FDEディスク暗号を導入する前に、運用上の注意事項・制限事項を必ず確認してください！

非推奨環境への導入や、誤った手順での操作を行うと、端末にログオンできなくなったり、最悪の場合システムが起動しなくなったりすることがあります。

   FDEディスク暗号とBitLockerを併せて利用することはできません！

FDEディスク暗号を利用する場合は、必ずBitLockerを無効にした状態でディスク暗号エージェントをインストールしてください。また、BitLockerを有効にする前に、ディスク暗号エージェントを必ずアンインストールしてください。FDEディスク暗号とBitLockerを併せて使用すると、復旧が困難な状態に陥る可能性があります。

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(1)

検索条件を指定します。

検索条件に一致したクライアントが表示されます。

(2)

ディスク暗号状態を確認します。

確認できる項目は、次の表のとおりです。

表5-3-1.「ディスク暗号」画面表示項目

ディスク暗号化状態

BitLockerでのディスク暗号化状態と、FDEでのディスク暗号化状態を集約した情報が表示されます。

･［暗号化されていない］：BitLockerのステータス［暗号化されていない］
FDEディスク暗号のステータス［未インストール］/［暗号化前］/［非対応］

･［暗号化されている］：BitLockerのステータス［暗号化されている］
FDEディスク暗号のステータス［暗号化完了］/［ブート保護のみ］

･［暗号化中］：BitLockerのステータス［暗号化中］/［暗号化の保留中］
FDEディスク暗号のステータス［暗号化中］/［再暗号化中］

･［暗号化の解除中］：BitLockerのステータス［暗号化の解除中］/［暗号化解除の保留中］
FDEディスク暗号のステータス［復号化中］

･［サポート対象外］：BitLockerのステータス［サポート対象外］
FDEディスク暗号のステータス［非対応］

･［不明］：BitLockerのステータス［不明］
FDEディスク暗号のステータス［不明］

BitLockerディスク暗号化状態

BitLockerでのディスク暗号化状態が表示されます。

･［暗号化されていない］：暗号化されていない対象ドライブがある

･［暗号化されている］：対象ドライブがすべて暗号化されている

･［暗号化中］：対象ドライブが1つ以上暗号化中である

･［暗号化の保留中］：対象ドライブが1つ以上暗号化の保留中である

･［暗号化の解除中］：対象ドライブが1つ以上暗号化の解除中である

･［暗号化解除の保留中］：対象ドライブが1つ以上暗号化解除の保留中である

･［サポート対象外］：サポート対象外のOS/サーバーOS

･［不明］：OSからステータスを収集できない

管理者用回復パスワード

PCが起動できなくなったり、クライアント側で設定したパスワードを忘れたりした場合に、BitLockerで暗号化されたドライブにアクセスするための管理者用回復パスワードが表示されます。^（＊）

FDEディスク暗号化状態

FDEディスク暗号でのディスク暗号化状態が表示されます。

･［未インストール］：ディスク暗号エージェントがインストールされていない

･［暗号化前］：ディスク暗号エージェントのインストール直後で、ディスク暗号化前

･［暗号化中］：ディスク暗号化中

･［復号化中］：ディスク暗号エージェントのアンインストール時で、ディスク復号化中

･［暗号化完了］：ディスク暗号化が完了している

･［再暗号化中］：ディスク再暗号化中

･［ブート保護のみ］：ディスク暗号対象外のドライブのみが存在する場合や、アンインストール後の復号化が完了したあとOSを再起動していない

･［非対応］：Windows XP/サーバーOS

･［不明］：OSからステータスを収集できない

FDEリカバリファイル

FDEディスク暗号のリカバリファイルの有無が表示されます。

･［あり］：リカバリファイルが作成されている

･［なし］：リカバリファイルが作成されているがサーバーに登録されていない

･（空欄）：未インストールや暗号化中などで、リカバリファイルが作成されていない

［あり］と表示されている場合は、をクリックすると、選択したクライアントのFDEディスク暗号のリカバリファイルをダウンロードできます。

FDEリカバリファイル作成日時

FDEディスク暗号のリカバリファイルが作成された日時が表示されます。

BIOSのセキュリティ設定で、トラステッドプラットフォームモジュール（TPM）を有効にします。TPM2.0以上が必須です。

   暗号化できない条件

次の場合は、BitLocker制御でドライブを暗号化できません。

･OSインストールメディアなど、OS起動ドライブ以外のドライブに起動ディスクなどが入っている^（＊）

･暗号化するボリュームがロックされている

･「Windowsの設定」画面の［更新とセキュリティ］→［デバイスの暗号化］からデバイスの暗号化をオン（有効）にしている

･本サービスを利用せずに、Windowsの［コントロールパネル］→［システムとセキュリティ］→［BitLockerドライブ暗号化］の［BitLockerの管理］で［BitLockerを有効にする］を選択している

･Windowsの［コントロールパネル］→［システムとセキュリティ］→［BitLockerドライブ暗号化］で、“BitLockerはアクティブ化を待機中です”の状態である

＊ブート可能なCDやDVD、USBなどの外部デバイスがない状態で実行してください。

   BitLocker制御のコマンド実行でエラーが発生する場合

実際の端末の状態とインベントリに差異がある場合、次のコマンド実行でエラーが発生することがあります。

･自動ロック解除の有効化

･自動ロック解除の無効化

･BitLockerドライブの保護の中断

･BitLockerドライブの保護の再開

･不要な保護機能情報の削除

エラーが発生した場合は、→［インベントリ収集］でインベントリを最新の状態に更新したあと、再度コマンドを実行してください。

   BitLocker制御でドライブを暗号化した場合

BitLocker制御でドライブを暗号化しているクライアントが存在する状態で本サービスを解約した場合は、解約後もクライアント端末側は暗号化された状態のままになります。

解約後はユーザーコンソールにアクセスできなくなりますので、事前に暗号化を解除するか、端末側でも解除できるように「ディスク暗号」画面の［CSV出力］ボタンをクリックし、管理者用回復パスワードをバックアップしてください。

   5-3-2-2. 暗号化を解除する

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

ドライブの暗号化を実行するクライアントのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(1)

から、［BitLocker制御］→［暗号化の実行］を選択します。

「暗号化の実行」画面が表示されます。

(2)

暗号化するボリューム種別にチェックを入れます。

複数のデータドライブが存在する場合、［固定データドライブ］にチェックを入れると、すべての固定データドライブが対象になります。

(3)

管理者用回復パスワードを設定する方法を選択します。

自動生成する場合は［自動生成］を、任意で設定する場合は［任意］をオンにします。

［任意］をオンにした場合は、［管理者用回復パスワード（任意）］欄に任意のパスワードを入力します。

(4)

［実行］ボタンをクリックします。

   管理者用回復パスワードを任意で入力する場合

管理者用回復パスワードを任意で入力する場合、11の倍数の半角数字（000011～720885）８つを、ハイフン区切りで入力する必要があります。

例）

000011-000022-000033-000044-000055-000066-000077-000088

(5)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

設定が送信されます。

(1)

共通メニューの［（ログイン名）］から、［コマンド実行結果確認］を選択します。

「コマンド実行結果確認」画面が表示されます。

(2)

コマンドを実行したクライアントの［コマンド操作種別］のをクリックします。

要求内容が表示されます。

(3)

コマンドを実行したクライアントの［ステータス詳細］を確認します。

［成功］と表示されていれば完了です。

［ステータス詳細］に表示されるステータス、発生状況、対応方法は、以下を参照してください。

   11-1-3-1. Windowsクライアントに対するコマンド実行のステータス詳細

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

ドライブの暗号化を解除するクライアントのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(1)

から、［BitLocker制御］→［暗号化の解除］を選択します。

「暗号化の解除」画面が表示されます。

(2)

暗号化を解除するボリューム種別にチェックを入れます。

［固定データドライブ］にチェックを入れる場合、複数のデータドライブが存在すると、すべての固定データドライブが対象になります。

(3)

［実行］ボタンをクリックします。

(4)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

設定が送信されます。

(1)

共通メニューの［（ログイン名）］から、［コマンド実行結果確認］を選択します。

「コマンド実行結果確認」画面が表示されます。

(2)

コマンドを実行したクライアントの［コマンド操作種別］のをクリックします。

要求内容が表示されます。

(3)

コマンドを実行したクライアントの［ステータス詳細］を確認します。

［成功］と表示されていれば完了です。

［ステータス詳細］に表示されるステータス、発生状況、対応方法は、以下を参照してください。

   11-1-3-1. Windowsクライアントに対するコマンド実行のステータス詳細

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

自動ロック解除を有効にするクライアントのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(1)

から、［BitLocker制御］→［自動ロック解除の有効化］を選択します。

(2)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

設定が送信されます。

(1)

共通メニューの［（ログイン名）］から、［コマンド実行結果確認］を選択します。

「コマンド実行結果確認」画面が表示されます。

(2)

コマンドを実行したクライアントの［コマンド操作種別］のをクリックします。

要求内容が表示されます。

(3)

コマンドを実行したクライアントの［ステータス詳細］を確認します。

［成功］と表示されていれば完了です。

［ステータス詳細］に表示されるステータス、発生状況、対応方法は、以下を参照してください。

   11-1-3-1. Windowsクライアントに対するコマンド実行のステータス詳細

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

BitLockerドライブの保護を中断するクライアントのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(1)

から、［BitLocker制御］→［BitLockerドライブの保護の中断］を選択します。

「BitLockerドライブの保護の中断」画面が表示されます。

(2)

BitLockerドライブの保護を中断するボリューム種別にチェックを入れます。

［固定データドライブ］にチェックを入れる場合、複数のデータドライブが存在すると、すべてのデータドライブが対象になります。

(3)

［実行］ボタンをクリックします。

(4)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

設定が送信されます。

(1)

共通メニューの［（ログイン名）］から、［コマンド実行結果確認］を選択します。

「コマンド実行結果確認」画面が表示されます。

(2)

コマンドを実行したクライアントの［コマンド操作種別］のをクリックします。

要求内容が表示されます。

(3)

コマンドを実行したクライアントの［ステータス詳細］を確認します。

［成功］と表示されていれば完了です。

［ステータス詳細］に表示されるステータス、発生状況、対応方法は、以下を参照してください。

   11-1-3-1. Windowsクライアントに対するコマンド実行のステータス詳細

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

不要な保護機能情報を削除するクライアントのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(1)

から、［BitLocker制御］→［不要な保護機能情報の削除］を選択します。

「不要な保護機能情報の削除」画面が表示されます。

(2)

削除する保護機能情報のチェックボックスにチェックを入れます。

(3)

［実行］ボタンをクリックします。

(4)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

設定が送信されます。

(1)

共通メニューの［（ログイン名）］から、［コマンド実行結果確認］を選択します。

「コマンド実行結果確認」画面が表示されます。

(2)

コマンドを実行したクライアントの［コマンド操作種別］のをクリックします。

要求内容が表示されます。

(3)

コマンドを実行したクライアントの［ステータス詳細］を確認します。

［成功］と表示されていれば完了です。

［ステータス詳細］に表示されるステータス、発生状況、対応方法は、以下を参照してください。

   11-1-3-1. Windowsクライアントに対するコマンド実行のステータス詳細

→［クライアント導入］→［Windows機能追加用ソフトウェア］からディスク暗号エージェントのインストーラーをダウンロードして、Windows端末から接続可能なファイルサーバーなどに保存します。

   10-3-2. Windows機能追加用ソフトウェアをインストールする

   ディスク暗号エージェントのインストール要件

･ビルトインのAdministratorアカウント以外でインストールした場合、正常にインストールが完了しないことがあります。必ずビルトインのAdministratorアカウントでインストールしてください。

･サイレントインストールには対応していません。

･書き込み可能なCドライブが存在しない場合は、リカバリファイルの出力先フォルダーの作成に失敗し、インストールできません。

   ディスク暗号エージェント導入前の事前準備

ディスク暗号エージェントをインストールする前に、以下の手順を必ず実行してください。

① Windows端末にビルトインのAdministratorアカウントでログオンします。

② コマンドプロンプトで次のコマンドを実行します。

   chkdsk /r

③ Windowsのスタートメニューから、［Windows管理ツール］→［ドライブのデフラグと最適化］を選択し、ディスクを最適化します。

④ ディスクのデータをバックアップします。

(1)

Windows端末にビルトインのAdministratorアカウントでログオンします。

(2)

OS起動前認証用のWindowsアカウントを作成します。

例：“fdeuser”（一般権限のアカウント）を作成

(3)

ディスク暗号エージェントのインストーラーを実行します。

例：“HDDEncryptionAgentSetup_Policyx64.exe”を実行

インストーラー画面が表示され、インストールが実行されます。

(4)

［Finish］ボタンをクリックします。

(5)

OSの再起動を促す画面が表示されますので、［No］ボタンをクリックします。

ここでは、OSを再起動せずに、必ず［No］ボタンをクリックしてください。

「Check Point Endpoint Security」画面が表示されます。

(6)

［Lock］ボタンをクリックします。

(1)

Windows認証画面が表示されますので、ビルトインのAdministratorアカウントでログオンします。

   アカウント名とパスワード

ディスク暗号エージェントのインストール後、OSにログオンしたアカウント名（Administrator）とパスワードが、FDEディスク暗号のリカバリファイルに追加されます。

以降のOS起動前認証画面で、リカバリファイルに追加されたアカウント名とパスワードが利用可能になります。

(2)

新UIから旧UIに切り替えるために、タスクトレイの鍵アイコンをクリックします。

「Endpoint Security」画面が表示されます。

(3)

画面右下の［メニュー］から［詳細］を選択します。

(4)

［カスタマイズ］の［UIの切り替え］を選択します。

「Endpoint Security」画面が閉じます。

(5)

再度タスクトレイの鍵アイコンをクリックして「Endpoint Security」画面を開き、UIが変更されていることを確認します。

(6)

インベントリを収集します。

インベントリの収集前、または収集中に再起動を促すメッセージが表示された場合は、［いいえ］ボタンをクリックしてください。

(7)

OSを再起動します。

   インベントリを収集してからOSを再起動してください！

OSの再起動前に、必ずインベントリを収集してください。インベントリを収集することで、ハードウェアのリカバリ時に必要となるリカバリファイルが収集されます。

インベントリ収集は、タスクトレイアイコンを右クリックして表示されるコンテキストメニューから、［インベントリ送信］を選択することで実行できます。タスクトレイアイコンを表示しない設定で運用している場合は、次回インベントリ収集日時後にOSを再起動してください。

(8)

OS起動前認証画面が表示されますので、ビルトインのAdministratorアカウントでログオンします。

OS認証画面が表示されます。

(9)

ログオンユーザーで“fdeuser”を選択し、パスワードを入力してログオンします。

次回ログオン時、端末利用者は“fdeuser”でログオンできるようになります。

タスクトレイ上に鍵のアイコンが追加され、暗号化が開始されます。

(10)

OSをシャットダウンします。

(11)

端末利用者にfdeuserアカウント/パスワードを連絡し、端末を提供します。

   ディスク暗号エージェントのアンインストール

暗号化中にアンインストールすると、OSが起動できなくなる場合があります。

ディスク暗号エージェントをアンインストールする場合は、ハードディスクが暗号化中でないことを確認してください。

   暗号化中のOS再起動

暗号化中にOSを再起動してもディスクの暗号化には影響はありません。次回OS起動時、暗号化が再開されます。

   アカウント名とパスワード

ディスク暗号エージェントのインストール後、OSにログオンしたアカウント名（fdeuser）とパスワードが、FDEディスク暗号のリカバリファイルに追加されます。

以降のOS起動前認証画面で、追加されたアカウント名とパスワードが利用可能になります。

(1)

OS起動前認証画面で、［SSO有効］のチェックを外します。

(2)

管理者から提供されたアカウント（fdeuser）とパスワードでログオンします。

(3)

Windows認証画面で、端末利用者のアカウント名とパスワードでログオンします。

   端末利用者でのログオンについて

一度自身のアカウントでOSにログオンしたあとは、OS起動前認証画面で自身のアカウントとパスワードでログオンできます。

このときは、［SSO有効］にチェックを入れて、シングルサインオンすることができます。［SSO有効］にチェックを入れた場合は、初回ログオン時に必ずWindows認証画面が表示されますので、OS起動前認証と同じアカウントでログオンしてください。

OS起動前認証と異なるアカウントでログオンした場合は、次回OS起動時にシングルサインオンできません。［SSO有効］の場合でも、Windowsアカウントのパスワード有効期限を超過している場合は、シングルサインオンできず、Windows認証画面が表示されます。

→［クライアント導入］→［Windows機能追加用ソフトウェア］で、ディスク暗号オフラインツールをダウンロードし、対象のWindows端末から参照可能なフォルダーに保存します。

   10-3-2. Windows機能追加用ソフトウェアをインストールする

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

［リカバリファイル］からをクリックします。

(3)

ファイルの保存画面が表示されますので、保存先を指定します。

(1)

ディスク暗号オフラインツールをインストールするWindows端末に、管理者アカウントでログオンします。

(2)

ダウンロードしたディスク暗号オフラインツール（OfflineMgmtTool.zip）を解凍します。

(3)

ディスク暗号オフラインツールのインストーラー（OfflineMgmtTool.msi）を実行します。

(4)

ウィザードにしたがってインストールします。

(1)

スタートメニューから［Offline Management Tool］を起動します。

(2)

［…］ボタンをクリックして、「OfflineMgmtTool.zip」に同梱されているCPOMFファイル（OfflineMgmtFile.cpomf）を選択します。

(3)

サービスプロバイダー/サービス管理者から提供されたログイン名とパスワードを入力します。

(4)

［ログイン］ボタンをクリックします。

リカバリファイル選択画面が表示されます。

(1)

［ディスク リカバリ］を選択します。

(2)

［参照］ボタンをクリックして対象クライアントのリカバリファイルを選択します。

(3)

［次へ］ボタンをクリックします。

ユーザー追加画面が表示されます。

(1)

［リカバリを許可されたユーザ］欄で、あらかじめ登録されているユーザー（クライアント上で自動取得されたWindowsアカウント）を選択するか、または任意のユーザーを入力します。

(2)

［追加］ボタンをクリックします。

「ユーザの追加」画面が表示されます。

(3)

［パスワードの入力］/［パスワードの再入力］欄にパスワードを入力します。

(4)

［OK］ボタンをクリックします。

「ユーザの追加」画面が閉じ、ユーザーが追加されます。

(5)

［次へ］ボタンをクリックします。

メディアの作成画面が表示されます。

(1)

［メディアの選択］からメディアを選択します。

例：［USBメディア］を選択

(2)

フォーマットされたUSBメモリをPCに接続し、USBメモリがマウントされているドライブを選択します。

(3)

［メディアの作成］ボタンをクリックします。

リカバリディスクが作成されます。

選択できる項目は、次の表のとおりです。

表5-3-3-2.［メディアの選択］選択項目

ISOファイル（リカバリディスク）

.isoファイルが作成されます。

障害PCのハードディスクの復号化をする目的で使用します。

RECファイル

DMUを利用する際に使用します。^（＊）

当社サポートから依頼があった場合にRECファイルを作成してください。

具体的な使用方法については、別途当社サポートにお問い合わせください。

USBメディア（リカバリディスク）

ISOファイルと同じ用途で使用します。

(1)

作成したリカバリディスクを使用して、OSを起動します。

RECOVERYの認証画面が表示されます。

(2)

［リカバリを許可されたユーザ］で指定したアカウントとパスワードを入力し、［OK］ボタンをクリックします。

「リカバリ」画面が表示されます。

(3)

［すべて復元］ボタンをクリックします。

リカバリが開始されます。

(4)

リカバリ処理（復号化処理）完了後に［再起動して続行します。］が出力されることを確認します。

(5)

［Ctrl］+［Alt］+［Del］キーを押してOSを再起動します。

   リカバリ後の状態

ディスク暗号オフラインツールでのリカバリは、FDEディスク暗号で暗号化したハードディスクを複合化するための機能です。OSやハードディスクの修復を行うわけではありません。

リカバリ後、OSやハードディスクの修復を行う場合は、事象に応じてWindowsの回復機能やメーカー付属のツール等で修復してください。修復が成功して、Windowsが起動した状態でタスクトレイの鍵アイコンをダブルクリックすると、暗号化が解除され、未実行の状態となります。

この状態から再度暗号化するには、ディスク暗号エージェントをアンインストール後に再インストールする必要があります。アンインストールについては、以下を参照してください。

   付録-13-9. ディスク暗号エージェントをアンインストールする

(1)

メニューから、［セキュリティ］→［ディスク暗号］の順に選択します。

「ディスク暗号」画面が表示されます。

(2)

検索条件を指定します。

検索条件に一致したクライアントが表示されます。

(3)

［リカバリファイル］からをクリックします。

(4)

ファイルの保存画面が表示されますので、保存先を指定します。

(1)

OS起動前認証画面でパスワードを変更するユーザアカウント名を入力します。

(2)

［Tab］キーを押してから［リモートヘルプ］ボタンをクリックします（［ユーザアカウント名］を入力すると、［リモートヘルプ］ボタンが有効になります）。

「リモートヘルプ ログイン」画面が表示されます。

(3)

［パスワードの変更］にチェックを入れます。

(4)

［エンドユーザID名］の情報を管理者に連絡します。

(1)

ディスク暗号オフラインツールの上部タブで［パスワードアシスタンス］を選択します。

(2)

［参照］ボタンをクリックして、ダウンロードしておいた対象PCのリカバリファイルを選択します。

(3)

［パスワードの変更］をオンにします（［補助ログイン］は選択しないでください）。

(4)

［次へ］ボタンをクリックします。

(5)

［エンドユーザの選択アカウント名］で、ユーザーから通知された［エンドユーザID名］を選択します。

(6)

［次へ］ボタンをクリックします。

(7)

出力された［レスポンスコード１］の値をユーザーに連絡します。

(1)

管理者から提供されたレスポンスコード１を［レスポンスコード1］欄に入力し、［Tab］キーを押します。

［チャレンジ］が表示されます。

(2)

表示された［チャレンジ］の値を管理者に連絡します。

(1)

ユーザーから提供されたチャレンジを［チャレンジ］欄に入力します。

(2)

［次へ］ボタンをクリックします。

［レスポンスコード２］が生成されます。

(3)

生成された［レスポンスコード２］の値をユーザーに連絡します。

(1)

管理者から提供されたレスポンスコード2を［レスポンスコード2］欄に入力します。

(2)

［OK］ボタンをクリックします。

「新しいパスワードの設定」画面が表示されます。

(3)

［新しいパスワード］欄と［新しいパスワードの確認］欄に新しいパスワードを入力します。

(4)

［OK］ボタンをクリックします。

「ログイン成功」画面が表示されれば、パスワードの変更は完了です。

(5)

［続行］ボタンをクリックしてOSを起動します。

以降は、再設定したパスワードを利用して、OS起動前認証を行うことができます。