manage-bde on
ドライブを暗号化し、BitLocker をオンにします。
構文
manage-bde –on <drive> {[-recoverypassword <numericalpassword>]|[-recoverykey <pathtoexternaldirectory>]|[-startupkey <pathtoexternalkeydirectory>]|[-certificate]|
[-tpmandpin]|[-tpmandpinandstartupkey <pathtoexternalkeydirectory>]|[-tpmandstartupkey <pathtoexternalkeydirectory>]|[-password]|[-ADaccountorgroup <domain\account>]}
[-usedspaceonly][-encryptionmethod {aes128_diffuser|aes256_diffuser|aes128|aes256}] [-skiphardwaretest] [-discoveryvolumetype <filesystemtype>] [-forceencryptiontype <type>] [-removevolumeshadowcopies][-computername <name>]
[{-?|/?}] [{-help|-h}]
パラメーター
| パラメーター | 説明 |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -recoverypassword | 数値パスワード保護機能を追加します。 このコマンドの簡易版として、-rp を使うこともできます。 |
<numericalpassword> |
回復パスワードを表します。 |
| -recoverykey | 回復用の外部キーの保護機能を追加します。 このコマンドの簡易版として、-rk を使うこともできます。 |
<pathtoexternaldirectory> |
回復キーへのディレクトリ パスを表します。 |
| -startupkey | スタートアップ用の外部キー保護機能を追加します。 このコマンドの簡易版として、-sk を使うこともできます。 |
<pathtoexternalkeydirectory> |
スタートアップ キーへのディレクトリ パスを表します。 |
| -証明書 | データ ドライブの公開キー保護機能を追加します。 使用することも -cert としてこのコマンドの簡易版です。 |
| -tpmandpin | オペレーティング システム ドライブ用にトラステッド プラットフォーム モジュール (TPM) と個人識別番号 (PIN) 保護機能を追加します。 このコマンドの簡易版として、-tp を使うこともできます。 |
| -tpmandstartupkey | オペレーティング システム ドライブ用に TPM とスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tsk を使うこともできます。 |
| -tpmandpinandstartupkey | オペレーティング システム ドライブ用に TPM、PIN およびスタートアップ キー保護機能を追加します。 このコマンドの簡易版として、-tpsk を使うこともできます。 |
| -パスワード | データ ドライブのパスワード キー保護機能を追加します。 使用することも - pw としてこのコマンドの簡易版です。 |
| -ADaccountorgroup | SID ベースの ID 保護機能をボリュームに追加します。 ユーザーまたはコンピューターが適切な資格情報を持っている場合、ボリュームのロックが自動的に解除されます。 コンピューター アカウントを指定する場合は、コンピューター名に $ を付加し、-service を指定して、ユーザーではなく BitLocker サーバーのコンテンツでロック解除を行う必要があることを示します。 使用することも -sid としてこのコマンドの簡易版です。 |
| -usedspaceonly | 暗号化モードを使用領域のみの暗号化に設定します。 使用領域を含むボリュームのセクションは暗号化されますが、空き領域は暗号化されません。 このオプションを指定しない場合は、ボリューム上のすべての使用領域と空き領域が暗号化されます。 このコマンドの簡易版として -used を使うこともできます。 |
| -encryptionMethod | 暗号化アルゴリズムとキーのサイズを構成します。 このコマンドの簡易版として -em を使うこともできます。 |
| -skiphardwaretest | ハードウェア テストなしで暗号化を開始します。 このコマンドの簡易版として、-s を使うこともできます。 |
| -discoveryvolumetype | 検出データ ドライブに使うファイル システムを指定します。 検出データ ドライブは、BitLocker To Go Reader を含む FAT 形式の BitLocker で保護されたリムーバブル データ ドライブに追加される隠しドライブです。 |
| -forceencryptiontype | BitLocker にソフトウェアまたはハードウェアによる暗号化のいずれかを使うように強制します。 暗号化の種類として Hardware または Software のいずれかを指定できます。 hardware パラメーターを選択しても、ドライブからハードウェア暗号化をサポートしていない場合は、manage-bde からエラーが返されます。 グループ ポリシー設定で、指定した暗号化の種類が禁止されている場合、manage-bde からエラーが返されます。 このコマンドの簡易版として、-fet を使うこともできます。 |
| -removevolumeshadowcopies | ボリュームのボリューム シャドウ コピーを強制的に削除します。 このコマンドを実行した後は、以前のシステム復元ポイントを使ってこのボリュームを復元することができなくなります。 このコマンドの簡易版として、-rvsc を使うこともできます。 |
<filesystemtype> |
検出データ ドライブで使用できるファイル システム (FAT32、default、none) を指定します。 |
| -computername | 別のコンピューター上の BitLocker 保護を変更するために manage-bde を使用することを指定します。 このコマンドの簡易版として、-cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? または /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | 表示は、コマンド プロンプトでヘルプを完了します。 |
例
ドライブ C の BitLocker をオンにして、そのドライブに回復パスワードを追加するには、次のように入力します。
manage-bde –on C: -recoverypassword
ドライブ C の BitLocker をオンにして、そのドライブに回復パスワードを追加し、回復キーをドライブ E に保存するには、次のように入力します。
manage-bde –on C: -recoverykey E:\ -recoverypassword
ドライブ C の BitLocker をオンにして、外部キーの保護機能 (USB キーなど) を使ってオペレーティング システム ドライブのロックを解除するには、次のように入力します。
manage-bde -on C: -startupkey E:\
重要
この方法は、TPM を搭載していないコンピューターで BitLocker を使う場合に必要です。
データ ドライブ E の BitLocker をオンにして、パスワード キーの保護機能を追加するには、次のように入力します。
manage-bde –on E: -pw
オペレーティング システム ドライブ C の BitLocker をオンにして、ハードウェアベースの暗号化を使うには、次のように入力します。
manage-bde –on C: -fet hardware