デバイス暗号化の操作手順
デバイスを暗号化する手順は、次のとおりです。
要件
- Sophos Central のエージェントソフトウェアをエンドポイントにインストールする必要がある。
- Sophos Central でデバイス暗号化ポリシーを設定してオンにする必要がある。
-
ユーザーはエンドポイントにログオンする必要がある。エンドポイントは Sophos Central に接続され、同期されている必要がある。
リモートログオンはサポートされていないことに注意してください。
-
OS で BitLocker ドライブ暗号化がサポートされている。
以下を参照してください。
デバイスの暗号化
エンドポイントに表示されるメッセージと必要な操作は次のとおりです。
-
TPM セキュリティハードウェアがまだ有効化されていない場合、BIOS のセットアップ画面で有効にすることができます。再起動が必要になります。ユーザーは、ただちに再起動するか、または後で再起動するかを選択できます。
再起動後、TPM の有効化を促す画面が表示されます。TPM を有効化できない場合や、ユーザーが応答しない場合はメッセージが表示されます。
-
TPM がアクティブで有効化されているが、所有者が指定されていない場合、Sophos Central のエージェントソフトウェアによって、TPM の所有者情報が自動的に生成・適用されます。
これに失敗すると Sophos Central に警告が送信されます。
-
TPM のエンドースメント鍵がない場合は、Sophos Central のエージェントソフトウェアによって自動的に作成されます。
これに失敗すると Sophos Central に警告が送信されます。
-
デバイス暗号化ポリシーで「起動時に認証が必要」が指定されなかった場合、ハードディスクの暗号化は自動的に開始されます。
この場合、ユーザーによる操作は何も必要ありません。ステップ 8 に進んでください。
-
デバイス暗号化ポリシーで「起動時に認証が必要」が指定されている場合、ユーザーに対して「Sophos Device Encryption」ダイアログが表示されます。
-
PIN やパスワードを使用した認証がデバイス暗号化ポリシーで設定されている場合は、ユーザーは画面の指示に従って PIN やパスワードを定義する必要があります。TPM + PIN を使用すると、システムディスクの暗号鍵は TPM に保存されます。
警告
パスワードを設定する際は注意が必要です。プリブート環境は、「EN-US」キーボードのみに対応しています。記号を含む PIN やパスワードを設定した場合、ユーザーはログインする際に、キーボード上の実際の配置と異なるキーを押さなくてはならないことがあります。
-
USB キーを使用した認証がデバイス暗号化ポリシーで設定されている場合、ユーザーは、コンピュータに USB メモリを接続する必要があります。NTFS、FAT、または FAT32 でフォーマットされている USB メモリを使用する必要があります。
-
-
ユーザーが「再起動&暗号化」をクリックすると、コンピュータが再起動し、デバイス暗号化が動作するかどうかが検証されます。
ユーザーは「後で作成」を選択して、ダイアログを閉じることができます。ただし、ユーザーが再ログオンしたり、管理者がデバイス暗号化ポリシーを変更したりすると、再び表示されます。
-
正しい PIN やパスワードを入力できない場合、ユーザーは「
Esc
」キーを押すことができます。この段階では、暗号化が適用されていないため、システムは通常どおりに起動します。ログオン後、PIN やパスワードの入力が再び促されます。
-
管理者は、暗号化の有効化が済んでいないユーザーを確認できます。これは、ユーザーがコンピュータを再起動していない、または画面に表示される操作を完了していないことを意味します。
Sophos Central の「レポート」を参照してください。
-
プリブートの検証に成功すると、Sophos Central のエージェントソフトウェアによって、ハードディスクの暗号化が開始されます。
暗号化はバックグラウンドで実行されるため、ユーザーは通常どおり作業を進めることができます。
ハードウェアの検証に失敗すると、システムは再起動しますが、暗号化は実行されません。Sophos Central にイベントが送信され、管理者への通知が行われます。
-
Sophos Central のエージェントがシステムボリュームを暗号化した後、データボリュームの暗号化が開始します (ポリシーで指定されている場合)。
データボリュームの保護機能はシステムボリュームに保存されているため、システムの起動後、データボリュームは自動的に使用できるようになります。したがって、ユーザーは、コンピュータにログオンすると、追加の操作なしでデータボリュームにアクセスできます。
USB メモリなど、リムーバブル データ ボリュームは暗号化されません。
エンドポイントの %ProgramData%\Sophos\Sophos Data Protection\Logs
に、CDE.log
および CDE_trace.xml
というログファイルが出力されます。