Windows10に実装されているドライブ暗号化の機能として、Bitlockerがある。
このBitlockerについてはそのPCにTPM(Trusted Platform Module)が実装されているかどうかで設定方法が異なる。
今回TPMの実装、未実装に関わらず、認証方法をPINにするための設定を記す。
<TPM未実装の場合>
コントロールパネルから”Bitlocker暗号化を有効ににする”としても”このデバイスではTPMが使用できない”旨表示され、Bitlockerを有効にできない。しかしTPM未実装でもBitlockerは使用できる。
この場合、まずグループポリシーの設定を以下のように2点変更する。
検索窓からqpedit.mscを検索し起動後、以下の変更を行う
(1)
「コンピュータの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Bitlockerドライブ暗号化」→「オペレーティングシステムのドライブ」を選択し、その中の「スタートアップ時に追加の認証を要求する」の状態が初期状態では「未構成」となっているのでそれを「有効」に変更する。
(2)
「コンピュータの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Bitlockerドライブ暗号化」→「オペレーティングシステムのドライブ」を選択し、その中の「スレートでプリブートキーボード入力が必要なBitlocker認証を使用できるようにする」の状態が初期状態では「未構成」となっているのでそれを「有効」に変更する。
<TPM実装の場合>
Surfaceの場合は「VolumeUPボタン+電源ボタン」を押して起動し「Surface UEFI」の画面を表示させ、その中の「Security」の項目を選択し、下方のTPMをONに設定する。
その後上記の(1)(2)と同様の設定を行うが、(1)ではただ有効にするだけではなくオプションを変更する必要がある。
TPMスタートアップPINの構成:
→TPMでスタートアップPINを許可する。
TPMスタートアップキーの構成:
→TPMでスタートアップキーを許可しない。
TPMスタートアップキーとPINの構成:
→TPMでスタートアップキーとPINを許可しない。
と設定することで、コントロールパネルからBitlocker暗号化を有効にすることができるようになりPCの起動時の認証でPINを聞いてくるようになる。
・・・数種のSurfaceのBitlockerの設定を行ったがインターネット上に情報があまりなく悩んだため、調査結果をシェアさせていただいた。