いつものようにPCの電源を入れると、いつもとは違う見たことのない画面が表示された... もうそれだけでも、あれ?あれ?... ってことになりかねないのに、その画面を見ると 「回復キー」と何やらよくわからないものの入力を求められる...
更新プログラムの、既知の問題の中でも、「BitLocker グループ ポリシーネイティブ UEFI ファームウェア構成の TPM プラットフォーム検証プロファイルを構成し、ポリシーで PCR7 が選択されている場合、更新プログラムのインストールに失敗する可能性があります」とあるように、インストールに失敗するという例も報告されていますが、これにより何らかの問題が発生し BitLockerによる保護がかかり、回復キーを入力しないと PC自体が起動できなくなってしまうケースもあるようです。
さて今回はこうして 回復キーを求められた際の対処法について整理してみました。
【「BitLocker」と回復キー】
「BitLocker」とは、盗難などにより紛失したPCから情報漏洩などを防ぐためにデバイスを暗号化し、保護する Windows の機能です。すべての Windows に搭載されているわけではなく、Professional エディションや、法人向けの Enterprise エディションといった製品向けの機能になりますので、一般のユーザーが使用する Home エディション にはこの機能は搭載されていないため、利用できません。
-- BitLocker の有効・無効:
Windows 10 の時代までであれば、デフォルトではこの機能は無効の方が多かったかと思います。もちろん、自分で有効にされてご利用だった方もいらっしゃるでしょうね。しかしWindows 11 の登場以来、セキュリティがより強化され、デフォルトで有効になっているケースが増えています。
なので、Windows7 や、Winodws 8.1 から、Windows 10 にアップグレードしたユーザーも含め、一般ユーザーの方はどちらかと言えば、まだデフォルトの無効のままとなっているケースも多いと思います。
--デバイスの保護とBitLocker:
BitLockerは、Professional エディション以上の OS が対象になるのに対して、同じような暗号化をする機能として、「デバイスの暗号化」という機能が Windows にはあります。
これもどんなPCでも対象となるわけではありません。この機能が利用可能な要件を満たしている必要があり、その対象となるデバイス以外には表示されませんが、対象デバイスの場合には Windows 10 / 11 Home エディションでもデフォルトで有効になっているケースもあります。
いくつか確認したところでは、
といったメーカーでは、おそらく昨今の Windows 11 を搭載したものは基本的にはデフォルトで有効になっているものが多いものと思われます。つまり、BitLocker はなくても、デバイスの保護がかかっていることはありうるわけです。
この「デバイスの保護」については別の機会に取り上げることとします。
-- どんなタイミングで有効になるのか?
ではこの BitLocker保護 や デバイスの保護 といった機能がどの段階で有効になるのか?
メーカー出荷時から有効になっているようなケースを除くと、「
Windows でのデバイスの暗号化」でも紹介されていますが、「
Windows 10 以降の BitLocker を実行するサポートされているデバイスでは、個人の Microsoft アカウント (@outlook.com、@hotmail.com など) や仕事用または学校アカウントに初めてサインインすると、自動的にオンになります。BitLocker はローカル アカウントでは自動的に有効になりませんが、 BitLocker の管理 ツールで手動で有効にすることができます」とあるように、Microsoft アカウントでサインインしていると、その時点で有効になっているわけです。
現在、Microsoft アカウントでサインインしてご利用の方は、ちゃんと起動できているうちに、いざという時のために「回復キー」がどんなものなのか?確認しておくといいですね。
【回復キーを求められたら?】
こうしたPCの仕様を確認していないで使用していると、今回最初にご紹介したような更新プログラムの適用失敗などのようなトラブルなど、何らかのトラブルによって、BitLocker や デバイスの保護が作動し、回復キーの入力を求められたら、指定された「回復キー」を入力しないと起動できません。
「どんなタイミングで有効になるのか?」のところでもご紹介したように、通常、Microsoft アカウントにてサインインした際に設定されるので、サインインした Microsoft の Microsoft アカウントページにサインインすれば確認することが可能です。
-- Microsoft アカウントの画面から確認する方法:
2) 「デバイス」のところに登録されているPCがあるはずなので、「詳細の表示」をクリックします
3) デバイスが表示されたら、「BitLockerデータ保護」の「回復キーの管理」をクリックします
4) 「ご本人確認のお願い」が表示されたら、そこに提示された方法を選択し、確認コードを受け取り入力します
5) 確認コードを入力し、「確認」をクリックすると、Microsoftアカウントの画面に戻り、回復キーが表示されます
この他にも
といったメーカーのWebサイトにも詳細な手順が紹介されていますので参照してください。
【BitLocker キーの管理】
最後に、すでに回復キーを求められて、二進も三進もいかない...というケースを除いて、では自分のPCは、BitLockerが有効になっているのか? そして回復キーをどう管理したらいいのか? について簡単にご紹介しておきます。
冒頭でご紹介した上記の画像は、BitLocker が無効の Windows 10 のコントロールパネルと、BitLocker が有効になっている Windows 11 の画面です。
- コントロールパネル>システムとセキュリティ>BitLockerドライブ暗号化
と開くと表示されます。
- 無効の場合: "BitLockerを有効にする" というリンクがあります
- 有効の場合: "保護の中断"、"回復キーのバックアップ"、"BitLocker を無効にする" といったメニューが表示されます
-- 回復キーのバックアップ:
PCが起動できないと、この画面から確認はできませんが、まだ回復キーを求められたことがないといった場合には、有効か?無効化を確認した際、有効であればきちんと事前に確認しておくといいかもしれませんね。その場合、「回復キーのバックアップ」をクリックして進みます。
この場合上記にもあるように、昨今では、「Azure ADアカウントに保存する」何ていう選択肢もありますが、これは法人ユーザー向けのものになりますので、「ファイルに保存する」か「回復キーを印刷する」を選択して進みます。
上記の富士通のサイトにもありますが、保存する場合、そのPCに保存しておくのだとせっかっく確認しても起動できなくなってしまうと利用できないので、USBメモリに保存しておくか? 紙に印刷して保管しておく方がいいかもしれませんね。
<参照>
posted by クリック at 08:49| 東京 ☀|
Comment(0)
|
TrackBack(0)
|
Windows11
|
|