Dell Encryption Enterprise 詳細インストール ガイドv10.3

Dell Encryption Enterprise

詳細インストール ガイド v10.3

メモ、注意、警告

メモ: 製品を使いやすくするための重要な情報を説明しています。

注意: ハードウェアの損傷やデータの損失の可能性を示し、その問題を回避するための方法を説明しています。

警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。

© 2012-2019 Dell Inc. その関連会社。All rights reserved.（不許複製・禁無断転載） Dell、EMC、およびその他の商標は、Dell Inc. またはその

子会社の商標です。その他の商標は、それぞれの所有者の商標である場合があります。Dell Encryption、Endpoint Security Suite Enterprise、およ び Data Guardian のスイートのドキュメントに使用されている登録商標および商標（Dell™、Dell のロゴ、Dell Precision™、OptiPlex™、ControlVault ™、Latitude™、XPS®、および KACE™）は、Dell Inc. の商標です。Cylance®、CylancePROTECT、および Cylance のロゴは、米国およびその他の 国における Cylance, Inc. の登録商標です。McAfee® および McAfee のロゴは、米国およびその他の国における McAfee, Inc. の商標または登録商 標です。Intel ® 、Pentium ® 、Intel Core Inside Duo®、Itanium®、および Xeon ® は米国およびその他の国における Intel Corporation の登録 商標です。Adobe®、Acrobat®、および Flash® は、Adobe Systems Incorporated の登録商標です。Authen Tec® および Eikon® は、Authen tec の登録商標です。AMD® は、Advanced Micro Devices, Inc. の登録商標です。Microsoft®、Windows®、および Windows Server®、 Internet Explorer®、Windows Vista®、Windows 7®、Windows 10®、Active Directory®、Access®、BitLocker®、BitLocker To Go®、 Excel®、Hyper-V®、Outlook®、PowerPoint®、Word®、OneDrive®、SQL Serve®、および Visual C++® は、米国および / またはその他の 国における Microsoft Corporation の商標または登録商標です。VMware® は、米国およびその他の国における VMware, Inc. の登録商標または商 標です。Box® は、Box の登録商標です。Dropbox℠ は、Dropbox, Inc. のサービスマークです。Google™、Android™、Google™ Chrome™、Gmail ™、および Google™ Play は、米国およびその他の国における Google Inc. の商標または登録商標です。Apple®、App Store℠、Apple Remote Desktop™、Boot Camp™、FileVault™、iPad®、iPhone®、iPod®、iPod touch®、iPod shuffle®、iPod nano®、Macintosh®、および Safari® は、米国および / またはその他の国における Apple Inc. のサービスマーク、商標、または登録商標です。EnCase™ および Guidance Software® は、Guidance Software の商標または登録商標です。Entrust® は、米国およびその他の国における Entrust®, Inc. の登録商標です。 Mozilla® Firefox® は、米国およびその他の国における Mozilla Foundation の登録商標です。IOS ® は同社の商標または米国およびその他の特 定の国で Cisco Systems, Inc. の登録商標であり、ライセンスに使用されます。Oracle® および Java® は、Oracle および / またはその関連会社の登 録商標です。Travelstar® は、米国およびその他の国における HGST, Inc. の登録商標です。UNIX® は、The Open Group の登録商標です。 VALIDITY™ は、米国およびその他の国における Validity Sensors, Inc. の商標です。VeriSign® およびその他の関連標章は、米国およびその他の国 における VeriSign, Inc. またはその関連会社あるいは子会社の商標または登録商標であり、Symantec Corporation にライセンス供与されています。 KVM on IP® は、Video Products の登録商標です。Yahoo!® は、Yahoo! Inc. の登録商標です Inc. Bing® は Microsoft Inc. の登録商標です。 Ask® は IAC Publishing, LLC の登録商標です。その他の名称は、それぞれの所有者の商標である場合があります。

2019 - 05

目次

1 はじめに... 7

作業を開始する前に...7

このガイドの使用法... 7

Dell ProSupport へのお問い合わせ... 8

2 要件...9

すべてのクライアント... 9

前提条件...9

ハードウェア... 9

ローカライズ... 10

暗号化...10

ハードウェア...11

オペレーティングシステム...11

Encryption External Media オペレーティングシステム... 11

フルディスク暗号化...12

ハードウェア...12

フルディスク暗号化クライアントの認証オプションフルディスク暗号化クライアントのオペレーティングシステム...14

サーバオペレーティングシステム上の Encryption... 15

オペレーティングシステム... 16

Encryption External Media オペレーティングシステム... 17

SED...17

ハードウェア...18

SED 管理による起動前認証オプション... 20

国際キーボードローカライズオペレーティングシステム...21

BitLocker Manager... 22

ハードウェア... 23

オペレーティングシステム... 23

3 レジストリ設定... 24

暗号化... 24

SED... 28

フルディスク暗号化...30

BitLocker Manager... 32

4 マスターインストーラを使用したインストール... 33

マスターインストーラを使用した対話型のインストール...33

マスターインストーラを使用したコマンドラインによるインストール...34

5 マスターインストーラのアンインストール... 36

マスターインストーラのアンインストール...36

コマンドラインでのアンインストール... 36

目次 3

6 子インストーラを使用したインストール... 37

ドライバのインストール...38

Encryption のインストール... 38

コマンドラインでのインストール...38

フルディスク暗号化のインストール...42

コマンドラインでのインストール...42

サーバオペレーティングシステム上の Encryption のインストール... 43

対話形式でインストール... 44

コマンドラインを使用したインストール...45

アクティブ化...47

SED 管理と PBA Advanced Authentication のインストール...49

コマンドラインでのインストール...49

BitLocker Manager のインストール...49

コマンドラインでのインストール... 50

7 子インストーラを使用したアンインストール... 52

Encryption およびサーバオペレーティングシステム上の Encryption のアンインストール...53

プロセス...53

コマンドラインでのアンインストール... 53

Encryption External Media のアンインストール...55

SED 管理のアンインストール...55

プロセス...55

PBA の非アクティブ化... 55

SED クライアントのアンインストール... 56

BitLocker Manager のアンインストール... 56

コマンドラインでのアンインストール... 56

8 Data Security Uninstaller... 57

のアンインストール...57

9 一般的なシナリオ...58

Encryption クライアント、、... 59

SED クライアント（Advanced Authentication を含む）および Encryption クライアント...59

SED 管理および Encryption External Media... 60

BitLocker Manager と Encryption External Media...60

10 ソフトウェアのダウンロード... 61

11 SED UEFI および BitLocker Manager のための事前インストール設定...62

TPM の初期化...62

UEFI コンピュータ用の事前インストール設定...62

UEFI 起動前認証中におけるネットワーク接続の有効化... 62

レガシーオプション ROM の無効化...62

BitLocker PBA パーティションを設定する事前インストール設定... 63

4 目次

12 ドメインコントローラでの GPO の設定による資格の有効化... 64

13 子インストーラの抽出... 65

14 Key Server の設定... 66

サービスパネル - ドメインアカウントのユーザーの追加... 66

Key Server 設定ファイル - Security Management Server 通信のためのユーザーの追加... 66

サンプル設定ファイル...67

サービスパネル - Key Server サービスの再起動...67

管理コンソール - フォレンジック管理者の追加...68

15 Administrative Download Utility

（CMGAd）の使用...69

フォレンジックモードの使用...69

管理者モードの使用...70

16 サーバオペレーティングシステム上の Encryption の設定...71

サーバオペレーティングシステム上の Encryption の有効化... 71

アクティベーションログオンダイアログのカスタマイズ... 71

Encryption External Media ポリシーの設定... 72

サーバオペレーティングシステム上の Encryption の中断...72

17 Deferred Activation の設定... 74

Deferred Activation のカスタマイズ... 74

インストールのためのコンピュータの準備... 75

Deferred Activation による暗号化のインストール... 75

Deferred Activation による暗号化の起動... 75

Deferred Activation のトラブルシューティング...76

アクティブ化のトラブルシューティング...76

18 トラブルシューティング... 79

すべてのクライアントのトラブルシューティング...79

すべてのクライアント - 保護ステータス... 79

Dell Encryption のトラブルシューティング（クライアントおよびサーバ）...79

サーバーオペレーティングシステム上でのアクティベーション...79

（オプション）Encryption Removal Agent ログファイルの作成... 82

TSS バージョンの確認...82

Encryption External Media と PCS の相互作用...82

WSScan の使用...83

WSProbe の使用... 85

Encryption Removal Agent ステータスのチェック... 87

SED のトラブルシューティング...87

初期アクセスコードの使用...87

トラブルシューティングのための PBA ログファイルの作成...88

Dell ControlVault ドライバ... 89

Dell ControlVault ドライバおよびファームウェアのアップデート... 89

目次 5

UEFI コンピュータ...90

ネットワーク接続のトラブルシューティング...90

TPM および BitLocker...91

TPM および BitLocker のエラーコード...91

19 用語集... 121

6 目次

はじめに

本書では、、Encryption、SED 管理、フルディスク暗号化、および BitLocker Manager のインストールおよび設定の方法について詳しく説明します。 すべてのポリシー情報とその説明は AdminHelp で参照できます。

作業を開始する前に

1 クライアントを導入する前に、Dell Server をインストールしてください。次に示すように、正しいガイドを探し、記載されている手順に従った後、このガ イドに戻ります。

• Security Management Server Installation and Migration Guide（Security Management Server インストールおよびマイグレーションガイ

ド）

• Security Management Server Virtual Quick Start Guide and Installation Guide（Security Management Server Virtual クイックスタート

ガイド / インストールガイド） • 希望のポリシーを設定しているかを確認します。? のマークから AdminHelp を参照します。画面の右上にあります。AdminHelp はポリシーの設 定および変更、Dell Server でのオプションを理解するのに役立つよう設計されたページ ヘルプです。 2 本書の「要件」の章をすべて読んでください。 3 ユーザーにクライアントを導入します。

このガイドの使用法

このガイドは次の順序で使用してください。 • クライアントの必要条件、コンピュータハードウェアおよびソフトウェア情報、制限事項、および機能で必要になる特殊なレジストリの変更については、 「条件」を参照してください。

• 必要に応じて、「SED UEFI および BitLocker のための事前インストール設定」を参照してください。

• Dell Digital Delivery を使用して資格を取る場合は、「資格を有効にするためのドメインコントローラ上での GPO の設定」を参照してください。 • マスターインストーラを使用してクライアントをインストールする場合は、次の項目を参照してください。 – マスターインストーラを使用した対話型のインストール または – マスターインストーラを使用したコマンドラインによるインストール • 子インストーラを使用してクライアントをインストールする場合、子インストーラの実行可能ファイルをマスターインストーラから抽出する必要がありま す。「マスターインストーラからの子インストーラの抽出」を参照して、ここに戻ります。 – コマンドラインで子インストーラをインストールします。 ◦ Encryption のインストール - コンピュータがネットワークに接続されている、いないにかかわらず、あるいは紛失または盗難に遭ったかどうかにか かわらず、セキュリティポリシーを適用するコンポーネントである Encryption をインストールするには、これらの手順に従います。 ◦ フルディスク暗号化クライアントのインストール - コンピュータがネットワークに接続されている、いないにかかわらず、あるいは紛失または盗難に 遭ったかどうかにかかわらず、セキュリティポリシーを適用するコンポーネントであるフルディスク暗号化をインストールするには、これらの手順に 従います。

◦ SED 管理のインストール - SED の暗号化ソフトウェアをインストールするには、これらの手順に従います。SED は独自の暗号化を備えていま すが、その暗号化およびポリシーを管理するためのプラットフォームがありません。Sed 管理では、すべてのポリシー、ストレージ、お SED 管理 を使用すると、すべてのポリシー、ストレージ、および暗号化キーの取得は、単一のコンソールから使用でき、紛失や不正なアクセスの場合に コンピュータが保護されないというリスクを軽減します。

1

◦ BitLocker Manager のインストール - BitLocker 展開のセキュリティを高め、所有コストを単純化および軽減するように設計されている、 BitLocker Manager をインストールする場合にこれらの手順に従います。 メモ: ほとんどの子インストーラは対話形式でインストールできますが、このガイドでは説明していません。 • 最も一般的なシナリオのスクリプトについては、「一般的に使用されるシナリオ」を参照してください。

Dell ProSupport へのお問い合わせ

デル製品向けの 24 時間 365 日対応電話サポート（877-459-7304、内線 4310039）にご連絡ください。 さらに、デル製品のオンラインサポートも dell.com/support からご利用いただけます。オンラインサポートでは、ドライバ、マニュアル、テクニカルアドバイザリ ー、よくあるご質問（FAQ）、および緊急の問題を取り扱っています。 適切なサポート担当者に迅速におつなぎするためにも、お電話の際はお客様のサービスタグまたはエクスプレスサービスコードをご用意ください。 米国外の電話番号については、Dell ProSupport の各国の電話番号を記載したページを参照してください。 8 はじめに

要件

すべてのクライアント

次の要件はすべてのクライアントに適用されます。他のセクションで挙げられる要件は、特定のクライアントに適用されます。 • 導入中は、IT ベストプラクティスに従う必要があります。これには、初期テスト向けの管理されたテスト環境や、ユーザーへの時間差導入が含まれま すが、それらに限定されるものではありません。 • インストール、アップグレード、アンインストールを実行するユーザーアカウントは、ローカルまたはドメイン管理者ユーザーである必要があります。これ は、Microsoft SCCM などの導入ツールによって一時的に割り当てることができます。昇格された権限を持つ非管理者ユーザーはサポートされませ ん。 • インストールまたはアンインストールを開始する前に、重要なデータをすべてバックアップします。 • インストール中は、外付け（USB）ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 • 管理者は、必要なすべてのポートが使用可能であることを確認します。 • 最新のマニュアルや技術アドバイザリーについて、dell.com/support を定期的に確認してください。 • Dell Data Security の製品ラインでは、Windows Insider Preview リリースはサポートされていません。 • インプレース

前提条件

• これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインストールを行います。子インストー ラを使用する場合、クライアントをインストールする前に、これらのコンポーネントをインストールする必要があります。 前提条件 – Visual C++ 2012 更新プログラム 4 以降再頒布可能パッケージ（x86 および x64） – Visual C++ 2015 更新プログラム 3 以降再頒布可能パッケージ（x86 および x64）

Windows 7 にインストールされている場合、Visual C++ 2015 には Windows Update KB2999226 が必要です。

• マスター インストーラーおよび子インストーラーのクライアントには、Microsoft .Net Framework 4.5.2 以降が必要です。インストーラは、 Microsoft .Net Framework コンポーネントをインストールしません。

• インストールされている Microsoft .Net のバージョンを検証するには、インストール対象のコンピュータでこれらの手順に従います。Microsoft .NET Framework 4.5.2 をインストールするには、これらの手順を参照してください。

• FIPS モードで Encryption をインストールする場合は、Microsoft .NET Framework 4.6 が必要です。

ハードウェア

• 次の表に、最低限のサポート対象コンピュータハードウェアの詳細を示します。

ハードウェア

– Intel Pentium または AMD プロセッサ – 110 MB の使用可能ディスク容量 – 512 MB RAM

2

ハードウェア

メモ: エンドポイントでファイルを暗号化する場合は、追加の空きディスク容量が必要になります。サイズは、有効なポリシーとドライブ 容量によって異なります。

ローカライズ

• Dell Encryption、SED 管理、PBA Advanced Authentication、、、BitLocker Manager は、多言語対応のユーザーインターフェイスであり、次の 言語にローカライズされています。 言語サポート EN - 英語 IT - イタリア語 KO - 韓国語 ES - スペイン語 DE - ドイツ語 PT-BR - ポルトガル語（ブラジル） FR - フランス語 JA - 日本語 PT-PT - ポルトガル語（ポルトガル（イベリア））

暗号化

• クライアントコンピュータは、アクティブ化するためにネットワーク接続が必要です。

• Dell Encryption で Microsoft Live アカウントを有効にするには、この KB 記事を参照してください。

• 最初の暗号化にかかる時間を短縮するために、Windows ディスククリーンアップ ウィザードを実行して、一時ファイルおよびその他の不必要なデータ を削除します。 • 最初の暗号化スイープ中にスリープモードをオフにして、誰も操作していないコンピュータがスリープ状態になるのを防ぎます。スリープ状態のコンピュー タでは暗号化は行われません（復号化も行われません）。 • Encryption は、デュアルブート設定をサポートしていません。これは、もう一方のオペレーティングシステムのシステムファイルが暗号化され、その動作 を妨げるおそれがあるためです。 • マスターインストーラでは、v8.0 より前のコンポーネントからのアップグレードはサポートされていません。マスターインストーラから子インストーラを抽出 し、コンポーネントを個々にアップグレードします。抽出手順については、「マスターインストーラからの子インストーラの抽出」を参照してください。 • Encryption は監査モードをサポートするようになりました。監査モードは管理者がサードパーティの SCCM または類似のソリューションを使用するの ではなく、企業用イメージの一部として、Encryption を展開することを可能にします。企業用イメージに Encryption をインストールする手順について は、KB 記事 SLN304039 を参照してください。 • Encryption は、業界をリードするアンチウイルスプロバイダに対して検証されます。これらのアンチウイルスプロバイダに関しては、アンチウイルススキャン および暗号化における互換性を確保するために、ハードコーディングされた除外が設定されています。Encryption は、Microsoft Enhanced Mitigation Experience Toolkit でもテスト済みです。

リストに記載のないアンチウイルスプロバイダを利用している場合は、KB 記事 SLN288353 を参照するかまたは Dell ProSupport に連絡してサポー トを受けてください。

• Dell Encryption は、Intel の暗号化命令セットである Integrated Performance Primitives（IPP）を使用します。詳細については、この KB を参照 してください。 • TPM は、汎用キーのシーリングに使用されます。したがって、Encryption を実行している場合は、ターゲットコンピュータに新しいオペレーティングシス テムをインストールする前に、BIOS で TPM をクリアする必要があります。 • インプレイスでのオペレーティングシステムの再インストールがサポートされていません。オペレーティングシステムを再インストールするには、ターゲットコン ピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステムをインストールした後、確立した回復手順に従って暗号化されたデ ータを回復してください。 • UEFI モードでは、保護された Windows 休止状態ファイルと保護されていない休止状態の防止ポリシーはサポートされていません。

• Deferred Activation では、アクティブ化中に使用される Active Directory ユーザーアカウントは、エンドポイントへのログインに使用されるアカウントと は独立したものになります。ネットワークプロバイダが認証情報を取得する代わりに、プロンプトが表示されたときにユーザーが手動で Active Directory ベースのアカウントを指定します。資格情報が入力されると、認証情報は安全に Dell Server に送信され、構成された Active Directory ドメインに対して Dell サーバで認証情報が検証されます。詳細については、KB 記事 SLN306341 を参照してください。

• Windows 10 機能のアップグレード後、Dell Encryption を終了するには再起動が必要です。Windows 10 機能のアップグレード後、通知領域に次 のメッセージが表示されます。

ハードウェア

• 次の表は、サポートされているハードウェアの詳細です。 オプションの組み込みハードウェア – TPM 1.2 または 2.0

オペレーティングシステム

• 次の表は、対応オペレーティングシステムの詳しい説明です。 Windows オペレーティングシステム（32 ビットと 64 ビット） – Windows 7 SP1：Enterprise、Professional、Ultimate

– アプリケーション互換テンプレートでの Windows Embedded Standard 7 – Windows 8.1：Enterprise、Pro

– Windows Embedded 8.1 Industry Enterprise

– Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5） – VMware Workstation 12.5 以降

– Deferred Activation には、上記のすべてのサポートが含まれます。

Encryption External Media

オペレーティングシステム

• Encryption External Media をホストするには、外部メディア上の約 55 MB の空き容量に加えて、メディア上に暗号化対象の最大ファイルに等しい 空き容量が必要です。

• 次の表では、Encryption External Media によって保護されたメディアにアクセスする場合にサポートされるオペレーティングシステムを詳細に示しま す。

暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム（32 ビットと 64 ビット）

– Windows 7 SP1：Enterprise、Professional、Ultimate

– アプリケーション互換テンプレートでの Windows Embedded Standard 7 – Windows 8.1：Enterprise、Pro

– Windows Embedded 8.1 Industry Enterprise

– Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5）

暗号化されたメディアにアクセスする場合にサポートされる Mac オペレーティングシステム（64 ビットカーネル）

– macOS Sierra 10.12.6

– macOS High Sierra 10.13.5 ～ 10.13.6 – macOS Mojave 10.14.0 - 10.14.3

フルディスク暗号化

• フルディスク暗号化では、v9.8.2 以降を実行する Dell サーバに対してアクティブ化が必要です。 • フルディスク暗号化は、仮想ホストコンピュータでは現在サポートされていません。 • マルチドライブ構成のフルディスク暗号化は、サポートされていません。 • インストールされた FDE 機能では、サードパーティ資格情報プロバイダは機能しません。PBA を有効にすると、サードパーティ資格情報プロバイダは すべて無効になります。 • クライアントコンピュータには、アクティブ化するためにネットワーク接続またはアクセスコードが必要です。 • スマートカードユーザーが最初に起動前認証でログインする場合には、有線ネットワーク接続が必要です。 • フルディスク暗号化が行われている場合、オペレーティングシステムの機能アップデートはサポートされません。 • PBA が Dell サーバと通信するためには有線接続が必要です。 • SED はターゲットコンピュータ上に存在することはできません。

• フルディスク暗号化は、Intel の暗号化命令セットである Integrated Performance Primitives（IPP）を使用します。詳細については、この KB を参 照してください。

• フルディスク暗号化は、BitLocker または BitLocker Manager ではサポートされていません。BitLocker または BitLocker Manager がインストールさ れているコンピュータには、フルディスク暗号化をインストールしないでください。

• NVMe ドライブでは、Intel Rapid Storage Technology ドライバ v15.2.0.0 以降を推奨します。 • PBA に利用されている NVMe ドライブ：

– デルの PBA 管理では NVMe ドライブ上の AHCI をサポートしていないため、BIOS の SATA 操作を RAID ON に設定する必要があります。 – BIOS のブートモードは UEFI で、レガシーオプション ROM は無効にする必要があります。

• PBA に利用されている非 NVMe ドライブ：

– デルの PBA 管理では非 NVMe ドライブ上の RAID をサポートしていないため、BIOS の SATA 操作を AHCI に設定する必要があります。 – （ロックされた非 NVMe ドライブで利用できないセクターでの）読み書き対象の RAID 関連データへのアクセスが起動時にサポートされておらず、

ユーザーがログインした後までこのデータの読み取りを待機できないために、RAID ON がサポートされません。

– AHCI コントローラドライバがあらかじめインストールされていない場合に RAID ON > AHCI から切り替えると、オペレーティングシステムがクラッシュ します。RAID から AHCI（またはその逆）に切り替える方法については、KB 記事 SLN306460 を参照してください。 • フルディスク暗号化管理は、デュアルブート設定をサポートしていません。これは、もう一方のオペレーティングシステムのシステムファイルが暗号化さ れ、その動作を妨げるおそれがあるためです。 • インプレイスでのオペレーティングシステムの再インストールがサポートされていません。オペレーティングシステムを再インストールするには、ターゲットコン ピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステムをインストールした後、確立した回復手順に従って暗号化されたデ ータを回復してください。 • _{メモ: 起動前認証ではパスワードが必要です。社内セキュリティポリシーに準拠した最小限のパスワード設定を行うことをお勧めしま} す。 • _{メモ: PBA を使用する場合、コンピュータに複数のユーザーがいる場合は、すべてのユーザーの同期ポリシーを有効にする必要がありま} す。また、すべてのユーザーがパスワードを持っている必要があります。長さがゼロのパスワードユーザーは、アクティブ化後にコンピュー タからロックアウトされます。 メモ: フルディスク暗号化の設定では、暗号化アルゴリズムを AES-256 に、暗号化モードを CBC に設定する必要があります。

ハードウェア

• 次の表は、サポートされているハードウェアの詳細です。 12 要件

オプションの組み込みハードウェア – TPM 1.2 または 2.0 UEFI ブートモードがサポートされているデルコンピュータモデル • 次の表は、UEFI ブートモードがサポートおよび検証されているデルコンピュータモデルの詳細を説明しています。 デルコンピュータモデル - UEFI ブートモードサポート – Latitude 5280 – Latitude 5290 – Latitude 5480 – Latitude 5490 – Latitude 5491 – Latitude 5580 – Latitude 5590 – Latitude 5591 – Latitude 7290 – Latitude 7370 – Latitude 7380 – Latitude 7390 – Latitude 7490 – Latitude E5250 – Latitude E5270 – Latitude E5285 – Latitude E5289 2-in-1 – Latitude E5290 2-in-1 – Latitude E5450 – Latitude E5470 – Latitude E5550 – Latitude E5570 – Latitude E6440 – Latitude E6540 – Latitude E7240 – Latitude E7250 – Latitude E7270 – Latitude E7280 – Latitude E7350 – Latitude 7389 2-in-1 – Latitude E7440 – Latitude E7450 – Latitude E7470 – Latitude E7480

– Latitude 12 Rugged Extreme （モデル 7414） – Latitude 12 Rugged タブレット （モデル 7202） – Latitude 7212 Rugged Extreme タブレット – Latitude 14 Rugged（モデル 5414） – Latitude 14 Rugged（モデル 5420） – Precision 3510 – Precision 3520 – Precision 3531 – Precision 4800 – Precision 5510 – Precision 5520 – Precision 5530 – Precision 5530 2-in-1 – Precision 6800 – Precision 7510 – Precision 7520 – Precision 7710 – Precision 7720 – Precision D5720 All-in-One – Precision T1700 – Precision T3420 – Precision T3620 – Precision T5810 – Precision T7810 – Precision T7910 – XPS 13 9333 – XPS 13 9350 – XPS 15 9550 – XPS 15 9560 – Optiplex 3040 マイクロ、ミニタ ワー、スモールフォームファクター – Optiplex 3046 – OptiPlex 3050 All-In-One – OptiPlex 3050 タワー、スモー ルフォームファクタ、マイクロ – Optiplex 5040 ミニタワー、ス モールフォームファクター – OptiPlex 5050 タワー、スモー ルフォームファクタ、マイクロ – OptiPlex 5260 All-In-One – OptiPlex 7020 – Optiplex 7040 マイクロ、ミニタ ワー、スモールフォームファクター – OptiPlex 7050 タワー、スモー ルフォームファクタ、マイクロ – OptiPlex 7060、スモールフォ ームファクター、マイクロ – OptiPlex 7060 タワー / スモー ルフォームファクター – Optiplex 3240 All-In-One – Optiplex 5055 Ryzen CPU – OptiPlex 5250 All-In-One – Precision 5820 タワー – Optiplex 7010 – Precision 7530 – Precision 7730 – Optiplex 7440 All-In-One – OptiPlex 7450 All-In-One – OptiPlex 7460 All-In-One – OptiPlex 7760 All-In-One – Precision 7820 タワー – Precision 7920 ラック – Optiplex 9010 – Optiplex 9020 マイクロ、ミニタ ワー、スモールフォームファクター – Optiplex 9020 All-In-One – Optiplex 9030 All-In-One – Optiplex XE2 – OptiPlex XE3 タワー – OptiPlex XE3 スモールフォー ムファクター – Venue Pro 11（モデル 5175/5179） – Venue Pro 11（モデル 7139） 要件 13

デルコンピュータモデル - UEFI ブートモードサポート

– Latitude 14 Rugged Extreme （モデル 7414）

– Latitude 14 Rugged Extreme （モデル 7424）

• FDE でサポートされているドッキングステーションとアダプタのリストについては、KB 記事 SLN314695 を参照してください。 UEFI ブートモードがサポートおよび検証されているデル以外のコンピュータモデル

• 次の表は、UEFI ブートモードがサポートおよび検証されているデル以外のコンピュータの詳細を説明しています。 すべての機能を使用するには、BIOS 設定を次のように行ってください。

– BIOS で、Advanced タブに移動し、Secure Boot Configuration を選択して、Import Custom Secure Boot keys および Enable MS UEFI

CA key というラベルの付いたチェックボックスを選択します。

– ドロップダウンメニューで、Legacy Support Disable and Secure Boot Enable を選択します。

– BIOS で、Advanced タブ > Option ROM Launch Policy の順に選択し、ドロップダウンメニューで All UEFI を選択します。

デル以外のコンピュータモデル - UEFI ブートモードサポート – Lenovo T560 – Lenovo ThinkPad P50 – HP EliteBook 840 G3 – HP Elitebook 840 G4 – HP EliteBook 1040 G3 レガシーブートモードがサポートおよび検証されているデル以外のコンピュータモデル • 次の表は、レガシーブートモードがサポートおよび検証されているデル以外のコンピュータの詳細を説明しています。 デル以外のコンピュータモデル - レガシーブートモードサポート – HP ProBook 450 G2 – HP ProBook 450 G5 – HP Probook 840 G4 – HP Elitebook 840 G3 – HP EliteBook 1040 G3 – Lenovo ThinkPad T560

フルディスク暗号化クライアントの認証オプション

• スマートカードを使用したり、UEFI コンピュータで認証を行ったりするためには、特殊なハードウェアが必要となります。起動前認証でスマートカードを 使用するには、設定が必要です。以下の表では、ハードウェアと構成の要件が満たされているときに使用できる認証オプションをオペレーティングシス テム別に示しています。 非 UEFI PBA パスワード 指紋 接触型スマ ートカード SIPR カード Windows 7 SP0-SP1 X 1 _X1 2 1. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 14 要件

UEFI PBA - サポートされるデルコンピュータ上 パスワード 指紋 接触型スマ ートカード SIPR カード Windows 10 X1 _X1 1. サポート対象の UEFI コンピュータで利用できます。

フルディスク暗号化クライアントのオペレーティングシステム

• 次の表では、対応オペレーティングシステムが詳しく説明されています。 Windows オペレーティングシステム（64 ビット） – Windows 7 SP1：Enterprise、Professional、Ultimate（レガシーブートモードが必要）

– Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5） （UEFI ブートモードが必要）

サーバオペレーティングシステム上の Encryption

サーバオペレーティングシステムの Encryption は、サーバモードで動作しているコンピュータ、特にファイルサーバ上での使用を対象にしています。 • サーバオペレーティングシステム上の Encryption は、Encryption Enterprise および Endpoint Security Suite Enterprise.とのみ互換性があります。 • サーバオペレーティングシステム上の Encryption には、次の機能があります。

– ソフトウェアの暗号化は、Microsoft Windows Embedded 8.1 Industry Enterprise – リムーバブルメディア暗号化

– ポート制御

メモ:

サーバはポート制御をサポートしている必要があります。

ポート制御システムのポリシーは、たとえば、USB デバイスによるサーバの USB ポートへのアクセスおよび使用を制御することにより、 保護対象サーバ上のリムーバブルメディアに影響します。USB ポートポリシーは外部 USB ポートに適用されます。内部 USB ポー ト機能は、USB ポートポリシーの影響を受けません。USB ポートポリシーが無効化されると、クライアント USB キーボードおよびマウ スは機能しなくなり、このポリシーが適用される前にリモートデスクトップ接続がセットアップされない限り、ユーザーはコンピュータを使 用することができなくなります。 サーバオペレーティングシステムの Encryption は、次の機能で使用されます。 • ローカルドライブを持つファイルサーバー • サーバオペレーティングシステム、またはシンプルファイルサーバとして非サーバオペレーティングシステムを実行している仮想マシン（VM）ゲスト • サポートされている構成：

– RAID 5 または 10 ドライブ搭載のサーバー。RAID 0（ストライピング）と RAID 1（ミラーリング）は互いに独立してサポートされています。 – Multi TB RAID ドライブ搭載のサーバ – コンピュータをシャットダウンせずに交換可能なドライブ搭載のサーバー – Server Encryption は、業界をリードするアンチウイルスプロバイダを使用して検証されます。アンチウイルススキャンと暗号化間における非互換 性を防ぐため、これらのアンチウイルスプロバイダに対するハードコーディングされた除外が設定されています。リストにないアンチウイルスプロバイダ が組織で使用されている場合は、KB 記事 SLN298707 を参照するか、Dell ProSupport にお問い合わせください。 要件 15

サーバオペレーティングシステムの Encryption は、次の機能では使用されません。

• Security Management Server / Security Management Server Virtual または Security Management Server / Security Management Server Virtual のデータベースを実行しているサーバ。

• Encryption Personal。

• SED 管理、PBA Advanced Authentication、または BitLocker Manager。 • 分散ファイルシステム（DFS）の一部であるサーバ。

• サーバオペレーティングシステムの Encryption 間の移行。External Media Edition からサーバオペレーティングシステムの Encryption にアップグレー ドするには、サーバオペレーティングシステム上の Encryption をインストールする前に、以前の製品を完全にアンインストールする必要があります。 • VM ホスト（通常、VM ホストには複数の VM ゲストが含まれています。） • ドメインコントローラ • Exchange サーバー • データベース（SQL、Sybase、SharePoint、Oracle、MySQL、Exchange など）をホストしているサーバー • 次のいずれかのテクノロジを使用しているサーバー

– Resilient File System – Fluid File System – Microsoft 記憶域 – SAN/NAS ネットワークストレージソリューション – iSCSI 接続デバイス – 重複排除ソフトウェア – ハードウェア重複排除 – 分割された RAID（単一の RAID に複数のボリュームが存在） – SED（RAID および非 RAID） – キオスク向けの自動ログオン（Windows 7、8 / 8.1） – Microsoft Storage Server 2012

• サーバオペレーティングシステム上の Encryption は、デュアルブート設定をサポートしていません。これは、もう一方のオペレーティングシステムのシステ ムファイルが暗号化され、その動作を妨げるおそれがあるためです。 • インプレイスでのオペレーティングシステムの再インストールがサポートされていません。オペレーティングシステムを再インストールするには、ターゲットコン ピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステムをインストールした後、回復手順に従って暗号化されたデータを回復 してください。暗号化されたデータのリカバリの詳細については、『Recovery Guide』（リカバリガイド）を参照してください。

オペレーティングシステム

次の表は、対応オペレーティングシステムの詳しい説明です。 オペレーティングシステム（32 ビットと 64 ビット） • Windows 7 SP1：Enterprise、Professional、Ultimate • Windows 8.1：Enterprise、Pro

• Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5）

サポートされているサーバーオペレーティングシステム

• Windows Server 2008 R2 SP1：Standard Edition、Datacenter Edition、Enterprise Edition、Webserver Edition • Windows Server 2012：Standard Edition、Essentials Edition、Datacenter Edition（Server Core はサポートされません） • Windows Server 2012 R2：Standard Edition、Essentials Edition、Datacenter Edition（Server Core はサポートされません） • Windows Server 2016：Standard Edition、Essentials Edition、Datacenter Edition（Server Core はサポートされません） • Windows Server 2019：Standard Edition、Datacenter Edition

UEFI モードがサポートされるオペレーティングシステム • Windows 8.1：Enterprise、Pro

• Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5）

メモ:

サポートされる UEFI コンピュータでは、メインメニューから 再起動 を選択した後にコンピュータが再起動し、2 つのログオン画面のいずれかが表示さ れます。表示されるログオン画面は、コンピュータプラットフォームアーキテクチャにおける違いによって決定します。

Encryption External Media

オペレーティングシステム

• Encryption External Media をホストするには、外部メディア上の約 55 MB の空き容量に加えて、メディア上に暗号化対象の最大ファイルに等しい 空き容量が必要です。

• デルで保護されたメディアにアクセスする際にサポートされるオペレーティングシステムの詳細は、次のとおりです。

暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム（32 ビットと 64 ビット）

• Windows 7 SP1：Enterprise、Professional、Ultimate • Windows 8.1：Enterprise、Pro

• Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5）

サポートされているサーバーオペレーティングシステム

• Windows Server 2012 R2

暗号化されたメディアにアクセスする場合にサポートされる Mac オペレーティングシステム（64 ビットカーネル）

• macOS Sierra 10.12.6

• macOS High Sierra 10.13.5 ～ 10.13.6 • macOS Mojave 10.14.0～10.14.4

SED

• SED 管理を正しくインストールするには、コンピュータに有線ネットワーク接続が必要です。 • スマートカードユーザーが最初に起動前認証でログインする場合には、有線ネットワーク接続が必要です。 • インストールされた SED 管理では、サードパーティ資格情報プロバイダは機能しません。PBA を有効にすると、サードパーティ資格情報プロバイダは すべて無効になります。 • IPv6 はサポートされていません。 • SED Manager はマルチドライブ構成ではサポートされません。 • SED Manager は現在、仮想化ホストコンピュータではサポートされていません。

• Dell Encryption は、Intel の暗号化命令セットである Integrated Performance Primitives（IPP）を使用します。詳細については、KB 記事

SLN301500 を参照してください。 • ポリシーを適用し、ポリシーの実施を開始できる状態になったら、コンピュータをシャットダウンして再起動する準備を整えます。 • 自己暗号化ドライブが搭載されているコンピュータでは HCA カードを使用できません。HCA のプロビジョニングを妨げる非互換性が存在します。デル では、HCA モジュールをサポートする自己暗号化ドライブを用いたコンピュータの販売を行っていません。この非対応構成は、アフターマーケット構成 となります。 要件 17

• 暗号化の対象となるコンピュータに自己暗号化ドライブが搭載されている場合、Active Directory オプションのユーザーは次回のログオン時にパスワ ードの変更が必要が無効になっていることを確認します。起動前認証は、この Active Directory オプションをサポートしていません。 • デルでは、PBA がアクティブ化された後で認証方法を変更しないことをお勧めしています。別の認証方法に切り替える必要がある場合は、次のいず れかの操作を行う必要があります。 – PBA からすべてのユーザーを削除します。 または – PBA を非アクティブ化し、認証方法を変更した後、PBA を再度アクティブ化します。 重要:

RAID と SED の性質により、SED 管理では RAID はサポートされません。SED の RAID=On には、RAID では、ディスクにアクセスして、SED がロック状態のために利用できない上位セクタの RAID 関連データを読み書きする必要があり、ユーザーがログオンするまで待機してこのデー タを読み取ることができないという問題があります。この問題を解決するには、BIOS で SATA の動作を RAID=On から AHCI に変更しま す。オペレーティングシステムに AHCI コントローラドライバがプレインストールされていない場合、RAID=On から AHCI に切り替えるとオペレー ティングシステムがクラッシュします。

• SED 管理用の自己暗号化ドライブの構成は、NVMe と非 NVMe（SATA）ドライブで次のように異なります。 – SED に利用されている NVMe ドライブ：

◦ SED 管理では NVMe ドライブ上の AHCI をサポートしていないため、BIOS の SATA 操作を RAID ON に設定する必要があります。 ◦ BIOS のブートモードは UEFI で、レガシーオプション ROM は無効にする必要があります。

– SED に利用されている非 NVMe ドライブ：

◦ SED 管理では非 NVMe ドライブ上の RAID をサポートしていないため、BIOS の SATA 操作を AHCI に設定する必要があります。 ◦（ロックされた非 NVMe ドライブで利用できないセクターでの）読み書き対象の RAID 関連データへのアクセスが起動時にサポートされておら

ず、ユーザーがログインした後までこのデータの読み取りを待機できないために、RAID ON がサポートされません。

◦ AHCI コントローラドライバがあらかじめインストールされていない場合に RAID ON > AHCI から切り替えると、オペレーティングシステムがクラッ シュします。RAID から AHCI（またはその逆）に切り替える方法については、KB 記事 SLN306460 を参照してください。

サポートされている OPAL 準拠の SED には、www.dell.com/support にあるアップデートされた Intel Rapid Storage Technology ドライバが必要で す。NVMe ドライブでは、Intel ラピッドストレージテクノロジードライバのバージョン 15.2.0.0 以降を推奨します。

メモ: Intel Rapid Storage Technology ドライバは、プラットフォームによって異なります。お使いのコンピュータのモデルに基づいたシス

テムのドライバは、上記のリンクから参照できます。 • SED 管理は、サーバオペレーティングシステム上の Encryption ではサポートされません。 • _{メモ: 起動前認証ではパスワードが必要です。社内セキュリティポリシーに準拠した最小限のパスワード設定を行うことをお勧めしま} す。 • _{メモ: PBA を使用する場合、コンピュータに複数のユーザーがいる場合は、すべてのユーザーの同期ポリシーを有効にする必要がありま} す。また、すべてのユーザーがパスワードを持っている必要があります。長さがゼロのパスワードユーザーは、アクティブ化後にコンピュー タからロックアウトされます。

ハードウェア

OPAL 対応の SED

• SED 管理でサポートされている OPAL 準拠 SED の最新リストについては、この KB 記事 SLN296720 を参照してください。 UEFI によりサポートされている Dell コンピュータモデル

• 次の表は、UEFI ブートモードがサポートおよび検証されているデルコンピュータモデルの詳細を説明しています。

デルコンピュータモデル - UEFI ブートモードサポート – Latitude 5280 – Latitude 5290 – Latitude 5480 – Latitude 5490 – Latitude 5491 – Latitude 5580 – Latitude 5590 – Latitude 5591 – Latitude 7290 – Latitude 7370 – Latitude 7380 – Latitude 7390 – Latitude 7490 – Latitude E5250 – Latitude E5270 – Latitude E5285 – Latitude E5289 2-in-1 – Latitude E5290 2-in-1 – Latitude E5450 – Latitude E5470 – Latitude E5550 – Latitude E5570 – Latitude E6440 – Latitude E6540 – Latitude E7240 – Latitude E7250 – Latitude E7270 – Latitude E7280 – Latitude E7350 – Latitude 7389 2-in-1 – Latitude E7440 – Latitude E7450 – Latitude E7470 – Latitude E7480

– Latitude 12 Rugged Extreme （モデル 7414） – Latitude 12 Rugged タブレット （モデル 7202） – Latitude 7212 Rugged Extreme タブレット – Latitude 14 Rugged（モデル 5414） – Latitude 14 Rugged（モデル 5420）

– Latitude 14 Rugged Extreme （モデル 7414） – Precision 3510 – Precision 3520 – Precision 3531 – Precision 4800 – Precision 5510 – Precision 5520 – Precision 5530 – Precision 5530 2-in-1 – Precision 6800 – Precision 7510 – Precision 7520 – Precision 7710 – Precision 7720 – Precision D5720 All-in-One – Precision T1700 – Precision T3420 – Precision T3620 – Precision T5810 – Precision T7810 – Precision T7910 – XPS 13 9333 – XPS 13 9350 – XPS 15 9550 – XPS 15 9560 – Optiplex 3040 マイクロ、ミニタ ワー、スモールフォームファクター – Optiplex 3046 – OptiPlex 3050 All-In-One – OptiPlex 3050 タワー、スモー ルフォームファクタ、マイクロ – Optiplex 5040 ミニタワー、ス モールフォームファクター – OptiPlex 5050 タワー、スモー ルフォームファクタ、マイクロ – OptiPlex 5260 All-In-One – OptiPlex 7020 – Optiplex 7040 マイクロ、ミニタ ワー、スモールフォームファクター – OptiPlex 7050 タワー、スモー ルフォームファクタ、マイクロ – OptiPlex 7060、スモールフォ ームファクター、マイクロ – OptiPlex 7060 タワー / スモー ルフォームファクター – Optiplex 3240 All-In-One – Optiplex 5055 Ryzen CPU – OptiPlex 5250 All-In-One – Precision 5820 タワー – Optiplex 7010 – Precision 7530 – Precision 7730 – Optiplex 7440 All-In-One – OptiPlex 7450 All-In-One – OptiPlex 7460 All-In-One – OptiPlex 7760 All-In-One – Precision 7820 タワー – Precision 7920 ラック – Optiplex 9010 – Optiplex 9020 マイクロ、ミニタ ワー、スモールフォームファクター – Optiplex 9020 All-In-One – Optiplex 9030 All-In-One – Optiplex XE2 – OptiPlex XE3 タワー – OptiPlex XE3 スモールフォー ムファクター – Venue Pro 11（モデル 5175/5179） – Venue Pro 11（モデル 7139） 要件 19

デルコンピュータモデル - UEFI ブートモードサポート

– Latitude 14 Rugged Extreme （モデル 7424）

メモ:

認証機能は、適格な Opal 準拠 SED を搭載した、Windows 8、Windows 8.1、および Windows 10 を実行するコンピュータにおいて、 UEFI モードでサポートされます。レガシーブートモードは Windows 7、Windows 8、Windows 8.1、および Windows 10 を実行しているその 他のコンピュータでサポートされています。

• SED クライアントでサポートされているドッキングステーションとアダプタのリストについては、KB 記事 SLN296720 を参照してください。 UEFI ブートモードがサポートおよび検証されているデル以外のコンピュータモデル

• 次の表は、UEFI ブートモードがサポートおよび検証されているデル以外のコンピュータの詳細を説明しています。 すべての機能を使用するには、BIOS 設定を次のように行ってください。

– BIOS で、Advanced タブに移動し、Secure Boot Configuration を選択して、Import Custom Secure Boot keys および Enable MS UEFI

CA key というラベルの付いたチェックボックスを選択します。

– ドロップダウンメニューで、Legacy Support Disable and Secure Boot Enable を選択します。

– BIOS で、Advanced タブ > Option ROM Launch Policy の順に選択し、ドロップダウンメニューで All UEFI を選択します。

デル以外のコンピュータモデル - UEFI ブートモードサポート – Lenovo T560 – Lenovo ThinkPad P50 – HP EliteBook 840 G3 – HP Elitebook 840 G4 – HP EliteBook 1040 G3 レガシーブートモードがサポートおよび検証されているデル以外のコンピュータモデル • 次の表は、レガシーブートモードがサポートおよび検証されているデル以外のコンピュータの詳細を説明しています。 デル以外のコンピュータモデル - レガシーブートモードサポート – HP ProBook 450 G2 – HP ProBook 450 G5 – HP Probook 840 G4 – HP Elitebook 840 G3 – HP EliteBook 1040 G3 – Lenovo ThinkPad T560

SED 管理による起動前認証オプション

• スマートカードを使用したり、UEFI コンピュータで認証を行ったりするには、特殊なハードウェアが必要です。起動前認証でスマートカードを使用する には、設定が必要です。以下の表では、ハードウェアと構成の要件が満たされているときに使用できる認証オプションをオペレーティングシステム別に 示しています。 20 要件

非 UEFI PBA パスワード 指紋 接触型スマ ートカード SIPR カード Windows 7 SP0-SP1 X 1 _X1 2 Windows 8.1 X1 _X1 2 Windows 10 X1 _X1 2 1. 認証ドライバを dell.com/support からダウンロードすれば使用可能 2. サポート対象 OPAL SED で使用可能 UEFI PBA - サポートされるデルコンピュータ上 パスワード 指紋 接触型スマ ートカード SIPR カード Windows 7 Windows 8.1 X1 _X1 Windows 10 X1 _X1

1. サポート対象 UEFI コンピュータ上のサポート対象 OPAL SED で使用可能

国際キーボード

次の表に、UEFI 対応および UEFI 非対応コンピュータで起動前認証がサポートされている国際キーボードを示します。 国際キーボードのサポート - UEFI DE-FR -（スイスフランス語） EN-GB - 英語（イギリス英語） DE-CH -（スイスドイツ語） EN-CA - 英語（カナダ英語） EN-US - 英語（アメリカ英語） 国際キーボードのサポート - UEFI 非対応 AR - アラビア語（ラテン文字を使用） EN-US - 英語（アメリカ英語） DE-FR -（スイスフランス語） EN-GB - 英語（イギリス英語） DE-CH -（スイスドイツ語） EN-CA - 英語（カナダ英語）

ローカライズ

SED 管理は複数言語ユーザーインターフェイスに対応しており、次の言語でローカライズされています。UEFI モードと PBA Advanced Authentication は、次の言語でサポートされています。

言語サポート EN - 英語 JA - 日本語 FR - フランス語 KO - 韓国語 IT - イタリア語 PT-BR - ポルトガル語（ブラジル） DE - ドイツ語 PT-PT - ポルトガル語（ポルトガル（イベリア）） ES - スペイン語

オペレーティングシステム

• 次の表は、対応オペレーティングシステムの詳しい説明です。 Windows オペレーティングシステム（32 ビットと 64 ビット） – Windows 7 SP0-SP1：Enterprise、Professional、Ultimate（レガシーブートモードでのみサポート、UEFI では未サポート） メモ: NVMe 自己暗号化ドライブは Windows 7 ではサポートされません。 – Windows 8.1：Enterprise、Pro

– Windows 10：Education、Enterprise、Pro v1607-v1809（Anniversary Update / Redstone 1 - October 2018 Update / Redstone 5）

BitLocker Manager

• BitLocker がまだお使いの環境に導入されていない場合は、「Microsoft BitLocker の要件」を確認してください。

• PBA パーティションがすでに設定されていることを確認します。PBA パーティションを設定する前に BitLocker Manager がインストールされている場 合は、BitLocker を有効にできないため、BitLocker Manager は動作しません。「BitLocker PBA パーティションを設定するプレインストール構成」を 参照してください。

• BitLocker Manager を使用するには、Dell Server が必要です。

• データベース内で署名証明書が使用可能であることを確認してください。詳細については、KB 記事 SLN307028 を参照してください。 • キーボード、マウス、およびビデオコンポーネントは、コンピュータに直接接続する必要があります。周辺機器の管理に KVM スイッチは使用しないでく ださい。KVM スイッチは、ハードウェアを正しく識別するコンピュータの機能を阻害するおそれがあるためです。 • TPM をオンにして有効にします。BitLocker Manager は TPM の所有権を取得しますが、再起動の必要はありません。ただし、TPM の所有権が すでに存在する場合は、BitLocker Manager で暗号化セットアップ処理が開始されます。再起動する必要はありません。ここでのポイントは、TPM が所有かつ有効化されている必要があるという点です。

• FIPS モードが GPO セキュリティ設定「システム暗号化：暗号化、ハッシュ、署名に FIPS 対応のアルゴリズムを使用」で有効になった場合、 BitLocker Manager は、認定した AES FIPS が検証したアルゴリズムを使用するので、製品を介してそのデバイスを管理します。現在 Microsoft で は、アプリケーション互換性、回復、およびメディア暗号化における多数の問題のために FIPS 検証済みアルゴリズムを使用しないことをお客様に勧 めていることから、BitLocker Manager でもこのモードを BitLocker 暗号化クライアントのデフォルトとして設定することを必須とはしていません：

http://blogs.technet.com。

• BitLocker Manager は、サーバオペレーティングシステムの Encryption ではサポートされません。

• BitLocker Manager を使用するエンドポイントとのリモートデスクトップ接続を使用する場合、次のコマンドを使用して、既存のユーザーセッションで UI の対話の問題を回避するために、コンソールモードでリモートデスクトップセッションを実行することをお勧めします。

mstsc /admin /v:<target_ip_address>

• _{メモ: 新バージョンへのインプレイス オペレーティング システムのアップグレード（Windows 7 または Windows 8.1 から Windows 10 な}

ど）はサポートされません。

ハードウェア

• 次の表は、サポートされているハードウェアの詳細です。 オプションの組み込みハードウェア – TPM 1.2 または 2.0

オペレーティングシステム

• 次の表では、対応オペレーティングシステムが詳しく説明されています。 Windows オペレーティングシステム – Windows 7 SP0-SP1: Enterprise、Ultimate（32 ビットと 64 ビット） – Windows 8.1: Enterprise Edition、Pro Edition（64 ビット）

– Windows 10：Education、Enterprise、Pro v1607 - v1809（Anniversary Update/Redstone 1 - October 2018 Update/Redstone 5） – Windows Server 2008 R2: Standard Edition 、Enterprise Edition (64 ビット )

– Windows Server 2012 R2: Standard Edition、Enterprise Edition（64 ビット） – Windows Server 2016：Standard Edition、Datacenter Edition（64 ビット） – Windows Server 2019：Standard Edition、Datacenter Edition（64 ビット）

BitLocker Manager を Windows 7 上にインストールする場合は、Windows Update KB3133977 および KB3125574 をインストールする必要はありま

せん。

レジストリ設定

• この項では、レジストリ設定の理由に関係なく、ローカル クライアント コンピュータでの Dell ProSupport 承認レジストリ設定すべてについて詳しく説 明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされます。

• これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もあります。

暗号化

• Dell Server で自己署名証明書が使用されている場合。Windows では、クライアントコンピュータの証明書信頼検証を無効にしておく必要がありま す（信頼検証は Dell Server ではデフォルトで無効）。クライアントコンピューターで信頼検証を有効にする場合は、次の要件を満たしている必要が あります。

– ルート証明機関（EnTrust や Verisign など）によって署名された証明書が Dell Server にインポートされている。 – 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。 – Encryption で信頼検証を有効にするには、ターゲットコンピュータ上で次のレジストリエントリの値を 0 に変更します。 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "IgnoreCertErrors"=DWORD:00000000 0 = 証明書エラーが発生した場合に失敗する 1= エラーを無視する

• Encryption Removal Agent ログファイルを作成するには、復号化のターゲットとなるコンピュータ上で次のレジストリエントリを作成します。「（オプショ ン）Encryption Removal Agent のログファイルの作成」を参照してください。

[HKLM\Software\Credant\DecryptionAgent] "LogVerbosity"=DWORD:2 0：ログを記録しない 1：サービスの実行を妨げるエラーをログに記録する 2：完全なデータ復号化を妨げるエラーをログに記録する（推奨レベル） 3：すべての復号化ボリュームとファイルに関する情報をログに記録する 5：デバッグ情報をログに記録する • インストール中にデフォルトで、通知領域アイコンが表示されます。次のレジストリ設定を使用して、最初のインストール後に、コンピュータ上のすべて の管理対象のユーザーに対して、通知領域アイコンを非表示にします。レジストリ設定を作成または変更します。 [HKLM\Software\CREDANT\CMGShield] "HIDESYSTRAYICON"=DWORD:1 • デフォルトで、c:\windows\temp ディレクトリ内のすべての一時ファイルは、インストール中に自動的に削除されます。一時ファイルの削除は、最初 の暗号化を高速化し、最初の暗号化スイープ前に行われます。 ただし、組織において \temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションを使用している場合は、この削除を防 止する必要があります。

3

24 レジストリ設定

一時ファイルの削除を無効にするには、次のようにレジストリ設定を作成または変更します。 [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 一時ファイルを削除しないと、最初の暗号化時間が増大します。 • Encryption は、毎回 5 分間各ポリシーアップデート遅延時間の長さプロンプトを表示します。このプロンプトに反応しないと、次の遅延が始まりま す。最後の遅延プロンプトには、カウントダウンとプログレスバーが表示され、ユーザーが反応するか最終遅延が時間切れになり必要なログオフ / 再 起動が発生するまで表示されています。 ユーザープロンプトの動作を変更し、暗号化を開始または遅延するようにして、ユーザーがプロンプトに反応しない場合の暗号化処理を防止すること ができます。これには、次の値を設定します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "SnoozeBeforeSweep"=DWORD:1 0 以外の値にすると、デフォルトの動作がスヌーズに変更されます。ユーザーの操作がない場合、暗号化処理は設定可能な許容遅延回数まで遅 延されます。最後の遅延が時間切れになると、暗号化処理が開始されます。 最大可能遅延時間は次のように計算します（最大遅延時間は、ユーザーが 5 分間表示される遅延プロンプトに 1 度も反応しない場合を指しま す）。 （ポリシー更新遅延の許容回数 × 各ポリシーアップデート遅延の長さ） + （5 分 × [ポリシーアップデート遅延の許容回数 - 1]）

• 強制的なポリシーアップデートのために、レジストリ設定を使用して Encryption に Dell Server へのポーリングを行わせます。レジストリ設定を作成ま たは変更します。 [HKLM\SOFTWARE\Credant\CMGShield\Notify] "PingProxy"=DWORD value:1 操作が終わると、レジストリ設定は自動的に非表示になります。 • レジストリ設定を使用して、Encryption からデルサーバに最適、完全（アクティブと非アクティブユーザー）、または完全（アクティブユーザーのみ）イ ンベントリを送信できるようにします。 – 最適化されたインベントリを Dell Server に送信するには、次を実行します。 レジストリ設定を作成または変更します。 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:1 エントリが存在しない場合、最適化されたインベントリが Dell Server に送信されます。 – Dell Server に完全なインベントリを送信するには、次を実行します。 レジストリ設定を作成または変更します。 [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "OnlySendInvChanges"=REG_DWORD:0 エントリが存在しない場合、最適化されたインベントリが Dell Server に送信されます。 – 完全なインベントリをアクティブ化されたすべてのユーザーに送信する場合： [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] レジストリ設定 25