このポリシー設定を使用すると 必要なスタートアップ キー情報がない場合に BitLocker で保護されているオペレーティング システム ドライブを回復する方法を制御できます このポリシー設定は BitLocker を有効にしている場合に適用されます ...

このポリシー設定を使用すると、必要なスタートアップ キー情報がない場合に BitLocker で保護されているオペレーティング システム ドライブを回復する方法を制御できます。このポリシー設定は、BitLocker を有効にしている場合に適用されます。

BitLocker で保護されているオペレーティング システム ドライブでデータ回復エージェントを使用できるかどうかは、[証明書に基づくデータ回復エージェントを許可する] チェック ボックスで指定します。データ回復エージェントを使用するには、グループ ポリシー管理コンソールまたはローカル グループ ポリシー エディターで、公開キーのポリシー項目からデータ回復エージェントを追加する必要があります。データ回復エージェントの追加の詳細については、Microsoft TechNet の『BitLocker Drive Encryption Deployment Guide』を参照してください。

[BitLocker 回復情報のユーザー記憶域を構成する] で、48 桁の回復パスワードまたは 256 ビットの回復キーの生成をユーザーに許可するか、要求するか、または許可しないかを選択します。

ドライブで BitLocker を有効にしている場合にユーザーが回復オプションを指定できないようにするには、[BitLocker セットアップ ウィザードの回復オプションを省略する] を選択します。この場合、BitLocker が有効なときに使用する回復オプションを指定できなくなり、ドライブの BitLocker 回復オプションはポリシー設定によって決まります。

[Active Directory ドメイン サービスに BitLocker 回復情報を保存する] で、オペレーティング システム ドライブの AD DS に格納する BitLocker 回復情報を選択します。[回復パスワードとキー パッケージをバックアップする] を選択した場合は、BitLocker 回復パスワードとキー パッケージの両方が AD DS に格納されます。キー パッケージを格納すると、物理的に破損したドライブからデータを回復できます。[回復パスワードのみバックアップする] を選択すると、回復パスワードだけが AD DS に格納されます。

コンピューターがドメインに接続されておらず AD DS への BitLocker 回復情報のバックアップが完了しない場合に、ユーザーが BitLocker を有効にできないようにするには、[オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスをオンにします。

注: [オペレーティング システム ドライブの AD DS に回復情報が格納されるまで BitLocker を有効にしない] チェック ボックスがオンの場合、回復パスワードは自動的に生成されます。

このポリシー設定を有効にした場合、ユーザーが BitLocker で保護されているオペレーティング システム ドライブからデータを回復する方法を制御できます。

このポリシー設定を無効にした場合、または構成しなかった場合、BitLocker の回復については既定の回復オプションがサポートされます。既定では、DRA が許可されて、ユーザーは回復パスワードと回復キーを含む回復オプションを指定できます。また、回復情報は AD DS にバックアップされません。