BitLocker 回復プロセス

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

デバイスまたはドライブが構成された BitLocker メカニズムを使用してロック解除に失敗した場合、ユーザーは自己回復できる可能性があります。 自己回復がオプションではない場合、またはユーザーが続行する方法がわからない場合は、ヘルプデスクは回復情報を迅速かつ安全に取得するための手順を用意する必要があります。

この記事では、参加済みデバイス、Microsoft Entraハイブリッド参加済みデバイス、および Active Directory 参加済みデバイスMicrosoft Entra BitLocker 回復情報を取得するプロセスについて説明します。 リーダーは、BitLocker 回復情報と使用可能な BitLocker 回復オプションを自動的にバックアップするデバイスの構成に既に精通していることを前提としています。 詳細については、 BitLocker 回復の概要 に関する記事を参照してください。

自己回復

オペレーティング システム ドライブまたは固定データ ドライブの BitLocker 回復パスワードと回復キーは、1 つまたは複数の USB デバイスに保存できます。印刷され、Microsoft Entra IDまたは AD DS に保存されます。

ヒント

BitLocker 回復キーをMicrosoft Entra IDまたは AD DS に保存することをお勧めします。 そうすることで、BitLocker 管理者またはヘルプデスクは、ユーザーが自分のキーを取得するのを支援できます。

USB フラッシュ ドライブに保存されているパスワードまたは回復キーの使用が自己回復に含まれている場合は、特に旅行中に、デバイスと同じ場所に USB フラッシュ ドライブを保存しないように警告する必要があります。 たとえば、デバイスと回復項目の両方が同じバッグに入っている場合、承認されていないユーザーがデバイスに簡単にアクセスできます。 考慮すべきもう 1 つのポリシーは、根本原因を特定できるように、自己回復を実行する前または後にユーザーがヘルプデスクに連絡できるようにすることです。

回復キーは、次のどの場所にも格納できません。

• 暗号化されているドライブ
• 移動不可ドライブのルート ディレクトリ
• 暗号化されたボリューム

Microsoft Entra IDでの自己回復

BitLocker 回復キーが Microsoft Entra ID に格納されている場合、ユーザーは次の URL を使用してアクセスできます。 https://myaccount.microsoft.com [ デバイス ] タブで、ユーザーが所有する Windows デバイスを選択し、[ BitLocker キーの表示] オプションを選択できます。

注

既定では、ユーザーはMicrosoft Entra IDから BitLocker の再回収キーを取得できます。 この動作は、 所有デバイスの BitLocker キーの回復をユーザーに制限するオプションを使用して変更できます。 詳細については、「 メンバー ユーザーの既定のアクセス許可を制限する」を参照してください。

USB フラッシュ ドライブを使用した自己回復

ユーザーが USB ドライブに回復パスワードを保存した場合は、ドライブをロックされたデバイスに接続し、指示に従うことができます。 キーがフラッシュ ドライブ上のテキスト ファイルとして保存された場合、ユーザーは別のデバイスを使用してテキスト ファイルを読み取る必要があります。

ヘルプデスクの回復

ユーザーがセルフサービス回復オプションを持っていない場合、ヘルプデスクは、次のいずれかのオプションを使用してユーザーを支援できる必要があります。

• デバイスが参加している場合、またはハイブリッドに参加Microsoft Entra Microsoft Entra場合は、BitLocker 回復情報をMicrosoft Entra IDから取得できます。
• デバイスがドメインに参加している場合は、Active Directory から回復情報を取得できます
• デバイスが DRA を使用するように構成されている場合、DRA がドライブのロックを解除できるように、暗号化された ドライブをデータ ドライブ として別のデバイスにマウントできます

Warning

Microsoft Entra IDまたは AD DS への BitLocker 回復パスワードのバックアップが自動的に実行されない場合があります。 BitLocker 回復の概要に関する記事の説明に従って、自動バックアップを有効にするポリシー設定でデバイスを構成する必要があります。

次の一覧は、ヘルプデスクによる回復パスワード取得のための回復プロセスを作成するためのテンプレートとして使用できます。

☑️	回復プロセスの手順	詳細
🔲	ユーザーの ID を確認する	回復パスワードを要求しているユーザーは、そのデバイスの承認されたユーザーとして確認する必要があります。 また、ユーザーが名前を指定したデバイスがユーザーに属しているかどうかを確認する必要もあります。
🔲	デバイス名を記録する	ユーザーのデバイスの名前を使用して、Microsoft Entra IDまたは AD DS で回復パスワードを見つけることができます。
🔲	回復キー ID を記録する	回復キー ID を使用して、Microsoft Entra IDまたは AD DS で回復パスワードを見つけることができます。 回復キー ID は、プリブート回復画面に表示されます。
🔲	回復パスワードを見つける	デバイス名または Microsoft Entra ID または AD DS の回復キー ID を使用して、BitLocker 回復パスワードを見つけます。
🔲	根本原因分析	ユーザーに回復パスワードを与える前に、回復が必要な理由を判断するための情報を収集する必要があります。 この情報は、根本原因分析を実行するために使用できます。
🔲	ユーザーに回復パスワードを指定する	48 桁の回復パスワードは長く、数字の組み合わせが含まれているので、ユーザーはパスワードの誤った読み取りや入力ミスを行う可能性があります。 ブート時回復コンソールは、組み込みのチェックサム番号を使用して、48 桁の回復パスワードの各 6 桁のブロックの入力エラーを検出し、ユーザーにそのようなエラーを修正する機会を提供します。
🔲	回復パスワードをローテーションする	パスワードの自動ローテーションが構成されている場合、Microsoft Entra参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entra新しい回復パスワードが生成され、Microsoft Entra IDに格納されます。 管理者は、Microsoft IntuneまたはMicrosoft Configuration Managerを使用して、オンデマンドでパスワードローテーションをトリガーすることもできます。

Microsoft Entra IDでのヘルプデスクの回復

委任された管理者がテナント内のデバイスから BitLocker 回復パスワードを読み取ることができるようにするMicrosoft Entra IDロールがいくつかあります。 組織では、既存の Microsoft Entra ID Cloud Device Administrator またはヘルプデスク管理者の組み込みロールを使用するのが一般的ですが、カスタム ロールを作成して、アクセス許可を使用して microsoft.directory/bitlockerKeys/key/read BitLocker キーへのアクセスを委任することもできます。 ロールを委任して、特定の管理単位内のデバイスの BitLocker 回復パスワードにアクセスできます。

Microsoft Entra 管理センターを使用すると、管理者は BitLocker 回復パスワードを取得できます。 プロセスの詳細については、「 BitLocker キーを表示またはコピーする」を参照してください。 BitLocker 回復パスワードにアクセスするもう 1 つのオプションは、Microsoft Graph APIを使用することです。これは、統合またはスクリプト化されたソリューションに役立つ場合があります。 このオプションの詳細については、「 Get bitlockerRecoveryKey」を参照してください。

次の例では、Microsoft Graph PowerShell コマンドレットGet-MgInformationProtectionBitlockerRecoveryKeyを使用して、Microsoft Entra IDから回復パスワードを取得する PowerShell 関数を構築します。

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey" 
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

関数を読み込んだ後、特定のデバイスの BitLocker 回復パスワードを取得するために使用できます。 例:

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

注

Microsoft Intuneによって管理されるデバイスの場合、BitLocker 回復パスワードは、Microsoft Intune 管理センターのデバイス プロパティから取得できます。 詳細については、「 回復キーの詳細を表示する」を参照してください。

Active Directory Domain Servicesでのヘルプデスクの回復

AD DS から回復パスワードをエクスポートするには、AD DS に格納されているオブジェクトへの 読み取りアクセス権 が必要です。 既定では、BitLocker 回復情報にアクセスできるのは ドメイン管理者 だけですが、アクセスは特定のセキュリティ プリンシパルに 委任できます 。

AD DS からの BitLocker 回復パスワードの取得を容易にするために、 BitLocker 回復パスワード ビューアー ツールを使用できます。 このツールはリモート サーバー管理ツール (RSAT) に含まれており、Active Directory ユーザーとコンピューター Microsoft 管理コンソール (MMC) スナップインの拡張機能です。

BitLocker 回復パスワード ビューアーを使用すると、次のことができます。

• Active Directory コンピューター オブジェクトのプロパティを確認して、関連する BitLocker 回復パスワードを取得します
• Active Directory フォレスト内のすべてのドメインで、Active Directory で BitLocker 回復パスワードを検索する

次の手順では、BitLocker 回復パスワード ビューアーを使用して実行される最も一般的なタスクについて説明します。

コンピューター オブジェクトの回復パスワードを表示する

1. MMC スナップインActive Directory ユーザーとコンピューター開き、コンピューター オブジェクトが配置されているコンテナーまたは OU を選択します
2. コンピューター オブジェクトを右クリックし、[プロパティ] を選択します
3. [ プロパティ ] ダイアログ ボックスで、[ BitLocker 回復 ] タブを選択して、コンピューターに関連付けられている BitLocker 回復パスワードを表示します

パスワード ID を使用して回復パスワードを見つける

1. Active Directory ユーザーとコンピューターで、ドメイン コンテナーを右クリックし、[BitLocker 回復パスワードの検索] を選択します
2. [BitLocker 回復パスワードの検索] ダイアログ ボックスで、[パスワード ID (最初の 8 文字)] ボックスに回復パスワードの最初の 8 文字を入力し、[検索] を選択します。

データ復旧エージェント

デバイスが DRA で構成されている場合、ヘルプデスクは DRA を使用してドライブのロックを解除できます。 BitLocker ドライブが DRA 証明書の秘密キーを持つデバイスに接続されると、コマンドを使用してドライブのロックを manage-bde.exe 解除できます。

たとえば、BitLocker で保護されたドライブ用に構成されている DRA を一覧表示するには、次のコマンドを使用します。

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

拇印 f46563b1d4791d5bd827f32265341ff9068b0c42 が付いた証明書の秘密キーがローカル証明書ストアで使用できる場合、管理者は次のコマンドを使用して、DRA 保護機能を使用してドライブのロックを解除できます。

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

復旧後のタスク

回復パスワードを使用してボリュームのロックが解除された場合:

• イベントがイベント ログに書き込まれる
• プラットフォーム検証の測定値は、現在の構成と一致するように TPM でリセットされます
• 暗号化キーが解放され、ボリュームとの間でデータが書き込み/読み取りされるときに、その場で暗号化/暗号化解除する準備が整います

ボリュームのロックが解除されると、BitLocker は、アクセス権の付与方法に関係なく、同じ方法で動作します。

デバイスで複数の回復パスワード イベントが発生した場合、管理者は復旧後の分析を実行して、復旧の根本原因を特定する必要があります。 次に、BitLocker プラットフォームの検証を更新して、デバイスが起動するたびに回復パスワードを入力しないようにします。

回復の根本原因を特定する

ユーザーがドライブを回復する必要がある場合は、できるだけ早く回復を開始した根本原因を特定することが重要です。 コンピューターの状態を適切に分析し、改ざんを検出すると、企業のセキュリティに広範な影響を与える脅威が明らかになることがあります。

管理者は場合によっては復旧の原因をリモートで調査できますが、ユーザーは、回復されたドライブを含むデバイスをサイトに持ち込み、根本原因をさらに分析する必要がある場合があります。 回復の根本原因の特定に役立ついくつかの質問を次に示します。

☑️	質問
🔲	構成されている BitLocker 保護モード (TPM、TPM + PIN、TPM + スタートアップ キー、スタートアップ キーのみ)
🔲	TPM モードが構成されている場合、ブート ファイルの変更によって回復が発生しましたか?
🔲	デバイスで使用されている PCR プロファイルはどれですか?
🔲	ユーザーは単に PIN を忘れたか、スタートアップ キーを失いましたか?
🔲	ブート ファイルの変更によって回復が発生した場合、目的のユーザー アクション (BIOS アップグレードなど) や悪意のあるソフトウェアが原因でブート ファイルが変更されたかどうか。
🔲	ユーザーが最後にデバイスを正常に起動できたのはいつですか。
🔲	ユーザーが悪意のあるソフトウェアを見つけたか、最後に正常に起動してからデバイスを無人のままにした可能性がありますか?

これらの質問に答えるために、 コマンドを manage-bde.exe -status 使用して、現在の構成と保護モードを表示できます。 イベント ログをスキャンして、回復が開始された理由を示すのに役立つイベントを見つけます (たとえば、ブート ファイルの変更が発生した場合)。

根本原因を解決する

回復の原因を特定した後、BitLocker 保護をリセットして、すべての起動時に回復を回避できます。

リセットの詳細は、回復の根本原因によって異なる場合があります。 根本原因を特定できない場合、または悪意のあるソフトウェアまたはルートキットがデバイスに感染した場合、ヘルプデスクはベスト プラクティスのウイルス ポリシーを適用して適切に対応する必要があります。

注

BitLocker 検証プロファイルのリセットは、BitLocker を中断して再開することで実行できます。

根本原因

手順

不明な PIN

ユーザーが PIN を忘れた場合は、コンピューターが再起動されるたびに BitLocker が回復を開始しないようにするために、コンピューターへのサインオン中に PIN をリセットする必要があります。

不明な PIN による継続的な回復を防ぐには、次の手順を実行します。

1. 回復パスワードを使用してデバイスのロックを解除する
2. BitLocker コントロール パネル アプレットからドライブを展開し、[PIN の変更] を選択します
3. [BitLocker ドライブ暗号化] ダイアログで、[ 忘れた PIN をリセットする] を選択します。 サインインしているアカウントが管理者アカウントでない場合は、管理者の資格情報を指定する必要があります
4. [PIN リセット] ダイアログで、使用する新しい PIN を指定して確認し、[完了] を選択します。
5. 新しい PIN は、次回ドライブのロックを解除する必要がある場合に使用できます

スタートアップ キーが失われました

起動キーを含む USB フラッシュ ドライブが失われた場合は、回復キーを使用してドライブのロックを解除できます。 その後、PowerShell、コマンド プロンプト、または BitLocker コントロール パネル アプレットを使用して、新しいスタートアップを作成できます。

BitLocker 保護機能を追加する方法の例については、BitLocker 操作ガイドを参照してください。

ブート ファイルの変更

このエラーは、ファームウェアが更新された場合に発生します。 ファームウェアを変更する前に、BitLocker を中断する必要があります。 その後、ファームウェアの更新が完了した後に保護を再開する必要があります。 BitLocker を一時停止すると、デバイスが回復モードに移行できなくなります。 ただし、BitLocker 保護がオンのときに変更が発生した場合は、回復パスワードを使用してドライブのロックを解除し、次回復旧が行われないようにプラットフォーム検証プロファイルが更新されます。

BitLocker 保護機能を一時停止および再開する方法の例については、BitLocker 操作ガイドを参照してください。

パスワードをローテーションする

管理者は、参加済みデバイスとハイブリッド参加済みデバイスMicrosoft Entra Microsoft Entraの自動回復パスワード ローテーションを有効にするポリシー設定を構成できます。
自動回復パスワードローテーションが有効になっている場合、パスワードを使用してドライブのロックを解除した後、デバイスは回復パスワードを自動的にローテーションします。 この動作は、同じ回復パスワードが複数回使用されるのを防ぐのに役立ちます。これはセキュリティ 上のリスクになる可能性があります。

詳細については、「 回復パスワードのローテーションを構成する」を参照してください。

もう 1 つのオプションは、Microsoft IntuneまたはMicrosoft Configuration Managerを使用して、個々のデバイスの回復パスワードのローテーションをリモートで開始することです。

Microsoft IntuneまたはMicrosoft Configuration Managerを使用して BitLocker 回復パスワードをローテーションする方法の詳細については、次を参照してください。

• Microsoft Intuneドキュメント
• Microsoft Configuration Managerドキュメント

BitLocker 修復ツール

このドキュメントで前述した回復方法でボリュームのロックが解除されない場合は、 BitLocker 修復ツール (repair-bde.exe) を使用して、ブロック レベルでボリュームの暗号化を解除できます。 このツールは 、BitLocker キー パッケージ を使用して、重大な損傷を受けたドライブから暗号化されたデータを回復するのに役立ちます。

回復されたデータは、正しい回復パスワードが破損したボリュームのロック解除に失敗した場合でも、暗号化されたデータをサルベージするために使用できます。 キー パッケージは対応する回復パスワードなしでは使用できないため、回復パスワードを保存することをお勧めします。

次の条件で修復ツールを使用します。

• ドライブは BitLocker を使用して暗号化されます
• Windows が起動しないか、BitLocker 回復画面が起動しない
• 暗号化されたドライブに含まれるデータのバックアップ コピーがありません

注

ドライブの損傷は BitLocker に関連していない可能性があります。 そのため、BitLocker 修復ツールを使用する前に、ドライブの問題の診断と解決に役立つ他のツールを試してみることをお勧めします。 Windows Recovery Environment (Windows RE) には、Windows を修復するためのその他のオプションが用意されています。

Repair-bde には次の制限があります。

• 暗号化または暗号化解除プロセス 中に 失敗したドライブを修復することはできません
• ドライブに暗号化がある場合は、ドライブが完全に暗号化されていることを前提としています

オプションの repair-bde.exe 完全な一覧については、「 Repair-bde リファレンス」を参照してください。

注

AD DS からキー パッケージをエクスポートするには、AD DS に格納されている BitLocker 回復パスワードとキー パッケージへの 読み取り アクセス権が必要です。 既定では、BitLocker 回復情報にアクセスできるのは Domain Admins のみですが、 アクセスは他のユーザーに委任できます。