次の方法で共有


New-CMBMSOSDEncryptionPolicy

BitLocker で OS ドライブを暗号化するかどうかを管理するポリシーを作成します。

構文

New-CMBMSOSDEncryptionPolicy
   [-PolicyState <State>]
   [-RequireTpm]
   [-MinimumPinLength <UInt32>]
   [-Protector <TpmProtector>]
   [-DisableWildcardHandling]
   [-ForceWildcardHandling]
   [<CommonParameters>]

説明

このコマンドレットを使用して、BitLocker で OS ドライブを暗号化するかどうかを管理するポリシーを作成します。

トラステッド プラットフォーム モジュール (TPM) を使用しないコンピューターで BitLocker を使用する場合は、-RequireTpm パラメーターを使用しないでください。 このモードでは、デバイスの起動時に BitLocker にパスワードが必要です。 パスワードを忘れた場合は、BitLocker 回復オプションを使用してドライブにアクセスします。

互換性のある TPM を持つコンピューターでは、デバイスの起動時に BitLocker で 2 つの認証方法を使用できます。 この動作により、暗号化されたデータに対する保護が強化されます。 コンピューターが起動すると、認証に TPM のみを使用できます。また、個人識別番号 (PIN) の入力を必要とすることもできます。

ヒント

セキュリティを強化するために、TPM + PIN 保護機能を使用してデバイスを有効にする場合は、 System>Power Management>Sleep Settings で次のグループ ポリシー設定を無効にすることを検討してください。

  • スリープ時にスタンバイ状態を許可する (S1-S3) (プラグイン)

  • スリープ時にスタンバイ状態を許可する (S1 から S3) (バッテリ時)

例 1: PIN を使用して TPM を必要とする新しいポリシーを作成する

この例では、次の属性を使用して有効になっている新しいポリシーを作成します。

  • TPM が必要
  • TPM で PIN を要求する
  • PIN は少なくとも 16 個の数値である必要があります
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin

例 2: TPM 専用の新しいポリシーを作成する

この例では、有効になっている新しいポリシーを作成し、TPM のみを必要とします。

New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly

パラメーター

-DisableWildcardHandling

このパラメーターは、ワイルドカード文字をリテラル文字の値として扱います。 ForceWildcardHandling と組み合わせることはできません。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-ForceWildcardHandling

このパラメーターはワイルドカード文字を処理し、予期しない動作が発生する可能性があります (推奨されません)。 DisableWildcardHandling と組み合わせることはできません。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-MinimumPinLength

PIN が必要な場合、この値はユーザーが指定できる最短の長さです。 ユーザーは、コンピューターが起動してドライブのロックを解除するときに、この PIN を入力します。 既定では、PIN の最小長は 44 から 20 に値を設定します。

型:UInt32
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-PolicyState

ポリシーを構成するには、このパラメーターを使用します。

  • Enabled: このポリシーを有効にした場合、ユーザーは OS ドライブを BitLocker 保護の下に置き、ドライブを暗号化する必要があります。

  • Disabled: このポリシーを無効にした場合、ユーザーは OS ドライブを BitLocker 保護の下に配置できません。 OS ドライブの暗号化後にこのポリシーを適用すると、BitLocker によってドライブの暗号化が解除されます。

  • NotConfigured: このポリシーを構成しない場合、OS ドライブでは BitLocker は必要ありません。

型:State
指定可能な値:Enabled, Disabled, NotConfigured
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Protector

OS ドライブの保護機能を指定するには、次のパラメーターを使用します。

  • TpmOnly: TPM をプロテクターとしてのみ使用します

  • TpmAndPin: TPM で PIN を使用する

型:TpmProtector
指定可能な値:TpmOnly, TpmAndPin
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-RequireTpm

このパラメーターを追加して、デバイスに互換性のある TPM が必要なポリシーを構成します。

型:SwitchParameter
配置:Named
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

None

出力

Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject