要があります。

これらの要件にもとづき、セキュリティ担当者は次の認証設定を選択します (これらはデフォルトの設定でもあります)。

セキュリティ担当者は、ターゲットを「内部記憶装置」に設定したデバイス保護ポリシーを作成し、暗号化モードを「ボリュームベース」に設定します。その後、両方のポリシーは暗号化するエンドポイントに適用されます。

SafeGuard Enterprise の BitLocker ユーザーのログオンシナリオは次のとおりです。

ケース 1: ユーザーが TPM を使用してエンドポイントにログオンする場合。

  1. ユーザーはブートボリュームに対する PIN の入力を求められます (例: C: ドライブなど)。
  2. ユーザーは PIN を入力し、「再起動&暗号化」をクリックします。
  3. システムでハードウェアがテストされ、ユーザーが PIN を正しく入力できるかどうかがチェックされます。システムが再起動し、ユーザーに PIN の入力が求められます。
    • ユーザーが入力した PIN が正しい場合、エンドポイントが起動します。
    • ユーザー入力した PIN が正しくない場合 (たとえば、キーボードレイアウトの設定が間違っているなど)、ユーザーは BitLocker のプリブート環境で「Esc」キーを押してテストとエンドポイントの起動をキャンセルできます。
    • TPM が正常に動作していないなど、ハードウェアに問題がある場合は、テストとエンドポイントの起動は中止されます。
  4. ユーザーが再びログオンします。
  5. ハードウェアテストが成功すると (ユーザーの入力した PIN が正しく、TPM にも問題がない場合)、ブートボリュームの暗号化が開始します。ハードウェアテストに失敗すると、エラーメッセージが表示され、ボリュームの暗号化は行われません。ユーザーがプリブート環境で「Esc」キーを押したためにテストに失敗した場合は、再び PIN の入力が促され、再起動が行われます (ステップ 2 に該当。ステップ 3、4、5 が繰り返されます)。
  6. ブートボリュームの暗号化が開始します。
  7. データボリュームの暗号化も開始します。ユーザーの操作は必要ありません。

ケース 2: ユーザーが Windows 8 環境のエンドポイントに TPM を使用せずログオンする場合。

  1. ユーザーはブートボリュームのパスワードの入力を求められます。
  2. ユーザーはパスワードを入力し、「再起動&暗号化」をクリックします。
  3. システムが再起動し、ハードウェアがテストされます。前述のケースのようにユーザーは再びログオンします (ケース 1 のステップ 3 から 6 に該当。ただし、TPM は使用せず、PIN はパスワードに置き換える)。
  4. ブートボリュームの暗号化が開始します。
  5. データボリュームの暗号化も開始します。ユーザーの操作は必要ありません。

ケース 3: ユーザーが Windows 7 環境のエンドポイントに TPM を使用せずログオンする場合。

  1. ユーザーはブートボリュームの暗号鍵を USB メモリに保存するよう求められます。
  2. ユーザーは USB メモリを挿入し、「保存&再起動」を押します。
  3. システムが再起動し、ハードウェアテストが実施されます。ユーザーが再びログオンします。(前述のケースと同様の手順ですが、コンピュータを起動する際、USB メモリを挿入する必要があります。BitLocker プリブート環境から USB メモリが読み取れないというハードウェアに関するエラーが発生することもあります)
  4. ブートボリュームの暗号化が開始します。
  5. データボリュームの暗号化も開始します。ユーザーの操作は必要ありません。

ケース 4: セキュリティ担当者が「BitLocker 代替ログオン モード: ブートボリューム用」のポリシーの設定を「パスワード」に変更し、ユーザーが Windows 7 環境のエンドポイントに TPM を使用せずログオンする場合。

  1. エンドポイントに TPM が搭載されておらず、また Windows 7 ではブートボリュームにパスワードを設定できないため、ブートボリュームは暗号化されません。
  2. ブートボリューム以外の各ボリュームに対して、ユーザーは USB メモリに外部鍵を保存するよう求められます。ユーザーが「保存」をクリックすると、各ボリュームの暗号化が開始します。
  3. コンピュータを起動する際に鍵を保存した USB メモリを挿入し、ブートボリューム以外のボリュームのロックを解除する必要があります。