本手順は、Windows10/11のセキュリティ機能(BitLocker)に関連する手順となります。
本項は、利用者向け手順のトラブルシューティングも含む内容を記載しています。
作業の前提条件は以下となります。
- 対象のWindows PCにログインができること
- BitLockerのPIN及び回復キーを紛失したなどの要因で、ログイン不可の状態では作業できません
- 対象の Windows PC が "Microsoft Entra join (Azure AD Join)" を完了していること
- 作業者の Azure ADアカウントに、「Microsoft Entra 参加済みデバイスのローカル管理者」「グローバル管理者」いずれかのロールが付与されていること
- 対象のPCがインターネットに安定して接続できる環境にあること
- USBメモリやリムーバブルディスク(外付けのSSD/ハードディスク)を接続している場合は、取り外してから実施すること
手順
1.対象のWindows PCにログインする
対象のPCに、組織のユーザ (Entra ID) でログインします。
2.対象ドライブのBitLocker管理画面へアクセスする
以降の手順は、「Cドライブ」を対象としてご説明いたします。
※複数のドライブを暗号化している場合、以降の手順を繰り返す必要があります。
- エクスプローラーを開き、アップロード対象のドライブのアイコンを右クリック
- 右クリックメニューの表示を確認する
- 「BitLockerの管理」のみが表示される
- 正常に暗号化されています。手順3-1.へ
- 「BitLockerの管理」と「BitLocker保護を再開する」が両方出る
- 暗号化状態または回復キーに異常があります。手順3-2.へ
- 「BitLockerを有効にする」のみが出る
- 対象のドライブは暗号化されていません。手順3-3.へ
- 「BitLockerの管理」のみが表示される
- 「ユーザアカウント制御」のダイアログが表示される場合、作業者にローカル管理者権限が付与されていません
- 管理者ID/パスワードを入力して続行するか、権限付与をおこなってください
3-1.回復キーをアップロードする(暗号化済ドライブ)
暗号化済のドライブのBitLocker回復キーを、Azure ADにアップロード(バックアップ)します。
- Cドライブの右クリックメニューで、「BitLockerの管理」をクリックする
- 「回復キーのバックアップ」をクリックし、「BitLockerドライブ暗号化」ダイアログを開きます
- 「Azure AD アカウントに保存する」をクリックすると、アップロードが実施されます
- 「回復キーが保存されました」というメッセージが出れば、アップロード成功です
- 次項で回復キーの照合を行う場合は、「回復キーを印刷する」から、PDFへ出力します
- 「ファイルに保存する」でテキストファイルに出力することも可能ですが、暗号化対象のドライブ上(今回の例ではCドライブ)には保存できません
- 右下の「完了」をクリックし、ダイアログを閉じます。手順4.へ
3-2.暗号化を解除する(暗号化状態が異常な場合)
右クリックメニューに「BitLocker保護を再開する」が表示された場合、一度暗号化を解除してから、再度暗号化を実施します。
- Cドライブの右クリックメニューで、「BitLockerの管理」をクリックする
- 「BitLockerを無効にする」をクリック
- 「BitLockerドライブ暗号化」のポップアップで「BitLockerを無効にする」をクリック
- 「C: BitLocker が暗号化の解除中です」と表示されたら、完了まで待つ
- ドライブの容量で所要時間は異なります
- 暗号化の解除が完了したら、手順3-3.へ
3-3.暗号化を実施する(暗号化されていない場合)
暗号化されていない場合は、暗号化手順の中でアップロードが実施可能です。
- Cドライブの右クリックメニューで、「BitLockerを有効にする」をクリックする
- 「BitLockerドライブ暗号化」のポップアップで「Azure ADアカウントに保存する」をクリック
- 「回復キーが保存されました」と表示されたら、「次へ」
- 暗号化する範囲で「ドライブ全体を暗号化する」を選択し、「次へ」
- 使用する暗号化モードで「新しい暗号化モード」を選択し、「次へ」
- 確認画面で、システムチェックのチェックを入れずに「暗号化の開始」をクリック
- 「暗号化しています」のプログレスバーがポップアップしたら、完了まで電源を切らずに待つ
- 「C: の暗号化が完了しました」と表示されれば、暗号化とアップロードは完了です
4.回復キーがバックアップされていることを確認する
Entra上で、回復キーがバックアップされていることを確認します。
- Microsoft Entra 管理センターにログインします
- 左ペインのメニューから、ID > デバイス > 「すべてのデバイス」を開き、対象PCを検索します
- 対象PCの左メニューで 管理 > 「BitLockerキー 」を開き、BitLocker回復キーが追加されていることを確認します
- 過去にリカバリを行った等で、対象PCの回復キーが今回アップロードした分以外にも存在する場合は、「回復キーの表示」をクリックし、PC側で出力したPDFファイルと照合を行ってください。照合後、PDFファイルは削除してください
以上で、手動アップロード手順は終了です。
補足事項・トラブルシューティング
- BitLockerの回復キーは、ドライブ単位で、暗号化実施時に発行されます
- ログインユーザを変更したり、ローカルAD/Entra IDへの参加・離脱を行っても、回復キーは変わりません
- PC上に複数のドライブがある場合、暗号化状態および回復キーは共通ではありません
- 対象のドライブが適切に保護されており、対象PCにログイン可能な場合は、回復キーはいつでも再発行が可能です(本手順の作業前提でもあります)
- 対象のドライブが適切に保護されていない場合は、BitLockerを一度無効化した後、再度暗号化を行ってください
- Entra管理センターにて対象PCのデバイス情報を削除してしまった場合は、時間が経っても自動で再登録はされません。PC側で一度Entra IDからの離脱を行った後、再度参加の操作を行ってください