Dell Encryption Enterprise 詳細インストール ガイド v10.9 December 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2012-2020 Dell Inc. All rights reserved. Registered trademarks and trademarks used in the Dell Encryption and Endpoint Security Suite Enterprise suite of documents: Dell™ and the Dell logo, Dell Precision™, OptiPlex™, ControlVault™, Latitude™, XPS®, and KACE™ are trademarks of Dell Inc.
目次 章 1: はじめに..................................................................................................................................5 作業を開始する前に............................................................................................................................................................5 このガイドの使用法............................................................................................................................................................6 Dell ProSupport へのお問い合わせ..........
章 9: 一般的なシナリオ...................................................................................................................65 Encryption クライアント、、............................................................................................................................................66 SED Manager(Advanced Authentication を含む)および Encryption クライアント...........................................66 SED Manager および Encryption External Media.......................................................................
1 はじめに 本書では、、Encryption、SED 管理、フル ディスク暗号化、Web Protection と Client Firewall、BitLocker Manager のインストールおよ び設定の方法について詳しく説明します。 すべてのポリシー情報とその説明は AdminHelp で参照できます。 作業を開始する前に 1. クライアントを導入する前に、Dell Server をインストールしてください。次に示すように、正しいガイドを探し、記載されてい る手順に従った後、このガイドに戻ります。 ● Security Management Server インストールおよびマイグレーション ガイド ● Security Management Server Virtual クイック スタートおよびインストール ガイド ● 希望のポリシーを設定しているかを確認します。? のマークから AdminHelp を参照します。画面の右上にあります。 AdminHelp はポリシーの設定および変更、Dell Server でのオプションを理解するのに役立つよう設計されたページ ヘルプで す。 2.
このガイドの使用法 このガイドは次の順序で使用してください。 ● クライアントの必要条件、コンピュータハードウェアおよびソフトウェア情報、制限事項、および機能で必要になる特殊なレジ ストリの変更については、「条件」を参照してください。 ● 必要に応じて、「SED UEFI および BitLocker のための事前インストール設定」を参照してください。 ● Dell Digital Delivery を使用して資格を取る場合は、「資格を有効にするためのドメインコントローラ上での GPO の設定」を参照し てください。 ● マスターインストーラを使用してクライアントをインストールする場合は、次の項目を参照してください。 ○ マスターインストーラを使用した対話型のインストール または ○ マスターインストーラを使用したコマンドラインによるインストール ● 子インストーラを使用してクライアントをインストールする場合、子インストーラの実行可能ファイルをマスターインストーラ から抽出する必要があります。「マスターインストーラからの子インストーラの抽出」を参照して、ここに戻ります。 ○ コマンドラインで子インストーラをイン
2 要件 すべてのクライアント 次の要件はすべてのクライアントに適用されます。他のセクションで挙げられる要件は、特定のクライアントに適用されます。 ● 導入中は、IT ベストプラクティスに従う必要があります。これには、初期テスト向けの管理されたテスト環境や、ユーザーへの 時間差導入が含まれますが、それらに限定されるものではありません。 ● インストール、アップグレード、アンインストールを実行するユーザーアカウントは、ローカルまたはドメイン管理者ユーザーで ある必要があります。これは、Microsoft SCCM などの導入ツールによって一時的に割り当てることができます。昇格された権 限を持つ非管理者ユーザーはサポートされません。 ● インストールまたはアンインストールを開始する前に、重要なデータをすべてバックアップします。 ● インストール中は、外付け(USB)ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 ● 管理者は、必要なすべてのポートが使用可能であることを確認します。 ● 最新のマニュアルや技術アドバイザリーについて、dell.
言語サポート FR - フランス語 JA - 日本語 PT-PT - ポルトガル語(ポルトガル(イベリア)) 暗号化 ● クライアントコンピュータは、アクティブ化するためにネットワーク接続が必要です。 ● Dell Encryption で Microsoft Live アカウントを有効にするには、この KB 記事 SLN290988 を参照してください。 ● 最初の暗号化にかかる時間を短縮するために、Windows ディスククリーンアップ ウィザードを実行して、一時ファイルおよび その他の不必要なデータを削除します。 ● スリープモードをオフにして、誰も操作していないコンピュータがスリープ状態になるのを防ぎます。スリープ状態のコンピュ ータでは暗号化は行われません(復号化も行われません)。 ● Encryption は、デュアルブート設定をサポートしていません。これは、もう一方のオペレーティングシステムのシステムファイ ルが暗号化され、その動作を妨げるおそれがあるためです。 ● Dell Encryption は、v8.16.0 より前のバージョンから v10.7.
● Deferred Activation では、アクティブ化中に使用される Active Directory ユーザーアカウントは、エンドポイントへのログインに 使用されるアカウントとは独立したものになります。ネットワークプロバイダが認証情報を取得する代わりに、プロンプトが表 示されたときにユーザーが手動で Active Directory ベースのアカウントを指定します。資格情報が入力されると、認証情報は安全 に Dell Server に送信され、構成された Active Directory ドメインに対して Dell サーバで認証情報が検証されます。詳細について は、KB 記事 SLN306341 を参照してください。 ● Windows 10 の機能アップグレードの後、Dell Encryption を完了させるには再起動が必要です。Windows 10 の機能アップグレード の後、通知領域に次のメッセージが表示されます。 ハードウェア ● 次の表は、サポートされているハードウェアの詳細です。 オプションの組み込みハードウェア ○ TPM 1.2 または 2.
暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム(32 ビットと 64 ビット) ○ ○ ○ ○ ○ Windows 7 SP1:Enterprise、Professional、Ultimate アプリケーション互換テンプレートでの Windows Embedded Standard 7 Windows 8.1:Enterprise、Pro Windows Embedded 8.1 Industry Enterprise Windows 10:Education、Enterprise、Pro v1803~v20H2(April 2018 Update/Redstone 4~October 2020 Update/20H2) 注:Windows 10 v2004(May 2020 Update/20H1)は 32 ビット アーキテクチャをサポートしていません。詳細について は、https://docs.microsoft.
● インプレイスでのオペレーティングシステムの再インストールがサポートされていません。オペレーティングシステムを再イン ストールするには、ターゲットコンピュータをバックアップしてからそのコンピュータをワイプし、オペレーティングシステム をインストールした後、確立した回復手順に従って暗号化されたデータを回復してください。 ● Windows 10 v1607(Anniversary Update/Redstone 1)から Windows 10 v1903(May 2019 Update/19H1)への直接機能アップデート は FDE ではサポートされていません。Windows 10 v1903 にアップデートする場合は、オペレーティング システムを新しい機能 アップデートにアップデートすることをお勧めします。Windows 10 v1607 から v1903 に直接アップデートしようとすると、エ ラー メッセージが表示され、アップデートできなくなります。 ● これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインスト ールを行います。子インストーラを
非 UEFI PBA パスワード Windows 7 SP0-SP1 指紋 X1 接触型スマートカー SIPR カード ド X1 2 1. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 UEFI PBA - サポートされる Dell コンピューター上 パスワード Windows 10 指紋 X1 接触型スマートカー SIPR カード ド X1 1.
メモ: サーバはポート制御をサポートしている必要があります。 ポート制御システムのポリシーは、たとえば、USB デバイスによるサーバの USB ポートへのアクセスおよび使用を制御 することにより、保護対象サーバ上のリムーバブルメディアに影響します。USB ポートポリシーは外部 USB ポートに適 用されます。内部 USB ポート機能は、USB ポートポリシーの影響を受けません。USB ポートポリシーが無効化されると、 クライアント USB キーボードおよびマウスは機能しなくなり、このポリシーが適用される前にリモートデスクトップ接 続がセットアップされない限り、ユーザーはコンピュータを使用することができなくなります。 ● これらのコンポーネントがターゲット コンピューターにインストールされていない場合は、マスター インストーラーがインスト ールを行います。子インストーラを使用する場合、クライアントをインストールする前に、これらのコンポーネントをインスト ールする必要があります。 前提条件 ○ Visual C++ 2012 更新プログラム 4 以降再頒布可能パッケージ(x86 または x64) ○ Visual
○ SAN/NAS ネットワークストレージソリューション ○ iSCSI 接続デバイス ○ 重複排除ソフトウェア ○ ハードウェア重複排除 ○ 分割された RAID(単一の RAID に複数のボリュームが存在) ○ SED(RAID および非 RAID) ○ キオスク向けの自動ログオン(Windows 7、8 / 8.
Encryption External Media オペレーティングシステム ● Encryption External Media をホストするには、外部メディア上の約 55 MB の空き容量に加えて、メディア上に暗号化対象の最大 ファイルに等しい空き容量が必要です。 ● Dell で保護されたメディアにアクセスする際にサポートされるオペレーティング システムの詳細は、次のとおりです。 暗号化されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム(32 ビットと 64 ビット) ● Windows 7 SP1:Enterprise、Professional、Ultimate ● Windows 8.
メモ: RAID と SED の性質上、SED Manager では RAID はサポートされません。SED の RAID=On には、RAID では、ディスクにア クセスして、SED がロック状態のために利用できない上位セクターの RAID 関連データを読み書きする必要があり、ユーザ ーがログオンするまで待機してこのデータを読み取ることができないという問題があります。この問題を解決するには、 BIOS で SATA の動作を RAID=On から AHCI に変更します。オペレーティングシステムに AHCI コントローラドライバがプ レインストールされていないと、RAID=On から AHCI に切り替えるときにオペレーティングシステムがクラッシュします。 ● SED Manager 用の自動暗号化ドライブの構成は、NVMe と非 NVMe(SATA)ドライブで次のように異なります。 ○ SED に利用されている NVMe ドライブ: SED Manager は NVMe ドライブで AHCI をサポートしていないため、BIOS の SATA 動作は RAID ON に設定する必要があ ります。 ■ BIO
● メモ: 新バージョンへのインプレイス オペレーティング システムのアップグレード(Windows 7 または Windows 8.
国際キーボードのサポート - UEFI DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) EN-US - 英語(アメリカ英語) 国際キーボードのサポート - UEFI 非対応 AR - アラビア語(ラテン文字を使用) EN-US - 英語(アメリカ英語) DE-FR - (スイスフランス語) EN-GB - 英語(イギリス英語) DE-CH -(スイスドイツ語) EN-CA - 英語(カナダ英語) オペレーティングシステム ● 次の表は、対応オペレーティングシステムの詳しい説明です。 Windows オペレーティングシステム(32 ビットと 64 ビット) ○ Windows 7 SP0-SP1:Enterprise、Professional、Ultimate(レガシーブートモードでのみサポート、UEFI では未サポート) メモ: NVMe 自動暗号化ドライブは Windows 7 ではサポートされません。 ○ Windows 8.
● データベース内で署名証明書が使用可能であることを確認してください。詳細については、KB 記事 SLN307028 を参照してくだ さい。 ● キーボード、マウス、およびビデオコンポーネントは、コンピュータに直接接続する必要があります。周辺機器の管理に KVM スイッチは使用しないでください。KVM スイッチは、ハードウェアを正しく識別するコンピュータの機能を阻害するおそれが あるためです。 ● TPM をオンにして有効にします。BitLocker Manager は TPM の所有権を取得しますが、再起動の必要はありません。ただし、 TPM の所有権がすでに存在する場合は、BitLocker Manager で暗号化セットアップ処理が開始されます。再起動する必要はあり ません。ここでのポイントは、TPM が所有かつ有効化されている必要があるという点です。 ● FIPS モードが GPO セキュリティ設定「システム暗号化:暗号化、ハッシュ、署名に FIPS 対応のアルゴリズムを使用」で有効に なった場合、BitLocker Manager は、認定した AES FIPS が検証したアルゴリズムを使用するので
Windows オペレーティングシステム ○ Windows 7 SP0-SP1: Enterprise、Ultimate(32 ビットと 64 ビット) メモ: BitLocker Manager は、Windows 7 デバイスでは TPM 2.0 をサポートしません。Windows 7 に BitLocker Manager がインストールされたデバイスでは、KB 記事 KB3133977 または KB3125574 がインストールされていない可能性があ ります。Windows 7 での BitLocker Manager の問題を解決するには、これらの KB がインストールされていないことを 確認します。 ○ Windows 8.
3 レジストリ設定 ● この項では、レジストリ設定の理由に関係なく、ローカル クライアント コンピュータでの Dell ProSupport 承認レジストリ設定 すべてについて詳しく説明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされま す。 ● これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もありま す。 暗号化 ● Dell Server で自己署名証明書が使用されている場合。Windows では、クライアント コンピューターの証明書信頼検証を無効にし ておく必要があります(信頼検証は Dell Server ではデフォルトで無効)。クライアントコンピューターで信頼検証を有効にする 場合は、次の要件を満たしている必要があります。 ○ ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Dell Server にインポートされている。 ○ 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。 ○ Encryption で
ただし、組織において \temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションを使用してい る場合は、この削除を防止する必要があります。 一時ファイルの削除を無効にするには、次のようにレジストリ設定を作成または変更します。 [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 一時ファイルを削除しないと、最初の暗号化時間が増大します。 ● Encryption は、毎回 5 分間各ポリシーアップデート遅延時間の長さプロンプトを表示します。このプロンプトに反応しないと、 次の遅延が始まります。最後の遅延プロンプトには、カウントダウンとプログレスバーが表示され、ユーザーが反応するか最終 遅延が時間切れになり必要なログオフ / 再起動が発生するまで表示されています。 ユーザープロンプトの動作を変更し、暗号化を開始または遅延するようにして、ユーザーがプロンプトに反応しない場合の暗号 化処理を防止することができます。これには、次の値を設定します。 [HKLM\Software\Microsoft\Windows N
これらのレジストリエントリの更新が有効になるには、コンピュータを再起動する必要があります。 ○ スロットアクティブ化 この機能を有効または無効にするには、次の親キーの下に SlottedActivation という名前の DWORD を作成します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] ○ アクティブ化スロット この機能を有効または無効にするには、次の親キーの下に ActivationSlot という名前のサブキーを作成します。 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\] アクティブ化スロット - Dell Server で Encryption がアクティブ化を試行する期間を定義する文字列です。これらの値は秒単 位で定義され、構文は , で定義されます。たとえば、120,300 となります。これは、ユーザーのログ イン後 2 ~ 5 分の間のランダムな時間に
Off (default)=0 File Access Restricted to Enterprise=1 外付けメディアのファイルを暗号化した後にこの値を変更すると、レジストリ設定が更新されたコンピュータにメディアを接続 したときに、更新されたレジストリキー値でファイルが再度暗号化されます。 ● ユーザーが非アクティブ化されるという稀なケースにおいてサイレント自動再アクティブ化を有効にするには、クライアントコ ンピュータにレジストリ値を設定する必要があります。 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CMGShield] "AutoReactivation"=DWORD:00000001 0 = 無効(デフォルト) 1 = 有効 ● System Data Encryption(SDE)は、SDE 暗号化ルールのポリシー値に基づいて実施されます。SDE 暗号化の有効化 ポリシーが選 択されている場合、追加のディレクトリがデフォルトで保護されます。詳細については、AdminHelp で「SDE 暗号化ルール」を検 索してください。アクティブ
[HKLM\System\CurrentControlSet\Services\DellMgmtAgent\Parameters] "CommErrorSleepSecs"=DWORD:300 この値は、通信に Dell Server を使用できない場合に、SED Manager が Dell サーバーとの接続を試みるために待機する秒数です。 デフォルトは 300 秒(5 分)です。 ● 自己署名証明書が SED Manager 向けの Dell Server で使用されている場合、クライアント コンピューターで SSL/TLS 信頼検証を 無効のままにしておく必要があります(SED Manager では SSL/TLS 信頼検証はデフォルトで無効です)。クライアントコンピ ュータで SSL/TLS 信頼検証を有効にする場合は、次の要件を満たしている必要があります。 ○ ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Dell Server にインポートされている。 ○ 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されてい
[HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerHost"=REG_SZ:..com ● 必要に応じて、Security Server のポートが元のインストール先から変更されることがあります。この値は、ポリシーのポーリン グが行われるたびに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更してください。 [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] ServerPort=REG_SZ:8888 ● 必要に応じて、Security Server の URL が元のインストール場所から変更されることがあります。この値は、ポリシーのポーリン グが行われるたびにクライアントコンピュータに読み取られます。クライアントコンピュータ上で次のレジストリ値を変更し てください。 [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent] "ServerUrl"=REG_SZ:h
"CommErrorSleepSecs"=DWORD:300 この値は、フル ディスク暗号化との通信に Dell Server を使用できない場合に、フル ディスク暗号化が Dell サーバーとの接続を 試みるために待機する秒数です。デフォルトは 300 秒(5 分)です。 ● 自己署名証明書がフル ディスク暗号化向けの Dell Server で使用されている場合、クライアント コンピューターで SSL/TLS 信頼 検証を無効のままにしておく必要があります(フル ディスク暗号化では SSL/TLS 信頼検証はデフォルトで無効です)。クライ アントコンピュータで SSL/TLS 信頼検証を有効にする場合は、次の要件を満たしている必要があります。 ○ ルート証明機関(EnTrust や Verisign など)によって署名された証明書が Dell Server にインポートされている。 ○ 証明書の完全な信頼チェーンがクライアントコンピュータの Microsoft キーストアに格納されている。 ○ Dell Encryption 管理で SSL / TLS 信頼検証を有効にするには、クライアントコンピュータ上
○ SCardSvr - コンピュータが読み取るスマートカードへのアクセスを管理します。このサービスが停止されると、コンピュータ はスマートカードを読み取ることができなくなります。このサービスが無効化されると、このサービスに確実に依存するサー ビスの開始が失敗するようになります。 ○ SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。 ○ WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接 アクセスすることなく、生体認証データの取得、比較、 操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。 レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。 [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = 有効 1 = 無効 ● フル ディスク暗号化で、サード
○ Bitlocker Manager でリムーバブル ディスクが固定ディスクとして検知されないようにするには、次のレジストリー キーを追 加します: HKLM\Software\Dell\Dell Data Protection\ "UseEncryptableVolumeType" = DWORD:1 0 = 無効(デフォルト) 1 = 有効 レジストリ設定 29
4 マスターインストーラを使用してインストールす る ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● デフォルト以外のポートを使用してインストールするには、マスターインストーラの代わりに子インストーラを使用します。 ● のマスター インストーラーのログ ファイルは、次のディレクトリーにあります。 C:\ProgramData\Dell\Dell Data Protection\Installer.
6. オンプレミスデル管理サーバ名 に、Dell Server の完全修飾ホスト名を入力して、ターゲットユーザーを管理します (server.organization.com など)。 Dell Server に、クライアントが通信するデルサーバの URL を入力します。 形式は、https://server.organization.com:8443/xapi/(末尾のスラッシュを含む)です。 次へ をクリックします。 7. [次へ]をクリックして製品をデフォルトの場所である C:\Program Files\Dell\Dell Data Protection\. Dell recommends installing in the default location only にインストールします。他の場所にインストールすると問 題が発生する可能性があります。 8.
Security Framework は、基盤となるセキュリティフレームワーク、Encryption Management Agent、および PBA Authentication を インストールします。 BitLocker Manager は、BitLocker 暗号化ポリシーの一元的な管理を通じて所有コストを単純化および軽減することによって、 BitLocker 導入のセキュリティを強化するように設計された BitLocker Manager クライアントをインストールします。 Encryption は、コンピュータがネットワークに接続されている、いないにかかわらず、あるいは紛失または盗難に遭ったかどう かにかかわらず、セキュリティポリシーを実施するコンポーネントをインストールします。 Encryption External Media は、Encryption External Media を強制するコンポーネントをインストールします。 フル ディスク暗号化は、フル ディスク暗号化を強制するコンポーネントをインストールします。 選択が完了したら、次へ をクリックします。 9.
10.
マスターインストーラを使用したコマンドラインによるイ ンストール ● コマンドラインでのインストールでは、最初にスイッチを指定する必要があります。その他のパラメータは、/v スイッチに渡 される引数に指定します。 スイッチ ● マスターインストーラで使用できるスイッチを、次の表に示します。 メモ: サードパーティ資格情報プロバイダを使用する必要がある場合は、Encryption Management Agent をインストールする か、FEATURE=BLM または FEATURE=BASIC パラメータを指定してアップグレードする必要があります。 スイッチ 説明 /s サイレントインストール /z DDSSetup.exe 内の .
● この例では、マスター インストーラーを標準ポートで使用して、C:\Program Files\Dell\Dell Data Protection\のデ フォルトの場所に Encryption および BitLocker Manager(SED Manager プラグインなし)をサイレント インストールし、指定し た Dell Server を使用するように設定します。 "DDSSetup.exe" /s /z"\"SERVER=server.organization.com, FEATURES=DE-BLM, BLM_ONLY=1\"" ● この例では、マスター インストーラーを標準ポートで使用して、再起動なしで C:\Program Files\Dell\Dell Data Protection\のデフォルトの場所に BitLocker Manager(SED Manager プラグインあり)および Encryption External Media をサ イレント インストールし、指定した Dell Server を使用するように設定します。 "DDSSetup.exe" /s /z"\"SERVER
5 マスターインストーラのアンインストール ● デルでは、データセキュリティスイートを削除するには、Data Security Uninstaller を使用することをお勧めします。 ● 各コンポーネントを個別にアンインストールした後で、マスターインストーラのアンインストールを行う必要があります。クラ イアントは、アンインストールの失敗を防止するために特定の順序でアンインストールする必要があります。 ● 手順の説明をに 抽出します。マスターインストーラから子のインストーラの 子のインストーラを入手します。 ● 必ず、インストール時と同じバージョンの マスターインストーラ(およびそれに伴うクライアント)を使用してアンインストー ルを行ってください。 ● 本章では、子インストーラのアンインストール方法の詳細な手順が記された他の章を参照します。この章で説明している手順の 最後で のみ、マスターインストーラをアンインストールします。 ● クライアントを以下の順序でアンインストールします。 1. Encryption をアンインストールします。 2. SED Manager をアンインストールします。 3.
6 子インストーラを使用したインストール ● 各クライアントを個別にインストールまたはアップグレードするには、まず「マスターインストーラからの子インストーラの抽 出」の説明に従って、 マスターインストーラから子実行ファイルを抽出する必要があります。 ● このセクションに記載されているコマンドの例は、コマンドを C:\extracted から実行することが前提になっています。 ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● コマンドラインで空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 ● これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術 を活用して、クライアントをインストールします。 ● コマンドラインの例では、再起動は省略されています。ただし、最終的には再起動する必要があります。 メモ:ポリシーベースの暗号化は、コンピューターが再起動されるまで開始できません。 ● ログファイル - Windows は、C:\Users\\AppData\L
● アプリケーションに関するサポートが必要なときには、次のマニュアルとヘルプファイルを参照するようにユーザーに指示しま す。 ○ Encryption の機能の使用方法については、Dell Encrypt のヘルプを参照してください。このヘルプには、 \Program Files\Dell\Dell Data Protection\Encryption\Help からアクセスします。 ○ Encryption External Media の機能については、Encryption External Media ヘルプを参照してください。このヘルプには、 \Program Files\Dell\Dell Data Protection\Encryption\EMS からアクセスします。 ○ PBA 認証 の機能の使用方法については、Encryption Enterprise を参照してください。このヘルプには、 \Program Files\Dell\Dell Data Protection\Client Security Framew
パラメータ MACHINEID=(コンピュータ名) RECOVERYID=(リカバリ ID) REBOOT=ReallySuppress(Null は自動再起動に対応し、ReallySuppress は再起動を無効化) HIDEOVERLAYICONS=1(0 はオーバーレイアイコンを有効化、1 はオーバーレイアイコンを無効化) HIDESYSTRAYICON=1(0 は通知領域のアイコンを有効化、1 は通知領域のアイコンを無効化)。 ENABLE_FDE_LM=1(フルディスク暗号化がアクティブになっているコンピュータに対する Dell Encryption のインストールを 許可) EME=1(Encryption External Media モードをインストール) OPTIN=1(Deferred Activation モードでインストール) コマンドラインで使用することができる基本的な .
msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" HIDESYSTRAYICON="1" HIDEOVERLAYICONS="1" Encryption External Media のみをインストールするためのコマンドライン例 ● サイレントインストール、プログレスバーなし、自動再起動、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption. にインストールという設定で行われます。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.
msiexec.exe /i "Dell Data Protection Encryption.msi" OPTIN="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" DEVICESERVERURL="https://server.organization.com:8443/xapi/" MANAGEDDOMAIN="ORGANIZATION" ● 次の例では、Encryption、Encrypt for Sharing、ダイアログなし、プログレスバーなし、再起動なし、オーバーレイアイコン非表 示、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールというデフォル トのパラメーターを使用して、Deferred Activation モードで Dell Encryption をインストールします。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.
● 既存のフルディスク暗号化のインストールの上から Remotely Managed Encryption クライアントをインストールするコマン ドラインの例。 次の例では、Encryption クライアント、Encrypt for Sharing、ダイアログなし、プログレス バーなし、自動再起動、デフォルト の場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールというデフォルトのパラメータ ーおよび C:\Dell のインストール ログを使用して、既存のフル ディスク暗号化のインストールの上から Dell Encryption をイン ストールします。メモ:ログを生成するには、インストールの前に C:\Dell ディレクトリーが存在している必要があります。 DDPE_XXbit_setup.exe /s /v"SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.
● 次の例では、サイレントインストール、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection \Encryption にインストールするという設定で、リモート管理されたフルディスク暗号化をインストールし、Dell Encryption 保 護コンピュータでのインストールを許可します。 EMAgent_64bit_setup.exe /s /v"CM_EDITION=1 ENABLE_FDE_LM=1 FEATURE=FDE SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 /norestart /qn" ● フルディスク暗号化と Encryption External Media をインストールするためのコマンドライン例 暗号化 次の例では、サイレントインストール、プログレスバーなし、自動再起動、デフォルトの場所 C:\Program Files\Dell\Dell
● 正常にアクティブ化するには、コンピュータがネットワークに接続されている必要があります。 ● Trusted Platform Module(TPM)が使用可能な場合、デルハードウェア上の汎用キーを封印するために TPM が使用されます。 TPM が使用できない場合、Microsoft のデータ保護 API(DPAPI)を使用して汎用キーを保護します。 Server Encryption を実行している、TPM を搭載した Dell コンピュータに、新しいオペレーティングシステムをインストールする ときは、BIOS で TPM をクリアしてください。手順については、この記事を参照してください。 ● インストールのログファイルはユーザー %temp% ディレクトリ内にあり、このディレクトリは C:\Users\ \AppData\Local\Temp にあります。正しいログファイルを見つけるには、ファイル名が MSI で始まり、.
8. Security Management Server の名前に、デルサーバの完全修飾ホスト名を入力 / 検証して、ターゲットユーザーを管理します (server.organization.com など)。 管理対象ドメインにドメイン名(organization など)を入力します。次へ をクリックします。 9. ポリシープロキシのホスト名とポートで、情報を入力 / 検証して 次へ をクリックします。 10.
11. インストール をクリックしてインストールを開始します。 インストールには数分かかる場合があります。 12.
インストールが完了しました。 13. コンピュータを再起動します。作業を保存してアプリケーションを閉じるのに時間が必要な場合のみ、再起動をスヌーズするこ とをお勧めします。暗号化は、コンピュータが再起動されるまで開始できません。 コマンドラインを使用したインストール インストーラーは C:\extracted\Encryption にあります。 ● DDPE_xxbit_setup.exe を使用してスクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技 術を活用して、インストールまたはアップグレードを行います。 スイッチ 次の表に、インストールで使用できるスイッチの詳細を示します。 スイッチ 意味 /v DDPE_XXbit_setup.exe 内の .msi に変数を渡します。 /a 管理インストール /s サイレントモード パラメータ 次の表に、インストールで使用できるパラメータの詳細を示します。 コンポーネント ログファイル コマンドラインパラメータ すべて /l*v [fullpath][filename].
コンポーネント ログファイル コマンドラインパラメータ MANAGEDDOMAIN= DEVICESERVERURL= GKPORT= MACHINEID= RECOVERYID= REBOOT=ReallySuppress HIDEOVERLAYICONS=1 HIDESYSTRAYICON=1 EME=1 メモ: 再起動を控えてもかまいませんが、最終的には再起動する必要があります。暗号化は、コンピュータが再起動されるまで 開始できません。 オプション 次の表では、表示オプションが詳しく説明されています。これらのオプションは、/v スイッチに渡された引数の末尾に指定するこ とができます。 オプション 意味 /q 進行状況ダイアログなし、処理完了後に自動で再起動 /qb キャンセル ボタン付きの進捗状況ダイアログ、再起動のプロンプト表示 /qb- キャンセル ボタン付きの進捗状況ダイアログ、処理完了後に自動で再起動 /qb! キャンセル
MSI コマンド: msiexec.exe /i "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" SERVERMODE="1" SERVERHOSTNAME="server.organization.com" POLICYPROXYHOSTNAME="rgk.organization.com" MANAGEDDOMAIN="ORGANIZATION" DEVICESERVERURL="https://server.organization.com:8443/xapi/" ● 次の例では、ログファイルと Encryption、サイレントインストール、Encrypt for Sharing、ダイアログなし、プログレスバーな し、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption というデフォルト のパラメーターでサーバオペレーティングシステムの Encryption をインストールし、このコマンドラインが同じサーバ上で複数 回実行される場合は末尾
Dell Server は、マシン ID 用の暗号化キーの発行、仮想サーバユーザーアカウントの作成、ユーザーアカウント用の暗号化キーの 作成、暗号化キーのバンドル化を行い、暗号化バンドルと仮想サーバユーザーアカウントの間の関係を確立します。 3. 閉じる をクリックします。 アクティベーション後、暗号化が開始されます。 4. 暗号化スイープが完了した後、前に使用中だったファイルを処理するために、コンピュータを再起動します。これは、セキュリ ティ上重要な手順です。 メモ: Windows 資格情報のセキュア化ポリシーが有効な場合、サーバオペレーティングシステムの Encryption は Windows 資格情 報を含む \Windows\system32\config ファイルを暗号化します。\Windows\system32\config 内のファイルは、 SDE 暗号化有効ポリシーが無効の場合でも暗号化されます。デフォルトでは、Windows 資格情報のセキュア化ポリシーは選 択済みです。 メモ: コンピュータの再起動後、共有暗号化キーの認証には保護対象サーバのマシンキーが常に必要となります。Dell
仮想サーバユーザー ● 管理コンソールでは、保護対象サーバはそのマシン名の下で確認できます。さらに、各保護対象サーバーは、独自の仮想サーバ ーユーザーアカウントを持っています。各アカウントには、固有の静的ユーザー名と固有のマシン名があります。 ● 仮想サーバユーザーアカウントは、サーバオペレーティングシステム上の Encryption によってのみ使用され、それ以外の面では 保護対象サーバの動作に対して透過的です。仮想サーバユーザーは、暗号化キーバンドルとポリシープロキシに関連付けられま す。 ● アクティベーション後、仮想サーバーユーザーアカウントは、アクティブ化済みで、サーバーに関連付けられているユーザーアカ ウントです。 ● 仮想サーバーユーザーアカウントがアクティブ化された後、すべてのサーバーログオン / ログオフ通知は無視されます。代わり に、コンピュータは起動中に仮想サーバユーザーで自動的に認証し、デルサーバからマシンキーをダウンロードします。 SED Manager と PBA Advanced Authentication のインス トール ● EnTrust または Verisign など
コマンドラインでのインストール ● 次の表に、インストールで使用できるパラメータの詳細を示します。 パラメータ CM_EDITION=1 INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 コマンドラインで使用することができる基本的な .msi スイッチと表示オプションのリストについては、「子インストーラを使用 したインストール」を参照してください。 以下は、Encryption Management Agent をインストールまたはアップグレードするコマンドの例です。 コマンドラインの例 \Encryption Mana
パラメータ INSTALLDIR= SERVERHOST= SERVERPORT=8888 SECURITYSERVERHOST= SECURITYSERVERPORT=8443 FEATURE=BLM FEATURE=BLM,SED ARPSYSTEMCOMPONENT=1 コマンドラインで使用可能な基本的な .msi スイッチおよび表示オプションについては、「子インストーラを使用したインストー ル」を参照してください。 コマンドラインの例 ● 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラム リストにエントリしない、デフォルトの 場所 C:\Pro
7 子インストーラを使用したアンインストール ● デルでは、データセキュリティスイートを削除するには、Data Security Uninstaller を使用することをお勧めします。 ● 各クライアントを個別にアンインストールするには、マスターインストーラからの子インストーラの抽出に記述されているよう に、のマスターインストーラから子実行ファイルを抽出する必要があります。あるいは、管理者権限でのインストールを実行し て .
オプション 意味 /qn ユーザーインタフェースなし Encryption およびサーバオペレーティングシステム上の Encryption のアンインストール ● 復号化にかかる時間を短縮するため、Windows ディスククリーンアップを実行して、一時ファイルやその他の不要なデータを削 除します。 ● 可能であれば、復号化は夜間に実行してください。 ● スリープモードをオフにして、誰も操作していないコンピュータがスリープ状態になるのを防ぎます。スリープ状態のコンピュ ータでは復号化は行われません。 ● ロックされたファイルが原因で複合化が失敗する可能性を最小限に抑えるために、すべてのプロセスおよびアプリケーションを シャットダウンします。 ● アンインストールが完了して、復号化が進行中になったら、すべてのネットワーク接続を無効にします。そうしなければ、暗号 化を再度有効にする新しいポリシーが取得される場合があります。 ● ポリシーアップデートの発行など、データを復号化するための既存の手順に従います。 ● クライアントのアンインストールプロセスの開始時に、Encryption および Encryptio
パラメータ 選択 2 - 以前にダウンロードしたフォレンジックキーマテリアルを 使用 1 - Dell Server からキーをダウンロード 0 - Encryption Removal Agent をインストールしない CMGSILENTMODE サイレントアンインストールのプロパティ 1 - サイレント - /q または/qn を含む msiexec 変数を使用して 実行する場合に必須 0 - 非サイレント - /q を含む msiexec 変数がコマンドライン 構文に存在しない場合にのみ利用可 必須のプロパティ DA_SERVER ネゴシエーションセッションをホストする Security Management Server の FQHN DA_PORT Security Management Server 上の要求用ポート(デフォルトは 8050) SVCPN Security Management Server で Key Server サービスがログオ ンされている UPN 形式のユーザー名。 DA_RUNAS キーフェッチリクエストが行われるコンテキストでの SAM 対応形式
msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn CMG_DECRYPT=1 CMGSILENTMODE=1 FORENSIC_ADMIN=forensicadmin@organization.com FORENSIC_ADMIN_PWD=tempchangeit REBOOT=REALLYSUPPRESS 終了したらコンピュータを再起動します。 メモ: デルでは、コマンドラインでフォレンジック管理者パスワードを使用する場合、次のアクションを推奨します 1. 管理コンソールで、サイレントアンインストール実行用のフォレンジック管理者アカウントを作成します。 2. そのアカウント用に、アカウントと期間に固有の一時的なパスワードを設定します。 3. サイレントアンインストールが完了したら、管理者のリストから一時的なアカウントを削除するか、そのパスワードを変更 します。 一部の古いクライアントでは、パラメータ値の前後にエスケープ文字(\")が必要な場合があります。例: DDPE_XXbit_setup.exe /x /v"CMG_DECRYPT=\
11. 左ペインで、ポリシーのコミット バナーをクリックします。 12. ポリシーのコミット をクリックします。 ポリシーが Dell Server からアクティベーション解除対象のコンピュータに反映されるまで待ちます。 PBA を無効にした後、フル ディスク暗号化および PBA Advanced Authentication をアンインストールします。 フル ディスク暗号化クライアントのアンインストール コマンドラインでのアンインストール ● マスター インストーラーから抽出されたフル ディスク暗号化は、C:\extracted\Encryption Management Agent \EMAgent_XXbit_setup.exe に置かれます。 ○ 次の例は、フル ディスク暗号化をサイレント アンインストールします。 EMAgent_XXbit_setup.
● マスター インストーラーから抽出された SED Manager インストーラーは、C:\extracted\Encryption Management Agent \EMAgent_XXbit_setup.exe に置かれます。 ○ 次の例は、SED Manager をサイレント アンインストールします。 EMAgent_XXbit_setup.exe /x /s /v" /qn" 終了したらコンピュータをシャットダウンして再起動します。 BitLocker Manager のアンインストール コマンドラインでのアンインストール ● マスターインストーラから抽出された BitLocker Manager インストーラは、C:\extracted\Encryption Management Agent\EMAgent_XXbit_setup.exe に置かれます。 ● 次の例は、BitLocker Manager をサイレントアンインストールします。 EMAgent_XXbit_setup.
8 Data Security Uninstaller のアンインストール Dell では、マスターアンインストーラとして Data Security Uninstaller を提供しています。このユーティリティは、現在インストール されている製品を収集して、適切な順序で削除します。 Data Security Uninstaller は C:\Program Files (x86)\Dell\Dell Data Protection から入手できます。 詳細またはコマンドラインインタフェース(CLI)の使用については、KB 記事 SLN307791 を参照してください。 削除されたすべてのコンポーネントに関するログが、C:\ProgramData\Dell\Dell Data Protection\ に生成されます。 このユーティリティを実行するには、格納しているフォルダを開き、DataSecurityUninstaller setup.
必要に応じて任意のアプリケーションの削除をクリアし、次へ をクリックします。 必要な依存関係が自動的に選択またはクリアされます。 Data Security Uninstaller 61
Encryption Removal Agent をインストールせずにアプリケーションを削除するには、Encryption Removal Agent で インストールし ない を選択して 次へ を選択します。 Encryption Removal Agent - サーバからキーをダウンロード を選択します。 フォレンジック管理者の完全修飾された資格情報を入力し、次へ を選択します。 62 Data Security Uninstaller
削除 を選択してアンインストールを開始します。 終了 をクリックして削除を完了し、コンピュータを再起動します。デフォルトでは、完了をクリックした後マシンを再起動する が 選択されています。 Data Security Uninstaller 63
アンインストールと削除が完了しました。 64 Data Security Uninstaller
9 一般的なシナリオ ● 各クライアントを個別にインストールするには、まず、マスターインストーラからの子インストーラの抽出で示すとおりに、の マスターインストーラから子実行ファイルを抽出する必要があります。 ● コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 ● コマンドラインでは、空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 ● これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術 を活用して、クライアントをインストールします。 ● コマンドラインの例では、再起動は省略されています。ただし、最終的には再起動する必要があります。暗号化は、コンピュ ータが再起動されるまで開始できません。 ● ログファイル - Windows は、C:\Users\\AppData\Local\Temp.
Encryption クライアント、、 ● 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラムリストにエントリなし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールという設定で、SED 管理および Encryption Management Agent をインストールします。 EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" 次の操作: ● 次の例では、Encryption と Encrypt for Sharing、ダイアログなし、プログレスバーなし、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Pro
SED Manager および Encryption External Media ● 次の例では、サイレント インストール、再起動なし、コントロール パネルのプログラム リストにエントリーなし、デフォルト の場所 C:\Program Files\Dell\Dell Data Protection\Encryption にインストールという設定で、SED Manager、 Encryption Management Agent、ローカル セキュリティ コンソールをインストールします。 EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" 次の操作: ● 次の例では、サイレントインストール、再起動なし、デフォルト場所の C:\Program Files\Dell\Dell
10 ソフトウェアのダウンロード このセクションでは、dell.com/support からソフトウェアを取得する方法の詳細について説明します。ソフトウェアをすでに取得し ている場合は、本項を省略できます。 dell.com/support にアクセスして手順を開始します。 1. Dell サポート Web ページで、 [すべての製品の参照]を選択します。 2. 製品のリストから セキュリティ を選択します。 3.
4. デル製品を選択します。 例: Dell Encryption Enterprise Dell Endpoint Security Suite Enterprise 5. ドライバおよびダウンロード を選択します。 6. 目的のクライアントのオペレーティングシステムの種類を選択します。 7. 一致する Dell Encryption を選択します。これは一例ですので、実際には内容が一部異なる場合があります。たとえば、選択対 象は 4 ファイルとは限りません。 8.
11 SED UEFI および BitLocker Manager のための 事前インストール設定 TPM の初期化 ● ローカル管理者グループまたは同等のグループのメンバーである必要があります。 ● コンピュータには互換性のある BIOS および TPM が搭載されている必要があります。 ● http://technet.microsoft.com/en-us/library/cc753140.aspx に記載された指示に従ってください。 UEFI コンピュータ用の事前インストール設定 UEFI 起動前認証中におけるネットワーク接続の有効化 UEFI ファームウェア搭載のコンピュータで起動前認証を正常に行うには、PBA にネットワーク接続が必要です。デフォルトでは、 UEFI ファームウェア搭載のコンピュータには、オペレーティングシステムがロードされるまでネットワーク接続がなく、これは PBA モードの後で実行されます。 次の手順は、UEFI 対応のコンピュータ用の PBA 中にネットワーク接続を有効にします。設定手順は UEFI コンピュータモデルによ って異なるので、次の手順は一例に過ぎません。 1.
レガシーオプション ROM の無効化 BIOS で レガシーオプション ROM を有効にする 設定が無効化されていることを確認します。 1. 2. 3. 4. 5.
12 レジストリーによる Dell Server の指定 ● クライアントの利用資格を Dell Digital Delivery を使用して取得した場合、次の手順に従ってグループ ポリシー オブジェクトによ りレジストリーを設定し、インストール後に使用する Dell サーバーを事前設定します。 ● ワークステーションは、グループ ポリシー オブジェクトを適用する OU のメンバーである必要があります。さもなければ、エン ドポイントでレジストリー設定を手動で行う必要があります。 ● Dell Server から cloud.dell.com への通信に送信ポート 443 が使用可能であることを確認します。ポート 443 が(何らかの理由で) ブロックされている場合、利用資格を取得することはできず、その資格は利用可能なプールから消尽されます。 メモ: Dell Digital Delivery を使用してインストールするときにこのレジストリー値を設定しなかった場合、またはマスター イ ンストーラーでサーバーを指定しなかった場合には、アクティベーション URL はデフォルトの 199.199.199.
5. グループポリシー管理エディタがロードされます。コンピュータ設定 > プリファレンス > Windows 設定 > レジストリ の順に アクセスします。 6. レジストリを右クリックし、新規 > レジストリ項目 の順に選択します。次のように設定します。 アクション:作成 ハイブ:HKEY_LOCAL_MACHINE キーパス:SOFTWARE\Dell\Dell Data Protection 値の名前:Server 値の種類:REG_SZ 値のデータ: 7.
8.
13 子インストーラの抽出 ● 各クライアントを個別にインストールするには、子の実行可能ファイルをインストーラから抽出します。 ● マスターインストーラはマスターアンインストーラではありません。各クライアントを個別にアンインストールした後で、マス ターインストーラのアンインストールを行う必要があります。このプロセスを使用します。アンインストール用にインストール できるように使用でき、マスタインストーラからクライアントを抽出します。 1. デルのインストールメディアから、DDSSetup.exe ファイルをローカルコンピュータにコピーします。 2. DDSSetup.exe ファイルと同じ場所でコマンドプロンプトを開き、次のように入力します。 DDSSetup.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\"" 抽出パスは 63 文字を超えられません。 インストールを開始する前に、すべての前提条件が満たされており、インストールする予定の各子インストーラに対して必要な すべてのソフトウェアがインストールされていることを確認します。詳細については、「要件」を参照してください。 抽
14 Key Server の設定 ● 本項では、Security Management Server 使用時における Kerberos 認証 / 承認との使用のためにコンポーネントを設定する方法に ついて説明します。Security Management Server Virtual は Key Server を使用していません。 Key Server は、ソケット上で接続されるクライアントをリスンするサービスです。クライアントが接続されたら、Kerberos API を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない場合、 クライアントが切断されます。 Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを Security Server(以前の Device Server) に確認します。このアクセスは、管理コンソールの個々のドメインを介して付与されます。 ● Kerberos 認証 / 承認を使用する場合は、Key Server コンポーネントを装備しているサーバを対象ドメインに含める必要がありま す。 ●
4. Key Server サービスを再起動します(今後の操作のため、サービスパネルを開いたままにしておきます)。 5. log.txt に移動して、サービスが正しく開始したことを確認します。 Key Server 設定ファイル - Security Management Server 通信のためのユーザーの追加 1. に移動します。 2. テキストエディタで Credant.KeyServer.exe.config を開きます。 3. に移動して、「superadmin」の値を適切なユーザーの名前に変更します。「superadmin」のま まにしておくこともできます。 「superadmin」形式には、Security Management Server に対する認証を行うことが可能な任意の方法を使用できます。SAM アカウ ント名、UPN、または DOMAIN\Username を使用できます。Active Directory に
サンプル設定ファイル [Key Server がリッスンする TCP ポート。デフォルトは 8050 です。] [Key Server で許可されるアクティブなソケット接続数] [Security Server(以前の Device Server)URL(v7.
6. 左のメニューで ユーザー をクリックします。検索ボックスで、手順 5 で追加したユーザー名を検索します。検索 をクリックし ます。 7. 正しいユーザーが検索されたら、管理者 アイコンをクリックします。 8.
15 Administrative Download Utility(CMGAd)の 使用 ● このユーティリティを使用して、デルサーバに接続していないコンピュータで使用するキーマテリアルのバンドルをダウンロー ドできます。 ● このユーティリティは、アプリケーションに渡されるコマンドラインパラメーターに応じて、次のいずれかの方法でキーマテリ アルのバンドルをダウンロードします。 ○ フォレンジックモード - コマンドラインで -f が渡された場合、またはコマンドラインパラメータが使用されていない場合に 使用されます。 ○ 管理者モード - コマンドラインで -a が渡された場合に使用されます。 ログファイルは C:\ProgramData\CmgAdmin.log にあります。 フォレンジックモードの使用 1. cmgad.exe をダブルクリックして、ユーティリティを起動するか、CMGAd が置かれている場所でコマンドプロンプトを開い て cmgad.exe -f(または cmgad.exe)と入力します。 2.
3. パスフレーズ:には、ダウンロードファイルを保護するためのパスフレーズを入力します。パスフレーズは 8 文字以上の長さに し、少なくとも 1 つのアルファベットと 1 つの数字を含む必要があります。パスフレーズを確認します。 ファイルの保存先のデフォルトの名前と場所を使用するか、... をクリックして別の場所を選択します。 次へ をクリックします。 キーマテリアルが正しくロック解除されたことを示すメッセージが表示されます。ファイルはこれでアクセス可能になります。 4.
1. CMGAd が置かれている場所でコマンドプロンプトを開き、cmgad.exe -a と入力します。 2. 次の情報を入力します(一部のフィールドは事前に入力されている場合があります)。 サーバー:Key Server の完全修飾ホスト名(keyserver.domain.com など)。 ポート番号:デフォルトのポートは 8050 です。 サーバーアカウント:Key Server を実行するときのドメインユーザー。形式は DOMAIN\Username です。ユーティリティを実行 するドメインユーザーには、Key Server からダウンロードを実行する権限が与えられている必要があります。 MCID:マシン ID(machineID.domain.com など) DCID:16 桁の Shield ID のうち最初の 8 桁 メモ: 通常は MCID または DCID のどちらかを指定すれば十分です。ただし、どちらもわかっている場合は、両方を入力すると役 立ちます。各パラメータに、このユーティリティが使用する情報が別々に含まれています。 次へ をクリックします。 3.
キーマテリアルが正しくロック解除されたことを示すメッセージが表示されます。ファイルはこれでアクセス可能になります。 4.
16 サーバオペレーティングシステム上の Encryption の設定 サーバオペレーティングシステム上の Encryption の有効化 メモ: サーバオペレーティングシステムの Encryption により、ユーザー暗号化が共通暗号化に変換されます。 1. 管理コンソールに Dell 管理者としてログインします。 2. エンドポイントグループ(または エンドポイント)を選択し、有効にするエンドポイントまたはエンドポイントグループを検 索して セキュリティポリシー を選択した後、Server Encryption ポリシーカテゴリを選択します。 3.
バがリムーバブルデバイスの存在を初めて検知するとき、リムーバルデバイスを暗号化するためのプロンプトがユーザーに表示され ます。 ● Encryption External Media ポリシーは、リムーバブルメディアのサーバへのアクセス、認証、暗号化などを制御します。 ● ポート制御ポリシーは、例えば、USB デバイスによるサーバの USB ポートへのアクセスおよび使用を制御することにより、保護 対象サーバ上のリムーバブルメディアに影響します。 リムーバブルメディア暗号化用のポリシーは、管理コンソールの Server Encryption テクノロジグループにあります。 サーバオペレーティングシステム上の Encryption および外部メディア 保護対象サーバーの EMS 暗号化外部メディアポリシー選択されている場合、外部メディアは暗号化されます。Encryption はマシン キーでそのデバイスを保護対象サーバに関連付け、リムーバブルデバイスの所有者 / ユーザーのユーザーローミングキーでデバイスを ユーザーに関連付けます。その後でリムーバルデバイスに追加されるすべてのファイルは、デバイスの接続先のコンピ
メモ: 復帰 をクリックすると、サーバオペレーティングシステムの Encryption は再起動後にサーバ上の暗号化データにアクセスで きるようになります。 86 サーバオペレーティングシステム上の Encryption の設定
17 Deferred Activation の設定 Deferred Activation が付属した Encryption クライアントは、2 つの点で Encryption クライアントのアクティベーションと異なりま す。 デバイスベースの暗号化ポリシー Encryption クライアントのポリシーはユーザーベースですが、Deferred Activation 付属の Encryption クライアントの暗号化ポリシーは デバイスベースです。ユーザー暗号化は共有暗号化に変換されます。この違いによって、ユーザーは組織のドメイン内で個人的なデ バイスを使用することができます。組織は暗号化ポリシーを一元管理することでセキュリティを維持します。 アクティベーション Encryption クライアントでは、アクティベーションは自動で行われます。Deferred Activation が と一緒にインストールされる場合、 自動アクティベーションが無効になります。代わりに、ユーザーは暗号化をアクティブ化するかどうか、いつアクティブ化するかを 選択できます。 メモ: ユーザーは組織を完全に離れる場合、離れる前の自分の電
デルでは、暗号化データへのアクセスを保護するため、Windows パスワードの作成を強く推奨しています(まだパスワードが存在 しない場合)。コンピュータにパスワードを作成すると、他のユーザーがパスワードなしでユーザーアカウントにログインすることを 防止できます。 旧バージョンの Encryption クライアントのアンインストール 旧バージョンの Encryption クライアントをアンインストールする前に、必要に応じて、暗号化スイープを停止または一時停止しま す。 コンピュータがバージョン 8.
メモ: ドメイン以外または個人の電子メールアドレスはアクティブ化に使用できません。 3. 閉じる をクリックします。 Dell サーバは、暗号化キーバンドルとユーザーの資格情報およびコンピュータの固有 ID(マシン ID)を組み合わせて、キーバン ドル、特定のコンピュータ、およびユーザーの間に突破不可能な関係を作成します。 4.
可能な解決策 ● 組織のネットワークに直接接続し、アクティブ化を再試行します。 ● ネットワークに接続するには VPN アクセスが必要です。VPN 接続を確認して、再試行します。 ● Dell Server の URL を確認して、それが管理者から提供された URL と一致していることを確認します。 ユーザーがインストーラに入力した URL とその他のデータはレジストリに保存されています。[HKLM\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon\CMGShield] and [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \CMGShield\Servlet] でデータが正確であることを確認します ● 切断して再接続します: コンピュータをネットワークから切断します。 ネットワークに再接続します。 コンピュータを再起動します。 ネットワークへの接続を再試行します。 エラーメッセージ:レガシーサーバはサポートされません。 レガシーサーバの場合には Encryption をアクテ
18 トラブルシューティング すべてのクライアントのトラブルシューティング ● マスタースイートインストーラログファイルは、C:\ProgramData\Dell\Dell Data Protection\Installer にありま す。 ● Windows は、C:\Users\<ユーザー名>\AppData\Local\Temp に、ログインしたユーザーに関する独自の 子インストーライ ンストールログファイル を作成します。 ● Windows はログインしたユーザー用に、クライアントの前提条件(Visual C++ など)ログファイルを C:\Users\<ユーザー名> \AppData\Local\Temp にある %temp% に作成します。例:C:\Users\<ユーザー名>\AppData\Local\Temp \dd_vcredist_amd64_20160109003943.log ● インストール対象のコンピューターにインストールされている Microsoft .Net のバージョンを検証するには、http:// msdn.microsoft.
● アクティブ化に使用される資格情報がドメイン管理者の資格情報ではない。 エラーメッセージ:不明なユーザー名または不正なパスワードです ユーザー名とパスワードが一致しません。 可能な解決策:ユーザー名とパスワードを正確に入力して、ログインを再試行します。 エラーメッセージ:ユーザーアカウントにドメイン管理者権限がないため、アクティブ化に失敗しました。 アクティブ化に使用された資格情報にドメイン管理者権限がないか、管理者のユーザー名が UPN 形式ではありませんでした。 可能な対策:アクティベーションダイアログで、ドメイン管理者の資格情報を UPN 形式で入力します。 エラーメッセージ:サーバーとの接続を確立できませんでした。 または The operation timed out.
3. ユーザーが Server Encryption の バージョン情報 ボックスを開いて、Server Encryption がサーバモードで実行中であることを確認 します。 4. ユーザーが通知領域内の Encryption アイコンを右クリックし、Dell Encryption のアクティブ化 を選択します。 5. ユーザーが アクティブ化 ダイアログにドメイン管理者資格情報を入力します。 メモ: ドメイン管理者の資格情報の要件は、サーバオペレーティングシステムの Encryption がサポートされていないサーバ環境に 展開されるのを防ぐ安全対策です。ドメイン管理者資格情報の要求を無効にするには「作業を開始する前に」を参照してく ださい。 6. Dell Server がエンタープライズ資格情報コンテナ(Active Directory またはその同等物)内の資格情報をチェックして、その資格 情報がドメイン管理者資格情報であることを確認します。 7. 資格情報を使用して UPN が構築されます。 8.
次の図は、正常な認証とデバイスアクティベーションを示します。 1. 正常な初期アクティベーション後、再起動が行われると、Server Encryption を搭載したコンピュータは、仮想サーバーユーザーア カウントを使用して Encryption クライアントを自動的に認証し、サーバーモードで実行します。 2. コンピュータは、自身のデバイスアクティベーションステータスを Dell Server でチェックします。 ● そのコンピュータがまだデバイスアクティブ化されていない場合、Dell Server は、そのコンピュータに MCID、DCID、および 信頼証明書を割り当て、そのすべての情報を Dell Server の資格情報コンテナ内に保存します。 ● そのコンピュータがすでにデバイスアクティブ化されている場合、Dell Server は信頼証明書を検証します。 3. Dell Server が信頼証明書をサーバに割り当てると、そのサーバはその暗号化キーにアクセスできます。 4.
Encryption External Media と PCS の相互作用 メディアが読み取り専用ではなく、ポートがブロックされていないことを確実にする EMS Access から unShielded Media へのポリシーは、Port Control System - Class: Storage > Subclass Storage: External Drive Control ポ リシーと相互作用します。EMS Access から unShielded Media へのポリシーをフルアクセスに設定する場合は、メディアが読み取り 専用に設定されず、ポートがブロックされないようにするために、Subclass Storage: External Drive Control ポリシーもフルアクセス に設定する必要があります。 CD/DVD に書き込まれたデータを暗号化する ● Windows Media Encryption = オンに設定します。 ● EMS で CD/DVD 暗号化を除外 = 選択なしに設定します。 ● サブクラスストレージの設定:光学ドライブコントロール = UDF Only に設定
または 1. 詳細設定 をクリックし、ビューを シンプル に切り替えて、特定のフォルダをスキャンします。 2. スキャン設定 に移動して、検索パス フィールドにフォルダパスを入力します。このフィールドを使用した場合、メニューの選 択は無視されます。 3. WSScan の出力をファイルに書き込まない場合は、ファイルに出力 チェックボックスをオフにします。 4. 必要に応じて、パスに含まれているデフォルトパスとファイル名を変更します。 5. 既存のどの WSScan 出力ファイルも上書きしない場合は、既存のファイルに追加 を選択します。 6.
WSScan コマンドラインの使用 WSScan [-ta] [-tf] [-tr] [-tc] [drive] [-s] [-o] [-a] [-f] [-r] [u[a][-|v]] [-d] [-q] [-e] [-x] [-y] スイッチ 意味 ドライブ スキャンするドライブ。指定しない場合、デフォルトは、すべてのローカルの固定ハード ドライブになります。マップされたネットワークドライブにすることができます。 -ta すべてのドライブをスキャンします。 -tf 固定ドライブをスキャンします(デフォルト)。 -tr リムーバブルドライブをスキャンします。 -tc CDROM/DVDROM をスキャンします。 トラブルシューティング 97
スイッチ 意味 -s サイレント操作 -o 出力ファイルパス -a 出力ファイルに付加します。デフォルトの動作は出力ファイルを切り捨てます。 -f レポート書式指定子(レポート、固定、区切り) -r 管理者権限なしに WSScan を実行します。このモードでは、一部のファイルが表示されな いことがあります。 -u 出力ファイルに非暗号化ファイルを含めます。 このスイッチは順序に敏感です。「u」を最初に、「a」を 2 番目に(または省略)、「-」または 「v」を最後にする必要があります。 -u- 出力ファイルに非暗号化ファイルだけを含めます。 -ua 非暗号化ファイルも報告しますが、すべてのユーザーポリシーを使用して「should」フィール ドを表示します。 -ua- 非暗号化ファイルだけを報告しますが、すべてのユーザーポリシーを使用して「should」フ ィールドを表示します。 -uv ポリシーだけに違反した非暗号化ファイルをレポートします(Is=No / Should=Y)。 -uav すべてのユーザーポリシーを使用して、ポリシーだけに違反した非暗号化ファイルを
出力 意味 上記の例では、「7vdlxrsb」 マッピングされているネットワークドライブをスキャンした場合、KCID はスキャンレポー トに表示されません。 UCID ユーザー ID。 上記の例では、「_SDENCR_」 UCID は、そのコンピュータのすべてのユーザーで共有されます。 ファイル 暗号化ファイルのパス。 上記の例では、「c:\temp\Dell - test.
構文 wsprobe [path] wsprobe [-h] wsprobe [-f path] wsprobe [-u n] [-x process_names] [-i process_names] パラメータ パラメータ 目的 path オプションで、可能性のある暗号化 / 復号化についてスキャンするデバイス上の特定のパ スを指定します。パスを指定しない場合、このユーティリティは、暗号化ポリシーに関連 したすべてのフォルダをスキャンします。 -h コマンドラインヘルプを表示します。 -f TrouDell ProSupport からの指示に従ってトラブルシューティングします。 -u ユーザーアプリケーションデータ暗号化リストを一時的に無効または有効にします。この リストは、現在のユーザーに対して暗号化有効が選択されている場合に有効です。無効に するには 0 を、再度有効にするには 1 を指定します。ユーザーにとって有効な現在のポリ シーは、次回のログオン時に復元されます。 -x 権限リストにプロセス名を追加します。このリスト上のコンピュータおよびインストーラ プロセス名と、このパラ
● 完了 – 復号化スイープが完了しました。サービス、実行ファイル、ドライバ、およびドライバ実行ファイルは、すべて次回の再 起動で削除されるようにスケジュールされています。 SED のトラブルシューティング 初期アクセスコードの使用 ● このポリシーは、ネットワークアクセスが使用できない場合に、コンピュータにログオンするために使用されます。つまり、Dell Server と AD のどちらにもアクセスできません。初期アクセスコード ポリシーは、絶対に必要な場合にしか使用しないでくださ い。デルはこのログイン方法を推奨しません。初期アクセスコードポリシーを使用しても、ユーザー名、ドメイン、およびパス ワードを使用する通常のログイン方法とは同じセキュリティレベルにはなりません。 ログインの安全性が低くなる他に、初期アクセスコードでユーザーのアクティブ化すると、Dell Server にこのユーザーがコンピ ュータでアクティベーションを実行したレコードが残りません。その結果、パスワードおよびセルフヘルプの質問に正しく入力 できない場合、Dell Server で応答コードを生成できなくなります。 ● 初期アクセス
PBA ユーザーの作成時のユーザー名形式と一致している必要があります。したがって、DOMAIN\Username という形式を使用し た場合は、DOMAIN\Username という形式でユーザー名を入力する必要があります。 11.
2. お使いのコンピュータモデルを選択します。 3. ドライバおよびダウンロード を選択します。 4.
5. セキュリティカテゴリーを選択します。 6. Dell ControlVault ドライバをダウンロードして保存します。 7.
8. 必要に応じて、ターゲットコンピュータにドライバとファームウェアをコピーします。 Dell ControlVault ドライバのインストール 1. ドライバのインストールファイルをダウンロードしたフォルダに移動します。 2. Dell ControlVault ドライバをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 メモ: ドライバを先にインストールします。本文書の作成時における ドライバのファイル名は ControlVault_Setup_2MYJC_A37_ZPE.exe です。 3.
4. Ok をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5. はい をクリックして新しいフォルダの作成を許可します。 6. 正常に解凍しましたというメッセージが表示されたら Ok をクリックします。 7.
8. CVHCI64.MSI をダブルクリックしてドライバインストーラを実行します。[この例の場合は CVHCI64.MSI です(32 ビットの コンピュータ用 CVHCI)]。 9. ようこその画面で次へをクリックします。 10. 次へをクリックして、ドライバーを次のデフォルトの場所にインストールします。 C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\.
11. 完了オプションを選択して、次へをクリックします。 12.
13. 必要に応じて、インストーラのログファイルを表示するチェックボックスを選択します。終了 をクリックしてウィザードを終 了します。 ドライバのインストールの検証 ● オペレーティングシステムおよびハードウェアの構成によっては、デバイスマネージャに Dell ControlVault デバイス(およびそ の他のデバイス)が表示されます。 Dell ControlVault ファームウェアのインストール 1.
2. Dell ControlVault ファームウェアをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 3. 続行 をクリックして開始します。 4. Ok をクリックして、ドライバー ファイルをデフォルトの場所である C:\Dell\Drivers\に解凍します。 5. はい をクリックして新しいフォルダの作成を許可します。 6.
7. 抽出後、ファイルが含まれているフォルダが表示されます。表示されない場合は、ファイルを抽出したフォルダに移動します。 ファームウェア フォルダを選択します。 8. ushupgrade.exe をダブルクリックしてファームウェアインストーラを実行します。 9.
メモ: ファームウェアを旧バージョンからアップグレードする場合は、管理者パスワードの入力を求められることがあります。 Broadcom をパスワードとして入力し、このダイアログが表示された場合は Enter をクリックします。 いくつかのステータスメッセージが表示されます。 112 トラブルシューティング
トラブルシューティング 113
10.
UEFI コンピュータ ネットワーク接続のトラブルシューティング ● UEFI ファームウェア搭載のコンピュータで起動前認証を正常に行うには、PBA モードにネットワーク接続が必要です。デフォル トでは、UEFI ファームウェア搭載のコンピュータには、オペレーティングシステムがロードされるまでネットワーク接続がなく、 これは PBA モードの後で実行されます。「UEFI コンピュータ用の事前インストール設定」で概要が説明されているコンピュータ 手順が完了し、適切に設定されると、コンピュータがネットワークに接続するとき、起動前認証画面にネットワーク接続アイコ ンが表示されます。 ● 依然として起動前認証中にネットワーク接続アイコンが表示されない場合は、ネットワークケーブルを調べてコンピュータに接 続していることを確認してください。接続していなかったり、失われていた場合、コンピュータを再起動して PBA モードを再 開します。 TPM および BitLocker TPM および BitLocker のエラーコード 定数 / 値 説明 TPM_E_ERROR_MASK これは、TPM ハードウェアエラーを
定数 / 値 説明 0x80280009 TPM_E_BAD_ORDINAL 序数が不明または一貫していませんでした。 0x8028000A TPM_E_INSTALL_DISABLED 所有者をインストールする機能が無効です。 0x8028000B TPM_E_INVALID_KEYHANDLE キーハンドルを解釈できません。 0x8028000C TPM_E_KEYNOTFOUND キーハンドルが無効なキーを示しています。 0x8028000D TPM_E_INAPPROPRIATE_ENC 受け入れられない暗号化スキーマです。 0x8028000E TPM_E_MIGRATEFAIL 移行承認に失敗しました。 0x8028000F TPM_E_INVALID_PCR_INFO PCR 情報を解釈できませんでした。 0x80280010 TPM_E_NOSPACE キーをロードする余裕がありません。 0x80280011 TPM_E_NOSRK ストレージルートキー(SRK)セットがありません。 0x80280012 TPM_E_NOTSEALED_BLOB 0x8
定数 / 値 説明 0x8028001A TPM_E_SHA_ERROR 0x8028001B TPM_E_FAILEDSELFTEST 0x8028001C TPM_E_AUTH2FAIL 既存の SHA-1 スレッドでエラーがすでに発生しているので、 計算を続行できません。 TPM ハードウェアデバイスが、その内部セルフテスト中に障 害を報告しました。問題を解決するには、コンピュータを再 起動してみてください。問題が解決しない場合、TPM ハード ウェアまたはマザーボードの交換が必要になることがありま す。 2 キー機能での 2 番目のキーの認証が失敗しました。 0x8028001D TPM_E_BADTAG コマンドに送信されたタグ値が正しくありません。 0x8028001E TPM_E_IOERROR TPM への情報の転送中に IO エラーが発生しました。 0x8028001F TPM_E_ENCRYPT_ERROR 暗号化プロセスに問題が発生しました。 0x80280020 TPM_E_DECRYPT_ERROR 復号化プロセスが完了しませんでした。 0x80280021
定数 / 値 説明 TPM_E_BAD_DATASIZE データ(または BLOB)パラメータのサイズが間違っている か、参照キーと一致していません。 0x8028002B TPM_E_BAD_MODE 0x8028002C TPM_E_BAD_PRESENCE 0x8028002D TPM_E_BAD_VERSION TPM_GetCapability の capArea および subCapArea、 TPM_PhysicalPresence の phsicalPresence パラメータ、 TPM_CreateMigrationBlob の migrationType などのモードパラ メータが間違っています。 physicalPresence または physicalPresenceLock ビットのいずれ かの値が間違っています。 TPM は、このバージョンの機能を実行できません。 0x8028002E TPM_E_NO_WRAP_TRANSPORT 0x8028002F TPM_E_AUDITFAIL_UNSUCCESSFUL 0x80280030 TPM_E_AUDITFAIL_S
定数 / 値 説明 TPM_E_AREA_LOCKED NV 領域はロックされ、書き込みできません。 0x8028003C TPM_E_BAD_LOCALITY ローカリティは、試みた操作にとって正しくありません。 0x8028003D TPM_E_READ_ONLY NV 領域は読み取り専用で、書き込みできません。 0x8028003E TPM_E_PER_NOWRITE NV 領域への書き込みが保護されていません。 0x8028003F TPM_E_FAMILYCOUNT ファミリーカウント値が一致していません。 0x80280040 TPM_E_WRITE_LOCKED NV 領域はすでに書き込まれています。 0x80280041 TPM_E_BAD_ATTRIBUTES NV 領域属性が競合しています。 0x80280042 TPM_E_INVALID_STRUCTURE 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER 構造タグおよびバージョンが無効であるか、一貫していませ ん。 キーが、
定数 / 値 説明 TPM_E_DELEGATE_ADMIN 委任テーブル管理が有効ではありません。 0x8028004D TPM_E_TRANSPORT_NOTEXCLUSIVE 0x8028004E TPM_E_OWNER_CONTROL 0x8028004F TPM_E_DAA_RESOURCES 0x80280050 TPM_E_DAA_INPUT_DATA0 0x80280051 TPM_E_DAA_INPUT_DATA1 0x80280052 TPM_E_DAA_ISSUER_SETTINGS 排他的なトランスポートセッションの外部で実行されたコマ ンドがありました。 所有者排除制御キーをコンテキスト保存しようとしていま す。 DAA コマンドにはその実行に利用できるリソースがありませ ん。 DAA パラメータ inputData0 の整合性チェックが失敗しまし た。 DAA パラメータ inputData1 の整合性チェックが失敗しまし た。 DAA_issuerSettings の整合性チェックが失敗しました。 0x80280053 TPM_E_DAA_TPM_SETTINGS
定数 / 値 説明 TPM_E_MA_SOURCE 移行元が正しくありません。 0x8028005E TPM_E_MA_AUTHORITY 移行承認機関が正しくありません。 0x8028005F TPM_E_PERMANENTEK 0x80280061 TPM_E_BAD_SIGNATURE EK を呼び出そうとしており、EK は呼び出し可能ではありま せん。 CMK チケットの署名が間違っています。 0x80280062 TPM_E_NOCONTEXTSPACE 0x80280063 TPM_E_COMMAND_BLOCKED コンテキストリストにコンテキストを追加するための余裕が ありません。 コマンドはブロックされました。 0x80280400 TPM_E_INVALID_HANDLE 指定されたハンドルが見つかりませんでした。 0x80280401 TPM_E_DUPLICATE_VHANDLE 0x80280402 TPM_E_EMBEDDED_COMMAND_BLOCKED TPM が重複したハンドルを返したので、コマンドを再送信す る必要があります。 トランスポート内の
定数 / 値 説明 TBS_E_INVALID_CONTEXT 指定されたコンテキストハンドルは、有効なコンテキストを 参照していません。 0x80284004 TBS_E_INSUFFICIENT_BUFFER 指定の出力バッファが小さすぎます。 0x80284005 TBS_E_IOERROR TPM との通信中にエラーが発生しました。 0x80284006 TBS_E_INVALID_CONTEXT_PARAM 1 つまたは複数のコンテキストパラメータが無効です。 0x80284007 TBS_E_SERVICE_NOT_RUNNING TBS サービスが実行しておらず、開始できません。 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS 0x80284009 TBS_E_TOO_MANY_RESOURCES 0x8028400A TBS_E_SERVICE_START_PENDING 開いているコンテキストが多すぎるので、新しいコンテキス トを作成できませんでした。 開いている仮想リソースが多すぎるので、新しい仮想リソース を作成できませんでした。
定数 / 値 説明 所有者認証値のシステムへのインポート、TPM をプロビジョ ニングし「ForceClear_Allowed」または 「PhysicalPresencePrompts_Allowed」のどちらかに対して TRUE を指定するための Win32_Tpm WMI メソッドの呼び出 し(追加情報で返される値で示されるとおり)、またはシステ ム BIOS での TPM の有効化があります)。 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND 0x80284015 このファームウェアの物理プレゼンスインターフェースは、リ クエストされたメソッドをサポートしていません。 リクエストされた TPM OwnerAuth 値が見つかりませんでし た。 0x80284016 TPM プロビジョニングが完了しませんでした。プロビジョ ニングを完了するための詳細については、TPM をプロビジョ ニングするための Win32_Tpm WMI メソッド(「Provision」) を呼び出し、リクエストされた情報をチェックして
定数 / 値 説明 TPMAPI_E_TPM_COMMAND_ERROR TPM が予想外の結果を返しました。 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE メッセージは、エンコードスキーマには大きすぎます。 0x8029010D TPMAPI_E_INVALID_ENCODING BLOB のエンコードが認識されませんでした。 0x8029010E TPMAPI_E_INVALID_KEY_SIZE キーサイズが有効ではありません。 0x8029010F TPMAPI_E_ENCRYPTION_FAILED 暗号操作が失敗しました。 0x80290110 TPMAPI_E_INVALID_KEY_PARAMS キーパラメータ構造が有効ではありませんでした。 0x80290111 TPMAPI_E_INVALID_MIGRATION_AUTHORIZATION_BLOB 0x80290112 TPMAPI_E_INVALID_PCR_INDEX リクエストされた提供データが有効な移行承認 BLOB ではな いようです。 指定の PCR インデックスが
定数 / 値 説明 TPMAPI_E_TCG_INVALID_DIGEST_ENTRY TCG ログエントリ内のダイジェスト値がハッシュされたデー タに一致しませんでした。 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL リクエストされた操作は、現在の TPM ポリシーによってブロ ックされました。サポートが必要な場合は、システム管理者 に連絡してください。 指定のバッファが小さすぎました。 0x80290200 TBSIMP_E_CLEANUP_FAILED コンテキストをクリーンアップできませんでした。 0x80290201 TBSIMP_E_INVALID_CONTEXT_HANDLE 指定のコンテキストハンドルが無効です。 0x80290202 TBSIMP_E_INVALID_CONTEXT_PARAM 無効なコンテキストパラメータが指定されました。 0x80290203 TBSIMP_E_TPM_ERROR TPM との通信中にエラーが発生しました。 0x8
定数 / 値 説明 TBSIMP_E_NOT_ENOUGH_SPACE TPM には、リクエストされたリソースをロードできるだけ十 分な容量がありません。 0x8029020F TBSIMP_E_NOT_ENOUGH_TPM_CONTEXTS 使用されている TPM コンテキストが多すぎます。 0x80290210 TBSIMP_E_COMMAND_FAILED TPM コマンドが失敗しました。 0x80290211 TBSIMP_E_UNKNOWN_ORDINAL TBS は、指定の序数を認識していません。 0x80290212 TBSIMP_E_RESOURCE_EXPIRED 0x80290213 TBSIMP_E_INVALID_RESOURCE リクエストされたリソースはもはや使用可能ではありませ ん。 リソースタイプは一致しませんでした。 0x80290214 TBSIMP_E_NOTHING_TO_UNLOAD リソースをアンロードできません。 0x80290215 TBSIMP_E_HASH_TABLE_FULL 新しいエントリをハッシュテーブルに追加できません。
定数 / 値 説明 TPM_E_PPI_BLOCKED_IN_BIOS 物理プレゼンスコマンドは、現在の BIOS 設定によってブロッ クされました。システム所有者は、コマンドを許可するよう に BIOS 設定を再設定できる場合があります。 0x80290304 TPM_E_PCP_ERROR_MASK 0x80290400 TPM_E_PCP_DEVICE_NOT_READY 0x80290401 TPM_E_PCP_INVALID_HANDLE 0x80290402 TPM_E_PCP_INVALID_PARAMETER 0x80290403 TPM_E_PCP_FLAG_NOT_SUPPORTED 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED これは、プラットフォーム暗号化プロバイダエラーを win エ ラーに変換するためのエラーマスクです
定数 / 値 説明 PLA_E_NO_MIN_DISK データコレクタセットを開始できるだけ十分な空きディスク 容量がありません。 0x80300070 PLA_E_DCS_ALREADY_EXISTS データコレクタセットがすでに存在しています。 0x803000B7 PLA_S_PROPERTY_IGNORED プロパティ値は無視されます。 0x00300100 PLA_E_PROPERTY_CONFLICT プロパティ値が競合しています。 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING このデータコレクタセットの現在の設定では、ちょうど 1 つの データコレクタを含むことが必要です。 現在のデータコレクタセットプロパティをコミットするに は、ユーザーアカウントが必要です。 データコレクタセットが実行していません。 0x80300104 PLA_E_CONFLICT_INCL_EXCL_API 0x803001
定数 / 値 説明 PLA_E_INVALID_SESSION_NAME 入力したセッション名が無効です。 0x8030010F PLA_E_PLA_CHANNEL_NOT_ENABLED 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED イベントログチャネル Microsoft-Windows-Diagnosis-PLA/ Operational でこの操作を実行できるようにする必要がありま す。 イベントログチャネル Microsoft-Windows-TaskScheduler で この操作を実行できるようにする必要があります。 Rules Manager の実行が失敗しました。 0x80300112 PLA_E_CABAPI_FAILURE 0x80300113 FVE_E_LOCKED_VOLUME 0x80310000 FVE_E_NOT_ENCRYPTED データを圧縮または抽出しようとしているときにエラーが発 生しました。 このドライブは、BitLocker ド
定数 / 値 説明 FVE_E_AD_SCHEMA_NOT_INSTALLED Active Directory ドメインサービスフォレストには、BitLocker ドライブ暗号化または TPM 情報をホストするために必要な 属性とクラスが含まれていません。ドメイン管理者に問い合 わせて、必要な BitLocker Active Directory スキーマ拡張がイン ストールされていることを確認してください。 0x8031000A FVE_E_AD_INVALID_DATATYPE 0x8031000B FVE_E_AD_INVALID_DATASIZE 0x8031000C FVE_E_AD_NO_VALUES 0x8031000D FVE_E_AD_ATTR_NOT_SET 0x8031000E FVE_E_AD_GUID_NOT_FOUND 0x8031000F FVE_E_BAD_INFORMATION 0x80310010 FVE_E_TOO_SMALL 0x80310011 FVE_E_SYSTEM_VOLUME 0x80310012 FVE_E_FAILED_WRONG_FS 0
定数 / 値 説明 FVE_E_VOLUME_NOT_BOUND 指定したデータドライブは、現在のコンピュータで自動的にロ ック解除するように設定されておらず、自動的にロック解除 できません。 0x80310017 FVE_E_TPM_NOT_OWNED 0x80310018 FVE_E_NOT_DATA_VOLUME 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED 0x8031001E FVE_E_VOLUME_BOUND_ALREADY 0x8031001F FVE_E_OS_NOT_PROTECTED 0x80310020 FVE_E_PROTECTION_DISABLED 0x80310021 FVE_E_RECOVERY_KEY_REQUIRED 0x80310022 FVE_E_FOREIGN_VOLUM
定数 / 値 説明 FVE_E_FAILED_SECTOR_SIZE このセクターサイズでは、ドライブ暗号化アルゴリズムを使 用できません。 0x80310026 FVE_E_FAILED_AUTHENTICATION 0x80310027 FVE_E_NOT_OS_VOLUME 0x80310028 FVE_E_AUTOUNLOCK_ENABLED 0x80310029 FVE_E_WRONG_BOOTSECTOR 0x8031002A FVE_E_WRONG_SYSTEM_FS 0x8031002B FVE_E_POLICY_PASSWORD_REQUIRED 0x8031002C FVE_E_CANNOT_SET_FVEK_ENCRYPTED 0x8031002D FVE_E_CANNOT_ENCRYPT_NO_KEY 0x8031002E FVE_E_BOOTABLE_CDDVD 0x80310030 FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTECTOR_NOT_FOUND
定数 / 値 説明 FVE_E_INVALID_PASSWORD_FORMAT 入力された回復パスワードの形式が無効です。BitLocker 回復 パスワードは 48 桁です。回復パスワードが正しい形式である ことを確認してから、再試行してください。 0x80310035 FVE_E_FIPS_RNG_CHECK_FAILED ランダム数ジェネレータのチェックテストは失敗しました。 0x80310036 FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD 0x80310037 FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT 0x80310038 FVE_E_NOT_DECRYPTED 0x80310039 FVE_E_INVALID_PROTECTOR_TYPE FIPS コンプライアンスを必要とするグループポリシー設定に より、BitLocker ドライブ暗号化でローカルの回復パスワード を生成することも使用することもできません。FIPS 対応モー ドで操作する場合は、BitLocker 回復オプションを、USB ドラ イブに保存され
定数 / 値 説明 ドライブが不正に変更されておらず、システムブート情報に 対する変更は信頼されたソースによって行われたことを確認 します。ドライブが安全にアクセスできることを確認した 後、BitLocker 回復コンソールを使用してドライブをロック解 除し、続いて BitLocker をサスペンドおよび再開して、 BitLocker がこのドライブに関連付けるシステムブート情報を アップデートします。 FVE_E_TPM_NO_VMK BitLocker 暗号化キーを TPM から取得できません。 0x80310042 FVE_E_PIN_INVALID BitLocker 暗号化キーを TPM および PIN から取得できません。 0x80310043 FVE_E_AUTH_INVALID_APPLICATION 0x80310044 FVE_E_AUTH_INVALID_CONFIG 0x80310045 FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED 0x80310046 FVE_E_FS_NOT_EXTENDED 0x80310047 FVE_E_
定数 / 値 説明 FVE_E_DEBUGGER_ENABLED ブートデバッグが有効である間、ドライブ暗号化を行えませ ん。bcdedit コマンドラインツールを使用して、ブートデバッ グをオフにします。 0x8031004F FVE_E_RAW_ACCESS 0x80310050 FVE_E_RAW_BLOCKED 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME BitLocker ドライブ暗号化が raw アクセスモードであるとき に、アクションが行われませんでした。 このドライブは現在使用中なので、このドライブで BitLocker ドライブ暗号化は raw アクセスモードに移れません。 BitLocker ドライブ暗号化の完全性保護アプリケーションにつ いてブート
定数 / 値 説明 FVE_E_POLICY_RECOVERY_KEY_REQUIRED グループポリシー設定は、回復キーの作成を必要としていま す。 0x8031005F FVE_E_POLICY_STARTUP_PIN_NOT_ALLOWED 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 グループポリシー設定は、スタートアップ時に PIN の使用を許 可していません。別の BitLocker スタートアップオプション を選択してください。 グループポリシー設定は、スタートアップ時に PIN の使用を必 要としています。この BitLocker スタートアップオプション を選択してください。 グループポリシー設定は、スタートアップキーの使用を許可し ていません。別の BitLocker スタートアップオプションを選 択してください。 グループポリシー
定数 / 値 説明 FVE_E_VOLUME_TOO_SMALL ドライブが非常に小さいため、BitLocker ドライブ暗号化を使 用して保護できません。 0x8031006F FVE_E_DV_NOT_SUPPORTED_ON_FS 0x80310070 FVE_E_DV_NOT_ALLOWED_BY_GP 0x80310071 FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED 0x80310072 FVE_E_POLICY_USER_CERTIFICATE_REQUIRED 0x80310073 FVE_E_POLICY_USER_CERT_MUST_BE_HW 0x80310074 FVE_E_POLICY_USER_CONFIGURE_FDV_AUTOUNLOCK_N OT_ALLOWED 選択した検出ドライブタイプが、ドライブ上のファイルシス テムと互換性がありません。BitLocker To Go 検出ドライブ は、FAT 形式のドライブで作成する必要があります。 選択した検出ドライブタイプは、コンピュータのグループポリ シー設定で許可されていません
定数 / 値 説明 FVE_E_POLICY_CONFLICT_FDV_RK_OFF_AUK_ON 競合するグループポリシー設定のため、BitLocker ドライブ暗 号化をこのドライブに適用できません。ユーザー回復オプシ ョンが無効になっているときに、自動的に固定データドライ ブをロック解除するように BitLocker を設定できません。キ ー検証が行われた後で BitLocker 保護された固定データドライ ブを自動的にロック解除する場合は、BitLocker を有効にする 前に、システム管理者に設定の競合を解決してもらってくだ さい。 0x80310083 FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON 0x80310084 FVE_E_NON_BITLOCKER_OID 0x80310085 FVE_E_POLICY_PROHIBITS_SELFSIGNED 0x80310086 競合するグループポリシー設定のため、BitLocker ドライブ暗 号化をこのドライブに適用できません。ユーザー回復オプシ ョンが無効になっているときに、自動的にリムーバブル
定数 / 値 説明 このドライブに適用できません。回復パスワードの生成が許 可されていない場合、Active Directory ドメインサービスへの 回復情報の保存は要求できません。BitLocker を有効にしよう とする前に、システム管理者にこれらのポリシーの競合を解 決してもらってください。 FVE_E_POLICY_CONFLICT_RDV_RP_OFF_ADB_ON 0x80310092 FVE_E_NON_BITLOCKER_KU 0x80310093 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUM E 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 FVE_E_ENH_PIN_INVALID 0x80310099 FVE_
定数 / 値 説明 FVE_E_MULTIPLE_NKP_CERTS 複数のネットワークキー保護機能証明書がシステム上で見つ かりました。 0x8031009D FVE_E_REMOVAL_OF_NKP_FAILED 0x8031009E FVE_E_INVALID_NKP_CERT 0x8031009F FVE_E_NO_EXISTING_PIN ネットワークキー保護機能証明書の削除は、証明書スナップイ ンを使用して行う必要があります。 無効な証明書が、ネットワークキー保護機能証明書ストアに見 つかりました。 このドライブは PIN で保護されていません。 0x803100A0 FVE_E_PROTECTOR_CHANGE_PIN_MISMATCH 正しい現在の PIN を入力してください。 0x803100A1 FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWE D 0x803100A2 FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEM PTS_REACHED 0x803100A3 FVE_E_POLICY_PAS
定数 / 値 説明 FVE_E_NOT_ALLOWED_ON_CSV_STACK このコマンドは、指定の CSV ボリュームのコーディネータノー ドからのみ実行できます。 0x803100AD FVE_E_NOT_ALLOWED_ON_CLUSTER 0x803100AE FVE_E_EDRIVE_NO_FAILOVER_TO_SW 0x803100AF FVE_E_EDRIVE_BAND_IN_USE 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTIN G このコマンドは、ボリュームがクラスタの一部である場合、 そのボリューム上で実行できません。 BitLocker は、グループポリシー設定のため、BitLocker ソフト ウェア暗号化の使用に復帰しませんでした。 ドライブのハードウェア暗号化機能がすでに使用されている ので、BitLocker でドライブを管理できませ
定数 / 値 説明 FVE_E_EDRIVE_DRY_RUN_FAILED お使いのコンピュータは、BitLocker ハードウェアベースの暗号 化をサポートしていません。ファームウェアのアップデート についてコンピュータの製造元に確認してください。 0x803100BC FVE_E_SHADOW_COPY_PRESENT 0x803100BD FVE_E_POLICY_INVALID_ENHANCED_BCD_SETTINGS 0x803100BE FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE 0x803100BF ボリュームシャドウコピーが含まれているため、ボリューム上 で BitLocker を有効にできません。ボリュームを暗号化する 前に、ボリュームシャドウコピーをすべて削除してください。 拡張ブート構成データのグループポリシー設定に無効なデータ が含まれているので、BitLocker ドライブ暗号化をこのドライ ブに適用できません。BitLocker を有効にしようとする前に、 システム管理者にこの無効な構成を解決してもらってくださ い。 この PC のファームウ
定数 / 値 説明 FVE_E_DE_PROTECTION_NOT_YET_ENABLED 0x803100CB ボリュームで保護が有効になっていません。保護を有効にす るには接続済みのアカウントが必要です。すでに接続したア カウントがあるときに、このエラーが表示される場合は、詳 細についてイベントログを参照してください。 FVE_E_INVALID_PIN_CHARS_DETAILED PIN には、0 から 9 の数字しか含められません。 0x803100CC FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE 0x803100CD FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH 0x803100CE FVE_E_BUFFER_TOO_LARGE お使いの PC 上でカウンタを使用できないので、BitLocker は ハードウェアリプレイ保護を使用できません。 カウンタの不一致のために、デバイスロックアウト状態の検 証が失敗しました。 入力バッファが大きすぎます。 0x803100CF トラブルシューティング 143
19 用語集 アクティブ化 - コンピュータが Dell Server に登録され、少なくともポリシーの初期セットを受け取ったときにアクティブ化が実行 されます。 Active Directory(AD):Windows ドメインネットワーク用に Microsoft が開発したディレクトリサービスです。 Application Data Encryption - Application Data Encryption は、保護対象のアプリケーションによって書き込まれたすべてのファイル を、カテゴリ 2 のオーバーライドを使用して暗号化します。つまり、カテゴリ 2 以上の保護を受けているディレクトリ、またはカ テゴリ 2 以上の保護を受けている特定の拡張子を持つ場所については、そこにあるファイルを ADE が暗号化することはありませ ん。 BitLocker Manager – Windows BitLocker は、データファイルとオペレーティングシステムファイルの両方を暗号化することによって Windows コンピュータの保護を助けるように設計されています。BitLocker 展開のセキュリティを高め、所有
起動前認証(PBA)- 起動前認証(PBA)は、BIOS または起動ファームウェアの拡張機能としての役割を果たし、信頼された認証 レイヤとして、オペレーティングシステム外部のセキュアな耐タンパ環境を保証します。PBA は、ユーザーが正しい資格情報を持 っていることを立証するまで、オペレーティングシステムなどをハードディスクから読み取ることができないようにします。 SED Manager - SED Manager は、自己暗号化ドライブを安全に管理するためのプラットフォームを提供します。SED は独自の暗号 化を備えていますが、その暗号化および使用できるポリシーを管理するためのプラットフォームがありません。SED Manager は、 データを効果的に保護および管理できる、一元的で拡張可能な管理コンポーネントです。SED Manager は、企業の管理の迅速化お よび簡略化を可能にします。 Server ユーザー - サーバオペレーティングシステムでの暗号化キーの操作とポリシーアップデートの目的で Encryption によって作成 される仮想ユーザーアカウントです。このユーザーアカウントは、コンピュータ上、