BitLocker 暗号化キーの保護方法を管理します。
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameters
| Parameter | Description |
|---|---|
| -get | ドライブで有効になっているすべてのキーの保護方法を表示し、それらの型と識別子 (ID) を提供します。 |
| -add | 追加の -add パラメーターを使用して指定されたキー保護方法を追加します。 |
| -delete | BitLocker で使用されるキーの保護方法を削除します。 削除する保護機能を指定するためにオプションの -delete パラメーターを使用しない限り、すべてのキー保護機能はドライブから削除されます。 ドライブ上の最後の保護機能が削除されると、あるデータへのアクセスが失われないように不注意にドライブの BitLocker による保護が無効です。 |
| -disable | 暗号化キーで使用できるをドライブにセキュリティで保護されて暗号化されたデータにアクセスできるようにするには、保護を無効にします。 キーの保護機能は削除されません。 保護は、オプションの -disable パラメーターを使用して再起動回数を指定しない限り、次回 Windows が起動されたときに再開されます。 |
| -enable | 保護を有効するには、ドライブから、保護されていない暗号化キーを削除します。 ドライブで構成されているすべてのキー プロテクターが適用されます。 |
| -adbackup | Active Directory Domain Services (AD DS) に指定されたドライブのすべての回復情報をバックアップします。 -id パラメーターを追加し、バックアップする特定の回復キーの ID を指定します。 -id パラメーターは必須です。 |
| -aadbackup | Microsoft Entra ID に指定されたドライブのすべての回復情報をバックアップします。 -id パラメーターを追加し、バックアップする特定の回復キーの ID を指定します。 -id パラメーターは必須です。 |
<drive> |
コロンの後にドライブ文字を表します。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの省略版として -cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -add パラメーター
-add パラメーターでは、以下の有効な追加パラメーターを使用することもできます。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -recoverypassword | 数値パスワード保護機能を追加します。 このコマンドの短縮版として -rp を使用することもできます。 |
<numericalpassword> |
回復パスワードを表します。 |
| -recoverykey | 回復用の外部キーの保護機能を追加します。 このコマンドの短縮版として -rk を使用することもできます。 |
<pathtoexternalkeydirectory> |
回復キーへのディレクトリ パスを表します。 |
| -startupkey | スタートアップ用の外部キー保護機能を追加します。 このコマンドの省略版として -sk を使用することもできます。 |
<pathtoexternalkeydirectory> |
スタートアップ キーへのディレクトリ パスを表します。 |
| -certificate | データ ドライブの公開キー保護機能を追加します。 このコマンドの短縮版として -cert を使用することもできます。 |
| -cf | 公開キー証明書を提供する証明書ファイルが使用されることを指定します。 |
<pathtocertificatefile> |
証明書ファイルをディレクトリのパスを表します。 |
| -ct | 証明書の拇印が公開キー証明書を識別するために使用されることを指定します。 |
<certificatethumbprint> |
使用する証明書の拇印プロパティの値を指定します。 たとえば、証明書のサムプリント値 a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b は、a909502dd82ae41433e6f83886b00d4277a32a7b と指定する必要があります。 |
| -tpmandpin | オペレーティング システム ドライブ用にトラステッド プラットフォーム モジュール (TPM) と個人識別番号 (PIN) 保護機能を追加します。 このコマンドの省略版として -tp を使用することもできます。 |
| -tpmandstartupkey | オペレーティング システム ドライブ用に TPM とスタートアップ キー保護機能を追加します。 このコマンドの省略版として -tsk を使用することもできます。 |
| -tpmandpinandstartupkey | オペレーティング システム ドライブ用に TPM、PIN およびスタートアップ キー保護機能を追加します。 このコマンドの短縮版として -tpsk を使用することもできます。 |
| -password | データ ドライブのパスワード キー保護機能を追加します。 このコマンドの省略版として -pw を使用することもできます。 |
| -adaccountorgroup | セキュリティ識別子 (SID) を追加-ベースのボリュームの保護機能を識別します。 このコマンドの短縮版として -sid を使用することもできます。 大事な: 既定では、WMI または manage-bde を使用して ADaccountorgroup 保護機能をリモートで追加することはできません。 デプロイにリモートでこの保護機能を追加する機能が必要な場合、制約付き委任を有効にする必要があります。 |
| -computername | 別のコンピューター上の BitLocker 保護を変更するために manage-bde を使用することを指定します。 このコマンドの省略版として -cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -delete パラメーター
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -type | 削除するキー保護機能を識別します。 このコマンドの省略版として -t を使用することもできます。 |
| recoverypassword | 任意の回復パスワードのキー プロテクターを削除するかを指定します。 |
| externalkey | ドライブに関連付けられているすべての外部キー プロテクターを削除するかを指定します。 |
| 証明書 | ドライブに関連付けられているすべての証明書のキー プロテクターを削除するかを指定します。 |
| tpm | TPM のみキー プロテクター ドライブに関連付けられているを削除するかを指定します。 |
| tpmandstartupkey | ドライブに関連付けられているすべての TPM とスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpin | ドライブに関連付けられているすべての TPM と PIN に基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpinandstartupkey | ドライブに関連付けられているすべての TPM、PIN、およびスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| パスワード | ドライブに関連付けられているパスワード キーの保護を削除するかを指定します。 |
| ID | ドライブに関連付けられているすべての id キー プロテクターを削除するかを指定します。 |
| -ID | キー識別子を使用して削除するキー保護機能を識別します。 このパラメーターは、 -type パラメーターの代替オプションです。 |
<keyprotectorID> |
個々 のキー保護機能、ドライブを削除するを識別します。 使用して、キー保護機能の Id を表示できる、 から manage-bde-プロテクター-取得 コマンドです。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの省略版として -cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -disable パラメーター
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| rebootcount | オペレーティング システム ボリュームの保護が中断され、 rebootcount パラメーターで指定された回数だけ Windows が再起動された後に再開されることを指定します。 保護を無期限に中断するには、 0 を指定します。 このパラメーターが指定されていない場合は、Windows が再起動されたときに、BitLocker 保護が自動的に再開します。 このコマンドの省略版として -rc を使用することもできます。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 このコマンドの省略版として -cn を使用することもできます。 |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
Examples
証明書ファイルによって識別される証明書キー プロテクターをドライブ E に追加するには、次のように入力します。
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
ドメインとユーザー名で識別される adaccountorgroup キー プロテクターをドライブ E に追加するには、次のように入力します。
manage-bde -protectors -add E: -sid DOMAIN\user
コンピューターが 3 回再起動されるまで保護を無効にするには、次のように入力します。
manage-bde -protectors -disable C: -rc 3
ドライブ C のすべての TPM およびスタートアップ キーに基づくキーの保護機能を削除するには、次のように入力します。
manage-bde -protectors -delete C: -type tpmandstartupkey
C ドライブに対するすべてのキーの保護機能の一覧を表示するには、次のように入力します。
manage-bde -protectors -get C:
C ドライブのすべての回復情報を AD DS にバックアップするには、次のように入力します (-id は、バックアップする特定のキーの保護機能の ID です)。
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'