こちらに「このグループ ポリシー設定は、管理者がドメイン コントローラーから自動的に適用するように構成できます。 この状況では、この設定をローカルで無効にすることはできません。」と書かれているように、会社支給の PC で会社のネットワークに接続されているのであれば、まず会社の管理者に相談されることをお勧めします。
Windows11 Bitlockerの設定でエラーになり設定できません。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(54.400000000000006, 88%, 15%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3ES%3C/text%3E%3C/svg%3E)
SA
0
評価のポイント
会社支給の新規PCで、Bitlockerの設定でPINを入力して設定を進めようとするもエラーになり、設定ができません。
「FIPS 準拠を必要とするグループポリシー設定により、回復パスワードがActivedirectoryに保存されません。FIPS準拠モードでの操作の場合、Bitlocker回復オプションは、USBドライブに保存される回復キー、またはデータ回復エージェントを介した回復キーのいずれかになります。グループポリシー設定の構成を確認してください。」
グループポリシー設定では、以下確認しました。
・管理用テンプレート>Bitlockerドライブ暗号化>オペレーティングシステムのドライブ>
「スタートアップ時に追加の認証を要求する」を「有効」
・Windowsの設定>ローカルポリシー>セキュリティオプション>
「システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う」は「無効」
その他確認するところはありますか。設定するにはどのようにすべきなのかお教えください。
ビジネス向け Windows | IT プロフェッショナル用 Windows クライアント | ユーザー エクスペリエンス | その他
-
Hebikuzure aka Murachi Akira 323.4K 評価のポイント MVP ボランティア モデレーター2024-03-12T09:04:49.4033333+00:00 確認されているグループポリシーはドメインのポリシーですか、ローカルポリシーですか?
-
SA 0 評価のポイント
2024-03-12T23:51:50.3766667+00:00 ITの知識が乏しいので申し訳ないのですが、
PC上のグループポリシーを確認しましたので、ローカルポリシーになるかと思います。別のPCでは同じ設定になっていましたが、問題なくBitlockerの設定はできました。
-
藤本 貴紀 0 評価のポイント2025-06-25T23:25:04.9+00:00 おかげで原因に気づけました。
PSスクリプトでBitlockerを設定しておりましたが、その中ですでにBitlockerが有効化されていた場合、キーだけ削除しBitlockerをDisableする処理が入っておりませんでした。
サインインしてコメントする
-
Hebikuzure aka Murachi Akira 323.4K 評価のポイント MVP ボランティア モデレーター
2024-03-13T03:08:22.88+00:00 -
SA 0 評価のポイント
2024-03-13T06:15:19.2433333+00:00 大変お恥ずかしいのですが、システム課の一員なのです。。
ご指摘いただいたローカルポリシーではなく、ドメインのグループポリシーを確認しましたが、
「システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う」は「無効」になっていました。この一台のみBitLokerの設定ができないのです。
-
Hebikuzure aka Murachi Akira 323.4K 評価のポイント MVP ボランティア モデレーター
2024-03-13T15:36:13.32+00:00 特定の PC のみ動作が異常なのであれば、業務的にはその PC を初期化してみることをお勧めします。原因を追究するよりその方が工数が少ないでしょう。
-
SA 0 評価のポイント
2024-03-14T00:59:43.0166667+00:00 いろいろ設定し終わって残りBitlokcerの設定のみでしたので、何か対処方法があればと思ったのですが、工数的にも初期化が良さそうですね。
サインインしてコメントする -
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous2024-03-12T01:30:57.43+00:00 こんにちは
お問い合わせありがとうございます。Bitlockerの設定でPINを入力して設定を進めようとするとエラーが発生し、回復パスワードがActive Directoryに保存されないという問題が発生しているようですね。
グループポリシー設定を確認されたとのことで、以下の設定も確認してみてください。
・管理用テンプレート>Bitlockerドライブ暗号化>オペレーティングシステムのドライブ>
「BitLocker回復情報をActive Directoryドメインサービスに保存する」を「有効」
この設定が無効になっている場合、回復パスワードがActive Directoryに保存されないため、PINを入力して設定を進めることができません。
もし上記の設定が有効になっている場合は、FIPS準拠モードでの操作になっている可能性があります。その場合、回復キーはUSBドライブに保存されるか、データ回復エージェントを介した回復キーのいずれかになります。FIPS準拠モードを無効にすることで、回復パスワードがActive Directoryに保存されるようになります。
よろしくお願いいたします
Hania Lian
回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください。
-
SA 0 評価のポイント
2024-03-12T01:47:28.5066667+00:00 ご回答ありがとうございます。
質問の内容が不足しており申し訳ございません。
回復キーの保存は、ActiveDirectoryではなくUSBに保存したいのです。
現在の以下の設定は、「未構成」です。
・管理用テンプレート>Bitlockerドライブ暗号化>オペレーティングシステムのドライブ>
「BitLocker回復情報をActive Directoryドメインサービスに保存する」
サインインしてコメントする -