Remove From My Forums

ADのGPOにてBitlLockerの設定方法、回復キーの保存について

質問
0

サインインして投票

お世話になります。

ADにてWindows10 PCを管理（約200台）していまして、今回GPOの設定でWindows10にBitLockerを設定したいと考えております。

BitLockerの回復キーは必須だと思いますが、どのように管理するのがいいのでしょうか。（USB以外）
※ADであるディレクトリで一元管理など

また、ADのGPOでBitLockerを設定すると、Windows10の起動時にbitlockerのパスワードを求められるようになると思いますが、パスワード無し（入力を求められない）の設定はないのでしょうか。

宜しくお願いします。

2020年8月31日 5:18

返信

|

引用

回答

1

サインインして投票
【回復キーの管理】

以下のグループポリシーでADDS（オンプレAD）に回復キー情報を格納する事が可能です。

[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する]：有効

[AD DS への BitLocker 回復情報の記憶域を構成する]："回復パスワードとキーパッケージを保存する" or "回復パスワードのみ保存する"

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bitlocker-%E3%81%A7%E4%BF%9D%E8%AD%B7%E3%81%95%E3%82%8C%E3%81%9F%E5%9B%BA%E5%AE%9A%E3%83%89%E3%83%A9%E3%82%A4%E3%83%96%E3%81%AE%E5%9B%9E%E5%BE%A9%E6%96%B9%E6%B3%95%E3%82%92%E9%81%B8%E6%8A%9E%E3%81%99%E3%82%8Bchoose-how-bitlocker-protected-fixed-drives-can-be-recovered

【Bitlockerの認証方式】

OSドライブのBitlocker認証方式は以下の4種類から選択可能です。パスワード（PIN）やUSBキー等のユーザー操作無しで利用したいなら、[TPM] のみに設定頂くとよいでしょう。

・TPMのみ

・TPM＋PIN

・TPM＋USBキー

・TPM＋PIN＋USBキー

以下のグループポリシーで設定可能です。

[スタートアップ時に追加の認証を要求する]：有効

[TPMスタートアップの構成]：TPM を要求する

※ TPMスタートアップが選択できない、TPMスタートアップ以外は使用しないとかであれば、他の認証方式は "許可しない" に設定頂くと良いでしょう。

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#%E8%B5%B7%E5%8B%95%E6%99%82%E3%81%AB%E8%BF%BD%E5%8A%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A6%81%E6%B1%82%E3%81%99%E3%82%8Brequire-additional-authentication-at-startup
- 編集済み LapivyMVP 2020年8月31日 6:09
- 回答としてマーク ikeda-19 2020年8月31日 8:07
2020年8月31日 6:08

返信

|

引用
1

サインインして投票
Lapivyさんが記載してくれているADDSに回復キーを保存する方法を実施する場合は、ADサーバの役割と機能の追加ウィザードから以下を追加してあげると保存した回復キーが閲覧できるようになります。
(GPOを設定することで回復キーは保存されているので、後からインストールしても大丈夫です。)

機能の選択から[リモートサーバ管理ツール]-[機能管理ツール]-[BitLockerドライブ暗号化ユーティリティ]-[BitLocker回復パスワードビューアー]

機能の追加後に[Active Directory ユーザーとコンピューター]から対象のコンピューターオブジェクトのプロパティを開くと[Bitlocker回復]というタブが追加されるかと思います。

※インストールしたADにしか[Bitlocker回復]というタブは表示されないので、複数台ADが存在していて、どのADでも[Bitlocker回復]タブを表示させたい場合は、それぞれにインストールする必要があります。
- 編集済み kaz8629 2020年8月31日 7:42
- 回答としてマーク ikeda-19 2020年8月31日 8:07
2020年8月31日 6:40

返信

|

引用
0

サインインして投票
「TPMのみ」と言うのはBitlockerの認証方法にTPMを利用する事を指しており、仮にTPMやシステムボードが故障するなどした場合はTPMによる認証が出来なくなる為、その様な場合の回復方法として回復キーは何らかの方法（今回で言うとADDS）で保管しておくのが一般的かと思います。
- 回答としてマーク ikeda-19 2020年9月1日 1:24
2020年8月31日 8:23

返信

|

引用
0

サインインして投票
BIOSをアップデートした後等にBitlockerの回復キーを求められるので保存しておいた方が良いです。保存していない場合はデータが救出できなくなります。。。
- 回答としてマーク ikeda-19 2020年9月1日 1:24
2020年8月31日 8:26

返信

|

引用
0

サインインして投票
以下が参考になるので共有しておきます。

Bitlockerのポリシー設定はGPOからできます。ただ、エンドユーザーの手元にある端末の暗号化を自動的に有効化するとなると、スタートアップスクリプト等でスクリプトを実行するか、MBAMを導入するといった対応をとらないと有効化できないと思います。

https://social.technet.microsoft.com/Forums/ja-JP/a3ba717e-22bb-4833-9f1d-8a00dc963410/bitlocker1239826263214952127027231330211239826377211772896121177?forum=w8itpro

https://social.technet.microsoft.com/Forums/en-US/753a93a8-d9ab-4ca3-a8f0-b235319bbdfb/enable-bitlocker-using-active-directory-gpo?forum=mdopmbam
- 編集済み kaz8629 2020年9月1日 10:11
- 回答としてマーク ikeda-19 2020年9月1日 15:02
2020年9月1日 9:35

返信

|

引用
0

サインインして投票
kaz8629さんが書かれている様に、Bitlockerの暗号化は何らかの方法（手動やツール）で暗号化を実行する必要がありますので、グループポリシーでBitlocker関連のグループポリシーを設定しただけではBitlockerによる暗号化は実行されません。

自動的に暗号化させたいのであれば、以下のmanage-bdeコマンドやPowerShellのコマンドレットをADのスタートアップスクリプト等で実行して暗号化させる事が考えられます。

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-basic-deployment#%E7%AE%A1%E7%90%86-bde-%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%82%A4%E3%82%B9%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E3%83%9C%E3%83%AA%E3%83%A5%E3%83%BC%E3%83%A0%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96encrypting-volumes-using-the-manage-bde-command-line-interface

また、MBAMについては延長サポートが2026年4月までとなっており、新たなバージョンのMBAMはリリースさない予定となっていますので、今から高度なBitlocker管理を実施したいとの事であればIntuneかMECM(SCCM)を利用頂くと良いでしょう。（こちらであればスクリプトと違い暗号化を "強制" する事もできます）

https://techcommunity.microsoft.com/t5/microsoft-endpoint-manager-blog/microsoft-expands-bitlocker-management-capabilities-for-the/ba-p/544329
- 回答としてマーク ikeda-19 2020年9月1日 15:02
2020年9月1日 10:31

返信

|

引用
0

サインインして投票
コマンドですが回復キーのオプションとオマケにハードウェアテストをスキップするオプションを付けて実行するとどうなりますでしょうか。

manage-bde –on C: -recoverypassword -skiphardwaretest

https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/manage-bde-on

GPOの部分に関してはWindows10でもできている実績がでてくるので、恐らく問題ないかと思います。
- 編集済み kaz8629 2020年9月1日 16:02
- 回答としてマーク ikeda-19 2020年9月3日 1:24
2020年9月1日 15:55

返信

|

引用
0

サインインして投票
私の記載が分かりにくかった様で申し訳ありません。

グループポリシーの設定として初回の返信で記載していたポリシーですが、それぞれ別のポリシー項目ではなく、[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する] を有効にした上で、そのポリシー内の [AD DS への BitLocker 回復情報の記憶域を構成する] で "回復パスワードとキーパッケージを保存する" or "回復パスワードのみ保存する" を選択する必要があるという意図でした。

より詳細にグループポリシーの階層まで記載すると、回復方法（回復パスワード）を設定するポリシーは以下となります。

[コンピューターの構成] - [管理テンプレート] - [Windows コンポーネント] - [BitLocker ドライブ暗号化] - [オペレーティングシステムのドライブ] - [BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する]

[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する] 内の設定についてですが、こちらは設定項目が複数あるので環境や要件に応じて適切な設定をご自身で決定頂く必要がありますが、設定例を以下に記載します。以下の設定の場合、ユーザーはGUIで回復オプション（回復キー等）を選択できず、自動的に回復キー（回復パスワード）がADへ保存され、暗号化はADへ回復キー（回復パスワード）が保存された後に実行されます。

データ回復エージェントを許可する：有効

BitLocker 回復情報のユーザー記憶域を構成する：48 桁の回復パスワードを許可する / 256 ビットの回復キーを許可する

BitLocker セットアップウィザードの回復オプションを省略する：有効

オペレーティングシステムドライブの AD DS に BitLocker 回復情報を保存する：有効

AD DS への BitLocker 回復情報の記憶域を構成する：回復パスワードのみを保存する

オペレーティングシステムドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない：有効

https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.VolumeEncryption::OSRecoveryUsage_Name&Language=ja-jp

また、Bitlocker関連のグループポリシーは仰る通り名前に "Windows Server 2008 および Windows Vista" と記載のある古いポリシーが幾つかあります。これらのポリシーは "Windows Server 2008 R2 および Windows 7" 以降の環境でも引き続き動作する可能性はありますが、ポリシーの説明には適用対象が "Windows Server 2008 および Windows Vista" と明記されていますし、将来の変更などで古いポリシーが動作しなくなる可能性も考慮すると適用対象が "Windows Server 2008 R2 および Windows 7" 以降と記載されているポリシーを使用頂く方が良いと個人的には思います。
- 編集済み LapivyMVP 2020年9月1日 19:35
- 回答としてマーク ikeda-19 2020年9月3日 1:23
2020年9月1日 19:32

返信

|

引用
0

サインインして投票
なお、Bitlocker機能だけですと暗号化を有効化した際やコマンドで回復情報（回復パスワード）を追加した場合しかADDSへ回復情報（回復パスワード）が保存されませんので、再度検証する場合は1度Bitlockerの暗号化を無効化して再度スタートアップスクリプト/ログオンスクリプで暗号化を有効化して頂くか、kaz8629さんが書かれているmanage-bdeコマンドで回復情報（回復パスワード）を個別に追加頂くと良いでしょう。
- 回答としてマーク ikeda-19 2020年9月3日 1:24
2020年9月1日 19:48

返信

|

引用

すべての返信

1

サインインして投票
【回復キーの管理】

以下のグループポリシーでADDS（オンプレAD）に回復キー情報を格納する事が可能です。

[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する]：有効

[AD DS への BitLocker 回復情報の記憶域を構成する]："回復パスワードとキーパッケージを保存する" or "回復パスワードのみ保存する"

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bitlocker-%E3%81%A7%E4%BF%9D%E8%AD%B7%E3%81%95%E3%82%8C%E3%81%9F%E5%9B%BA%E5%AE%9A%E3%83%89%E3%83%A9%E3%82%A4%E3%83%96%E3%81%AE%E5%9B%9E%E5%BE%A9%E6%96%B9%E6%B3%95%E3%82%92%E9%81%B8%E6%8A%9E%E3%81%99%E3%82%8Bchoose-how-bitlocker-protected-fixed-drives-can-be-recovered

【Bitlockerの認証方式】

OSドライブのBitlocker認証方式は以下の4種類から選択可能です。パスワード（PIN）やUSBキー等のユーザー操作無しで利用したいなら、[TPM] のみに設定頂くとよいでしょう。

・TPMのみ

・TPM＋PIN

・TPM＋USBキー

・TPM＋PIN＋USBキー

以下のグループポリシーで設定可能です。

[スタートアップ時に追加の認証を要求する]：有効

[TPMスタートアップの構成]：TPM を要求する

※ TPMスタートアップが選択できない、TPMスタートアップ以外は使用しないとかであれば、他の認証方式は "許可しない" に設定頂くと良いでしょう。

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#%E8%B5%B7%E5%8B%95%E6%99%82%E3%81%AB%E8%BF%BD%E5%8A%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A6%81%E6%B1%82%E3%81%99%E3%82%8Brequire-additional-authentication-at-startup
- 編集済み LapivyMVP 2020年8月31日 6:09
- 回答としてマーク ikeda-19 2020年8月31日 8:07
2020年8月31日 6:08

返信

|

引用
1

サインインして投票
Lapivyさんが記載してくれているADDSに回復キーを保存する方法を実施する場合は、ADサーバの役割と機能の追加ウィザードから以下を追加してあげると保存した回復キーが閲覧できるようになります。
(GPOを設定することで回復キーは保存されているので、後からインストールしても大丈夫です。)

機能の選択から[リモートサーバ管理ツール]-[機能管理ツール]-[BitLockerドライブ暗号化ユーティリティ]-[BitLocker回復パスワードビューアー]

機能の追加後に[Active Directory ユーザーとコンピューター]から対象のコンピューターオブジェクトのプロパティを開くと[Bitlocker回復]というタブが追加されるかと思います。

※インストールしたADにしか[Bitlocker回復]というタブは表示されないので、複数台ADが存在していて、どのADでも[Bitlocker回復]タブを表示させたい場合は、それぞれにインストールする必要があります。
- 編集済み kaz8629 2020年8月31日 7:42
- 回答としてマーク ikeda-19 2020年8月31日 8:07
2020年8月31日 6:40

返信

|

引用
0

サインインして投票

お世話になります。

ご教示いただきまして誠にありがとうございます。

Windows起動時にパスワードを要求されない、"TPMのみ"で実施した場合は、
グループポリシーでADDS（オンプレAD）に回復キー情報を格納が必要になりますでしょうか。

Windows10起動時にパスワードを求められない"TPMのみ"ですと、回復キー情報の管理が不必要な認識なのですが、正しいのでしょうか。それともBitLockerを実施するにあたっては、回復キー情報の管理は必須になりますでしょうか。

申し訳ございませんが、よろしくお願いします。

2020年8月31日 8:15

返信

|

引用
0

サインインして投票
「TPMのみ」と言うのはBitlockerの認証方法にTPMを利用する事を指しており、仮にTPMやシステムボードが故障するなどした場合はTPMによる認証が出来なくなる為、その様な場合の回復方法として回復キーは何らかの方法（今回で言うとADDS）で保管しておくのが一般的かと思います。
- 回答としてマーク ikeda-19 2020年9月1日 1:24
2020年8月31日 8:23

返信

|

引用
0

サインインして投票
BIOSをアップデートした後等にBitlockerの回復キーを求められるので保存しておいた方が良いです。保存していない場合はデータが救出できなくなります。。。
- 回答としてマーク ikeda-19 2020年9月1日 1:24
2020年8月31日 8:26

返信

|

引用
0

サインインして投票

ご教示いただきまして、誠にありがとうございました。

回復キーはADDSに保存する方針にしまして、[BitLocker回復パスワードビューアー]の機能を追加いたしました。

現在ご教示いただいた、ADでTPMのみ認証の設定と、回復キー情報の格納設定を実施し、クライアント（Windows10）にGPOを反映させています。
しかし、WIndows10でGPOが反映されてるにもかかわらず、BitLocker（TPM）のみが有効にならない状況です。

何かクライアント（Windows10）側で操作が必要になりますでしょうか。

2020年9月1日 5:01

返信

|

引用
0

サインインして投票
以下が参考になるので共有しておきます。

Bitlockerのポリシー設定はGPOからできます。ただ、エンドユーザーの手元にある端末の暗号化を自動的に有効化するとなると、スタートアップスクリプト等でスクリプトを実行するか、MBAMを導入するといった対応をとらないと有効化できないと思います。

https://social.technet.microsoft.com/Forums/ja-JP/a3ba717e-22bb-4833-9f1d-8a00dc963410/bitlocker1239826263214952127027231330211239826377211772896121177?forum=w8itpro

https://social.technet.microsoft.com/Forums/en-US/753a93a8-d9ab-4ca3-a8f0-b235319bbdfb/enable-bitlocker-using-active-directory-gpo?forum=mdopmbam
- 編集済み kaz8629 2020年9月1日 10:11
- 回答としてマーク ikeda-19 2020年9月1日 15:02
2020年9月1日 9:35

返信

|

引用
0

サインインして投票
kaz8629さんが書かれている様に、Bitlockerの暗号化は何らかの方法（手動やツール）で暗号化を実行する必要がありますので、グループポリシーでBitlocker関連のグループポリシーを設定しただけではBitlockerによる暗号化は実行されません。

自動的に暗号化させたいのであれば、以下のmanage-bdeコマンドやPowerShellのコマンドレットをADのスタートアップスクリプト等で実行して暗号化させる事が考えられます。

https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-basic-deployment#%E7%AE%A1%E7%90%86-bde-%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%82%A4%E3%82%B9%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E3%83%9C%E3%83%AA%E3%83%A5%E3%83%BC%E3%83%A0%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96encrypting-volumes-using-the-manage-bde-command-line-interface

また、MBAMについては延長サポートが2026年4月までとなっており、新たなバージョンのMBAMはリリースさない予定となっていますので、今から高度なBitlocker管理を実施したいとの事であればIntuneかMECM(SCCM)を利用頂くと良いでしょう。（こちらであればスクリプトと違い暗号化を "強制" する事もできます）

https://techcommunity.microsoft.com/t5/microsoft-endpoint-manager-blog/microsoft-expands-bitlocker-management-capabilities-for-the/ba-p/544329
- 回答としてマーク ikeda-19 2020年9月1日 15:02
2020年9月1日 10:31

返信

|

引用
0

サインインして投票

度々ご教示いただきまして、誠にありがとうございます。

今回はGPOで、TPMのBitLockerを有効にし、ログオンクリプトでmanage-bdeを流すことにします。

manage-bdeコマンドでBitLockerが有効になったのですが、ADのユーザーとコンピューターで該当PCを選択し、
"BitLocker回復"タブにBitLocker回復パスワードが保存されていなく、"このビューには項目がありません"と表示されてしまいます。

BitLocker回復パスワードをADDSに保存するにも何かクライアント（Windows10）で操作が必要でしょうか。
※以前ご教示いただいた、下記はGPOで設定しております。
>[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する]：有効
>[AD DS への BitLocker 回復情報の記憶域を構成する]："回復パスワードとキーパッケージを保存する" or "回復パスワードのみ保存する"

申し訳ございませんが、よろしくお願いします。

2020年9月1日 15:07

返信

|

引用
0

サインインして投票
GPOが適用されていてADと通信できる環境であれば、クライアント側の設定は不要です。

manage-bdeコマンドはどのオプションを付けて実行されましたでしょうか？
- 編集済み kaz8629 2020年9月1日 15:32
2020年9月1日 15:28

返信

|

引用
0

サインインして投票

いつもお世話になります。

コマンドは、"manage-bde -on C:"で実施しました。

少し気になっているのは、ADDSに保存するGPOが、両方とも"Windows Server 2008 および Windows Vista"になっていますが、問題ないのでしょうか。
・Active Directory ドメインサービスに BitLocker 回復情報を保存する (Windows Server 2008 および Windows Vista)
・BitLocker で保護されているドライブの回復方法を選択する (Windows Server 2008 および Windows Vista)

恐れ入りますが、何卒宜しくお願い致します。

2020年9月1日 15:39

返信

|

引用
0

サインインして投票
コマンドですが回復キーのオプションとオマケにハードウェアテストをスキップするオプションを付けて実行するとどうなりますでしょうか。

manage-bde –on C: -recoverypassword -skiphardwaretest

https://docs.microsoft.com/ja-jp/windows-server/administration/windows-commands/manage-bde-on

GPOの部分に関してはWindows10でもできている実績がでてくるので、恐らく問題ないかと思います。
- 編集済み kaz8629 2020年9月1日 16:02
- 回答としてマーク ikeda-19 2020年9月3日 1:24
2020年9月1日 15:55

返信

|

引用
0

サインインして投票
私の記載が分かりにくかった様で申し訳ありません。

グループポリシーの設定として初回の返信で記載していたポリシーですが、それぞれ別のポリシー項目ではなく、[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する] を有効にした上で、そのポリシー内の [AD DS への BitLocker 回復情報の記憶域を構成する] で "回復パスワードとキーパッケージを保存する" or "回復パスワードのみ保存する" を選択する必要があるという意図でした。

より詳細にグループポリシーの階層まで記載すると、回復方法（回復パスワード）を設定するポリシーは以下となります。

[コンピューターの構成] - [管理テンプレート] - [Windows コンポーネント] - [BitLocker ドライブ暗号化] - [オペレーティングシステムのドライブ] - [BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する]

[BitLocker で保護されているオペレーティングシステムドライブの回復方法を選択する] 内の設定についてですが、こちらは設定項目が複数あるので環境や要件に応じて適切な設定をご自身で決定頂く必要がありますが、設定例を以下に記載します。以下の設定の場合、ユーザーはGUIで回復オプション（回復キー等）を選択できず、自動的に回復キー（回復パスワード）がADへ保存され、暗号化はADへ回復キー（回復パスワード）が保存された後に実行されます。

データ回復エージェントを許可する：有効

BitLocker 回復情報のユーザー記憶域を構成する：48 桁の回復パスワードを許可する / 256 ビットの回復キーを許可する

BitLocker セットアップウィザードの回復オプションを省略する：有効

オペレーティングシステムドライブの AD DS に BitLocker 回復情報を保存する：有効

AD DS への BitLocker 回復情報の記憶域を構成する：回復パスワードのみを保存する

オペレーティングシステムドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない：有効

https://getadmx.com/?Category=Windows_10_2016&Policy=Microsoft.Policies.VolumeEncryption::OSRecoveryUsage_Name&Language=ja-jp

また、Bitlocker関連のグループポリシーは仰る通り名前に "Windows Server 2008 および Windows Vista" と記載のある古いポリシーが幾つかあります。これらのポリシーは "Windows Server 2008 R2 および Windows 7" 以降の環境でも引き続き動作する可能性はありますが、ポリシーの説明には適用対象が "Windows Server 2008 および Windows Vista" と明記されていますし、将来の変更などで古いポリシーが動作しなくなる可能性も考慮すると適用対象が "Windows Server 2008 R2 および Windows 7" 以降と記載されているポリシーを使用頂く方が良いと個人的には思います。
- 編集済み LapivyMVP 2020年9月1日 19:35
- 回答としてマーク ikeda-19 2020年9月3日 1:23
2020年9月1日 19:32

返信

|

引用
0

サインインして投票
なお、Bitlocker機能だけですと暗号化を有効化した際やコマンドで回復情報（回復パスワード）を追加した場合しかADDSへ回復情報（回復パスワード）が保存されませんので、再度検証する場合は1度Bitlockerの暗号化を無効化して再度スタートアップスクリプト/ログオンスクリプで暗号化を有効化して頂くか、kaz8629さんが書かれているmanage-bdeコマンドで回復情報（回復パスワード）を個別に追加頂くと良いでしょう。
- 回答としてマーク ikeda-19 2020年9月3日 1:24
2020年9月1日 19:48

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

ADのGPOにてBitlLockerの設定方法、回復キーの保存について

質問

回答

すべての返信