ディスク全体を暗号化するには

FDEの設定はKESのポリシーで行います。設定項目は大きく分けて以下の3つです。

システムディスクを暗号化する場合、クライアント側では、認証エージェントのパスワードを設定します。

認証エージェントのパスワード設定 P.53

認証エージェントの設定認証エージェントの設定（システムディスクを暗号化する場合）

P.47

暗号化しないハードディスクの登録 P.50

暗号化の開始 P.52

システムディスクを暗号化する場合、クライアント側では、認証エージェントのパスワードを設定します。

認証エージェントのパスワード設定 P.53

認証エージェントの設定

認証エージェントはシステムディスクを暗号化する際にクライアント端末にインストールされ、OS の起動に先立ちユ ーザーを認証しマスターキーを復元するのに使われます。

①暗号化を実施するグループ（ここでは「暗号化グループ」）の「ポリシー」タブで、KES10のポリシーをダブルクリック します。

48

②プロパティ画面が開くの で、「暗号化の共通設 定」セクションで「パスワ ードの設定」の「設定」

をクリックします。

③「暗号化パスワードの設定」が開きます。

ここでは、パスワードの設定方法と設定時 の強度を設定します。

デフォルト（推奨設定）では、「シングルサ インオン(SSO)技術を使用」と「アクティブ なユーザーにパスワードを要求する」が有効 になっています。

設定内容は以下の通りです。

・ シングルサインオン（SSO）の技術を使用する … システムを起動する前に認証エージェントによって 1 回だ け認証すればすむようにします。オフにした場合、認証エージェントとWindowsとで別々に認証を行います。

・ パスワードの強度パラメーター …ユーザーがパスワードを設定する際に、単純すぎるパスワードを設定させない ようにします。SSOを使用する設定になっている場合はWindows側の設定が適用されるため、ここでの設定 は無視されます。

・ アクティブなユーザーにパスワードを要求する …端末を利用しているユーザーにメッセージを表示して、認証エ ージェントのパスワードを設定するよう促します。オンのまま使用してください。なお、そのほかのユーザーについて

はWindowsのパスワードで自動生成されます。

49 続いて、自動生成する認証エージェントアカウントを設定します。認証エージェントのアカウントには、Windowsア カウントが使用されます。

④「ドライブの暗号化」セク ションを開き、「認証エー ジェントの自動作成」が 有効になっていることを 確認し、「設定」をクリッ クします。

⑤「認証エージェントの自動生成設定」画面が開きます。

デフォルトでは「コンピューター上のすべてのアカウント」が有効に なっており、過去30日間にサインインしたすべてのローカルアカ ウントが認証エージェントのアカウントに自動で追加されます。

Active Directoryを使っている場合は「コンピューター上のす べてのドメインアカウント」もオンにしてください。

詳しくはヘルプを参照してください。

続いて、「暗号化しないハードディスクの登録（信頼リスト）」へ進みます。すべてのディスクを暗号化する場合は P.52「暗号化の開始」へ進んでください。

50 暗号化しないハードディスクの登録（信頼リスト）

暗号化実施に先立ち、複数のOSをインストールしているなどでFDEを使用できないハードディスクや、ディスク全 体を暗号化する必要のないディスクを登録します。

すべてのハードディスクを暗号化する場合はここでの設定は不要なのでP.52「暗号化の開始」へ進んでください。

KES ポリシーのプロパティ画面が開いていない場合は、暗号化を実施するグループ（ここでは「暗号化グルー プ」）の「ポリシー」タブで、KES10のポリシーをダブルクリックしてプロパティ画面を開きます。

⑥「ドライブの暗号化」セク ションの「次のハードディ スクを暗号化しない」で

「追加」をクリックします。

⑦「デバイスの追加」画面 が開くので、「更新」をク リックします。

51

⑧ディスクが一覧表示され るので、FDE で暗号化 しないハードディスクにチ ェ ッ ク マ ー ク を 入 れ て

「OK」をクリックします。

コンピューター名を指定 して更新を押すことによ り、ハードディスクを検索 しやすくなります。

⑨ディスクが追加されてい ることを確認します。

続いて、「暗号化の開 始」へ進みます。

52 暗号化の開始

ここまでの設定が完了したら、暗号化を有効にします。

KES ポリシーのプロパティ画面が開いていない場合は、暗号化を実施するグループ（ここでは「暗号化グルー プ」）の「ポリシー」タブで、KES10のポリシーをダブルクリックしてプロパティ画面を開きます。

⑩「ドライブの暗号化」セク ションで、「既定の暗号 化ルール」を「暗号化す る」に変更し、「OK」をク リックします。

暗号化ルールは、現在使用しているハードディスクに加え、今後追加されるディスクにも影響します。

「変更しない」 … 暗号化されたディスクは暗号化されたまま、暗号化されていないディスクはそのままとなります。

ポリシーのデフォルト設定です。

「すべてのハードディスクを暗号化する」 … 現在使用しているディスクおよび今後追加されるディスクもすべて暗 号化します。ただし、“次のハードディスクを暗号化しない“に登録したディスクは除きます。シス テムディスク（起動が可能なディスク）の場合、ディスクの起動領域が認証エージェントに置 き換わります。

「すべてのハードディスクを復号化」 … 暗号化されているハードディスクが復号化されます。システムディスクの場 合は認証エージェントも削除されます。暗号化が不要になった際や、OSの再インストールやア ップグレードを行う際に使用します。

⑪「OK」をクリックすると、複数の OS がインストールされ ているディスク場合についての警告メッセージが表示さ れます。該当しない場合は「はい」をクリックします。

53

⑫「ドライブの暗号化」セク ションの画面に戻るので

「OK」をクリックします。

⑬KSC の設定のバックアップを取るよう促すメッセージが 表示されるので、内容を確認して「OK」をクリックしま す。メニューからバックアップを取得し他のマシン、媒体 に保管して下さい。

システムディスクを暗号化する場合、暗号化を有効にすると、まず、認証エージェントがインストールされます。

認証エージェントによって最初にユーザー認証が行われてOSが起動した時点で暗号化処理が開始されます。

システムディスク以外の場合、端末が起動していればただちに暗号化が開始されます。バックグラウンドで処理され るため、利用者には影響ありません。

認証エージェントのパスワード設定（ユーザー側）

①「アクティブなユーザーにパスワードを要求する」が 有効になっている場合、端末でシステムディスク の暗号化が有効になって、最初にOSが起動す ると、最初にサインインしたユーザーに、パスワード を入力するよう促す画面が表示されます。SSO を有効にしている場合はWindowsアカウントで 使用しているパスワードを入力して「OK」をクリッ クします。この画面を入力せず閉じてしまった場 合、付録2.3.8をご覧ください。

54

②認証エージェントのパスワードを元に、暗号化の 際のマスターキーが作成されます。

マスターキーがKSCに保存されると、バックグラウ ンドで暗号化がスタートします。

③確認メッセージが表示されるので「OK」をクリック します。

これで認証エージェントの設定が完了しました。

次回の起動からは、システムの起動時に「Authentication agent」画面が表示されるようになり、認証エージェ ントによる認証が行われるようになります。

Active Directory を使用している場合は、ドメイン名とユーザー名とパスワードを入力、使用していない場合

は、ドメインとしてコンピューター名を入力し、ユーザー名とパスワードを入力して「CONTINUE」をクリックします。

認証に成功すると、Windows が起動します。SSO（シングルサインオン）が有効になっている場合、認証エー ジェントの画面で入力したユーザー名とパスワードでWindowsにサインイン（ログイン）します。

55