次の方法で共有


Autopilot デバイスの BitLocker 暗号化アルゴリズムの設定

BitLocker は、モダン スタンバイをサポートするか、ハードウェア セキュリティ テスト可能性仕様 (HSTI) を満たすデバイスの既定のエクスペリエンス (OOBE) 中に内部ドライブを自動的に暗号化します。 既定では、BitLocker では自動暗号化のためにのみ XTS-AES 128 ビットの使用済み領域が使用されます。

Windows Autopilot では、自動暗号化が開始される前に BitLocker 暗号化設定を適用するように構成できます。 この構成により、既定の暗号化アルゴリズムまたは種類が自動的に適用されないようにします。 暗号化後にこれらの設定を受け取るデバイスは、暗号化アルゴリズムを変更する前に暗号化を解除する必要があります。

暗号化アルゴリズム

BitLocker は、BitLocker が最初に有効になったときに、指定された BitLocker 暗号化アルゴリズムを使用します。 Autopilot 中、 登録状態ページのデバイスセットアップ部分の後に BitLocker が有効になります。 次の暗号化アルゴリズムを使用できます。

  • AES-CBC 128 ビット。
  • AES-CBC 256 ビット。
  • XTS-AES 128 ビット (既定値)。
  • XTS-AES 256 ビット。

使用する推奨される暗号化アルゴリズムの詳細については、「 BitLocker 構成サービス プロバイダー (CSP)」を参照してください。

Autopilot デバイスで自動暗号化が実行される前に、目的の BitLocker 暗号化アルゴリズムが設定されていることを確認するには、

  1. エンドポイント セキュリティ ディスク暗号化ポリシーで 暗号化方法の設定 を構成します。 設定は、 Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 以降の プロファイルの種類 = BitLocker で使用できます。

  2. Autopilot デバイス グループにポリシーを割り当てます。 暗号化ポリシーは、ユーザーではなく、グループ内の デバイス に割り当てる必要があります。

  3. これらのデバイスの Autopilot 登録状態ページ を有効にします。 この機能が有効になっていない場合、暗号化が開始される前にポリシーは適用されません。

ディスク全体の暗号化または使用領域のみの暗号化

暗号化には、フル ディスクと使用済み領域のみの 2 種類があります。 サイレント 有効化とモダン スタンバイのハードウェア サポートの構成によって、使用される暗号化の種類が自動的に決まります。 使用される暗号化の種類は、 SystemDrivesEncryptionType 設定を構成することで適用できます。 暗号化アルゴリズムと同様に、BitLocker は BitLocker が最初に有効になったときに暗号化の種類を使用します。 予想される暗号化の種類の動作の詳細については、「 BitLocker ポリシーの管理」を参照してください。

使用されるドライブ暗号化の種類を適用するには:

  1. 設定カタログ内の [オペレーティング システム ドライブにドライブ暗号化の種類を適用 する] 設定を 構成します。 この設定は、[ 管理用テンプレート] > [Windows コンポーネント] > [BitLocker ドライブ暗号化] > [オペレーティング システム ドライブ ] カテゴリで設定ピッカーから使用できます。

  2. Autopilot デバイス グループにポリシーを割り当てます。 暗号化ポリシーは、ユーザーではなく、グループ内の デバイス に割り当てる必要があります。

  3. これらのデバイスの Autopilot 登録状態ページ を有効にします。 この機能が有効になっていない場合、暗号化が開始される前にポリシーは適用されません。