通知

Duet AI は Gemini for Google Workspace になりました。詳細

Windows 10 または 11 デバイスで BitLocker を構成する

この機能に対応しているエディション: Frontline StarterFrontline Standard、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise EssentialsEnterprise Essentials Plus、Cloud Identity Premium。 エディションの比較

管理者は、Windows デバイス管理に登録されている Microsoft Windows 10 または 11 デバイスの暗号化方法を指定できます。デバイスで BitLocker によるドライブの暗号化が有効になっている場合は、選択した設定が適用されます。一般的な設定は次のとおりです。

  • ドライブの暗号化
  • スタートアップ時の追加認証
  • 起動前の復旧オプション
  • 固定ドライブの暗号化
  • 固定ドライブの回復オプション
  • リムーバブル ドライブの暗号化

始める前に

これらの設定を適用するには、デバイスが Windows デバイス管理に登録されている必要があります。詳細

BitLocker によるドライブ暗号化を構成する

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] にアクセスします。
  3. [BitLocker 設定] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. [ドライブの暗号化] にある項目のリストから [有効] を選択します。
  6. オプションを設定します(すべて開く)。ドライブの暗号化
    • システム ドライブの暗号化オプション - オペレーティング システム ドライブの暗号化方法とキー暗号化の安全度を選択します。
    • スタートアップ時の追加認証 - パソコンの起動時に毎回追加認証を必須にするかどうか、および TPM(Trusted Platform Module)を使用するかどうかを選択します。有効にすると、以下を設定できます。
      • 対応する TPM なしで BitLocker の使用を許可します - このチェックボックスをオンにすると、起動時にパスワードまたは USB ドライブのいずれかが必要になります。
      • PIN またはキーを必要としない TPM スタートアップを設定します - 起動時の認証方法として、PIN またはキーの代わりに TPM を必須にできます。
      • TPM スタートアップ PIN - 起動前に 6~20 桁の PIN の入力を必須にできます。PIN の最小文字数を設定することも可能です。
      • TPM スタートアップ キー - ドライブへのアクセス時に TPM スタートアップ キーによる認証を必須にできます。スタートアップ キーは、ドライブを暗号化するための情報が保存された USB キーです。この USB キーをデバイスに挿入すると、ドライブへのアクセスが認証され、ドライブがアクセス可能になります。
      • TPM スタートアップ キーと PIN - スタートアップ キーと PIN の両方を必須にできます。
    • 起動前の回復オプション - オペレーティング システム ドライブがロックされた際に、起動前のキー回復画面に表示される回復メッセージを設定するか、同画面に表示される URL をカスタマイズできます。
    • システム ドライブの回復オプション - ユーザーが BitLocker で保護されたオペレーティング システム ドライブからデータを回復するためのオプションを設定できます。有効にすると、以下を設定できます。
      • データ回復エージェントを許可する - データ回復エージェントとは、BitLocker キー プロテクターの作成に使用される公開鍵基盤(PKI)証明書の持ち主を指します。許可すると、該当する持ち主は、自分の PKI 証明書を使用して BitLocker で保護されたドライブをロック解除できます。
      • 48 桁の回復パスワードを指定します - ユーザーによる 48 桁の回復パスワードの生成を許可、必須、または禁止に設定できます。
      • 256 ビットの復旧キー - ユーザーによる 256 ビットの復旧キーの生成を許可、必須、または禁止に設定できます。
      • BitLocker セットアップ ウィザードで回復オプションを非表示にします - このチェックボックスをオンにすると、ユーザーが BitLocker を有効にした場合に回復オプションを指定できなくなります。
      • BitLocker 復元情報を Active Directory ドメイン サービスに保存 - このチェックボックスをオンにすると、Active Directory に保存する BitLocker 復元情報を選択できます。バックアップ回復パスワードとキー パッケージ、またはバックアップ回復パスワードのみを選択できます。有効にすると、以下を設定できます。
        • Active Directory に復旧情報を保存するまでは BitLocker を有効にしないでください - このチェックボックスをオンにすると、パソコンがドメインに接続されていて BitLocker の復元情報が Active Directory に正常にバックアップされるまで、ユーザーは BitLocker を有効にできなくなります。
    固定ドライブの暗号化
    • 固定ドライブの暗号化 - 書き込みアクセス権を付与する前に固定ドライブの暗号化を求めることができます。有効にすると、以下を設定できます。
      • 固定ドライブの暗号化 - 固定ドライブの暗号化方法とキー暗号化の安全度を選択します。
      • 固定ドライブの回復オプション - ユーザーが BitLocker で保護された固定ドライブからデータを回復するためのオプションを設定できます。有効にすると、以下を設定できます。
        • データ回復エージェントを許可する - データ回復エージェントとは、BitLocker キー プロテクターの作成に使用される公開鍵基盤(PKI)証明書の持ち主を指します。許可すると、該当する持ち主は、自分の PKI 証明書を使用して BitLocker で保護されたドライブをロック解除できます。
        • 48 桁の回復パスワード - ユーザーによる 48 桁の回復パスワードの生成を許可、必須、または禁止に設定できます。
        • 256 ビットの復旧キー - ユーザーによる 256 ビットの復旧キーの生成を許可、必須、または禁止に設定できます。
        • BitLocker セットアップ ウィザードで回復オプションを非表示にします - このチェックボックスをオンにすると、ユーザーが BitLocker を有効にした場合に回復オプションを指定できなくなります。
        • BitLocker 復元情報を Active Directory ドメイン サービスに保存 - このチェックボックスをオンにすると、Active Directory に保存する BitLocker 復元情報を選択できます。バックアップ回復パスワードとキー パッケージ、またはバックアップ回復パスワードのみを選択できます。有効にすると、以下を設定できます。
          • Active Directory に復旧情報を保存するまでは BitLocker を有効にしないでください - このチェックボックスをオンにすると、パソコンがドメインに接続されていて BitLocker の復元情報が Active Directory に正常にバックアップされるまで、ユーザーは BitLocker を有効にできなくなります。
    リムーバブル ドライブの暗号化
    • リムーバブル ドライブの暗号化 - 書き込みアクセス権を付与する前にすべてのリムーバブル ドライブの暗号化を必須にできます。有効にすると、以下を設定できます。
      • リムーバブル ドライブの暗号化 - リムーバブル ドライブの暗号化アルゴリズムとキー暗号化の安全度を選択します。
      • 別の組織で設定されたデバイスへの書き込みアクセスを拒否します - チェックボックスをオンにすると、ID に関する項目がパソコンと一致するドライブにのみ、書き込みアクセス権が付与されます。これらの項目は、組織のグループ ポリシーによって定義されます。
  7. [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

ドライブの暗号化を未設定にする

[ドライブの暗号化] で [未設定] を選択すると、管理コンソールで設定した BitLocker ポリシーが適用されなくなり、ユーザーのデバイスのポリシーが以前の設定に戻ります。ユーザーがデバイスを暗号化した場合、デバイスとデバイス上のデータは変更されません。

BitLocker によるドライブの暗号化を無効にする

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] にアクセスします。
  3. [BitLocker 設定] をクリックします。
  4. 特定のユーザーのプロファイルのみを無効にする場合は、左側のリストから組織部門を選択します。選択しない場合は、全ユーザーに適用されます。
  5. [ドライブの暗号化] にある項目のリストから [無効] を選択します。
  6. [保存] をクリックします。子組織部門が作成済みの場合は、親組織部門の設定を継承またはオーバーライドできることがあります。

関連トピック


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
14225012104785899005
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false