質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.37%

bitrockerについて

受付中

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,246

score 4

前提・実現したいこと
社内PC
AD導入済み
ここに質問の内容を詳しく書いてください。

現在社内でBitLockerを導入しておりますが、規定のPINコードでの解除のためセキュリティ面での懸念があり個別での設定を出来るようにしたいと思っております。

可能かどうかも分からないですが、
PCの準備段階にてBitLockerを有効化しユーザーにてログインした際に、自身でPINコードを設定出来るようなウィンドウが出せれば理想です。

知識不足のため、不足事項等も分かりませんが、答えられる範囲で答えたいと思います。

恐れ入りますが、ご教示頂けますと幸いです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • dodox86

    2019/08/23 18:25

    Active Directoryで管理されるクライアントPC群で、PCの準備段階(導入, セットアップ)したときにPINは共通でBitLockerドライブ暗号化を済ませてしまうのだけれども、導入後、BitLockerのPINを個別のPC(≒ユーザー)でそれぞれ変更できるようにしたい、と言うことでしょうか。

    キャンセル

  • josys-rookie

    2019/08/23 18:33

    ご認識の通りでございます。

    キャンセル

回答 1

0

※私自身はBitLockerはスタンドアロンのWindows PCで評価目的にしか使ったことが無く、Active Directoryでの運用、特に最近の事情には詳しくない為、必ずしも直接的な回答ではなく、これまでの経験から来る意見に過ぎないかもしれないことをご了承ください。また、それを踏まえてより適切な回答が別の方からつくことも期待します。

BitLockerのPIN自体は、例えばWindowsに標準で付いてくるmanage-bde コマンドでコマンドプロンプトから変更できます。
Microsoft Docs - manage-bde: changepin

問題はWindowsにログオンしたユーザーにその権限(BitLockerドライブ暗号化のPINを変更できる権限)があるか、ですが、ローカルPCの設定を変更できる権限が無いと失敗しますし、グループポリシーも関係します。
Microsoft Docs - BitLocker グループ ポリシー設定

ここの「標準ユーザーによる PIN またはパスワードの変更を許可しない」の項を見ると、グループポリシーエディターでの設定次第で標準ユーザーでもPINを設定できるようになるようです。この部分をあらかじめ適切に設定し、BitLockerをコマンドプロンプト上で操作する manage-bde コマンドを使えば、ユーザーのログオン後にPINを変更することができると思います。

質問者さんの要望は「自身でPINコードを設定出来るようなウィンドウが出せれば理想」とのことですが、自前のウィンドウを表示するのはちょっと難しいように思います。Windowsのコントロールパネルで関連する項目のある程度までの表示であるとか、manage-bdeコマンドをラップする独自のツールを作ればあるいはできるかもしれません。

ただ、実際はこれで終わりとはならず、質問者さんの運用環境はActive Directoryであり、Active Directoryの管理下にあるPC/ユーザーとローカルのPC/ユーザーは違うので、Active Directoryのユーザーでログオンした場合は意図通り動かないことも多いです。ローカルPCのグループポリシーとActive Directoryのグループポリシーを混同せずに使い分ける必要があり、更にActive Directoryのグループポリシーエディターの設定は、ローカル用とは設定項目が異なる場合もあります。BitLocker自体の運用方法やWindowsのバージョンも影響するかもしれません。

まずはBitLockerの機能概要を把握した上で、ローカルPCにおいてmanage-bdeコマンドを利用してPINの変更などがどこまでできるか、それができたらActive Directoryを絡めて/あるいは絡めないでどこまでできるか、を調べてみてはいかがでしょうか。


追記しました:2019-08-23 22:50

自前のウィンドウを表示するのはちょっと難しいように思います。

忘れていました。BitLockerに関して自作のプログラムで制御したい場合は、WMIが利用できます。
Win32_Tpm や Win32_EncryptableVolume  クラス、です。

PowerShell and BitLocker: Part 2

PINを変更するメソッド - Win32_EncryptableVolume#ChangePIN

これらを使えば、自作のプログラムでウィンドウを出したりしてPINを変更することもできるはずです。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.37%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る