Administrator Guide

ManualsBrandsDell ManualsConverged InfrastructureEndpoint Security Suite Pro

Dell Data Protection | Endpoint Security Suite

詳細インストールガイド v1.7

Summary of content (101 pages)

PAGE 1
Dell Data Protection | Endpoint Security Suite 詳細インストールガイド v1.
PAGE 2
メモ、注意、警告メモ: 製品を使いやすくするための重要な情報を説明しています。注意: ハードウェアの損傷やデータの損失の可能性を示し、その問題を回避するための方法を説明しています。警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2017 Dell Inc. 無断転載を禁じます。Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の商標は、それぞれの所有者の商標である場合があります。 Dell Data Protection Encryption、Endpoint Security Suite、Endpoint Security Suite Enterprise、および Dell Data Guardian のスイートのドキュメントに使用されている登録商標および商標（DellTM、Dell のロゴ、Dell PrecisionTM、OptiPlexTM、ControlVaultTM、LatitudeTM、XPS®、および KACETM）は、Dell Inc.
PAGE 3
目次 1 はじめに...........................................................................................................................................................6 作業を開始する前に............................................................................................................................................................6 このガイドの使用法..............................................................................................................................................................
PAGE 4
ESS マスターインストーラを使用したインストール.............................................................................................. 28 ESS マスターインストーラを使用した対話型のインストール............................................................................................... 28 ESS マスターインストーラを使用したコマンドラインによるインストール................................................................................ 29 5 ESS マスターインストーラを使用したアンインストール.........................................................................................
PAGE 5
10 ドメインコントローラでの GPO の設定による資格の有効化.............................................................................. 52 11 ESS マスターインストーラからの子インストーラの抽出...................................................................................... 53 12 EE Server に対してアクティブ化した Encryption クライアントをアンインストールするための Key Server の設定.... 54 サービスパネル - ドメインアカウントのユーザーの追加........................................................................................................ 54 キーサーバーの設定ファイル - EE Server の通信のためのユーザーの追加.......................
PAGE 6
1 はじめに本書では、Threat Protection、暗号化クライアント、SED 管理クライアント、Advanced Authentication、および BitLocker Manager のインストールおよび設定方法について詳しく説明します。すべてのポリシー情報とその説明は、AdminHelp にあります。作業を開始する前にクライアントを導入する前に、EE Server/VE Server をインストールします。次に示すように、正しいガイドを探し、記載されている手順に従った後、このガイドに戻ります。 1 • 『DDP Enterprise Server インストールおよびマイグレーションガイド』 • 『DDP Enterprise Server - Virtual Edition クイックスタートガイドおよびインストールガイド』希望のポリシーを設定しているかを確認します。? のマークから AdminHelp を参照します。画面の右端にあります。AdminHelp はポリシーの設定および変更、EE Server/VE Server でのオプションを理解するのに役立つよう設計
PAGE 7
• • Threat Protection クライアントのインストール - Threat Protection クライアントをインストールするには、これらの手順を使用します。このクライアントは、次のポリシーベースの Threat Protection 機能で構成されています。 • マルウェア対策 - ユーザーのアクセス時、またはいつでも必要な時に、ウイルス、スパイウェア、迷惑プログラム、および他の脅威を自動でスキャンして調べます。 • クライアントファイアウォール - コンピュータと、ネットワークおよびインターネット上のリソースとの通信をモニタします。疑わしい通信を遮断します。 • ウェブフィルタ - オンラインでのブラウジングおよび検索中に、ウェブサイトの安全評価を表示し、レポートします。ウェブフィルタにより、サイト管理者は安全評価またはコンテンツに基づいてウェブサイトへのアクセスをブロックすることができます。 SED 管理および Advanced 認証クライアントのインストール - これらの手順を使用して SED を管理するための暗号化ソフトウェアをインストールします。SED は
PAGE 8
2 要件すべてのクライアント次の要件はすべてのクライアントに適用されます。他のセクションで挙げられる要件は、特定のクライアントに適用されます。 • 導入中は、IT ベストプラクティスに従う必要があります。これには、初期テスト向けの管理されたテスト環境や、ユーザーへの時間差導入が含まれますが、それらに限定されるものではありません。 • インストール、アップグレード、アンインストールを実行するユーザーアカウントは、ローカルまたはドメイン管理者ユーザーである必要があります。これは、Microsoft SMS または Dell KACE などの導入ツールによって一時的に割り当てることができます。昇格された権限を持つ非管理者ユーザーはサポートされません。 • インストールまたはアンインストールを開始する前に、重要なデータをすべてバックアップします。 • インストール中は、外付け（USB）ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 • ESS マスターインストーラクライアントが Dell Digital Delivery（DDD）を使用して資格を得る場合は、アウト
PAGE 9
ハードウェア • 最小限のハードウェア要件は、オペレーティングシステムの最小要件を満たしている必要があります。すべてのクライアント - 言語サポート • Encryption、Threat Prevention、、および BitLocker Manager クライアント、複数言語ユーザーインタフェース（MUI）に対応しており、次の言語をサポートします。言語サポート • • EN - 英語 • JA - 日本語 • ES - スペイン語 • KO - 韓国語 • FR - フランス語 • PT-BR - ポルトガル語（ブラジル） • IT - イタリア語 • PT-PT - ポルトガル語（ポルトガル（イベリア）） • DE - ドイツ語 SED および Advanced Authentication のクライアントは、複数言語ユーザーインターフェイス（MUI）に対応しており、次の言語をサポートしています。ロシア語、繁体字中国語、または簡体字中国語では、UEFI モードおよび起動前認証はサポートされていません。言語サポート • EN - 英語 • KO
PAGE 10
リストにないアンチウイルスプロバイダが組織で使用されている場合は、http://www.dell.
PAGE 11
外付けメディアシールド（EMS）のオペレーティングシステム • 次の表に、EMS によって保護されているメディアにアクセスする場合にサポートされるオペレーティングシステムの詳細を示します。メモ: EMS をホストするには、外部メディア上の約 55MB の空き容量に加えて、メディア上に暗号化対象の最大ファイルに等しい空き容量が必要です。メモ: Windows XP は、EMS Explorer を使用する場合にのみサポートされています。 EMS で保護されたメディアにアクセスする場合にサポートされる Windows オペレーティングシステム（32 ビットと 64 ビット） • Windows 7 SP0-SP1： Enterprise、Professional、Ultimate、Home Premium • Windows 8： Enterprise、Pro、Consumer • Windows 8.
PAGE 12
Threat Protection クライアントポート • Threat Protection クライアントで最新の Threat Protection アップデートが確実に受信されるようにするには、クライアントが各種の宛先サーバーと通信できるよう、ポート 443 および 80 を使用可能にする必要があります。ポートが何らかの理由でブロックされている場合、アンチウイルス署名アップデート（DAT ファイル）をダウンロードできないので、コンピュータに最新の保護が装備されないことがあります。次に示すとおり、クライアントコンピュータが URL にアクセスできることを確認してください。使用アプリケーションプロトコルトランスポポート番号ートプロトコル宛先方向アンチウイルスアップデート HTTP TCP 443/ フォールバック 80 vs.mcafeeasap.com アウトバウンドアンチウイルスエンジ SSL ン / 署名アップデート TCP 443 vs.mcafeeasap.
PAGE 13
• デルでは、PBA がアクティブ化された後で認証方法を変更しないことをお勧めしています。別の認証方法に切り替える必要がある場合は、次のいずれかの操作を行う必要があります。 • PBA からすべてのユーザーを削除します。または • PBA を非アクティブ化し、認証方法を変更した後、PBA を再度アクティブ化します。重要: RAID と SED の性質により、SED 管理では RAID はサポートされません。SED の RAID=On には、RAID では、ディスクにアクセスして、SED がロック状態のために利用できない上位セクタの RAID 関連データを読み書きする必要があり、ユーザーがログオンするまで待機してこのデータを読み取ることができないという問題があります。この問題を解決するには、BIOS で SATA の動作を RAID=On から AHCI に変更します。オペレーティングシステムに AHCI コントローラドライバがプレインストールされていない場合は、RAID=On から AHCI に切り替えるときにオペレーティングシステムがブルースクリーンになります。 • SED 管理は、S
PAGE 14
Dell コンピュータモデル - UEFI サポート • • • • • • • • • • • • • • • • Latitude E5470 Latitude E5570 Latitude E7240 Latitude E7250 Latitude E7260 Latitude E7265 Latitude E7270 Latitude E7275 Latitude E7280 Latitude E7350 Latitude E7440 Latitude E7450 Latitude E7460 Latitude E7470 Latitude E7480 Latitude 12 Rugged Extreme • • • • • • • Precision M7510 Precision M7520 Precision M7710 Precision M7720 Precision T3420 Precision T3620 Precision T7810 • • • Optiplex 5040 ミニタワー、スモールフォームファクター OptiPlex 5050 タワー、スモールフォームファ
PAGE 15
Windows オペレーティングシステム（32 ビットと 64 ビット）メモ: Legacy ブートモードは Windows 7 でサポートされています。Windows 7 では UEFI はサポートされていません。 • Windows 8：Enterprise、Pro • Windows 8.
PAGE 16
Dell コンピュータモデル - クラス B/SIPR Net カードサポート • Latitude E6540 • • Precision M4800 Precision M6800 • • Latitude 12 Rugged Extreme Latitude 14 Rugged Advanced Authentication クライアントのオペレーティングシステム Windows オペレーティングシステム • 次の表では、対応オペレーティングシステムが詳しく説明されています。 Windows オペレーティングシステム（32 ビットと 64 ビット） • Windows 7 SP0-SP1: Enterprise、Professional、Ultimate • Windows 8: Enterprise、Pro • Windows 8.
PAGE 17
カスタマーに勧めていることから、当社でもこのモードを BitLocker 暗号化クライアントのデフォルトとして設定することを必須とはしていません： http:// blogs.technet.
PAGE 18
非 UEFI Windows 認証 PBA パスワード指紋接触型ス OTP マートカード SIPR カーパスワード指紋ドスマートカ OTP ード SIPR カード Windows 8.1 更新プログラム 0 ～ 1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 1. マスターインストーラでインストールする場合、または子インストーラを使用するときには Advanced Authentication パッケージでインストールする場合に使用可能。 2. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 UEFI PBA - サポートされる Dell コンピュータにあります。パスワード指紋接触型ス OTP マートカード Windows 認証 SIPR カーパスワード指紋ドスマートカ OTP ード SIPR カード Windows 7 SP0SP1 Windows 8 X X2 X2 X1 X2 Windows 8.
PAGE 19
非 UEFI Windows 認証 PBA パスワード指紋接触型ス OTP マートカード SIPR カーパスワード指紋ドスマートカ OTP ード SIPR カード 1. マスターインストーラでインストールする場合、または子インストーラを使用するときには Advanced Authentication パッケージでインストールする場合に使用可能。 2. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 3. サポートされる OPAL SED で使用可能。 UEFI PBA - サポートされる Dell コンピュータにあります。パスワード指紋接触型ス OTP マートカード Windows 認証 SIPR カーパスワード指紋ドスマートカ OTP ード SIPR カード Windows 7 Windows 8 X4 X X2 X2 X1 X2 Windows 8.1 X4 X X2 X2 X1 X2 Windows 10 X4 X X2 X2 X1 X2 1.
PAGE 20
非 UEFI PBA 5 パスワード指紋 Windows 認証接触型ス OTP マートカード SIPR カーパスワード指紋ドスマートカ OTP ード SIPR カードスマートカ OTP ード SIPR カード 2. 認証ドライバを support.dell.com からダウンロードしたときに使用可能。 5. BitLocker Preboot PIN は、Microsoft 機能によって管理されます。 UEFI PBA5 - サポートされる Dell コンピュータにあります。パスワード指紋接触型ス OTP マートカード Windows 認証 SIPR カーパスワード指紋ド Windows 7 Windows 8 X X2 X2 X1 X2 Windows 8.1 X X2 X2 X1 X2 Windows 10 X X2 X2 X1 X2 Windows Server 2008 R2（64 ビット） X X2 1.
PAGE 21
3 レジストリ設定 • この項では、レジストリ設定の理由に関係なく、ローカルクライアントコンピュータでの Dell ProSupport 承認レジストリ設定すべてについて詳しく説明します。レジストリ設定が 2 つの製品で重複している場合は、それぞれのカテゴリでリストされます。 • これらのレジストリ変更は管理者のみが行うべきであり、すべての状況に適しているわけではなく、機能しない場合もあります。 Encryption クライアントのレジストリ設定 • Dell Server for Enterprise Edition for Windows で自己署名証明書が使用されている場合、クライアントコンピュータで証明書信頼検証を無効のままにしておく必要があります（Enterprise Edition for Windows では信頼検証はデフォルトで無効です）。クライアントコンピューターで信頼検証を有効にする場合は、次の要件を満たしている必要があります。 • ルート証明機関（EnTrust や Verisign など）によって署名された証明書が EE Server/VE Server にインポ
PAGE 22
"HIDESYSTRAYICON"=dword:1 • デフォルトで、c:\windows\temp ディレクトリ内のすべての一時ファイルは、インストール中に自動的に削除されます。一時ファイルの削除は、最初の暗号化を高速化し、最初の暗号化スイープ前に行われます。ただし、組織において \temp ディレクトリ内のファイル構成の維持を要求するサードパーティのアプリケーションを使用している場合は、この削除を防止する必要があります。一時ファイルの削除を無効にするには、次のようにレジストリ設定を作成または変更します。 [HKLM\SOFTWARE\CREDANT\CMGShield] "DeleteTempFiles"=REG_DWORD:0 一時ファイルを削除しないと、最初の暗号化時間が増大します。 • Encryption クライアントは、毎回 5 分間各ポリシーアップデート遅延時間の長さプロンプトを表示します。このプロンプトに反応しないと、次の遅延が始まります。最後の遅延プロンプトには、カウントダウンとプログレスバーが表示され、ユーザーが反応するか最終遅延が時間切れになり必要なログオフ /
PAGE 23
"OnlySendInvChanges"=REG_DWORD:0 エントリが存在しない場合、最適化されたインベントリが EE Server/VE Server に送信されます。 • 完全なインベントリをアクティブ化されたすべてのユーザーに送信する場合： [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield] "RefreshInventory"=REG_DWORD:1 このエントリは、処理されるとすぐにレジストリから削除されます。値は資格情報コンテナに保存されるので、インベントリのアップロードが行われる前にコンピュータが再起動する場合でも、Encryption クライアントは、次回にインベントリのアップロードが成功したときにもまだこの要求を受け入れます。このエントリは、OnlySendInvChanges レジストリ値に置き換わります。 • スロットアクティブ化は、大規模導入中の EE Server/VE Server のロードを容易にするために、クライアントのアクティブ化を一定の期間に分散できるようにする機能
PAGE 24
• [HKCU/Software/CREDANT/SlotAttemptCount]（ユーザーごとのデータ）時間スロットに達し、アクティブ化が試行されたが失敗したときの失敗または失われた試行の数。この数が ACTIVATION_SLOT_MISSTHRESHOLD に設定された値に達すると、コンピュータは、ネットワークへの接続時に即時アクティブ化を 1 度試行します。 • クライアントコンピュータ上で管理対象外のユーザーを検出するには、クライアントコンピュータ上で次のレジストリ値を設定します。 [HKLM\SOFTWARE\Credant\CMGShield\ManagedUsers\] "UnmanagedUserDetected"=DWORD value:1 この computer=1 では管理対象外のユーザーを検出しますこの computer=0 では管理対象外のユーザーを検出しません • ユーザーが非アクティブ化されるという稀なケースにおいてサイレント自動再アクティブ化を有効にするには、クライアントコンピュータに次のレジストリ値を設定する必要があります。 [HKEY_LOCAL_MA
PAGE 25
[HKLM\Software\Dell\Dell Data Protection\ThreatProtection] "ArchiveEvents"=dword:1 0=無効、1=有効ログの詳細度は、デフォルトでは警告に設定されています。ログの詳細度をデバッグに設定するには、次のレジストリキーを設定します。 [HKLM\Software\Dell\Dell Data Protection] "LogVerbosity"=dword:10 10=デバッグ詳細度 • スレットが検出されたときに、クライアントコンピュータでポップアップ通知を表示します。通知が表示されないようにするには、このレジストリキーを 1 に設定します。 [HKLM\Software\Dell\Dell Data Protection] "DDPTPHideToasters"=dword:1 0 = 無効（デフォルト）、1 = 有効（通知を非表示）最低重要度レベルの通知を表示するには、次のレジストリキーを設定します。 [HKLM\Software\Dell\Dell Data Protection] "DDPTPEventSeverit
PAGE 26
• Windows 認証にスマートカードを使用するには、クライアントコンピュータで次のレジストリ値を設定する必要があります。 [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 • 起動前認証でスマートカードを使用するには、次のレジストリ値をクライアントコンピュータに設定します。また、リモート管理コンソールで認証方法ポリシーをスマートカードに設定し、変更をコミットします。 [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 • PBA がアクティブ化されているかどうかを判断するには、次の値が設定されていることを確認します。 [HKLM\SYSTEM\CurrentControlSet\services\DellMgmtAgent\Parameters] "PBAIsActivated"=DWORD (32-bit):1 1 の値は PBA がアクティブ化
PAGE 27
• SCPolicySvc - スマートカード取り外し時にユーザーのデスクトップをロックするようシステムを設定することができます。 • WbioSrvc - Windows 生体認証サービスは、クライアントアプリケーションに対し、生体認証ハードウェアやサンプルに直接アクセスすることなく、生体認証データの取得、比較、操作、および保存する機能を提供します。このサービスは特権 SVCHOST プロセスでホストされます。レジストリキーが存在しない、または値が 0 に設定されている場合、この機能はデフォルトで有効化されます。 [HKLM\SOFTWARE\DELL\Dell Data Protection] SmartCardServiceCheck=REG_DWORD:0 0 = 有効 1 = 無効 • Windows 認証にスマートカードを使用するには、クライアントコンピュータで次のレジストリ値を設定する必要があります。 [HKLM\SOFTWARE\DigitalPersona\Policies\Default\SmartCards] "MSSmartcardSupport"=dword:1 •
PAGE 28
4 ESS マスターインストーラを使用したインストール • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • デフォルト以外のポートを使用してインストールするには、ESS マスターインストーラの代わりに子インストーラを使用します。 • ESS マスターインストーラログファイルは、C:\ProgramData\Dell\Dell Data Protection\Installer. にあります。 • アプリケーションに関するサポートが必要なときには、次のマニュアルとヘルプファイルを参照するようにユーザーに指示します。 • Encryption クライアントの各機能の使用方法については、『Dell Encrypt Help』（Dell Encrypt ヘルプ）を参照してください。このヘルプには、 :\Program Files\Dell\Dell Data Protection\Encryption\Help からアクセスします。 • External Media Shield の各機能の使用方法については、『EMS Help』（EMS ヘル
PAGE 29
Security Framework は、基本的なセキュリティフレームワーク、ならびに PBA および指紋やパスワードなどの資格情報といった複数の認証方法を管理する高度な認証クライアントである Security Tools をインストールします。 Advanced Authentication は、高度な認証に必要なファイルとサービスをインストールします。 Encryption は、コンピュータがネットワークに接続されている、ネットワークに接続されていない、紛失された、または盗難されたかどうかにかかわらず、セキュリティポリシーを実施するコンポーネントである Encryption クライアントをインストールします。 Threat Protection は、Threat Protection クライアントをインストールします。これは、ウイルス、スパイウェア、および迷惑プログラムをスキャンするためのマルウェアおよびアンチウイルス保護、ネットワークおよびインターネット上におけるコンピュータとリソース間の通信を監視するクライアントファームウェア、ならびにオンライン参照中にウェブサイトの安全評価を表示、またはウェ
PAGE 30
パラメータ説明 SUPPRESSREBOOT インストールの完了後に自動的に行われる再起動を阻止します。SILENT モードで使用できます。 SERVER EE Server/VE Server の URL を指定します。 InstallPath インストールのパスを指定します。SILENT モードで使用できます。 FEATURES SILENT モードでインストールできるコンポーネントを指定します。 DE-TP = Threat Protection と Encryption DE = Drive Encryption（Encryption クライアント） BLM = BitLocker Manager SED = 自己暗号化ドライブ管理（EMAgent/Manager、PBA/GPE ドライバ） BLM_ONLY=1 SED Management のプラグインを除外するために FEATURES=BLM をコマンドラインに使用する時には、これを使用する必要があります。コマンドラインの例 • コマンドラインパラメータでは大文字と小文字を区別します。 • この例では、標準ポー
PAGE 31
5 ESS マスターインストーラを使用したアンインストール • 各コンポーネントを個別にアンインストールした後で、ESS マスターインストーラのアンインストールを行う必要があります。クライアントは、アンインストールの失敗を防止するための特定の順序でアンインストールする必要があります。 • 子インストーラを取得するには、「ESS マスターインストーラからの子インストーラの抽出」に記載されている手順に従います。 • インストールと同じバージョンの ESS マスターインストーラ（つまりクライアント）をアンインストールにも使用するようにしてください。 • 本章では、子インストーラのアンインストール方法の詳細な手順が記された他の章を参照します。本章では、最後の手順である ESS マスターインストーラのアンインストールのみを説明します。 • クライアントを以下の順序でアンインストールします。 a Threat Protection クライアントのアンインストール。 b Encryption クライアントのアンインストール。 c SED および Advanced Authenticatio
PAGE 32
6 子インストーラを使用したインストール • 各クライアントを個別にインストールするには、「ESS マスターインストーラからの子インストーラの抽出」にあるように、まず始めに ESS マスターインストーラから子実行可能ファイルを抽出する必要があります。 • このセクションに記載されているコマンドの例は、コマンドを C:\extracted から実行することが前提になっています。 • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • コマンドラインで空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 • これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術を活用して、クライアントをインストールします。 • コマンドラインの例では、再起動は省略されています。ただし、最終的には再起動する必要があります。暗号化は、コンピュータが再起動されるまで開始できません。 • ログファイル - Windows は、C:\Users\\AppDat
PAGE 33
• オプション意味 /qb!- キャンセルボタンなしの進捗状況ダイアログ、処理完了後に自動で再起動 /qn ユーザーインタフェースなし /norestart 再起動の抑制アプリケーションに関するサポートが必要なときには、次のドキュメントとヘルプファイルを参照するようにユーザーに指示します。 • Encryption クライアントの各機能の使用方法については、『Dell Encrypt Help』（Dell Encrypt ヘルプ）を参照してください。このヘルプには、 :\Program Files\Dell\Dell Data Protection\Encryption\Help からアクセスします。 • External Media Shield の各機能の使用方法については、『EMS Help』（EMS ヘルプ）を参照してください。このヘルプには、: \Program Files\Dell\Dell Data Protection\Encryption\EMS からアクセスします。 • Advanced Authenti
PAGE 34
パラメータ MANAGEDDOMAIN=（デバイスに対して使用するドメイン） DEVICESERVERURL=（アクティブ化に使用する URL、通常はサーバ名、ポート、xapi を含む） GKPORT=（ゲートキーパーポート） MACHINEID=（コンピュータ名） RECOVERYID=（リカバリ ID） REBOOT=ReallySuppress（Null は自動再起動に対応し、ReallySuppress は再起動を無効化） HIDEOVERLAYICONS=1（0 はオーバーレイアイコンを有効化、1 はオーバーレイアイコンを無効化） HIDESYSTRAYICON=1（0 は systray アイコンを有効化、1 は systray アイコンを無効化）コマンドラインで使用可能な基本的な .
PAGE 35
メモ: 一部の古いクライアントでは、パラメータ値の前後にエスケープ文字（\"）が必要な場合があります。例： DDPE_XXbit_setup.exe /v"CMG_DECRYPT=\"1\" CMGSILENTMODE=\"1\" DA_SERVER= \"server.organization.com\" DA_PORT=\"8050\" SVCPN=\"administrator@organization.com\" DA_RUNAS=\"domain\username\" DA_RUNASPWD=\"password\" /qn" Threat Protection クライアントのインストール • Threat Protection および Advanced Threat Prevention は、同じコンピュータに共存できません。互換性の問題が発生するので、これらの両方のコンポーネントを同じコンピュータにインストールしないでください。Advanced Threat Prevention をインストールする場合、手順については『Endpoint Security Suite Enterprise
PAGE 36
パラメータ説明メモ: 3 つすべてのモジュールをインストールする必要があります。 • override "hips" ホストイントルージョン防止機能をインストールしません INSTALLDIR デフォルト以外のインストール場所 nocontentupdate インストーラに、インストールプロセスの一部として自動的にコンテンツファイルのアップデートを行わないよう指示します。インストール完了後にできる限り早くアップデートのスケジュールを行うことをお勧めします。 nopreservesettings 設定を保存しません。次の表は、DellThreatProtection.msi ファイルに使用できるパラメータについての詳細です。パラメータ説明 Reboot=ReallySuppress 再起動を抑制します。 ARP 0=プログラムの追加 / 削除にエントリなし 1=プログラムの追加 / 削除にエントリ • 次の表は、EnsMgmtSdkInstaller.
PAGE 37
• 次の例では、再起動の抑制、ダイアログなし、プログレスバーなし、コントロールパネルプログラムリストにエントリなし、というデフォルトのパラメータでクライアントをインストールします。 "Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.msi" /qn REBOOT=ReallySuppress ARPSYSTEMCOMPONENT=1 \Dell Threat Protection\SDK • 次の例では、Threat Protection SDK をインストールします。 "Dell Threat Protection\SDK\EnsMgmtSdkInstaller.exe" -ProtectProcesses "C:\Program Files\Dell \Dell Data Protection\Threat Protection\DellAVAgent.exe" -InstallSDK -RemoveRightClick RemoveMcTray >"C:\ProgramData\Dell\Dell Data
PAGE 38
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.com SECURITYSERVERPORT=8443 ARPSYSTEMCOMPONENT=1 / norestart /qn" 次の操作： \Security Tools\Authentication • 次の例では、サイレントインストール、再起動なし、という設定で Advanced Authentication をインストールします。 setup.
PAGE 39
EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.com SERVERPORT=8888 SECURITYSERVERHOST=server.organization.
PAGE 40
7 子インストーラを使用したアンインストール • 各クライアントを個別にアンインストールするには、「ESS マスターインストーラからの子インストーラの抽出」にあるように、まず始めに ESS マスターインストーラから子実行可能ファイルを抽出する必要があります。あるいは、管理インストールを実行して .msi を抽出します。 • アンインストールには、インストール時と同じバージョンのクライアントを使用するようにしてください。 • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • コマンドラインでは、空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。コマンドラインパラメータでは大文字と小文字を区別します。 • これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術を活用して、クライアントをアンインストールします。 • ログファイル - Windows はログインしたユーザー用に、固有の子インストーラアンインストールログファイルを C:\Users\
PAGE 41
オプション意味 /qb!- キャンセルボタンなしの進捗状況ダイアログ、処理完了後に自動で再起動 /qn ユーザーインタフェースなし Threat Protection クライアントのアンインストールコマンドラインでのアンインストール • ESS マスターインストーラから抽出した後は、C:\extracted\Dell Threat Protection\ThreatProtection\WinXXR\DellThreatProtection.
PAGE 42
• Encryption Removal Agent - ファイルからキーをインポートオプションを使用する場合、Encryption Removal Agent を起動する前に Dell Administrative Utility（CMGAd）を使用する必要があります。このユーティリティは、暗号化キーバンドルの取得に使用されます。手順については「Administrative Download Utility（CMGAd）の使用」を参照してください。このユーティリティは、Dell インストールメディアにあります。 • アンインストールが完了した後、コンピュータを再起動する前に、WSScan を実行して、すべてのデータが復号化されていることを確認します。手順については、「WSScan の使用」を参照してください。 • 「Encryption Removal Agent ステータスのチェック」を定期的に行ってください。Encryption Removal Agent Service がまだサービスパネルに存在している場合、データ復号化はまだ進行中です。コマンドラインでのアンインストール •
PAGE 43
• パラメータ選択 SVCLOGONPWD ユーザーとしてログオンするためのパスワード。次の例では、サイレントに Encryption クライアントをアンインストールし、EE Server から暗号化キーをダウンロードします。 DDPE_XXbit_setup.exe /s /x /v"CMG_DECRYPT=1 CMGSILENTMODE=1 DA_SERVER=server.organization.com DA_PORT=8050 SVCPN=administrator@organization.com DA_RUNAS=domain\username DA_RUNASPWD=password /qn" MSI コマンド： msiexec.exe /s /x "Dell Data Protection Encryption.msi" /qn REBOOT="ReallySuppress" CMG_DECRYPT="1" CMGSILENTMODE="1" DA_SERVER="server.organization.
PAGE 44
PBA の非アクティブ化 1 リモート管理コンソールに Dell 管理者としてログインします。 2 左ペインで、保護と管理 > エンドポイントをクリックします。 3 適切なエンドポイントの種類を選択します。 4 表示 > 表示、非表示またはすべてを選択します。 5 コンピュータのホスト名がわかっている場合は、そのホスト名をホスト名フィールドに入力します。ワイルドカードも使用できます。このフィールドを空白のままにすると、すべてのコンピュータが表示されます。検索をクリックします。ホスト名がわからない場合は、リストをスクロールして該当するコンピュータを探します。検索フィルタに基づいて、1 台のコンピュータ、またはコンピュータのリストが表示されます。 6 該当するコンピュータの詳細アイコンを選択します。 7 上部メニューのセキュリティポリシーをクリックします。 8 ポリシーカテゴリドロップダウンメニューから、自己暗号化ドライブを選択します。 9 SED 管理エリアを展開し、SED 管理の有効化ポリシーおよび PBA のアクティブ化ポリシーを Tr
PAGE 45
BitLocker Manager クライアントのアンインストールコマンドラインでのアンインストール • ESS マスターインストーラから抽出した後は、C:\extracted\Security Tools\EMAgent_XXbit_setup.exe で BitLocker クライアントインストーラを見つけることができます。 • 次の例は、BitLocker Manager クライアントをサイレントアンインストールします。 EMAgent_XXbit_setup.
PAGE 46
8 一般的なシナリオ • • 各クライアントを個別にインストールするには、「ESS マスターインストーラからの子インストーラの抽出」にあるように、まず始めに ESS マスターインストーラから子実行可能ファイルを抽出する必要があります。 SED クライアントは、v8.x で Advanced Authentication に必要であり、このため次の例でコマンドラインの一部になっています。 • コマンドラインのスイッチおよびパラメータは大文字と小文字を区別します。 • コマンドラインでは、空白などの特殊文字を 1 つ、または複数含む値は、エスケープされた引用符で囲むようにしてください。 • これらのインストーラを使用し、スクリプトインストールやバッチファイルを利用するか、組織で利用できる他のプッシュ技術を活用して、クライアントをインストールします。コマンドラインの例では、再起動は省略されています。ただし、最終的には再起動する必要があります。暗号化は、コンピュータが再起動されるまで開始できません。 • • ログファイルー Windows は、C:\Users\\App
PAGE 47
• Advanced Authentication および Threat Protection の機能の使用方法については、Endpoint Security Suite ヘルプを参照してください。ヘルプには、:\Program Files\Dell\Dell Data Protection\Endpoint Security Suite\Threat Protection\Help からアクセスしてください。 Encryption クライアント、Threat Protection、および Advanced Authentication • 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラムリストにエントリなし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection にインストールという設定で、リモート管理される SED をインストールします。 EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.
PAGE 48
Encryption クライアントおよび Threat Protection • 次の例では、指定した場所に、TPM 用の信頼済みソフトウェアスタック（TSS）、および Microsoft ホットフィックスのドライバをインストールし、コントロールパネルプログラムリストにはエントリを作成せず、再起動は実行しません。これらのドライバは Encryption クライアントをインストールする際にインストールする必要があります。 setup.exe /S /z"\"InstallPath=, ARPSYSTEMCOMPONENT=1, SUPPRESSREBOOT=1\"" 次の操作： • 次の例では、Encryption クライアントと Encrypt for Sharing、ダイアログなし、プログレスバーなし、再起動なし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection にインストールというデフォルトのパラメータで Encryption クライアントをインストールします。 DDPE_XXbit_setup.
PAGE 49
DDPE_XXbit_setup.exe /s /v"EME=1 SERVERHOSTNAME=server.organization.com POLICYPROXYHOSTNAME=rgk.organization.com DEVICESERVERURL=https://server.organization.com:8443/ xapi/ MANAGEDDOMAIN=ORGANIZATION /norestart /qn" BitLocker Manager および External Media Shield • 次の例では、サイレントインストール、再起動なし、コントロールパネルプログラムリストにエントリなし、デフォルトの場所 C:\Program Files\Dell\Dell Data Protection にインストールという設定で、BitLocker Manager をインストールします。 EMAgent_XXbit_setup.exe /s /v"CM_EDITION=1 SERVERHOST=server.organization.
PAGE 50
9 ワンタイムパスワード、SED UEFI、および BitLocker のための事前インストール設定 TPM の初期化 • ローカル管理者グループまたは同等のグループのメンバーである必要があります。 • コンピュータには互換性のある BIOS および TPM が搭載されている必要があります。ワンタイムパスワード（OTP）を使用する場合、このタスクが必要です。 • http://technet.microsoft.com/en-us/library/cc753140.
PAGE 51
1 コンピュータを再起動します。 2 再起動中に、繰り返し F12 を押して UEFI コンピュータの起動設定を表示します。 3 下向き矢印を押して BIOS 設定オプションをハイライト表示し、Enter を押します。 4 設定 > 一般 > 詳細起動オプションの順に選択します。 5 レガシーオプション ROM を有効にするチェックボックスのチェックを外して、適用をクリックします。 BitLocker PBA パーティションを設定する事前インストール設定 • BitLocker Manager をインストールする前に PBA パーティションを作成しておく必要があります。 • BitLocker Manager をインストールする前に TPM をオンにしてアクティブ化します。BitLocker Manager は TPM の所有権を取得します（再起動の必要はありません）。ただし、TPM の所有権がすでに存在する場合は、BitLocker Manager が暗号化セットアッププロセスを開始します。ここでのポイントは、TPM が「所有」されている必要があるという点です。
PAGE 52
10 ドメインコントローラでの GPO の設定による資格の有効化 • お使いのクライアントが Dell Digital Delivery（DDD）から資格を得る場合は、これらの手順に従ってドメインコントローラに GPO を設定し、資格を有効にします（このサーバーは、EE Server/VE Server を実行しているサーバーとは異なる場合があります）。 • ワークステーションは、GPO が適用されている OU のメンバーである必要があります。メモ: EE Server/VE Server との通信に送信ポート 443 が使用可能であることを確認します。ポート 443 が何らかの理由でブロックされている場合、資格機能は機能しません。 1 クライアントを管理するドメインコントローラで、スタート > 管理ツール > グループポリシーの管理の順にクリックします。 2 ポリシーが適用される OU を右クリックし、このドメインでの GPO の作成とこのコンテナにリンクする...
PAGE 53
11 ESS マスターインストーラからの子インストーラの抽出 • 各クライアントを個別にインストールするには、子の実行可能ファイルをインストーラから抽出します。 • ESS マスターインストーラはマスターアンインストーラではありません。各クライアントを個別にアンインストールした後で、ESS マスターインストーラのアンインストールを行う必要があります。アンインストールに使用できるように、このプロセスを使用して ESS マスターインストーラからクライアントを抽出します。 1 Dell インストールメディアから、ファイルをローカルコンピュータにコピーします。 2 ファイルと同じ場所でコマンドプロンプトを開き、次のように入力します。 DDPSuite.exe /z"\"EXTRACT_INSTALLERS=C:\extracted\"" 抽出パスは 63 文字を超えられません。インストールを開始する前に、すべての前提条件が満たされており、インストールする予定の各子インストーラに対して必要なすべてのソフトウェアがインストールされていることを確認します。詳細については、「要件」を参照してください
PAGE 54
12 EE Server に対してアクティブ化した Encryption クライアントをアンインストールするための Key Server の設定 • 本項では、EE Server 使用時における Kerberos 認証 / 承認との使用のためにコンポーネントを設定する方法について説明します。VE Server では Key Server は使用しません。 Key Server は、ソケット上で接続されるクライアントをリッスンするサービスです。クライアントが接続されたら、Kerberos API を使用して、セキュア接続のネゴシエーション、認証、暗号化が行われます。セキュア接続がネゴシエーションできない場合、クライアントが切断されます。 Key Server は、クライアントを実行しているユーザーがキーにアクセスできるかどうかを Security Server（以前の Device Server）に確認します。このアクセスは、個別のドメインを経由したリモート管理コンソール上で許可されます。 • Kerberos 認証 / 承認を使用する場合は、Key Server コンポーネントを装備しているサ
PAGE 55
「superadmin」の形式には、EE Server の認証が受けられる任意の方法を指定できます。SAM アカウント名、UPN、またはドメイン\ユーザー名は容認できます。Active Directory に対する承認のためのユーザーアカウントには検証が必要であることから、EE Server に対して認証できる方法ならどれでも使用できます。例えば、マルチドメイン環境では、「jdoe」などの SAM アカウント名のみを入力すると失敗する場合があります。その理由は、EE Server で「jdoe」を検索できず、「jdoe」を認証できないためです。マルチドメイン環境では、ドメイン\ユーザー名の形式が容認できますが、UPN が推奨されます。単一ドメイン環境では、SAM アカウント名が容認できます。 4 に移動して、「epw」を「password」に変更します。その後、"" を、手順 3 のユーザーのパスワードに変更します
PAGE 56
3 log.txt に移動して、サービスが正しく開始していることを確認します。 4 サービスパネルを閉じます。リモート管理コンソール - フォレンジック管理者の追加 1 必要な場合は、リモート管理コンソールにログオンします。 2 ポピュレーション > ドメインをクリックします。 3 適切なドメインを選択します。 4 Key Server タブをクリックします。 5 アカウントフィールドで、管理者アクティビティを実行しているユーザーを追加します。この形式は DOMAIN\UserName です。アカウントの追加をクリックします。 6 左のメニューでユーザーをクリックします。検索ボックスで、手順 5 で追加したユーザー名を検索します。検索をクリックします。 7 正しいユーザーが検索されたら、管理者アイコンをクリックします。 8 フォレンジック管理者を選択し、アップデートをクリックします。これで、コンポーネントが Kerberos 認証 / 承認用に設定されました。 56 Dell Data Pro
PAGE 57
13 Administrative Download Utility （CMGAd）の使用 • このユーティリティでは、EE Server/VE Server に接続していないコンピュータ上で使用するためにキーマテリアルのバンドルをダウンロードできます。 • このユーティリティは、アプリケーションに渡されるコマンドラインパラメータに応じて、次のいずれかの方法を使用してキーバンドルをダウンロードします。 • フォレンジックモード - コマンドラインで -f が渡された場合、またはコマンドラインパラメータが使用されていない場合に使用されます。 • 管理者モード - コマンドラインで -a が渡された場合に使用されます。ログファイルは、C:\ProgramData\CmgAdmin.log にあります。フォレンジックモードでの Administrative Download Utility の使用 1 cmgad.exe をダブルクリックして、ユーティリティを起動するか、CMGAd が置かれている場所でコマンドプロンプトを開いて cmgad.exe -f（または cmgad.
PAGE 58
管理者モードでの Administrative Download Utility の使用 VE Server は Key Server を使用しないので、管理者モードを使用して VE Server からキーバンドルを取得することはできません。VE Server に対してクライアントがアクティブ化されている場合は、フォレンジックモードを使用してキーバンドルを取得してください。 1 CMGAd が置かれている場所でコマンドプロンプトを開き、cmgad.exe -a と入力します。 2 次の情報を入力します（一部のフィールドは事前に入力されている場合があります）。サーバー：Key Server の完全修飾ホスト名（keyserver.domain.com など）。ポート番号：デフォルトのポートは 8050 です。サーバーアカウント：Key Server を実行するときのドメインユーザー。この形式は domain\username です。ユーティリティを実行するドメインユーザーには、Key Server からダウンロードを実行する権限が与えられている必要があります。 MCID：マシン ID（mach
PAGE 59
14 トラブルシューティングすべてのクライアントのトラブルシューティング • ESS マスターインストーラログファイルは C:\ProgramData\Dell\Dell Data Protection\Installer にあります。 • Windows は、C:\Users\\AppData\Local\Temp. に、ログインしたユーザーに関する独自の子インストーラインストールログファイルを作成します。 • Windows はログインしたユーザー用に、クライアントの前提条件（Visual C++ など）ログファイルを C:\Users\\AppData\Local\Temp. にある %temp% に作成します。For example, C:\Users\\AppData\Local\Temp\dd_vcredist_amd64_20160109003943.log • インストール対象のコンピューターにインストールされている Microsoft .Net のバージョンを検証するには、http://msdn.
PAGE 60
5：デバッグ情報をログに記録する TSS バージョンの確認 • TSS は、TPM と連動するコンポーネントです。TSS バージョンを確認するには、C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin > tcsd_win32.
PAGE 61
3 WSScan の出力をファイルに書き込まない場合は、ファイルに出力チェックボックスをオフにします。 4 必要に応じて、パスに含まれているデフォルトパスとファイル名を変更します。 5 既存のどの WSScan 出力ファイルも上書きしない場合は、既存のファイルに追加を選択します。 6 出力書式を選択します。 7 • スキャンした結果をレポートスタイルのリストで出力する場合は、レポート書式を選択します。これがデフォルトの書式です。 • スプレッドシートアプリケーションにインポートできる書式で出力する場合は、値区切りファイルを選択します。デフォルトの区切り文字は「|」ですが、最大 9 文字の英数字、空白、またはキーボード上のパンクチュエーション文字に変更できます。 • 各値を二重引用符で囲むには、クォートされる値オプションを選択します。 • 各暗号化ファイルに関する一連の固定長情報を含む区切りのない出力には、固定幅ファイルを選択します。検索をクリックします。検索の停止をクリックして検索を停止します。クリアをクリックし、表示されているメッセージをクリアします
PAGE 62
スイッチ意味 -uav すべてのユーザーポリシーを使用して、ポリシーだけに違反した非暗号化ファイルをレポートします（Is=No / 。 Should=Y） -d 区切り付き出力の値区切り文字として使用する文字を指定します。 -q 区切り付き出力で、引用符で囲む必要のある値を指定します。 -e 区切り付きファイルに、拡張暗号化フィールドを含めます。 -x スキャンからディレクトリを除外します。複数の除外が許可されます。 -y ディレクトリ間のスリープ時間（ミリ秒単位）。このスイッチを指定すると、スキャンが遅くなりますが、CPU の応答が向上する可能性があります。 WSScan 出力暗号化ファイルに関する WSScan の情報には、次の情報が含まれています。出力例： [2015-07-28 07:52:33] SysData.7vdlxrsb._SDENCR_: "c:\temp\Dell - test.
PAGE 63
出力意味 AES 128 AES 256 3DES WSProbe の使用 Probing Utility は、EMS ポリシーを除き、すべてのバージョンの Encryption クライアントで使用するためのものです。次の目的で Probing Utility を使用します。 • 暗号化されたコンピュータをスキャンする、またはスキャンのスケジュールを設定するため。Probing Utility は、ワークステーションのスキャン優先度ポリシーに従います。 • 現在のユーザーアプリケーションデータ暗号化リストを一時的に無効または有効にするため。 • 権限リストでプロセス名を追加または削除するため。 • Dell ProSupport からの指示に従ってトラブルシューティングするため。データ暗号化へのアプローチ Windows デバイス上でデータを暗号化するようにポリシーを指定した場合、次のアプローチのいずれかを使用できます。 • 最初のアプローチは、クライアントのデフォルトの動作を受け入れるというものです。共通暗号化フォルダまたはユーザー暗号化フォルダ内のフォルダを指定するか、「マ
PAGE 64
パラメータ目的 path オプションで、可能性のある暗号化 / 復号化についてスキャンするデバイス上の特定のパスを指定します。パスを指定しない場合、このユーティリティは、暗号化ポリシーに関連したすべてのフォルダをスキャンします。 -h コマンドラインヘルプを表示します。 -f TrouDell ProSupport からの指示に従ってトラブルシューティングします。 -u ユーザーアプリケーションデータ暗号化リストを一時的に無効または有効にします。このリストは、現在のユーザーに対して暗号化有効が選択されている場合に有効です。無効にするには 0 を、再度有効にするには 1 を指定します。ユーザーにとって有効な現在のポリシーは、次回のログオン時に復元されます。 -x 権限リストにプロセス名を追加します。このリスト上のコンピュータおよびインストーラプロセス名と、このパラメータまたは HKLM\Software\CREDANT\CMGShield\EUWPrivilegedList を使用して追加するプロセス名は、アプレケーションデータ暗号化リストで指定されている場合に無視されます。コン
PAGE 65
SED クライアントのトラブルシューティング初期アクセスコードポリシーの使用 • このポリシーは、ネットワークアクセスが使用できない場合に、コンピュータにログオンするために使用されます。つまり、EE Server/VE Server と AD のどちらにもアクセスできなくなります。初期アクセスコードポリシーは、絶対に必要な場合にしか使用しないでください。デルはこのログイン方法を推奨しません。初期アクセスコードポリシーを使用しても、ユーザー名、ドメイン、およびパスワードを使用する通常のログイン方法とは同じセキュリティレベルにはなりません。安全性の低いログイン方法であるだけでなく、エンドユーザーが初期アクセスコードを使用してアクティブ化される場合、このコンピュータでユーザーがアクティブ化された記録は EE Server/VE Server には残りません。したがって、エンドユーザーがパスワードおよびセルフヘルプ質問の入力に失敗しても、EE Server/VE Server からレスポンスコードを生成することはできません。 • 初期アクセスコードを使用できるのは、アクティブ化直後 1 回限り
PAGE 66
トラブルシューティングのための PBA ログファイルの作成 • 以下のように、PBA 問題のトラブルシューティングに PBA ログファイルが必要となる場合があります。 • ネットワーク接続があるにも関わらず、ネットワーク接続アイコンが表示されない。ログファイルには、問題を解決するための DHCP 情報が記載されています。 • DDP EE Server/VE Server 接続アイコンが表示されない。ログファイルには、EE Server/VE Server との接続の問題を診断するのに役立つ情報が記載されています。 • 正しい資格情報を入力しても認証に失敗する。この問題の診断には、DDP EE Server/VE Server ログと併用されるログファイルが役立ちます。 PBA（レガシー PBA）起動時のログのキャプチャ 1 USB ドライブに USB ドライブのルートレベルでフォルダを作成し、\CredantSED と命名します。 2 actions.txt という名前のファイルを作成し、\CredantSED フォルダ内に格納します。 3 actions.
PAGE 67
4 ターゲットコンピューターのオペレーティングシステムを選択します。 5 セキュリティカテゴリを展開します。 6 Dell ControlVault ドライバをダウンロードして保存します。 7 Dell ControlVault ファームウェアをダウンロードして保存します。 8 必要に応じて、ターゲットコンピュータにドライバとファームウェアをコピーします。 Dell ControlVault ドライバのインストールドライバのインストールファイルをダウンロードしたフォルダに移動します。 Dell ControlVault ドライバをダブルクリックして自己解凍形式の実行可能ファイルを実行します。 : ドライバを先にインストールします。本文書の作成時におけるドライバのファイル名は ControlVault_Setup_2MYJC_A37_ZPE.exe です。続行をクリックして開始します。 Ok をクリックして、ドライバファイルを C:\Dell\Drivers\ のデフォルトの場所に解凍します。はいをクリックして新しいフォルダの作成を許可します。正
PAGE 68
: ファームウェアの旧バージョンからアップグレードする場合は、管理者パスワードを入力するよう求められることがあります。Broadcom をパスワードとして入力し、このダイアログが表示された場合は Enter をクリックします。いくつかのステータスメッセージが表示されます。 10 再起動をクリックしてファームウェアのアップグレードを完了します。 Dell ControlVault ドライバおよびファームウェアのアップデートが完了しました。 UEFI コンピュータネットワーク接続のトラブルシューティング • UEFI ファームウェア搭載のコンピュータで起動前認証を正常に行うには、PBA モードでネットワーク接続が必要です。デフォルトでは、UEFI ファームウェア搭載のコンピュータには、オペレーティングシステムがロードされるまでネットワーク接続がなく、これは PBA モードの後で実行されます。UEFI コンピュータ用の事前インストール設定に概説されているコンピュータ手順が成功し、適切に設定されると、コンピュータがネットワークに接続するとき、起動前認証画面にネットワーク接続アイコンが表示されます。
PAGE 69
定数 / 値説明 TPM_E_CLEAR_DISABLED クリア無効フラグが設定され、すべてのクリア操作で物理的なアクセスが必要になりました。 0x80280005 TPM_E_DEACTIVATED TPM をアクティブ化します。 0x80280006 TPM_E_DISABLED TPM を有効にします。 0x80280007 TPM_E_DISABLED_CMD ターゲットコマンドが無効になっています。 0x80280008 TPM_E_FAIL 操作が失敗しました。 0x80280009 TPM_E_BAD_ORDINAL 序数が不明または一貫していませんでした。 0x8028000A TPM_E_INSTALL_DISABLED 所有者をインストールする機能が無効です。 0x8028000B TPM_E_INVALID_KEYHANDLE キーハンドルを解釈できません。 0x8028000C TPM_E_KEYNOTFOUND キーハンドルが無効なキーを示しています。 0x8028000D TPM_E_INAPPROPRIATE_ENC 受け入れられな
PAGE 70
定数 / 値説明 TPM_E_OWNER_SET TPM にはすでに所有者がいます。 0x80280014 TPM_E_RESOURCES 0x80280015 TPM_E_SHORTRANDOM TPM には、リクエストされたアクションを実行するための内部リソースが不足しています。ランダム文字列が短すぎました。 0x80280016 TPM_E_SIZE TPM には、操作を実行するための容量がありません。 0x80280017 TPM_E_WRONGPCRVAL 名前付き PCR 値が現在の PCR 値に一致していません。 0x80280018 TPM_E_BAD_PARAM_SIZE コマンドに対する paramSize 引数の値が正しくありません。 0x80280019 TPM_E_SHA_THREAD 既存の SHA-1 スレッドがありません。 0x8028001A TPM_E_SHA_ERROR 0x8028001B 既存の SHA-1 スレッドでエラーがすでに発生しているので、計算を続行できません。 0x8028001C TPM ハードウェアデバイスが、
PAGE 71
定数 / 値説明 TPM_E_NO_ENDORSEMENT TPM には、保証キー（EK）がインストールされていません。 0x80280023 TPM_E_INVALID_KEYUSAGE キーの使用は許可されていません。 0x80280024 TPM_E_WRONG_ENTITYTYPE 送信されたエンティティタイプは許可されていません。 0x80280025 TPM_E_INVALID_POSTINIT 0x80280026 TPM_E_INAPPROPRIATE_SIG コマンドは、TPM の初期およびその後の TPM スタートアップに関連して間違った順序で受信されました。署名データには、追加の DER 情報を含められません。 0x80280027 TPM_E_BAD_KEY_PROPERTY 0x80280028 TPM_E_BAD_MIGRATION TPM_KEY_PARM におけるキープロパティは、この TPM によってサポートされません。このキーの移行プロパティは正しくありません。 0x80280029 TPM_E_BAD_SCHEME 0x8028002A
PAGE 72
定数 / 値説明 TPM_E_NOTRESETABLE リセット可能な属性を持たない PCR レジスタをリセットしようとしています。 0x80280032 TPM_E_NOTLOCAL 0x80280033 TPM_E_BAD_TYPE コマンドトランスポートの一部ではないローカリティおよびローカリティ修飾子を必要とする PCR レジスタをリセットしようとしています。識別情報 BLOB が正しく入力されないようにします。 0x80280034 TPM_E_INVALID_RESOURCE 0x80280035 TPM_E_NOTFIPS 0x80280036 TPM_E_INVALID_FAMILY コンテキストの保存時に、識別されたリソースタイプが実際のリソースに一致していません。 TPM が、FIPS モードの場合にのみ利用できるコマンドを実行しようとしています。コマンドが、無効なファミリー ID を使用しようとしています。 0x80280037 TPM_E_NO_NV_PERMISSION NV ストレージを操作するための許可が利用できません。 0x80280038 TP
PAGE 73
定数 / 値説明 TPM_E_WRITE_LOCKED NV 領域はすでに書き込まれています。 0x80280041 TPM_E_BAD_ATTRIBUTES NV 領域属性が競合しています。 0x80280042 TPM_E_INVALID_STRUCTURE 構造タグおよびバージョンが無効であるか、一貫していません。 0x80280043 TPM_E_KEY_OWNER_CONTROL 0x80280044 TPM_E_BAD_COUNTER キーが、TPM 所有者の制御下にあり、TPM 所有者によってのみ排除できます。カウンタハンドルが正しくありません。 0x80280045 TPM_E_NOT_FULLWRITE 書き込みは、領域の完全な書き込みではありません。 0x80280046 TPM_E_CONTEXT_GAP 保存したコンテキストカウントのギャップが大きすぎます。 0x80280047 TPM_E_MAXNVWRITES 所有者なしの NV 書き込みの最大数を超過しました。 0x80280048 TPM_E_NOOPERATOR 演算子 AuthDat
PAGE 74
定数 / 値説明 TPM_E_DAA_RESOURCES DAA コマンドにはその実行に利用できるリソースがありません。 0x80280050 TPM_E_DAA_INPUT_DATA0 DAA パラメータ inputData0 の整合性チェックが失敗しました。 0x80280051 TPM_E_DAA_INPUT_DATA1 DAA パラメータ inputData1 の整合性チェックが失敗しました。 0x80280052 TPM_E_DAA_ISSUER_SETTINGS DAA_issuerSettings の整合性チェックが失敗しました。 0x80280053 TPM_E_DAA_TPM_SETTINGS DAA_tpmSpecific の整合性チェックが失敗しました。 0x80280054 TPM_E_DAA_STAGE 0x80280055 TPM_E_DAA_ISSUER_VALIDITY 送信された DAA コマンドで示された原子的なプロセスが、予想されたプロセスではありません。発行者の妥当性チェックが不整合を検出しました。 0x80280056 TPM_E_D
PAGE 75
定数 / 値説明 TPM_E_MA_AUTHORITY 移行承認機関が正しくありません。 0x8028005F TPM_E_PERMANENTEK EK を呼び出そうとしており、EK は呼び出し可能ではありません。 0x80280061 TPM_E_BAD_SIGNATURE CMK チケットの署名が間違っています。 0x80280062 TPM_E_NOCONTEXTSPACE コンテキストリストにコンテキストを追加するための余裕がありません。 0x80280063 TPM_E_COMMAND_BLOCKED コマンドはブロックされました。 0x80280400 TPM_E_INVALID_HANDLE 指定されたハンドルが見つかりませんでした。 0x80280401 TPM_E_DUPLICATE_VHANDLE 0x80280402 TPM_E_EMBEDDED_COMMAND_BLOCKED TPM が重複したハンドルを返したので、コマンドを再送信する必要があります。トランスポート内のコマンドがブロックされました。 0x80280403 TPM_E_EMBEDDE
PAGE 76
定数 / 値説明 TBS_E_INVALID_OUTPUT_POINTER 指定された出力ポインタが間違っています。 0x80284003 TBS_E_INVALID_CONTEXT 0x80284004 TBS_E_INSUFFICIENT_BUFFER 指定されたコンテキストハンドルは、有効なコンテキストを参照していません。指定の出力バッファが小さすぎます。 0x80284005 TBS_E_IOERROR TPM との通信中にエラーが発生しました。 0x80284006 TBS_E_INVALID_CONTEXT_PARAM 1 つまたは複数のコンテキストパラメータが無効です。 0x80284007 TBS_E_SERVICE_NOT_RUNNING TBS サービスが実行しておらず、開始できません。 0x80284008 TBS_E_TOO_MANY_TBS_CONTEXTS 0x80284009 TBS_E_TOO_MANY_RESOURCES 0x8028400A TBS_E_SERVICE_START_PENDING 開いているコンテキストが多すぎるので、新しいコ
PAGE 77
定数 / 値説明 TBS_E_ACCESS_DENIED 呼び出し側に、リクエストされた操作を実行するための適切な権限がありません。 0x80284012 TBS_E_PROVISIONING_NOT_ALLOWED 0x80284013 TBS_E_PPI_FUNCTION_UNSUPPORTED 0x80284014 TBS_E_OWNERAUTH_NOT_FOUND TPM プロビジョニングアクションが、指定のフラグによって許可されていません。プロビジョニングが成功するには、いくつかのアクションのいずれかが必要になる場合があります。TPM を準備された状態にする TPM 管理コンソール（tpm.
PAGE 78
定数 / 値説明 TPMAPI_E_ACCESS_DENIED 呼び出し側に、リクエストされた操作を実行するための適切な権限がありません。 0x80290108 TPMAPI_E_AUTHORIZATION_FAILED 指定した承認情報が無効でした。 0x80290109 TPMAPI_E_INVALID_CONTEXT_HANDLE 指定のコンテキストが有効ではありませんでした。 0x8029010A TPMAPI_E_TBS_COMMUNICATION_ERROR TBS との通信中にエラーが発生しました。 0x8029010B TPMAPI_E_TPM_COMMAND_ERROR TPM が予想外の結果を返しました。 0x8029010C TPMAPI_E_MESSAGE_TOO_LARGE メッセージは、エンコードスキーマには大きすぎます。 0x8029010D TPMAPI_E_INVALID_ENCODING BLOB のエンコードが認識されませんでした。 0x8029010E TPMAPI_E_INVALID_KEY_SIZE キーサイズが有効ではありませ
PAGE 79
定数 / 値説明 TPMAPI_E_INVALID_PCR_DATA 指定の PCR データは無効でした。 0x80290117 TPMAPI_E_INVALID_OWNER_AUTH 所有者認証データの形式が無効でした。 0x80290118 TPMAPI_E_FIPS_RNG_CHECK_FAILED 生成されたランダム数は FIPS RNG チェックをパスしません。 0x80290119 TPMAPI_E_EMPTY_TCG_LOG TCG イベントログにはデータが含まれていません。 0x8029011A TPMAPI_E_INVALID_TCG_LOG_ENTRY TCG イベントログでのエントリが無効です。 0x8029011B TPMAPI_E_TCG_SEPARATOR_ABSENT TCG 区切り文字が見つかりません 0x8029011C TPMAPI_E_TCG_INVALID_DIGEST_ENTRY 0x8029011D TPMAPI_E_POLICY_DENIES_OPERATION 0x8029011E TBSIMP_E_BUFFER_TOO_SMALL
PAGE 80
定数 / 値説明 TBSIMP_E_INVALID_OUTPUT_POINTER 返されたハンドルの場所を示すポインタが NULL または無効でした。 0x80290207 TBSIMP_E_INVALID_PARAMETER 1 つまたは複数のパラメータが無効です。 0x80290208 TBSIMP_E_RPC_INIT_FAILED RPC サブシステムを初期化できませんでした。 0x80290209 TBSIMP_E_SCHEDULER_NOT_RUNNING TBS スケジューラが実行していません。 0x8029020A TBSIMP_E_COMMAND_CANCELED コマンドがキャンセルされました。 0x8029020B TBSIMP_E_OUT_OF_MEMORY リクエストに応えるだけ十分なメモリがありませんでした。 0x8029020C TBSIMP_E_LIST_NO_MORE_ITEMS 指定のリストが空か、繰り返しがリストの最後に到達しました。 0x8029020D TBSIMP_E_LIST_NOT_FOUND 指定のアイテムがリストに見つかり
PAGE 81
定数 / 値説明 TBSIMP_E_HASH_TABLE_FULL 新しいエントリをハッシュテーブルに追加できません。 0x80290216 TBSIMP_E_TOO_MANY_TBS_CONTEXTS 0x80290217 TBSIMP_E_TOO_MANY_RESOURCES 0x80290218 TBSIMP_E_PPI_NOT_SUPPORTED 開いているコンテキストが多すぎるので、新しい TBS コンテキストを作成できませんでした。開いている仮想リソースが多すぎるので、新しい仮想リソースを作成できませんでした。物理プレゼンスインターフェースがサポートされていません。 0x80290219 TBSIMP_E_TPM_INCOMPATIBLE 0x8029021A TBSIMP_E_NO_EVENT_LOG TBS は、システム上に見つかった TPM のバージョンと互換性がありません。 TCG イベントログが利用できません。 0x8029021B TPM_E_PPI_ACPI_FAILURE 0x80290300 TPM_E_PPI_USER_ABORT 物理プレゼンスコ
PAGE 82
定数 / 値説明 TPM_E_PCP_FLAG_NOT_SUPPORTED プラットフォーム暗号化プロバイダに提供されたフラグがサポートされていません。 0x80290404 TPM_E_PCP_NOT_SUPPORTED 0x80290405 TPM_E_PCP_BUFFER_TOO_SMALL 0x80290406 TPM_E_PCP_INTERNAL_ERROR 0x80290407 TPM_E_PCP_AUTHENTICATION_FAILED リクエストされた操作は、このプラットフォーム暗号化プロバイダでサポートされていません。バッファが非常に小さく、すべてのデータは含められません。バッファに情報が書き込まれていません。プラットフォーム暗号化プロバイダで、予想外の内部エラーが発生しました。プロバイダオブジェクトを使用する承認が失敗しました。 0x80290408 TPM_E_PCP_AUTHENTICATION_IGNORED 0x80290409 TPM_E_PCP_POLICY_NOT_FOUND プラットフォーム暗号化デバイスは、辞書攻撃を抑えるために、プロバイ
PAGE 83
定数 / 値説明 PLA_E_PROPERTY_CONFLICT プロパティ値が競合しています。 0x80300101 PLA_E_DCS_SINGLETON_REQUIRED 0x80300102 PLA_E_CREDENTIALS_REQUIRED 0x80300103 PLA_E_DCS_NOT_RUNNING このデータコレクタセットの現在の設定では、ちょうど 1 つのデータコレクタを含むことが必要です。現在のデータコレクタセットプロパティをコミットするには、ユーザーアカウントが必要です。データコレクタセットが実行していません。 0x80300104 PLA_E_CONFLICT_INCL_EXCL_API 0x80300105 PLA_E_NETWORK_EXE_NOT_VALID 0x80300106 PLA_E_EXE_ALREADY_CONFIGURED 0x80300107 PLA_E_EXE_PATH_NOT_VALID 0x80300108 PLA_E_DC_ALREADY_EXISTS API の包含 / 除外リストで競合が検出されました。包含リストおよび除外
PAGE 84
定数 / 値説明 PLA_E_PLA_CHANNEL_NOT_ENABLED イベントログチャネル Microsoft-Windows-Diagnosis-PLA/Operational でこの操作を実行できるようにする必要があります。 0x80300110 PLA_E_TASKSCHED_CHANNEL_NOT_ENABLED 0x80300111 PLA_E_RULES_MANAGER_FAILED イベントログチャネル Microsoft-Windows-TaskScheduler でこの操作を実行できるようにする必要があります。 Rules Manager の実行が失敗しました。 0x80300112 PLA_E_CABAPI_FAILURE データを圧縮または抽出しようとしているときにエラーが発生しました。 0x80300113 FVE_E_LOCKED_VOLUME 0x80310000 FVE_E_NOT_ENCRYPTED このドライブは、BitLocker ドライブ暗号化によってロックされています。コントロールパネルからこのドライブをロック解除する必要があります。ド
PAGE 85
定数 / 値説明 FVE_E_AD_SCHEMA_NOT_INSTALLED Active Directory ドメインサービスフォレストには、BitLocker ドライブ暗号化または TPM 情報をホストするために必要な属性とクラスが含まれていません。ドメイン管理者に問い合わせて、必要な BitLocker Active Directory スキーマ拡張がインストールされていることを確認してください。 0x8031000A FVE_E_AD_INVALID_DATATYPE 0x8031000B FVE_E_AD_INVALID_DATASIZE 0x8031000C FVE_E_AD_NO_VALUES 0x8031000D FVE_E_AD_ATTR_NOT_SET 0x8031000E FVE_E_AD_GUID_NOT_FOUND 0x8031000F FVE_E_BAD_INFORMATION 0x80310010 FVE_E_TOO_SMALL 0x80310011 FVE_E_SYSTEM_VOLUME 0x80310012 FVE_E_FAILED_WRONG_FS Ac
PAGE 86
定数 / 値説明 FVE_E_TPM_NOT_OWNED BitLocker ドライブ暗号化を使用する前に、TPM を初期化する必要があります。 0x80310018 FVE_E_NOT_DATA_VOLUME 試みた操作は、オペレーティングシステムドライブ上では実行できません。 0x80310019 FVE_E_AD_INSUFFICIENT_BUFFER 0x8031001A FVE_E_CONV_READ 0x8031001B FVE_E_CONV_WRITE 0x8031001C FVE_E_KEY_REQUIRED 0x8031001D FVE_E_CLUSTERING_NOT_SUPPORTED 関数に与えられたバッファが、返されたデータを含めるには不十分でした。バッファサイズを増やしてから、関数を再度実行してください。ドライブの変換中に読み取り操作が失敗しました。ドライブは変換されませんでした。BitLocker を再度有効にしてください。ドライブの変換中に書き込み操作が失敗しました。ドライブは変換されませんでした。BitLocker を再度有効にしてください。 1
PAGE 87
定数 / 値説明 FVE_E_FAILED_AUTHENTICATION 入力したキーではドライブをロック解除できません。正しいキーを入力したことを確認してから、再試行してください。 0x80310027 FVE_E_NOT_OS_VOLUME 指定したドライブがオペレーティングシステムドライブではありません。 0x80310028 FVE_E_AUTOUNLOCK_ENABLED 0x80310029 FVE_E_WRONG_BOOTSECTOR 0x8031002A FVE_E_WRONG_SYSTEM_FS 0x8031002B FVE_E_POLICY_PASSWORD_REQUIRED 0x8031002C FVE_E_CANNOT_SET_FVEK_ENCRYPTED 0x8031002D FVE_E_CANNOT_ENCRYPT_NO_KEY 0x8031002E FVE_E_BOOTABLE_CDDVD 0x80310030 FVE_E_PROTECTOR_EXISTS 0x80310031 FVE_E_RELATIVE_PATH 0x80310032 FVE_E_PROTEC
PAGE 88
定数 / 値説明 0x80310036 FVE_E_FIPS_PREVENTS_RECOVERY_PASSWORD 0x80310037 FVE_E_FIPS_PREVENTS_EXTERNAL_KEY_EXPORT 0x80310038 FVE_E_NOT_DECRYPTED 0x80310039 FVE_E_INVALID_PROTECTOR_TYPE FIPS コンプライアンスを必要とするグループポリシー設定により、BitLocker ドライブ暗号化でローカルの回復パスワードを生成することも使用することもできません。FIPS 対応モードで操作する場合は、BitLocker 回復オプションを、USB ドライブに保存された回復キーにすることも、データ回復エージェントを通じた回復キーにすることもできます。 FIPS コンプライアンスを必要とするグループポリシー設定により、回復パスワードを Active Directory に保存できません。FIPS 対応モードで操作する場合は、BitLocker 回復オプションを、USB ドライブに保存された回復キーにすることも、データ回復エージェント
PAGE 89
定数 / 値説明 FVE_E_PIN_INVALID BitLocker 暗号化キーを TPM および PIN から取得できません。 0x80310043 FVE_E_AUTH_INVALID_APPLICATION 0x80310044 FVE_E_AUTH_INVALID_CONFIG 0x80310045 FVE_E_FIPS_DISABLE_PROTECTION_NOT_ALLOWED 0x80310046 FVE_E_FS_NOT_EXTENDED 0x80310047 FVE_E_FIRMWARE_TYPE_NOT_SUPPORTED 0x80310048 FVE_E_NO_LICENSE 0x80310049 BitLocker ドライブ暗号化が有効になったときから、ブートアプリケーションは変更しています。 BitLocker ドライブ暗号化が有効になったときから、ブート構成データ（BCD）設定は変更しています。 FIPS コンプライアンスを必要とするグループポリシー設定では、非暗号化キーの使用が禁じられているため、このデバイスで BitLocker はサスペンドされません。
PAGE 90
定数 / 値説明 0x80310051 FVE_E_BCD_APPLICATIONS_PATH_INCORRECT 0x80310052 FVE_E_NOT_ALLOWED_IN_VERSION 0x80310053 FVE_E_NO_AUTOUNLOCK_MASTER_KEY 0x80310054 FVE_E_MOR_FAILED 0x80310055 FVE_E_HIDDEN_VOLUME BitLocker ドライブ暗号化の完全性保護アプリケーションについてブート構成データ（BCD）で指定したパスが正しくありません。BCD 設定を確認して修正し、再試行してください。 BitLocker ドライブ暗号化は、コンピュータが事前インストールまたは回復環境で実行しているときに、限定的なプロビジョニングまたは回復の目的で使用できます。自動ロック解除マスターキーはオペレーティングシステムドライブから使用できませんでした。システムファームウェアは、コンピュータが再起動したときに、システムメモリのクリアを有効にできませんでした。非表示のドライブを暗号化できません。 0x80310056 FV
PAGE 91
定数 / 値説明 0x80310060 FVE_E_POLICY_STARTUP_PIN_REQUIRED 0x80310061 FVE_E_POLICY_STARTUP_KEY_NOT_ALLOWED 0x80310062 FVE_E_POLICY_STARTUP_KEY_REQUIRED 0x80310063 グループポリシー設定は、スタートアップ時に PIN の使用を必要としています。この BitLocker スタートアップオプションを選択してください。グループポリシー設定は、スタートアップキーの使用を許可していません。別の BitLocker スタートアップオプションを選択してください。グループポリシー設定は、スタートアップキーの使用を必要としています。この BitLocker スタートアップオプションを選択してください。 FVE_E_POLICY_STARTUP_PIN_KEY_NOT_ALLOWED0x8031006 4 グループポリシー設定は、スタートアップキーと PIN の使用を許可していません。別の BitLocker スタートアップオプションを選択してください。
PAGE 92
定数 / 値説明 FVE_E_DV_NOT_SUPPORTED_ON_FS 選択した検出ドライブタイプが、ドライブ上のファイルシステムと互換性がありません。BitLocker To Go 検出ドライブは、FAT 形式のドライブで作成する必要があります。 0x80310070 FVE_E_DV_NOT_ALLOWED_BY_GP 0x80310071 FVE_E_POLICY_USER_CERTIFICATE_NOT_ALLOWED 0x80310072 FVE_E_POLICY_USER_CERTIFICATE_REQUIRED 0x80310073 FVE_E_POLICY_USER_CERT_MUST_BE_HW 0x80310074 選択した検出ドライブタイプは、コンピュータのグループポリシー設定で許可されていません。BitLocker To Go で使用する検出ドライブの作成がグループポリシー設定で許可されていることを確認してください。グループポリシー設定では、スマートカードなどのユーザー証明書を、 BitLocker ドライブ暗号化とともに使用することを許可していません。グル
PAGE 93
定数 / 値説明 FVE_E_POLICY_CONFLICT_RDV_RK_OFF_AUK_ON 競合するグループポリシー設定のため、BitLocker ドライブ暗号化をこのドライブに適用できません。ユーザー回復オプションが無効になっているときに、自動的にリムーバブルデータドライブをロック解除するように BitLocker を設定できません。キー検証が行われた後で BitLocker 保護されたリムーバブルデータドライブを自動的にロック解除する場合は、BitLocker を有効にする前に、システム管理者に設定の競合を解決してもらってください。 0x80310084 FVE_E_NON_BITLOCKER_OID 0x80310085 FVE_E_POLICY_PROHIBITS_SELFSIGNED 0x80310086 指定した証明書の拡張キー使用法（EKU）属性では、BitLocker ドライブ暗号化に使用することを許可していません。BitLocker では、証明書に EKU 属性があることは必要ではありませんが、設定されている場合は、 BitLocker に対して設定されたオブ
PAGE 94
定数 / 値説明 Encipherment か Key Agreement のどちらかに設定されている必要があります。 FVE_E_PRIVATEKEY_AUTH_FAILED 0x80310094 FVE_E_REMOVAL_OF_DRA_FAILED 0x80310095 FVE_E_OPERATION_NOT_SUPPORTED_ON_VISTA_VOLUME 0x80310096 FVE_E_CANT_LOCK_AUTOUNLOCK_ENABLED_VOLUME 0x80310097 FVE_E_FIPS_HASH_KDF_NOT_ALLOWED 0x80310098 FVE_E_ENH_PIN_INVALID 0x80310099 FVE_E_INVALID_PIN_CHARS 指定した証明書に関連した秘密キーを承認できません。秘密キーの承認が与えられていなかったか、与えられた承認が無効でした。データ回復エージェント証明書の削除は、証明書スナップインを使用して行う必要があります。このドライブは、組織の識別子をサポートしていない Windows Vista および Window
PAGE 95
定数 / 値説明 0x803100A1 FVE_E_PROTECTOR_CHANGE_BY_STD_USER_DISALLOWED 0x803100A2 FVE_E_PROTECTOR_CHANGE_MAX_PIN_CHANGE_ATTEMPT S_REACHED 0x803100A3 FVE_E_POLICY_PASSPHRASE_REQUIRES_ASCII 0x803100A4 PIN またはパスワードを変更するには、管理者アカウントでログオンする必要があります。リンクをクリックして、管理者として PIN またはパスワードをリセットします。 BitLocker は、非常に多くのリクエストが失敗した後、PIN およびパスワードの変更を無効にしました。リンクをクリックして、管理者として PIN またはパスワードをリセットします。システム管理者が、パスワードには印刷可能な ASCII 文字だけが含まれるように要求しています。これには、アクセントのない文字（A ～ Z、a ～ z）、数字（0 ～ 9）、空白、演算符号、一般的な句読点、区切り文字、および記号 # $ & @ ^ _ ~ が含
PAGE 96
定数 / 値説明 FVE_E_EDRIVE_BAND_IN_USE ドライブのハードウェア暗号化機能がすでに使用されているので、 BitLocker でドライブを管理できません。 0x803100B0 FVE_E_EDRIVE_DISALLOWED_BY_GP 0x803100B1 FVE_E_EDRIVE_INCOMPATIBLE_VOLUME グループポリシー設定では、ハードウェアベースの暗号化の使用を許可していません。指定したドライブは、ハードウェアベースの暗号化をサポートしていません。 0x803100B2 FVE_E_NOT_ALLOWED_TO_UPGRADE_WHILE_CONVERTING 0x803100B3 FVE_E_EDRIVE_DV_NOT_SUPPORTED 0x803100B4 FVE_E_NO_PREBOOT_KEYBOARD_DETECTED 0x803100B5 FVE_E_NO_PREBOOT_KEYBOARD_OR_WINRE_DETECTED 0x803100B6 ディスクの暗号化または復号化中は、BitLocker をアップグレードできません。
PAGE 97
定数 / 値説明 BitLocker を有効にしようとする前に、システム管理者にこの無効な構成を解決してもらってください。 FVE_E_EDRIVE_INCOMPATIBLE_FIRMWARE この PC のファームウェアが、ハードウェア暗号化をサポートできません。 0x803100BF FVE_E_PROTECTOR_CHANGE_MAX_PASSPHRASE_CHANGE_ ATTEMPTS_REACHED 0x803100C0 FVE_E_PASSPHRASE_PROTECTOR_CHANGE_BY_STD_USER_ DISALLOWED BitLocker は、非常に多くのリクエストが失敗した後、パスワードの変更を無効にしました。リンクをクリックして、管理者としてパスワードをリセットします。パスワードを変更するには、管理者アカウントでログオンする必要があります。リンクをクリックして、管理者としてパスワードをリセットします。 0x803100C1 FVE_E_LIVEID_ACCOUNT_SUSPENDED 0x803100C2 FVE_E_LIVEID_ACCOUNT_BLO
PAGE 98
定数 / 値説明 FVE_E_DEVICE_LOCKOUT_COUNTER_UNAVAILABLE お使いの PC 上でカウンタを使用できないので、BitLocker はハードウェアリプレイ保護を使用できません。 0x803100CD FVE_E_DEVICELOCKOUT_COUNTER_MISMATCH 0x803100CE FVE_E_BUFFER_TOO_LARGE 0x803100CF 98 Dell Data Protection | Endpoint Security Suite トラブルシューティングカウンタの不一致のために、デバイスロックアウト状態の検証が失敗しました。入力バッファが大きすぎます。
PAGE 99
15 用語集アクティブ化 - コンピュータが Dell Enterprise Server/VE に登録され、少なくともポリシーの初期セットを受け取ったときにアクティブ化が実行されます。 Active Directory（AD）：Windows ドメインネットワーク用に Microsoft が開発したディレクトリサービスです。 Advanced Authentication – Advanced Authentication 製品は、指紋、スマートカード、非接触型スマートカードリーダーが完全に統合されたオプションを備えています。Advanced Authentication は、これらの複数のハードウェア認証方法の管理を支援し、自己暗号化ドライブ、SSO でのログインをサポートし、ユーザーの資格情報およびパスワードを管理します。さらに、Advanced Authentication は、PC だけでなく、ウェブサイト、SaaS、またはアプリケーションへのアクセスにも使用できます。ユーザーが一度その資格情報を登録すると、Advanced Authentication によって、デバイスにログオンしたりパ
PAGE 100
状態ファイルのセキュア化ポリシーは、独自のキーである General Purpose Key (GPK) を使用します。共有キーを使用すると、すべての管理対象ユーザーが、暗号化されたファイルが作成されたデバイス上でそれらのファイルにアクセスできるようになります。ユーザーキーでは、ファイルを作成したユーザーのみが、ファイルが作成されたデバイス上のみでそれらのファイルにアクセスすることができます。ユーザーローミングキーでは、ファイルを作成したユーザーのみが、任意の Shielded Windows（または Mac）デバイス上でそれらのファイルにアクセスできます。暗号化スイープ - 暗号化スイープは、含まれるファイルが適切な暗号化状態になるように、管理下のエンドポイントで暗号化するフォルダをスキャンするプロセスです。通常のファイル作成および名前変更操作では、暗号化スイープはトリガされません。次のように、暗号化スイープが行われる可能性のある場合と、その結果生じるスイープ時間に影響を与える可能性のあるものを理解することが重要です。暗号化スイープは、暗号化を有効にしたポリシーの最初の受信時に行われます。これ
PAGE 101
ウェア、迷惑プログラム、および他の脅威を自動でスキャンしてチェックします。- クライアントファイアウォール - コンピュータと、ネットワークおよびインターネット上のリソースとの通信をモニタし、潜在的に悪意のある通信を中断します。- ウェブプロテクション - オンラインのブラウジングおよび検索中に、ウェブサイトの安全評価とレポートに基づいて、安全でないウェブサイトおよびそれらのウェブサイトからのダウンロードをブロックします。 Trusted Platform Module（TPM） – TPM は、セキュアストレージ、測定、および構成証明という 3 つの主要機能を備えたセキュリティチップです。 Encryption クライアントは、セキュアなストレージ機能のために TPM を使用します。TPM はまた、ソフトウェア資格情報コンテナ用に暗号化されたコンテナも提供できます。TPM は、BitLocker Manager およびワンタイムパスワード機能の使用にも必須です。ユーザー暗号化 – ユーザーキーを使用すると、ファイルを作成したユーザーのみが、ファイルが作成されたデバイス上でのみファイルにアクセスできる