11.5 ポリシーがデバイスに適用された後の状態について

ポリシーがデバイスに割り当てられた後、そのデバイスに対するポリシー実施ワークフローは、デバイスタイプ(標準または自己暗号化)に依存します。

11.5.1 標準ハードディスク

標準ハードディスクを使用してディスク暗号化ポリシー(暗号化のみ、プレブート認証なし)がデバイスに割り当てられた後、次の処理が行われます。

  1. ZENworks Adaptive Agentが次回リフレッシュされると、Disk Encryptionポリシーを受け取ります。

  2. ZENworks Full Disk Encryption Agentは、デバイスにポリシーを適用します。

  3. デバイスは、ポリシー内のディスク暗号化リブート設定に従ってリブートされます。再起動の際には、次のことが行われます。

    • ポリシーでRun Windows check disk with repair (修復でWindowsチェックディスクを実行)オプションが有効化されている場合、CheckDiskが実行されます。Windows XPでは、オプションが有効化されていない場合であっても、必要に応じて処理が実行されます。

    • 100MBのZENworksパーティションが作成されます。このパーティションは、Full Disk EncryptionファイルおよびEmergency Recovery Information (ERI)ファイルの保存に使用されます。

    • Full Disk Encryptionドライバが初期化されます。

    • ユーザがWindowsへのログインを要求されます。

  4. ポリシーで指定されたターゲットディスクボリュームが暗号化されます。

    ボリューム数および暗号化するデータの量によっては、暗号化に時間がかかります。暗号化プロセスの最中にデバイスが再起動されると、再起動の前に中止された位置からプロセスが再開します。

    ZENworks Full Disk Encryptionのバージョン情報ボックスを表示して、暗号化プロセスを監視することができます。

11.5.2 プレブート認証を備えた標準ハードディスク

標準ハードディスクを使用してディスク暗号化ポリシー(暗号化およびプレブート認証)がデバイスに割り当てられた後、次の処理が行われます。

  1. ZENworks Adaptive Agentが次回リフレッシュされると、Disk Encryptionポリシーを受け取ります。

  2. ZENworks Full Disk Encryption Agentは、デバイスにポリシーを適用します。

  3. デバイスは、ポリシー内のディスク暗号化リブート設定に従ってリブートされます。再起動の際には、次のことが行われます。

    • ポリシーでRun Windows check disk with repair (修復でWindowsチェックディスクを実行)オプションが有効化されている場合、CheckDiskが実行されます。Windows XPでは、ポリシー内でオプションが有効化されていない場合であっても、必要に応じて処理が実行されます。

    • 100MBのZENworksパーティションが作成されます。このパーティションは、暗号化ファイル、Emergency Recovery Information (ERI)ファイル、およびZENworks PBA Linuxカーネルの保存に使用されます。

    • ディスク暗号化ドライバとZENworks PBAが初期化されます。

    • ユーザがWindowsへのログインを要求されます。

  4. Windowsのログインに成功すると、ポリシーのPBAリブート設定に従ってデバイスが再起動されます。再起動の際には、次のことが行われます。

    • ユーザキャプチャが「有効になっている」と、ユーザに情報プロンプトが表示され、次にWindowsログインが表示されます。ユーザが(ユーザID/パスワードまたはスマートカードを使用して)ログインすると、ZENworks PBAによって資格情報がキャプチャされます。以降のリブートでは、ユーザはZENworks PBAログインによって提示され、キャプチャされた資格情報を提供する必要があります。

    • ユーザキャプチャが「有効になっていない」と、ユーザはPBAログイン画面で資格情報を入力するよう求められます。ユーザは、ポリシー内に定義されているPBAユーザまたはスマートカード用の有効な資格情報を入力する必要があります。シングルサインオンが「有効になっていない」と、Windowsログインが表示され、ユーザはログインするために有効なWindows資格情報を入力する必要があります。

  5. ログインが成功すると、ポリシーで指定されたターゲットディスクボリュームが暗号化されます。

    ボリューム数および暗号化するデータの量によっては、時間がかかります。暗号化プロセスの最中にデバイスが再起動されると、再起動の前に中止された位置からプロセスが再開します。

    ZENworks Full Disk Encryptionのバージョン情報ボックスを表示して、暗号化プロセスを監視することができます。

11.5.3 自己暗号化ハードディスク

自己暗号化ハードディスクを備えたデバイスにディスク暗号化ポリシーが割り当てられた後に、次のプロセスが発生します。

  1. ZENworks Adaptive Agentが次回リフレッシュされると、Disk Encryptionポリシーを受け取ります。

  2. ZENworks Full Disk Encryption Agentは、デバイスにポリシーを適用します。

  3. ZENworksは128MBの「MBRシャドウ」を作成し、これにZENworks PBA Linuxカーネルをコピーします。

  4. ZENworksは、PBAのポリシーのForce device to reboot within xx minutes (xx分以内にデバイスを強制的に再起動)設定で指定された時間が経過すると、デバイスの強制的なシャットダウンを開始します。PBAの再起動オプションとして別の設定(Force device to reboot immediately (ただちにデバイスを強制的に再起動)またはDo not reboot device (デバイスを再起動しない))を指定した場合、その設定は無視され、5分後に強制的なシャットダウンが行われます。

    これはハードシャットダウンであり、再起動ではありません。ユーザは、シャットダウン後にデバイスの電源をオンにする必要があります。

  5. 起動時に、ZENworks Full Disk Encryption情報プロンプトがユーザに表示され、次にWindowsログインが表示されます。

    初期化プロセス時には、ポリシーの設定に関係なく、ユーザキャプチャとシングルサインオンが有効になります。この1回限りの初期化プロセスの後、PBAのポリシーで指定されたユーザキャプチャとシングルサインオン設定が実施されます。

  6. ユーザが(ユーザID/パスワードまたはスマートカードを使用して)Windowsにログインすると、ZENworks PBAによって資格情報がキャプチャされます。

    これ以後の再起動では、ZENworks PBAログインが表示されますが、ユーザは、キャプチャされた資格情報、またはポリシーのPBAユーザリストあるいは資格情報リストに事前定義された資格情報を指定できます。