BitLocker 暗号化キーの保護方法を管理します。
Syntax
manage-bde -protectors [{-get|-add|-delete|-disable|-enable|-adbackup|-aadbackup}] <drive> [-computername <name>] [{-?|/?}] [{-help|-h}]
Parameters
| Parameter | Description |
|---|---|
| -get | ドライブで有効になっているすべてのキーの保護方法を表示し、それらの型と識別子 (ID) を提供します。 |
| -add | Adds key protection methods as specified by using additional -add parameters. |
| -delete | BitLocker で使用されるキーの保護方法を削除します。 All key protectors will be removed from a drive unless the optional -delete parameters are used to specify which protectors to delete. ドライブ上の最後の保護機能が削除されると、あるデータへのアクセスが失われないように不注意にドライブの BitLocker による保護が無効です。 |
| -disable | 暗号化キーで使用できるをドライブにセキュリティで保護されて暗号化されたデータにアクセスできるようにするには、保護を無効にします。 キーの保護機能は削除されません。 Protection will be resumed the next time Windows is booted unless the optional -disable parameters are used to specify the reboot count. |
| -enable | 保護を有効するには、ドライブから、保護されていない暗号化キーを削除します。 ドライブで構成されているすべてのキー プロテクターが適用されます。 |
| -adbackup | Active Directory Domain Services (AD DS) に指定されたドライブのすべての回復情報をバックアップします。 Append the -id parameter and specify the ID of a specific recovery key to back up. The -id parameter is required. |
| -aadbackup | Microsoft Entra ID に指定されたドライブのすべての回復情報をバックアップします。 Append the -id parameter and specify the ID of a specific recovery key to back up. The -id parameter is required. |
<drive> |
コロンの後にドライブ文字を表します。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 You can also use -cn as an abbreviated version of this command. |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -add パラメーター
-add パラメーターでは、以下の有効な追加パラメーターを使用することもできます。
manage-bde -protectors -add [<drive>] [-forceupgrade] [-recoverypassword <numericalpassword>] [-recoverykey <pathtoexternalkeydirectory>]
[-startupkey <pathtoexternalkeydirectory>] [-certificate {-cf <pathtocertificatefile>|-ct <certificatethumbprint>}] [-tpm] [-tpmandpin]
[-tpmandstartupkey <pathtoexternalkeydirectory>] [-tpmandpinandstartupkey <pathtoexternalkeydirectory>] [-password][-adaccountorgroup <securityidentifier> [-computername <name>]
[{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -recoverypassword | 数値パスワード保護機能を追加します。 You can also use -rp as an abbreviated version of this command. |
<numericalpassword> |
回復パスワードを表します。 |
| -recoverykey | 回復用の外部キーの保護機能を追加します。 You can also use -rk as an abbreviated version of this command. |
<pathtoexternalkeydirectory> |
回復キーへのディレクトリ パスを表します。 |
| -startupkey | スタートアップ用の外部キー保護機能を追加します。 You can also use -sk as an abbreviated version of this command. |
<pathtoexternalkeydirectory> |
スタートアップ キーへのディレクトリ パスを表します。 |
| -certificate | データ ドライブの公開キー保護機能を追加します。 You can also use -cert as an abbreviated version of this command. |
| -cf | 公開キー証明書を提供する証明書ファイルが使用されることを指定します。 |
<pathtocertificatefile> |
証明書ファイルをディレクトリのパスを表します。 |
| -ct | 証明書の拇印が公開キー証明書を識別するために使用されることを指定します。 |
<certificatethumbprint> |
使用する証明書の拇印プロパティの値を指定します。 たとえば、証明書のサムプリント値 a9 09 50 2d d8 2a e4 14 33 e6 f8 38 86 b0 0d 42 77 a3 2a 7b は、a909502dd82ae41433e6f83886b00d4277a32a7b と指定する必要があります。 |
| -tpmandpin | オペレーティング システム ドライブ用にトラステッド プラットフォーム モジュール (TPM) と個人識別番号 (PIN) 保護機能を追加します。 You can also use -tp as an abbreviated version of this command. |
| -tpmandstartupkey | オペレーティング システム ドライブ用に TPM とスタートアップ キー保護機能を追加します。 You can also use -tsk as an abbreviated version of this command. |
| -tpmandpinandstartupkey | オペレーティング システム ドライブ用に TPM、PIN およびスタートアップ キー保護機能を追加します。 You can also use -tpsk as an abbreviated version of this command. |
| -password | データ ドライブのパスワード キー保護機能を追加します。 You can also use -pw as an abbreviated version of this command. |
| -adaccountorgroup | セキュリティ識別子 (SID) を追加-ベースのボリュームの保護機能を識別します。 You can also use -sid as an abbreviated version of this command. IMPORTANT: By default, you can't add an ADaccountorgroup protector remotely using either WMI or manage-bde. デプロイにリモートでこの保護機能を追加する機能が必要な場合、制約付き委任を有効にする必要があります。 |
| -computername | 別のコンピューター上の BitLocker 保護を変更するために manage-bde を使用することを指定します。 You can also use -cn as an abbreviated version of this command. |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -delete パラメーター
manage-bde -protectors -delete <drive> [-type {recoverypassword|externalkey|certificate|tpm|tpmandstartupkey|tpmandpin|tpmandpinandstartupkey|Password|Identity}]
[-id <keyprotectorID>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| -type | 削除するキー保護機能を識別します。 You can also use -t as an abbreviated version of this command. |
| recoverypassword | 任意の回復パスワードのキー プロテクターを削除するかを指定します。 |
| externalkey | ドライブに関連付けられているすべての外部キー プロテクターを削除するかを指定します。 |
| 証明書 | ドライブに関連付けられているすべての証明書のキー プロテクターを削除するかを指定します。 |
| tpm | TPM のみキー プロテクター ドライブに関連付けられているを削除するかを指定します。 |
| tpmandstartupkey | ドライブに関連付けられているすべての TPM とスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpin | ドライブに関連付けられているすべての TPM と PIN に基づくキーの保護機能を削除する必要があることを指定します。 |
| tpmandpinandstartupkey | ドライブに関連付けられているすべての TPM、PIN、およびスタートアップ キーに基づくキーの保護機能を削除する必要があることを指定します。 |
| パスワード | ドライブに関連付けられているパスワード キーの保護を削除するかを指定します。 |
| ID | ドライブに関連付けられているすべての id キー プロテクターを削除するかを指定します。 |
| -ID | キー識別子を使用して削除するキー保護機能を識別します。 This parameter is an alternative option to the -type parameter. |
<keyprotectorID> |
個々 のキー保護機能、ドライブを削除するを識別します。 使用して、キー保護機能の Id を表示できる、 から manage-bde-プロテクター-取得 コマンドです。 |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 You can also use -cn as an abbreviated version of this command. |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
追加の -disable パラメーター
manage-bde -protectors -disable <drive> [-rebootcount <integer 0 - 15>] [-computername <name>] [{-?|/?}] [{-help|-h}]
| Parameter | Description |
|---|---|
<drive> |
コロンの後にドライブ文字を表します。 |
| rebootcount | Specifies that protection of the operating system volume has been suspended and will resume after Windows has been restarted the number of times specified in the rebootcount parameter. Specify 0 to suspend protection indefinitely. このパラメーターが指定されていない場合は、Windows が再起動されたときに、BitLocker 保護が自動的に再開します。 You can also use -rc as an abbreviated version of this command. |
| -computername | 別のコンピューター上で BitLocker による保護を変更するために manage-bde.exe を使用することを指定します。 You can also use -cn as an abbreviated version of this command. |
<name> |
BitLocker による保護を変更するコンピューターの名前を表します。 指定できる値には、コンピューターの NetBIOS 名とコンピューターの IP アドレスが含まれます。 |
| -? or /? | コマンド プロンプトに簡単なヘルプを表示します。 |
| -help または -h | コマンド プロンプトに完全なヘルプを表示します。 |
Examples
証明書ファイルによって識別される証明書キー プロテクターをドライブ E に追加するには、次のように入力します。
manage-bde -protectors -add E: -certificate -cf c:\File Folder\Filename.cer
To add an adaccountorgroup key protector, identified by domain and user name, to drive E, type:
manage-bde -protectors -add E: -sid DOMAIN\user
コンピューターが 3 回再起動されるまで保護を無効にするには、次のように入力します。
manage-bde -protectors -disable C: -rc 3
ドライブ C のすべての TPM およびスタートアップ キーに基づくキーの保護機能を削除するには、次のように入力します。
manage-bde -protectors -delete C: -type tpmandstartupkey
C ドライブに対するすべてのキーの保護機能の一覧を表示するには、次のように入力します。
manage-bde -protectors -get C:
C ドライブのすべての回復情報を AD DS にバックアップするには、次のように入力します (-id は、バックアップする特定のキーの保護機能の ID です)。
manage-bde -protectors -adbackup C: -id '{00000000-0000-0000-0000-000000000000}'