BitLocker の回復: 既知の問題
この記事では、ドライブの復旧時に BitLocker が予期したとおりに動作しなくなる可能性がある一般的な問題、または BitLocker が予期せず回復を開始する可能性がある一般的な問題について説明します。 この記事では、これらの問題に対処するためのガイダンスも提供します。
注:
この記事では、"回復パスワード" は 48 桁の回復パスワードを指し、"回復キー" は 32 桁の回復キーを指します。 詳細については、「 BitLocker キー 保護機能」を参照してください。
Windows で、既存ではない BitLocker 回復パスワードの入力を求めるメッセージが表示される
Windows では、BitLocker 回復パスワードの入力を求められます。 ただし、BitLocker 回復パスワードが構成されていません。
Windows での既存以外の BitLocker 回復パスワードの入力を求める解決策
BitLocker および Active Directory Domain Services (AD DS) FAQ では、この現象が発生する可能性がある状況に対処し、問題を解決するための手順に関する情報を提供します。
ノート PC の回復パスワードがバックアップされておらず、ノート PC がロックされている
次のような状況で問題が発生します。
Windows 11またはWindows 10ラップトップのハードディスクを回復する必要があります。 ディスクは BitLocker Driver Encryption を使用して暗号化されました。 ただし、BitLocker 回復パスワードはバックアップされておらず、ノート PC の通常のユーザーはパスワードを提供できません。
ノート PC の回復パスワードの解決がバックアップされませんでした
オンライン クライアントの既存の回復情報を手動でバックアップまたは同期するには、次のいずれかの方法を使用できます。
情報をバックアップする Windows Management Instrumentation (WMI) スクリプトを作成します。 詳細については、「 BitLocker ドライブ暗号化プロバイダー」を参照してください。
管理者特権のコマンド プロンプト ウィンドウで、 manage-bde.exe コマンドを使用して情報をバックアップします。
たとえば、C: ドライブのすべての回復情報を AD DS にバックアップするには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
cmd manage-bde.exe -protectors -adbackup C:
注:
BitLocker では、このバックアップ プロセスは自動的に管理されません。
タブレット デバイスでは、回復モードをテストするための使用 manage-bde.exe -forcerecovery
はサポートされていません
次のような状況で問題が発生します。
BitLocker の回復は、次のコマンドを実行して、タブレットまたはスレート デバイスでテストする必要があります。
cmd manage-bde.exe -forcerecovery
ただし、回復パスワードを入力した後、デバイスを起動できません。
タブレット デバイスの原因は、回復モードをテストするための使用 manage-bde.exe -forcerecovery
をサポートしていません
重要
タブレット デバイスでは、 コマンドは manage-bde.exe -forcerecovery
サポートされていません。
この問題は、Windows ブート マネージャーが起動前の起動フェーズ中にタッチ入力を処理できないために発生します。 ブート マネージャーは、デバイスがタブレットであることを検出した場合、起動プロセスを Windows Recovery Environment (WinRE) にリダイレクトします。これにより、タッチ入力を処理できます。
WindowsRE がハード ディスク上の TPM 保護機能を検出すると、PCR 再シールが実行されます。 ただし、コマンドは manage-bde.exe -forcerecovery
ハード ディスク上の TPM 保護機能を削除します。 したがって、WinRE は PCR を再シールできません。 このエラーにより、無限の BitLocker 回復サイクルがトリガーされ、Windows が起動できなくなります。
この動作は、すべてのバージョンの Windows に対して設計されています。
タブレット デバイスの回避策では、 を使用して manage-bde.exe -forcerecovery
回復モードをテストすることはできません
再起動ループを解決するには、次の手順に従います。
[BitLocker 回復] 画面で、[ このドライブをスキップする] を選択します。
[詳細オプションのトラブルシューティング>] コマンド プロンプトを>選択します。
[コマンド プロンプト] ウィンドウで、次のコマンドを実行します。
manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password> manage-bde.exe -protectors -disable C:
コマンド プロンプト ウィンドウを閉じます。
デバイスをシャットダウンします。
デバイスを起動します。 Windows は通常どおりに起動する必要があります。
Surface に UEFI または TPM ファームウェアの更新プログラムをインストールすると、BitLocker によって回復パスワードの入力が求められます
次のような状況で問題が発生します。
Surface デバイスで BitLocker ドライブの暗号化が有効になっています。 Surface の TPM のファームウェアが更新されるか、システム ファームウェアの署名を変更する更新プログラムがインストールされます。 たとえば、Surface TPM (IFX) 更新プログラムがインストールされています。
Surface デバイスでは、次の 1 つ以上の現象が発生します。
起動時に、Surface デバイスは BitLocker 回復パスワードの入力を求めます。 正しい回復パスワードが入力されていますが、Windows が起動しません。
スタートアップは、Surface デバイスの統合拡張ファームウェア インターフェイス (UEFI) 設定に直接進みます。
Surface デバイスは無限再起動ループに入っているように見えます。
の原因: Surface に UEFI または TPM ファームウェアの更新プログラムをインストールした後、BitLocker によって回復パスワードの入力が求められます
この問題は、Surface デバイス TPM が、PCR 7 と PCR 11 の既定値以外のプラットフォーム構成レジスタ (PCR) 値を使用するように構成されている場合に発生します。 たとえば、次の設定では、このように TPM を構成できます。
- セキュア ブートがオフになっています。
- PCR 値は、グループ ポリシーなどによって明示的に定義されています。
Surface デバイスを含め、コネクト スタンバイ (InstantGO または Always On とも呼ばれる Always Connected PC) をサポートするデバイスは、TPM の PCR 7 を使用する必要があります。 このようなシステムの既定の構成では、PCR 7 とセキュア ブートが正しく構成されている場合、BitLocker は PCR 7 と PCR 11 にバインドします。 詳細については、「BitLocker グループ ポリシー設定: プラットフォーム構成レジスタ (PCR)について」を参照してください。
Surface に UEFI または TPM ファームウェアの更新プログラムをインストールした後の解決策、BitLocker は回復パスワードの入力を求めるメッセージを表示します
デバイスで使用されている PCR 値を確認するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
manage-bde.exe -protectors -get <OSDriveLetter>:
このコマンドでは、 <OSDriveLetter> はオペレーティング システム ドライブのドライブ文字を表します。
この問題を解決してデバイスを修復するには、次の手順に従います。
手順 1: ブート ドライブで TPM 保護機能を無効にする
TPM または UEFI の更新プログラムがインストールされていて、Surface デバイスを起動できない場合は、正しい BitLocker 回復パスワードが入力されている場合でも、BitLocker 回復パスワードと Surface 回復イメージを使用して起動機能を復元して、ブート ドライブから TPM 保護機能を削除できます。
BitLocker 回復パスワードと Surface 回復イメージを使用してブート ドライブから TPM 保護機能を削除するには、次の手順を実行します。
Surface ユーザーの Microsoft.com アカウントから BitLocker 回復パスワードを取得します。 BitLocker が Microsoft BitLocker 管理と監視 (MBAM)、Configuration Manager BitLocker 管理、Intuneなど、別の方法で管理されている場合は、管理者に問い合わせてください。
別のコンピューターを使用して、Surface 回復イメージの ダウンロードから Surface 回復イメージをダウンロードします。 ダウンロードしたイメージを使用して、USB 回復ドライブを作成します。
SURFACE デバイスに USB Surface 回復イメージ ドライブを挿入し、デバイスを起動します。
メッセージが表示されたら、次の項目を選択します。
オペレーティング システムの言語。
キーボード レイアウト。
[詳細オプションのトラブルシューティング>] コマンド プロンプトを>選択します。
[コマンド プロンプト] ウィンドウで、次のコマンドを実行します。
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>: manage-bde.exe -protectors -disable <DriveLetter>:
各部分の意味は次のとおりです。
- <パスワード> は、手順 1 で取得した BitLocker 回復パスワードです
- <DriveLetter> は、オペレーティング システム ドライブに割り当てられるドライブ文字です
注:
このコマンドの使用方法の詳細については、「 manage-bde unlock」を参照してください。
コンピューターを再起動します。
メッセージが表示されたら、手順 1 で取得した BitLocker 回復パスワードを入力します。
注:
TPM 保護機能が無効になった後、BitLocker ドライブの暗号化によってデバイスが保護されなくなります。 BitLocker ドライブ暗号化を再度有効にするには、[ スタート] を選択し、「 BitLocker の管理」と入力し、 Enter キーを押します。 手順に従ってドライブを暗号化します。
手順 2: Surface BMR を使用してデータを回復し、Surface デバイスをリセットする
Windows が起動しない場合に Surface デバイスからデータを回復するには、「 手順 1: ブート ドライブの TPM 保護機能を無効にする 」セクションの手順 1 ~ 5 に従ってコマンド プロンプト ウィンドウに移動します。 コマンド プロンプト ウィンドウが開いたら、次の手順に従います。
コマンド プロンプトで、次のコマンドを実行します。
manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:
このコマンドでは、パスワード>は、「<手順 1: ブート ドライブで TPM 保護機能を無効にする」セクションの手順 1 で取得した BitLocker 回復パスワードで<、DriveLetter> はオペレーティング システム ドライブに割り当てられているドライブ文字です。
ドライブのロックが解除されたら、 または
xcopy.exe
コマンドをcopy
使用して、ユーザー データを別のドライブにコピーします。注:
これらのコマンドの詳細については、 Windows コマンドに関する記事を参照してください。
Surface 回復イメージを使用してデバイスをリセットするには、Surface の USB 回復ドライブの作成と使用に関する記事の手順に従います。
手順 3: 既定の PCR 値を復元する
この問題が繰り返し発生しないようにするには、セキュア ブートの既定の構成と PCR 値を復元することをお勧めします。
Surface デバイスでセキュア ブートを有効にするには、次の手順に従います。
管理者特権のWindows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行して、BitLocker を中断します。
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
このコマンドでは、 <DriveLetter> はドライブに割り当てられる文字です。
デバイスを再起動し、UEFI 設定を編集して、 セキュア ブート オプションを Microsoft Only に設定します。
デバイスを再起動し、Windows にサインインします。
管理者特権の PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。
Resume-BitLocker -MountPoint "<DriveLetter>:"
TPM の PCR 設定をリセットするには、次の手順に従います。
PCR 設定を構成するグループ ポリシー オブジェクトを無効にするか、そのようなポリシーを適用するグループからデバイスを削除します。
詳細については、「BitLocker グループ ポリシー設定」を参照してください。
管理者特権のWindows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行して、BitLocker を中断します。
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
このコマンドでは、 <DriveLetter> はドライブに割り当てられる文字です。
次の PowerShell コマンドレットを実行します。
Resume-BitLocker -MountPoint "<DriveLetter>:"
手順 4: TPM または UEFI ファームウェアの更新中に BitLocker を中断する
このような更新プログラムを適用する前に BitLocker を一時的に中断することで、システム ファームウェアまたは TPM ファームウェアに更新プログラムをインストールするときに、このシナリオを回避できます。
重要
TPM と UEFI ファームウェアの更新では、インストール中に複数の再起動が必要になる場合があります。 このプロセス中に BitLocker を中断したままにするには、PowerShell コマンドレット Suspend-BitLocker を使用し、 Reboot Count パラメーターを次のいずれかの値に設定する必要があります。
2 以上: この値は、BitLocker デバイス暗号化が再開されるまでのデバイスの再起動回数を設定します。 たとえば、値を 2 に設定すると、デバイスが 2 回再起動した後に BitLocker が再開されます。
0: この値は、BitLocker ドライブ暗号化を無期限に中断します。 BitLocker を再開するには、PowerShell コマンドレット Resume-BitLocker またはその他のメカニズムを使用して BitLocker 保護を再開する必要があります。
TPM または UEFI ファームウェア更新プログラムのインストール中に BitLocker を一時停止するには:
管理者特権のWindows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。
Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
この PowerShell コマンドレットでは、 <DriveLetter> はドライブに割り当てられる文字です。
Surface デバイス ドライバーとファームウェアの更新プログラムをインストールします。
ファームウェアの更新プログラムをインストールした後、コンピューターを再起動し、管理者特権の PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。
Resume-BitLocker -MountPoint "<DriveLetter>:"
TPM 1.2 の Credential Guard/Device Guard: 再起動するたびに、BitLocker によって回復パスワードの入力が求め、エラー 0xC0210000が返されます
次のような状況で問題が発生します。
デバイスは TPM 1.2 を使用し、Windows 10 Version 1809実行します。 デバイスでは、Device Guard や Credential Guard などの仮想化ベースのセキュリティ機能も使用します。 デバイスが起動されるたびに、デバイスは BitLocker 回復モードになり、次のようなエラー メッセージが表示されます。
回復
PC/デバイスを修復する必要があります。 BitLocker キーが正しく読み込まれなかったため、必要なファイルにアクセスできませんでした。
エラー コードの0xc0210000
回復ツールを使用する必要があります。 インストール メディア (ディスクや USB デバイスなど) がない場合は、PC 管理者または PC/デバイスの製造元にお問い合わせください。
TPM 1.2 での Credential Guard/Device Guard の原因: 再起動するたびに、BitLocker は回復パスワードの入力を求め、エラー 0xC0210000を返します
TPM 1.2 では、セキュア起動はサポートされていません。 詳細については、「System Guard Secure Launch and SMM Protection: Requirements Met by System Guard Enabled Machines」を参照してください。
このテクノロジの詳細については、「Windows Defender System Guard: ハードウェア ベースの信頼のルートが Windows を保護する方法」を参照してください。
TPM 1.2 での Credential Guard/Device Guard の解決: 再起動するたびに、BitLocker は回復パスワードの入力を求め、エラー 0xC0210000を返します
この問題を解決するには、次の 2 つの解決策のいずれかを使用します。
- TPM 1.2 を使用するすべてのデバイスを、セキュリティで保護された起動を強制する GPO の対象となるグループから削除します。
- [仮想化ベースのセキュリティを有効にする] GPO を編集して、[セキュリティで保護された起動の構成] を [無効] に設定します。