暗号化プロファイルを使用して、Windows デスクトップ デバイス上の業務データをセキュア化します。暗号化プロファイルは、ネイティブの BitLocker 暗号化ポリシーを Windows デスクトップ デバイスに適用し、データをセキュアな状態に維持します。

BitLocker 暗号化を利用できるのは、Windows 8 Enterprise/Pro デバイスおよび Windows 10 Enterprise/Education/Pro デバイスだけです。

ラップトップとタブレットは携帯が可能なため、紛失したり盗難にあったりした場合、貴社の企業データが漏洩のリスクにさらされる可能性があります。Workspace ONE UEM を使用して暗号化ポリシーを適用することにより、ハード ディスク ドライブ上のデータを保護できます。BitLocker は Windows ネイティブの暗号化機能です。また、Dell Data Protection | Encryption は Dell の暗号化ソリューションです。暗号化プロファイルを有効にした場合、Workspace ONE Intelligent Hub によってデバイスの暗号化状態が常時検査されます。Workspace ONE Intelligent Hub によってデバイスが暗号化されていないことが検出された場合、デバイスが自動的に暗号化されます。

BitLocker を使用して暗号化する場合、暗号化時に作成された回復キーが Workspace ONE UEM Console およびセルフサービス ポータルに保存されます。

暗号化プロファイルを使用するには、Workspace ONE Intelligent Hub がデバイス上にインストールされている必要があります。

注: 暗号化プロファイルを有効にしても、Dell Data Protection | Encryption が構成または有効化されることはありません。暗号化状態は Workspace ONE UEM Console およびセルフサービス ポータルに通知されますが、暗号化はデバイス上で手動で構成する必要があります。
注意: Windows 10 では、プリブート オンスクリーン キーボード機能がないデバイスはサポートされません。キーボード機能がない場合、起動用 PIN を入力できません。起動用 PIN は、デバイス上のハード ディスク ドライブをロック解除して Windows を起動するために必要です。プリブート オンスクリーン キーボード機能がないデバイスに暗号化プロファイルをプッシュすると、デバイスが機能しなくなります。

BitLocker 機能

暗号化プロファイルでは、高度な BitLocker 機能を使用して、BitLocker 暗号化の認証と展開を制御します。

BitLocker は、デバイスのトラステッド プラットフォーム モジュール (TPM) を使用して、マザーボードに接続されたハード ドライブの暗号化を解除するための復旧用のパスワードをデバイス上に保存します。ドライブがマザーボードから取り外されると、ドライブの暗号化を解除できなくなります。認証を強化するために、ユーザー認証の確認に暗号化暗証番号を有効にすることができます。また、TPM が利用できない場合の代替手段として、デバイス用のパスワードを必須にすることもできます。

展開の際のデバイス動作

Windows ネイティブの BitLocker 暗号化により Windows デスクトップ デバイス上のデータをセキュアに保護することができます。暗号化プロファイルを展開する際にはエンド ユーザー側の対応が必要になります。

暗号化プロファイルが暗号化済みデバイスにプッシュされ、かつ現在の暗号化設定が暗号化プロファイル設定と一致している場合、Workspace ONE Intelligent Hub によって新しい回復キーが追加され、その回復キーが Workspace ONE UEM Console に送信されます。この新しい回復キーは、デバイス上の暗号化されたデータベースにも格納されます。この機能により、ユーザーまたは管理者がデバイスを復号しようとすると、暗号化プロファイルによってデバイスが新しい回復キーで再暗号化されます。この暗号化は、デバイスがオフライン状態の場合でも実行されます。

既存の暗号化手段が暗号化プロファイルの認証設定に適合していない場合、その既存の暗号化手段が無効化され、暗号化プロファイルの認証設定に適合する新しい暗号化手段が適用されます。

既存の暗号化手段が暗号化プロファイルに適合していない場合、その既存の暗号化手段は Workspace ONE UEM でそのまま保持され、無効化されません。この機能は、既存の暗号化プロファイルによって管理されているデバイスに新バージョンの暗号化プロファイルを追加する場合にも適用されます。既存の暗号化手段は変更されません。

暗号化状態

BitLocker が有効化され使用中の時は、以下のエリアに暗号化状態のステータスレポートが表示されます。

  • Workspace ONE UEM ダッシュボード
    • デバイス詳細画面が回復キー情報を表示します。
    • さらに、BitLocker 保護有効化と表示されます。
  • Workspace ONE UEMセルフサービスポータル
    • セルフサービスポータルには 「回復キー」 が保管されていることが表示されますが、回復キーの詳細は表示されません。
    • さらに、BitLocker 保護有効化と表示されます。

削除の際のデバイスの動作

プロファイルを Workspace ONE UEM Console から削除した場合、Workspace ONE UEM で暗号化が適用されなくなり、デバイスは自動的に暗号化が解除されます。コントロール パネルで企業情報ワイプまたは Workspace ONE Intelligent Hub の手動アンインストールを実行すると、BitLocker 暗号化が無効になります。

暗号化プロファイルを作成するときに、[システムが常に暗号化されたままにする] オプションを有効にすることができます。この設定により、プロファイルが削除された場合、デバイスがワイプされた場合、または Workspace ONE UEM との通信が終了した場合でも、デバイスは暗号化されたままになります。

BitLocker 暗号化プロセス中にエンド ユーザーが加入解除を行っても、暗号化プロセスはコントロール パネルから手動でオフにされるまで継続します。