適用対象: WatchGuard Full Encryption。
WatchGuard Full Encryption (WatchGuard Advanced EPDR、WatchGuard EPDR、WatchGuard EDR、WatchGuard EPP で利用可能) は、ユーザーに影響を与えることなく、コンピュータ ドライブやリムーバブル ストレージ デバイス (Windows のみ) を暗号化および復号化できる機能です。Full Encryption により、ネットワーク コンピュータの暗号化のステータスを監視できるだけでなく、管理対象ドライブ (Windows) または コンピュータ (Windows および Mac) の 回復キー も管理することができます。
データの紛失や盗難が発生した際に企業データの漏洩リスクを最小限に抑えるために、Full Encryption では、Trusted Platform Module (TPM) チップおよび Microsoft BitLocker 技術、または macOS の場合は FileVault などのハードウェア リソースを活用してドライブが暗号化および復号化されます。また、さまざまなコンピュータ構成の 認証方法 もサポートされています。
以下の場合に、Full Encryption を使用できます。
Full Encryption 設定を適用してコンピュータを管理する場合、コンピュータの実行を続行するためにユーザーの操作が必要になる場合があります。詳細については、次を参照してください:Full Encryption とコンピュータ ユーザーによる操作 — Windows コンピュータ。
デバイスを暗号化する
暗号化されていないドライブの暗号化
暗号化は、コンピュータにインストールされている WatchGuard Endpoint Agent に暗号化設定がダウンロードされると開始されます。Endpoint のウィザードによって表示される暗号化プロセスの指示に従って、コンピュータに設置されているすべてのハード ディスクを暗号化します。以前暗号化されていたドライブには、Full Encryption で指定された暗号化設定が適用されます。
実行する暗号化手順の数は、ネットワーク管理者が選択した認証の種類とコンピュータの以前の状態によって異なります。
暗号化プロセス完了後に新しいドライブ エントリが作成された場合は、Full Encryption により、暗号化設定に従ってそのドライブが即座に暗号化されます。
Full Encryption では、リモート デスクトップ セッションからコンピュータを暗号化することはできません。Full Encryption をインストールする前に、コンピュータを再起動して、パスワードを入力する必要があります。
以前の暗号化が存在する場合
Full Encryption を使用してコンピュータを管理する場合は、コンピュータで、WatchGuard Endpoint Security からの設定を少なくとも 1 回受信する必要があります。この設定により、ドライブの暗号化が確立されます。
コンピュータにすでに暗号化されたドライブがあるにもかかわらず、Full Encryption からドライブを暗号化するための設定がコンピュータに送信されない場合、そのコンピュータは Full Encryption によって管理されていません。つまり、コンピュータの管理者が、そのコンピュータの回復キーにアクセスすること、またコンピュータのステータスを監視することはできないということです。ただし、ドライブを暗号化するための設定が Full Encryption から送信された場合は、ドライブの以前のステータス (暗号化されているかどうか) に関係なく、そのコンピュータは Full Encryption によって管理されることになります。
以前に暗号化されているドライブを暗号化する場合は、以下の点を考慮に入れてください。
- Full Encryption によってコンピュータが正常に暗号化されると、Full Encryption でそのコンピュータを管理できるようになります。
- コンピュータ ユーザーが Full Encryption で指定されている方法とは異なる認証方法を選択した場合は、ユーザーのコンピュータにパスワードまたはその他のハードウェア リソースを求めるプロンプトが表示されます。
- オペレーティング システムと互換性があるにも関わらず、ネットワーク管理者によって指定されている認証方法を使用できない場合は、既存の暗号化方法がそのまま残ります。コンピュータは、Full Encryption によって管理されません。
- 暗号化アルゴリズムが AES-256 ではない場合、Full Encryption によって、コンピュータ ドライブへの暗号化の変更は行われません。コンピュータは、Full Encryption によって管理されます。
- 暗号化されたドライブと暗号化されていないドライブの両方が存在する場合は、Full Encryption で同じ認証方法を使用してすべてのドライブが暗号化されます。
- 認証方法を統一する際に、以前の認証方法ではパスワードが必要とされている場合で、その方法が Full Encryption でサポートされている認証方法と互換性がある場合は、ユーザーのコンピュータにパスワードを求めるプロンプトが表示されます。
- コンピュータ ユーザーの暗号化設定が Full Encryption ダッシュボード に反映されている設定と異なる場合は、暗号化プロセスを最小限に抑えるために、Full Encryption では暗号化の変更が行われません。
- Full Encryption を使用してドライブを管理すると、プロセスの最後に Full Encryption によって回復キーが生成され、WatchGuard サーバーに送信されます。
Full Encryption 管理 UI でドライブを暗号化する方法については、次を参照してください:暗号化の設定。
Full Encryption とコンピュータ ユーザーによる操作 — Windows コンピュータ
Full Encryption の暗号化設定が適用される場合は、ユーザーは管理対象コンピュータに操作を実行して、その問題に対処しなければならない場合があります。
- コンピュータに BitLocker がインストールされていない場合は、Full Encryption によってツールがダウンロードされてインストールされます。インストールを完了するには、コンピュータ ユーザーがコンピュータを再起動する必要があります。
- 過去にコンピュータで暗号化が行われていない場合は、Full Encryption によってシステム パーティションが作成されます。システム パーティションの作成を完了するには、コンピュータ ユーザーがコンピュータを再起動する必要があります。
- Full Encryption の設定と競合するグループ ポリシーが存在する場合は、エラー メッセージが表示され、プロセスが停止します。コンピュータ ユーザーがエラーを修正するまで、暗号化は開始されません。
- コンピュータに TPM チップがインストールされている場合は、コンピュータ ユーザーがコンピュータの BIOS から TPM チップを有効化しなければならない場合があります。ユーザーが BIOS にアクセスするには、コンピュータを再起動する必要があります。
- コンピュータで認証に USB デバイスが使用される場合は、コンピュータ ユーザーがコンピュータの起動時に USB デバイスを挿入する必要があります。
- コンピュータで認証に PIN またはパスワードが使用される場合は、コンピュータ ユーザーが PIN またはパスワードを入力する必要があります。
- コンピュータでブート プロセスのハードウェア テストの失敗が発生すると、コンピュータ ユーザーがエラーを修正するまで、コンピュータで暗号化が開始されません。
システム パーティション — Windows コンピュータ
Full Encryption では、システム パーティションが存在しない場合は、ハードドライブにシステム パーティションが自動的に作成されます。システム パーティションとは、ドライブ上の未暗号化の小さな領域 (約 1.5 GB) です。コンピュータは、この必須の領域を使用して、ブート プロセスを完了します。
Full Encryption で USB ドライブを暗号化する 際は、システム パーティションは作成されません。(Windows コンピュータのみです)
Full Encryption とコンピュータ ユーザーによる操作 — Mac デバイス
Mac ユーザーの場合は、管理者の認証情報を入力することを求めるプロンプトが表示されます。
- Full Encryption によって非暗号化 Mac デバイスに暗号化ポリシーが適用される場合は、暗号化を開始するために管理者の認証情報を入力することを求めるプロンプトが Mac ユーザーに表示されます。ユーザーが認証情報を入力しないと、認証情報の入力を求めるプロンプトが 1 時間ごとに表示されます。
- Mac デバイスがすでに別の製品によって暗号化されている場合は、Full Encryption によって回復キーが再確立され、ユーザーに管理者の認証情報の入力を求めるプロンプトが表示されます。
- ユーザーが自身のコンピュータの FileVault を手動で有効化または無効化した場合は、管理 UI で構成されている設定を復元するために、Full Encryption によってユーザーに管理者の認証情報が再度要求されます。必要に応じて、Full Encryption で回復キーが再度生成されます。
- ユーザーが回復キーを変更または削除した場合は、Full Encryption によってユーザーに管理者の認証情報が再度要求され、WatchGuard Cloud サーバーにある元のキーを置き換える新たな回復キーが生成されます。
デバイスを復号化する
Full Encryption 管理 UI でドライブを復号化する方法については、デバイスを復号化する を参照してください。