BitLocker で保護されているコンピュータでの暗号化

暗号化が開始する前に、BitLocker によって暗号鍵が生成されます。使用しているシステムに応じて、動作は多少異なります。

TPM のあるエンドポイント

セキュリティ担当者が BitLocker クライアントに対して TPM を使用するログオンモード (TPM、TPM + PIN、または TPM + スタートアップ キー) を設定している場合は、TPM のアクティブ化は自動的に開始します。

TPM (Trusted Platform Module) は BitLocker が暗号鍵の格納に使用するマイクロチップです。鍵はコンピュータのハードディスクには保存されません。TPM は起動時に BIOS がアクセスできる必要があります。ユーザーがコンピュータを起動すると、BitLocker は TPM からこれらの鍵を自動的に取得します。

TPM のないエンドポイント

エンドポイントに TPM が搭載されていない場合は、BitLocker スタートアップキーを使用するか、エンドポイントが Windows 8 の場合は、ログインモードとしてパスワードを使用できます。

BitLocker スタートアップキーは、USB メモリを使用して作成し、暗号鍵を格納できます。コンピュータを起動するたびに、この USB メモリを挿入する必要があります。

SafeGuard Enterprise で BitLocker をアクティブにすると、ユーザーは BitLocker のスタートアップ キーを保存するよう求められます。スタートアップ キーの保存先として有効なドライブが表示されます。

ブート ボリュームを暗号化する場合、エンドポイントの起動時にスタートアップ キーが使用可能である必要があります。したがって、スタートアップ キーは、リムーバブル メディアのみに保存可能です。

データボリュームを暗号化する場合は、暗号化されているブート ボリュームに BitLocker スタートアップ キーを保存できます。ポリシーで「自動ロック解除」が設定されている場合、この操作は自動で行われます。

BitLocker の復旧鍵

BitLocker の復旧では、SafeGuard Enterprise のチャレンジ/レスポンスを使用して、情報を暗号化して交換できます。また、ヘルプデスク担当者から BitLocker の復旧鍵を取得することもできます。詳細は、BitLocker で暗号化された SafeGuard Enterprise Client のレスポンス - UEFI エンドポイントおよびBitLocker で暗号化された SafeGuard Enterprise Client 用の復旧鍵 - BIOS エンドポイントを参照してください。

チャレンジ/レスポンスを使用した復旧や、復旧鍵の取得を行うには、必要なデータにヘルプデスク担当者がアクセスできる必要があります。復旧に必要なデータは、特定の鍵復旧ファイルに保存されます。
注: チャレンジ/レスポンスなしの SafeGuard BitLocker 管理をスタンドアロン モードで使用する場合、復旧操作によって復旧鍵は変更されません。
注: コンピュータの BitLocker で暗号化されたハード ディスクが、BitLocker で暗号化された新しいハード ディスクに交換され、新しいハード ディスクに以前のハード ディスクと同じドライブ文字が割り当てられた場合、SafeGuard Enterprise は新しいハード ディスクの復旧鍵のみを保存します。

すでに BitLocker で暗号化されているドライブを管理する

すでに BitLocker で暗号化されたドライブのあるコンピュータに SafeGuard Enterprise をインストールした場合、このようなドライブの管理は SafeGuard Enterprise によって引き継がれます。

暗号化済みブート ドライブ

暗号化済みデータ ドライブ