none
BitLocker/PC起動時にPIN入力及びUSBフラッシュドライブ挿入の両方を使えるようにしたい RRS feed

  • 質問

  • マイクロソフト コミュニティへ投稿しましたが、このTechNetフォーラムを奨められましたので、あらためて投稿します。
    Surface Pro 3 Windows 10 Ver.1511 ビルド 10586.36 ですが、gpedit.mscでPC起動時にPIN入力またはUSBフラッシュドライブの挿入を要求するように設定を変更しました。
     文字どおり、「PIN入力」または「USBフラッシュドライブ挿入」の何れか一方のみでしか起動できません。
     これをどちらでも起動可能なようにはできないものでしょうか?
     すなわち、「USBフラッシュドライブが挿入」されていれば自動的に起動し、挿入されてなければ「PIN入力」で起動できるようにしたいのです。
     そうでなければ、「BitLockerドライブ暗号化」の『スタートアップ時にドライブのロックを解除する方法の変更』で都度設定を変更しなければなりません。
    Win7からWin10へアップデートした Dell studio XPS 1645(TPM実装なし) では、上記の内容が実現できております。会社で使っているWin7(ThinkPad X1)も同様に両方使えます。
    この必要性を問われると明確には回答できませんが、何となく両方が使えればなぁ、XPSやThinkPadではできるのになぁ、とっいったところです。
    以上、どなたかご指導よろしくお願いいたします。
    2016年1月5日 21:41

回答

  • ikebenさん

    こんにちは。

    Surface Pro 3ですが、出荷状態でBitLockerが有効になっていると思いますが、出荷状態でローカルセキュリティポリシーから、[BitLockerドライブ暗号化] - [オペレーティングシステムのドライブ] -[スタートアップ時に追加の認証を要求する]を有効にしたと推測しています。

    このポリシーの設定画面の最後を見て頂くと分かりますが、以下のように記載があります。

    「注:スタートアップPINおよびUSBフラッシュドライブを使用する必要がある場合は、BitLockerドライブ暗号化セットアップウィザードではなく、コマンドラインツール manage-bdeを使用してBitLocker設定を構成する必要があります。」

    manage-bdeコマンドのオプション:-TPMandPINandStartupKeyを使って暗号化する必要がある、ということになります。

    https://technet.microsoft.com/ja-jp/library/dd875513(v=ws.10).aspx

    PIN入力+USBフラッシュドライブを利用出来ている2台の端末は、おそらくmanage-bdeコマンドでBitLocker暗号化を有効にしたものと思われます。


    SundaySilence Microsoft MVP | Enterprise Mobility (Jan.2011- Dec.2015)

    • 回答の候補に設定 佐伯玲 2016年1月7日 2:51
    • 回答としてマーク 佐伯玲 2016年1月15日 8:29
    2016年1月6日 5:52