Windows 11 も、24H2 がリリースされてしばらくたちますが、様々な不具合も確認はされていおりますが、とりあえず不具合ではありませんが、あれ?と思った点を取り上げてみました。
【BitLocker 暗号化がデフォルトで有効になる?】
昨年になるのでちょっと前ですが、PCを起動すると回復キーの入力を求められて起動できなくなるトラブルが続いた時期がありました。
- 「PCを起動したら、BitLocker 回復キーの入力を求められて、PCが起動できない」(2024/07/13)
- 「PCを起動したら、BitLocker 回復キーの入力を求められて、PCが起動できない Part 2」(2024/07/28)
- 「PCを起動したら、BitLocker 回復キーの入力を求められて、PCが起動できない Part 3」(2024年08月17日)
さてそんな BitLocker 暗号化やデバイスの暗号化といった機能が、Windows 11 Ver.24H2 からはデフォルトで有効になるという話題があります。その始まりは、おそらく「Microsoft is enabling BitLocker device encryption by default on Windows 11」(TheVerge)の報道。
ただし、Ver.23H2 から更新アシスタントでアップグレードした場合には有効にならず、クリーンインストールした場合には有効になるようです。
今回、手元のPCで、Ver.24H2 に更新アシスタントを利用してアップグレードものについては、Bitlocker の暗号化は無効のままでした。
ただし実際にクリーンンインストールされている例をネットで検索してみると、ローカルアカウントであっても Bitlocker は有効化されているようなので、Microsoft アカウントなどでサインインすれば、Microsoft アカウントに Bitlocker の暗号化キーはバックアップされますが、ローカルアカウントの状態で使っていて自分で確認してバックアップしていない状態だったりするケースで、トラブルになって Bitlocker の回復キーを求められるようになると対処のしようがなくなってしまいますのでくれぐれもご注意ください。
Microsoft のブログや新機能の紹介記事を確認する限りでは、「OEM 向け Windows 11 での BitLocker ドライブ暗号化」の「BitLocker 自動デバイス暗号化のハードウェア要件」の中で要件が緩和されていることに言及。また「保護はユーザーが Microsoft アカウントまたは Azure Active Directory アカウントを使用してサインインインした後でのみ有効になります。 それまでは保護が中断され、データは保護されません。 BitLocker 自動デバイス暗号化はローカル アカウントでは有効になっていません。」ともあるのですが、実際にクリーンインストールされている例で見ると、ローカルアカウントでもデフォルトで有効化されているケースも散見されるようです。
そもそもこの機能が必要か?不要は?はともかくとして、暗号化してPCを保護すること自体は、いいことなわけですし、それをちゃんと利用者が把握して、管理できていればいいだけのことなので、こうした報道を機にしっかり自身のPCについても確認しておくことが大切です。
さて Windows 11 Home で利用可能な "デバイスの暗号化" については、富士通の例ですが「デバイスの暗号化 / BitLocker ドライブ暗号化について教えてください」(富士通)の中で、「デバイスの暗号化について」のところを開くとありますが、この機能が搭載されているPCの場合には、「デバイスの暗号化を搭載している機種は、Microsoft アカウントでサインインしたときなどに、自動的にデバイスの暗号化がオン(有効)になります」とあるので、一般向けの Windows 11 Home のPCについても、Microsoft アカウントでサインインをすると自動的に「デバイスの暗号化」は有効になり、その回復キーは Microsoft アカウント上にバックアップされるとあります。
ただしこの辺りも先ほどの BitLocker 同様 Ver.24H2 以降は、デフォルトで有効化されているとなると、ローカルアカウントなどでサインインしてても有効化されている可能性も高いので、確認の上、回復キーのバックアップは忘れないようにしてください。
デバイスの暗号化や、Bitlocker の暗号化を有効化されている場合には、回復キーの確認及びバックアップはご自身で控えていただく必要がありますので、くれぐれもご注意ください。
【個人データの暗号化(PDE)とは?】
さて今回手元のPCで、Ver.24H2 について気になったのが実はこの機能でした。
アップグレードで、BitLocker は無効のままで問題なかったわけですが、ある時 気が付いたら、この PC で作成しデスクトップに保存したデータをUSBメモリに保存して別のPCで開こうとしたら開けない....
アプリによって表示されるメッセージも多少異なりましたが、上記のような感じでした。
改めて、デスクトップ上の該当データのアイコンを確認してみると、アイコンに鍵のマークがついておりました。つまり、「PDE」(個人データ暗号化)が設定されている状態なわけです。
確認のため、ローカルフォルダを確認。ドキュメントや、ピクチャーなどのフォルダは暗号化はされておりませんでしたが、どういうわけか? デスクトップのみ暗号化が有効になっておりました。
つまりは、デスクトップにデータを保存すると個人データの暗号化(PDE)が有効になって保持されるということになります。
【Ver.22H2で搭載された機能】
この「PDE」(個人データ暗号化)自体は、Windows 11 Ver.22H2 で追加された機能になります。当然ながら、搭載されていても手元のPCでは、Ver.23H2 で使用している段階では有効にしていなかったので、無効のままだったわけです。しかし Ver.24H2 になって、どういうわけか?「デスクトップ」のみ、この機能が有効化されておりました。
ただしその後、別の Windows 11 Ver.23H2 で、Windows Update にて自動で Ver.24H2 にアップデートしてみたPCでも確認したところ、この時の様な症状はなく「PDE」については、あくまでも自動で有効になるような症状は確認できませんでしたので問題はなさそうです。
この機能が有効な状態でデスクトップにデータを保存すると、その保存されたデータは自動的に暗号化が適用されます。現時点で自分のPCが有効になっているかどうかは、以下の手順でも確認できます。
- エクスプローラーを開いてみて、デスクトップを右クリックしてプロパティを開きます
- 全般タブ>「属性」のところにある「詳細設定」を開きます
- 「圧縮属性または暗号化属性」のところで「内容を暗号化してデータをセキュリティで保護する」にチェックが入ってればONの状態です
必要に応じて、ON あるいは OFF としてご利用ください。
【BitLocker と PDE の違い】
さて同じ暗号化でもこの2つには違いがあります。どちらも Windows 11におけるデータ保護を目的とする機能ですが、その範囲に違いがあります。その違いについて簡単に見ていくことにしましょう。
- BitLocker:ボリューム全体を暗号化
- PDE:ファイル・フォルダ単位での暗号化
1) BitLocker
BitLocker は、ボリューム全体を暗号化するもので、システムの起動時、すべてのデータを一度に暗号化・復号化し保護します。ただし起動してしまえばすべてのデータにはアクセスができるようになります。
2) PDE
PDEは、文字通り個人データを暗号化するもので、ファイル・フォルダ単位で行え、ボリューム全体の BitLocker に比べるとより細かな対応が可能になるものです。利用するユーザーが個人でデータを管理するのに役立つ機能です。さらにネットワーク越しのアクセスを制限する特徴もあり、PDEで保護されたデータは、ネットワーク上の共有フォルダからではアクセスできないため、データ流出のリスク低減にも寄与するわけです。
【Ver.24H2 からはエンタープライズユーザー向けにも】
さてこの「PDE」ですが、「Personal Data Encryption folder protection now available」(2024/12/20)の Windows IT Pro ブログにも紹介されていましたが、「The new Personal Data Encryption known folder protection capability is now available on Windows 11, version 24H2 Enterprise and Education editions.」とあるように、Enterprise エディションと Education エディションでも利用できるようになったようです。
<参照>
【関連する記事】
- Windows 11 Ver.24H2 の自動配信がスタート
- 別のフォントが利用されてしまう【メモ帳】
- Windows 11 Ver.24H2 で、12月に新たに加わった既知の問題とセ..
- Web カメラの活用がさらに多様化
- Windows 11 で、Update がきっかけでライセンス認証を求めらること..
- 更新が終わったはずなのにタスクバーに更新を確認するようなアイコンが表示される
- 波紋が広がりつつある「Windows で保護された印刷モード」の影響
- 日付と時刻の設定で、短い形式に曜日を表示するように設定しても正しくタスクバーに反..
- Windows 11 Ver.24H2 のもう一つの顔
- Windows 11 Ver.24H2 へのアップデート