BitLocker 回復: 既知の問題

この記事では、ドライブの復旧時に BitLocker が予期したとおりに動作しない、または BitLocker が予期せず回復を開始する可能性がある一般的な問題について説明します。 この記事では、これらの問題に対処するためのガイダンスも提供します。

Note

この記事では、"回復パスワード" は 48 桁の回復パスワードを指し、"回復キー" は 32 桁の回復キーを指します。 詳細については、「 BitLocker キー保護機能を参照してください。

デバイス暗号化の詳細については、「 BitLocker 自動デバイス暗号化ハードウェア要件を参照してください。

Windows で、既存ではない BitLocker 回復パスワードの入力を求めるメッセージが表示される

Windows では、BitLocker 回復パスワードの入力を求められます。 ただし、BitLocker 回復パスワードが構成されていませんでした。

既存の BitLocker 回復パスワードを求める Windows プロンプトの解決策

BitLocker および Active Directory ドメイン Services (AD DS) に関する FAQ では、この現象が発生する可能性がある状況に対処し、問題を解決するための手順に関する情報を提供します。

• コンピューターがドメインに参加する前に、コンピューターで BitLocker が有効になっている場合はどうなりますか?

• 初期バックアップに失敗するとどうなりますか。 BitLocker は再試行しますか?

ラップトップの回復パスワードがバックアップされておらず、ラップトップがロックされている

以下のシナリオについて考えてみます。

Windows 11 または Windows 10 ノート PC のハード ディスクを回復する必要があります。 ディスクは BitLocker ドライバー暗号化を使用して暗号化されました。 ただし、BitLocker 回復パスワードはバックアップされておらず、ノート PC の通常のユーザーはパスワードを指定できません。

ノート PC の回復パスワードの解決がバックアップされませんでした

オンライン クライアントの既存の回復情報を手動でバックアップまたは同期するには、次のいずれかの方法を使用できます。

• 情報をバックアップする Windows Management Instrumentation (WMI) スクリプトを作成します。 詳細については、「 BitLocker ドライブ暗号化プロバイダーを参照してください。

• 管理者特権のコマンド プロンプト ウィンドウで、 manage-bde.exe コマンドを使用して情報をバックアップします。

  たとえば、C: ドライブのすべての回復情報を AD DS にバックアップするには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

  cmd manage-bde.exe -protectors -adbackup C:

---

Note

BitLocker では、このバックアップ プロセスは自動的に管理されません。

タブレット デバイスでは、 manage-bde.exe -forcerecovery を使用した回復モードのテストはサポートされていません

以下のシナリオについて考えてみます。

次のコマンドを実行して、タブレットまたはスレート デバイスで BitLocker 回復をテストする必要があります。

cmd manage-bde.exe -forcerecovery

---

ただし、回復パスワードを入力した後は、デバイスを起動できません。

タブレット デバイスが manage-bde.exe -forcerecovery を使用して回復モードをテストできない原因

重要

タブレット デバイスでは、 manage-bde.exe -forcerecovery コマンドはサポートされていません。

この問題は、Windows ブート マネージャーが起動のプリブート フェーズ中にタッチ入力を処理できないために発生します。 ブート マネージャーは、デバイスがタブレットであることを検出すると、起動プロセスを Windows 回復環境 (WinRE) にリダイレクトし、タッチ入力を処理できます。

WindowsRE は、ハード ディスク上の TPM 保護機能を検出した場合、PCR 再シールを実行します。 ただし、 manage-bde.exe -forcerecovery コマンドを実行すると、ハード ディスク上の TPM 保護機能が削除されます。 そのため、WinRE は PCR を再シールできません。 このエラーにより、無限の BitLocker 回復サイクルがトリガーされ、Windows が起動できなくなります。

この動作は、すべてのバージョンの Windows に対して設計されています。

タブレット デバイスの回避策では、 manage-bde.exe -forcerecovery を使用した回復モードのテストはサポートされていません

再起動ループを解決するには、次の手順に従います。

1. [BitLocker 回復] 画面で、[このドライブ スキップを選択します。

2. [ オプション>コマンド プロンプト>選択。

3. コマンド プロンプト ウィンドウで、次のコマンドを実行します。

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. コマンド プロンプト ウィンドウを閉じます。

5. デバイスをシャットダウンします。

6. デバイスを起動する。 Windows は通常どおりに起動する必要があります。

Surface に UEFI または TPM ファームウェアの更新プログラムをインストールすると、BitLocker によって回復パスワードの入力が求められます

以下のシナリオについて考えてみます。

Surface デバイスで BitLocker ドライブの暗号化が有効になっています。 Surface の TPM のファームウェアが更新されるか、システム ファームウェアの署名を変更する更新プログラムがインストールされます。 たとえば、Surface TPM (IFX) 更新プログラムがインストールされます。

Surface デバイスでは、次の 1 つ以上の現象が発生します。

• 起動時に、Surface デバイスは BitLocker 回復パスワードの入力を求めます。 正しい回復パスワードが入力されていますが、Windows は起動しません。

• スタートアップは、Surface デバイスの Unified Extensible Firmware Interface (UEFI) 設定に直接進みます。

• Surface デバイスが無限再起動ループに入っているように見えます。

Surface に UEFI または TPM ファームウェアの更新プログラムをインストールした後、BitLocker で回復パスワードの入力を求めるメッセージが表示される原因

この問題は、Surface デバイス TPM が、PCR 7 と PCR 11 の既定値以外のプラットフォーム構成レジスタ (PCR) 値を使用するように構成されている場合に発生します。 たとえば、次の設定では、このように TPM を構成できます。

• セキュア ブートがオフになっています。
• PCR 値は、グループ ポリシーなどによって明示的に定義されています。

Surface デバイスを含め、コネクト スタンバイ ( InstantGO または Always On、Always Connected PC) をサポートするデバイスは、TPM の PCR 7 を使用する必要があります。 このようなシステムでの既定の構成では、PCR 7 とセキュア ブートが正しく構成されている場合、BitLocker は PCR 7 と PCR 11 にバインドされます。

Surface に UEFI または TPM ファームウェアの更新プログラムをインストールした後の解決、BitLocker で回復パスワードの入力を求めるメッセージが表示される

デバイスで使用されている PCR 値を確認するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

manage-bde.exe -protectors -get <OSDriveLetter>:

このコマンドでは、 <OSDriveLetter> はオペレーティング システム ドライブのドライブ文字を表します。

この問題を解決してデバイスを修復するには、次の手順に従います。

手順 1: ブート ドライブで TPM 保護機能を無効にする

TPM または UEFI 更新プログラムがインストールされていて、Surface デバイスを起動できない場合は、正しい BitLocker 回復パスワードが入力されている場合でも、BitLocker 回復パスワードと Surface 回復イメージを使用して起動機能を復元し、ブート ドライブから TPM 保護機能を削除できます。

BitLocker 回復パスワードと Surface 回復イメージを使用してブート ドライブから TPM 保護機能を削除するには、次の手順に従います。

1. Surface ユーザーの Microsoft.com アカウントから BitLocker 回復パスワードを取得。 BitLocker が Microsoft BitLocker Administration and Monitoring (MBAM)、Configuration Manager BitLocker Management、Intune などの別の方法で管理されている場合は、管理者に問い合わせてください。

2. Surface 回復イメージのダウンロード から Surface 回復イメージをダウンロードするには、別のコンピューターを使用。 ダウンロードしたイメージを使用して USB 回復ドライブを作成します。

3. USB Surface 回復イメージ ドライブを Surface デバイスに挿入し、デバイスを起動します。

4. メッセージが表示されたら、次の項目を選択します。

   1. オペレーティング システムの言語。

   2. キーボード レイアウト。

5. [ オプション>コマンド プロンプト>選択。

6. コマンド プロンプト ウィンドウで、次のコマンドを実行します。

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   どこで:

   • <パスワード> は、手順 1 で取得した BitLocker 回復パスワードです
   • <DriveLetter> は、オペレーティング システム ドライブに割り当てられるドライブ文字です。

   Note

   このコマンドの使用方法の詳細については、「 manage-bde unlockを参照してください。

7. コンピューターを再起動します。

8. メッセージが表示されたら、手順 1 で取得した BitLocker 回復パスワードを入力します。

Note

TPM 保護機能を無効にすると、BitLocker ドライブの暗号化によってデバイスが保護されなくなります。 BitLocker ドライブ暗号化を再度有効にするには、 Start を選択し、「 Manage BitLocker」と入力し、 Enter キーを押します。 手順に従ってドライブを暗号化します。

手順 2: Surface BMR を使用してデータを回復し、Surface デバイスをリセットする

Windows が起動しない場合に Surface デバイスからデータを回復するには、「手順 1: ブート ドライブで TPM 保護機能を無効にするコマンド プロンプト ウィンドウに移動する手順 1. の手順 5. に従います。 コマンド プロンプト ウィンドウが開いたら、次の手順に従います。

1. コマンド プロンプトで次のコマンドを実行します。

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   このコマンドでは、 <Password> は、「手順 1: ブート ドライブで TPM 保護機能を無効にする 手順 1: ブート ドライブで TPM 保護機能を無効にする」セクションの手順 1 で取得した BitLocker 回復パスワードで、 <DriveLetter> はオペレーティング システム ドライブに割り当てられているドライブ文字です。

2. ドライブのロックが解除されたら、 copy または xcopy.exe コマンドを使用して、ユーザー データを別のドライブにコピーします。

   Note

   これらのコマンドの詳細については、 Windows コマンド 記事を参照してください。

3. Surface 回復イメージを使用してデバイスをリセットするには、Surface の USB 回復ドライブの使用 記事の手順に従。

手順 3: 既定の PCR 値を復元する

この問題が繰り返されないようにするには、セキュア ブートの既定の構成と PCR 値を復元することをお勧めします。

Surface デバイスでセキュア ブートを有効にするには、次の手順に従います。

1. 管理者特権の Windows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行して、BitLocker を中断します。

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   このコマンドでは、 <DriveLetter> はドライブに割り当てられる文字です。

2. デバイスを再起動し、UEFI 設定を編集して Secure Boot オプションを Microsoft Only に設定します。

3. デバイスを再起動し、Windows にサインインします。

4. 管理者特権の PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM の PCR 設定をリセットするには、次の手順に従います。

1. PCR 設定を構成するグループ ポリシー オブジェクトを無効にするか、そのようなポリシーを適用するグループからデバイスを削除します。

   詳細については、「 BitLocker グループ ポリシーの設定を参照してください。

2. 管理者特権の Windows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行して、BitLocker を中断します。

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   このコマンドでは、 <DriveLetter> はドライブに割り当てられる文字です。

3. 次の PowerShell コマンドレットを実行します。

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

手順 4: TPM または UEFI ファームウェアの更新中に BitLocker を中断する

このような更新プログラムを適用する前に BitLocker を一時的に中断することで、システム ファームウェアまたは TPM ファームウェアに更新プログラムをインストールするときに、このシナリオを回避できます。

重要

TPM と UEFI ファームウェアの更新では、インストール中に複数の再起動が必要になる場合があります。 このプロセス中に BitLocker を中断したままにするには、PowerShell コマンドレット Suspend-BitLocker を使用し、 Reboot Count パラメーターを次のいずれかの値に設定する必要があります。

• 2 以上: この値は、BitLocker デバイス暗号化が再開されるまでのデバイスの再起動回数を設定します。 たとえば、値を 2 に設定すると、デバイスが 2 回再起動した後に BitLocker が再開されます。

• 0: この値は、BitLocker ドライブ暗号化を無期限に中断します。 BitLocker を再開するには、PowerShell コマンドレット Resume-BitLocker またはその他のメカニズムを使用して BitLocker 保護を再開する必要があります。

TPM または UEFI ファームウェアの更新プログラムのインストール中に BitLocker を中断するには:

1. 管理者特権の Windows PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   この PowerShell コマンドレットでは、 <DriveLetter> はドライブに割り当てられる文字です。

2. Surface デバイス ドライバーとファームウェアの更新プログラムをインストールします。

3. ファームウェアの更新プログラムをインストールした後、コンピューターを再起動し、管理者特権の PowerShell ウィンドウを開き、次の PowerShell コマンドレットを実行します。

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

TPM 1.2 上の Credential Guard/Device Guard: 再起動するたびに、BitLocker は回復パスワードの入力を求め、エラー 0xC0210000を返します

以下のシナリオについて考えてみます。

デバイスは TPM 1.2 を使用し、Windows 10 バージョン 1809 を実行します。 デバイスでは、 Virtualization ベースのセキュリティDevice Guard や Credential Guard などの機能も使用。 デバイスが起動するたびに、デバイスは BitLocker 回復モードになり、次のエラー メッセージのようなエラー メッセージが表示されます。

回復

PC/デバイスを修復する必要があります。 BitLocker キーが正しく読み込まれなかったため、必要なファイルにアクセスできませんでした。

エラー コードの0xc0210000

回復ツールを使用する必要があります。 インストール メディア (ディスクや USB デバイスなど) がない場合は、PC 管理者または PC/デバイスの製造元にお問い合わせください。

TPM 1.2 での Credential Guard/Device Guard の原因: 再起動するたびに、BitLocker は回復パスワードの入力を求め、エラー 0xC0210000を返します

TPM 1.2 では、セキュア起動はサポートされていません。 詳細については、「 System Guard の安全な起動と SMM 保護: System Guard 対応マシンによって満たされる要件」を参照してください。

このテクノロジの詳細については、「 Windows Defender System Guard: ハードウェア ベースの信頼のルートが Windows を保護する方法」を参照してください。

TPM 1.2 での Credential Guard/Device Guard の解決: 再起動するたびに、BitLocker は回復パスワードの入力を求め、エラー 0xC0210000を返します

この問題を解決するには、次の 2 つの解決策のいずれかを使用します。

• セキュリティで保護された起動を強制する GPO の対象となるグループから、TPM 1.2 を使用するすべてのデバイスを削除します。
• 仮想化ベースのセキュリティ GPO を編集して、安全な起動構成を Disabled に設定します。

更新プログラムをアンインストールした後の BitLocker PIN のロック解除エラー

累積的な更新プログラムをアンインストールし、KB5063878 以降の更新プログラムをインストールした後、OS ビルドを 26100.4770 より前のバージョンにロールバックした場合、BitLocker は Windows 11 バージョン 24H2 を実行しているデバイスで正しい PIN を使用していてもドライブのロックを解除できないことがあります。

この問題を解決するには、回復パスワードまたはその他の回復メカニズムを使用してデバイスのロックを解除し、KB5062660以降の更新プログラムをインストールします。