none
GPO による BitLocker の適用方法 RRS feed

  • 質問

  • お世話になります。

    GPO による BitLocker の適用方法についてご教示ください。

    ADサーバー:Windows Server 2012 R2
    クライアント:Windows 10 Pro

    GPO を利用して、クライアントに BitLocker による暗号化を強制しようと考えております。
    GPO の設定を見ているのですが、BitLocker を利用するための設定は見つかるのですが、
    何を実行すれば BitLocker を強制できるのか解らない状況です。

    もう1点、質問があります。
    GPO で BitLocker 回復パスワードを保存する設定にしている場合、
    WORKGROUP で BitLocker 暗号化がされているコンピュータが ADに参加すると
    回復パスワードのAD保存設定など他の BitLocker のGPOが設定してあった場合、どのような挙動になるのでしょうか。
    ドメインに参加後、GPO起因による設定変更が起きた等の理由で、回復キーの入力を求められることを危惧しています。

    以上、よろしくお願いいたします。


    Mr. Du

    2019年2月26日 4:40

回答

  • Bitlocker はハードウエア要件があるので自動的な暗号化を強制するポリシーは無いかと思います。

    ただし一定のハードウエア要件を満たすデバイスであれば、自動的に「デバイスの暗号化」が利用可能になり、AD に参加した時点(または Microsoft アカウントでサインインした時点)で暗号化が有効になります。

    ※デバイスの暗号化の動作については以下の資料の「Device encryption」セクションを参照してください。
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn306081(v=ws.11)


    Hebikuzure aka Murachi Akira

    • 回答の候補に設定 LapivyMVP 2019年2月26日 15:25
    • 回答としてマーク Mr. Du 2019年2月27日 1:01
    2019年2月26日 5:11

すべての返信

  • Bitlocker はハードウエア要件があるので自動的な暗号化を強制するポリシーは無いかと思います。

    ただし一定のハードウエア要件を満たすデバイスであれば、自動的に「デバイスの暗号化」が利用可能になり、AD に参加した時点(または Microsoft アカウントでサインインした時点)で暗号化が有効になります。

    ※デバイスの暗号化の動作については以下の資料の「Device encryption」セクションを参照してください。
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn306081(v=ws.11)


    Hebikuzure aka Murachi Akira

    • 回答の候補に設定 LapivyMVP 2019年2月26日 15:25
    • 回答としてマーク Mr. Du 2019年2月27日 1:01
    2019年2月26日 5:11
  • ありがとうございます。

    デバイスの暗号化についても、確認させていただきます。



    Mr. Du

    2019年2月27日 1:08
  • ちなみにハードウェアが「デバイスの暗号化」に対応しているかどうかは、管理者権限で msinfo32 を実行すると、「システムの要約」の最後の方に「デバイス暗号化のサポート」が表示されます。

    デバイス(PC)の導入前であれば、PC のメーカーに確認すれば分かります。


    Hebikuzure aka Murachi Akira

    2019年2月27日 7:55