[VAIO_PC] デバイスの暗号化について

• 事前確認
• ご注意
• デバイスの暗号化を有効にする方法
• デバイスの暗号化を無効にする方法
• 回復キーのバックアップ方法
• 回復キーの入力方法
• 起動時のドライブのロックを解除する方法について
• ドメイン環境でのデバイスの暗号化について

 事前確認

• デバイスの暗号化とは、一部のモデルで使用できるBitLocker暗号化と同等のデータを暗号化する機能です。 デバイスの暗号化を有効にすると、ドライブ全体のデータが暗号化され、正しい暗号化キーを持っている人だけが暗号化を解除できます。
  ドライブ全体を暗号化できるため、パスワードなどの重要なデータの保護に役立ちます。
  例えば、PCからハードディスクを取り出して、ほかのPCに接続してもデータにアクセスすることはできません。

• デバイスの暗号化はWindows 11 Pro/Windows 10 Pro/Windows 8.1 ProでサポートしているBitLockerドライブ暗号化とは動作が異なり、BitLocker to Go といったリムーバブルディスクの暗号化は使用することができません。BitLockerについては以下をご確認ください。

  ▼関連Q&A:
  [Windows 11 Pro]TPM機能と連携してBitLockerドライブ暗号化を有効／無効にする方法
  [Windows 10 Pro][Windows 8.1 Pro] TPM機能と連携してBitLockerドライブ暗号化を有効／無効にする方法

 ご注意

• デバイスの暗号化を有効にするには、MicrosoftアカウントでPCにログインする必要があります。
  また、以下の点にご注意ください。

  ▼関連Q&A:
  [Windows 11] ローカルアカウントとMicrosoftアカウントを切り替える方法
  [Windows 10] ローカルアカウントとMicrosoftアカウントを切り替える方法
  [Windows 8.1] ローカルアカウントとMicrosoftアカウントを切り替える方法

• デバイスの暗号化が自動的に行われるケースについて

  • 工場出荷時の状態では、デバイスの暗号化は「無効」の設定になっていますが、OSのカスタマイズやOSのクリーンインストールした場合は、デバイスの暗号化は「有効」の状態になっていることがあります。
    このような場合、OSの初期設定完了後、バックグラウンドで自動的に暗号化処理が進められ、コントロールパネルのBitLockerドライブ暗号化のステータスが「BitLockerはアクティブ化を待機中です」の状態になります。

    

    この状態は暗号化が完了する一歩手前の状態です。
    お客様がマイクロソフトのアカウント、もしくはActive Directoryのアカウントでログインすると、暗号化が完了し、自動的に回復キーがマイクロソフトアカウント、もしくはActive Directoryの管理者のアカウントにアップロードされます。このような意図しない暗号化をご希望されない場合は、デバイスの暗号化を「無効」の設定にしてください。
    ※設定を「無効」にした場合、暗号化が解除されるまでにしばらく時間がかかります。
    ※ドメイン環境等でのデバイスの暗号化の動作については、システム管理者にご確認ください。

• 回復キーのバックアップについて

  • デバイスの暗号化を有効にした場合、通常では特に回復キーの入力など必要ありません。
    ただし、修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合に、Windows 起動時に以下の回復モードの画面が表示されます。

    

    このモードになると、回復キーを入力しないとPCを起動できない状態になります。
    回復キーはデバイスの暗号化の有効時に自動的にMicrosoftアカウントに保存されますが、万が一の場合に備えて、回復キーのバックアップ方法を参照し、回復キーのバックアップをしてください。

• BIOSセットアップメニューの設定についてのご注意

  • デバイスの暗号化を有効にすると搭載されているTPM、もしくはIntel(PTT)に暗号化のための情報が格納されます。
    BIOSセットアップメニューの設定でTPM、もしくはIntel(PTT)を初期化した場合、暗号化されたデータに再びアクセスすることができなくなる場合があります。必要に応じてデータのバックアップなどを行ってから、初期化してください。
    BIOSセットアップメニューの設定で、設定を第三者に変更されることのないようBIOSの機能でBIOSパスワード、およびパワーオンパスワードを設定することをおすすめします。
    パスワードの設定方法については、下記の関連Q&Aをご参照ください。
    パスワードの設定方法については、下記の関連Q&Aをご参照ください。

    ▼関連Q&A:
    [VAIO_PC] BIOSパスワードを設定／解除する方法

• デバイスの暗号化を使用した場合のデータ管理についてのご注意

  • デバイスの暗号化は最新のセキュリティー機能を搭載していますが、データやハードウェアの完全な保護を保証するものではありません。
    デバイスの暗号化を使用されたことによるいかなる障害・損害に関しても、弊社では一切の責任を負いかねますので、あらかじめご了承ください。

    デバイスの暗号化を使用するにあたって回復キーは、必ずメモなどに残すなどして、忘れないようにしてください。
    回復キーを忘れた場合、デバイスの暗号化で保護されたデータは、いかなる手段を用いても復元することはできませんので、ご注意ください。

    修理などに出す際は、ハードディスク、または SSD上のデータなどをお客様にてバックアップしてください。
    バックアップしたファイルは、ほかのユーザーに知られないように管理してください。
    修理により、万一データが消失した場合に関しても、弊社では一切の責任を負いかねますので、あらかじめご了承ください。

    修理などを行った場合、TPMセキュリティーチップを交換して返却することがあります。

    デバイスの暗号化に関するデータの保守・運用は、お客様にて行ってください。
    デバイスの暗号化に関するデータの保守・運用に関して、弊社では一切の責任を負いかねますので、あらかじめご了承ください。

• Windows 11/ Windows 10プリインストールモデルでSSDからリカバリーを行うときのご注意
  • Windows 11、および Windows 10プリインストールモデルでSSDからリカバリーを行う場合、Cドライブ内のファイルも必要となるため、暗号化を無効にしなかった場合、リカバリーを行えません。
    リカバリーを行う前に暗号化を無効にするか、リカバリーの実行画面で回復キーを入力し、暗号化を無効にしてからリカバリーを行ってください。

目次へ戻る

デバイスの暗号化を有効にするには以下の手順で操作してください。

1. Windowsが起動した状態で、[Windows ]キー＋[C]キーを押すか、画面の右上隅にマウスポインター を合わせて( タッチパネルの場合は画面の右端からスワイプして)、表示されたチャームから[設定]を選択します。

2. [電源]を選択し、表示されたメニューの[シャットダウン]を[Shift]キーを押しながら選択します。
   PCが完全にシャットダウンします。必ずこの操作で完全なシャットダウンをしてください。

3. [F3]もしくは[F4]ボタンを押しながら電源ボタンを押します。

4. [VAIO レスキューモード]画面が表示されるので、[BIOS 設定を起動]を選択します。

   
   ※表示される画面は、ご使用のモデルやアプリのバージョンにより異なります。

5. BIOS画面が表示されたら、[Secure Boot]を選択し、「Secure Boot」が「Enabled」になっていることを確認します。

   
   ※表示される画面は、ご使用のモデルにより異なります。

6. [Shutdown]を選択し、シャットダウンします。

7. 電源ボタンを押してWindowsを起動します。

以降の操作は、OS のエディションで異なりますので、それぞれのOSごとに操作してください。

▼Windows 11の場合

1. Windows起動後インターネットに接続し、Microsoftアカウントに切り替えます。すでにMicrosoftアカウントでログインしている場合は、次の手順へ進んでください。

   ▼関連Q&A:
   [Windows 11] ローカルアカウントとMicrosoft アカウントを切り替える方法

2. 「設定」画面を開きます。

   ▼関連Q&A:
   [Windows 11] 「設定」画面を表示する方法

3. 「プライバシーとセキュリティ」-「デバイスの暗号化」を選択します。

   

4. デバイスの暗号化を「オン」にします。

   
   ※マイクロソフトアカウントでログインせず、またインターネットに接続していないと上記表示となります。

   以上で操作は完了です。デバイスの暗号化が実行されます。

    ご注意

   暗号化はバックグラウンドで自動的に実行されますが、PCの動作が緩慢になったり応答なしになる場合があります。
   暗号化が完了するまで、ACアダプターに接続し何もせずそのまま置いておくことをおすすめします。

▼Windows 10の場合

1. Windows起動後インターネットに接続し、Microsoftアカウントに切り替えます。すでにMicrosoftアカウントでログインしている場合は、次の手順へ進んでください。

   ▼関連Q&A:
   [Windows10] ローカルアカウントとMicrosoftアカウントを切り替える方法

2. 「設定」画面を開きます。

   ▼関連Q&A:
   [Windows 10] 「設定」と「コントロールパネル」画面を表示する方法

3. 「システム」を選択します。

   

4. 「システム」画面が表示されるので、[バージョン情報]を選択し、右側の項目を下にスクロールし、「デバイスの暗号化」の項目の[オンにする]を選択します。

   

   以上で操作は完了です。デバイスの暗号化が実行されます。

    ご注意

   暗号化はバックグラウンドで自動的に実行されますが、PCの動作が緩慢になったり応答なしになる場合があります。
   暗号化が完了するまで、ACアダプターに接続し何もせずそのまま置いておくことをおすすめします。

▼Windows 8.1の場合

1. Windows起動後インターネットに接続し、Microsoftアカウントに切り替えます。すでにMicrosoftアカウントでログインしている場合は、次の手順へ進んでください。

   ▼関連Q&A:
   [Windows 8.1] ローカルアカウントとMicrosoftアカウントを切り替える方法

2. [Windows ]キー＋[C]キーを押すか、画面の右上隅にマウスポインター を合わせて( タッチパネルの場合は画面の右端からスワイプして)、表示されたチャーム から[設定]を選択します。

3. 「設定」チャームが表示されるので、[PC設定の変更]を選択します。

4. 「PC設定」画面が表示されるので、[PCとデバイス]を選択します。

5. 「PCとデバイス」の画面が表示されるので、[PC情報]を選択します。

6. 「PC情報」画面が表示されるので、デバイスの暗号化の項目の[オンにする]を選択します。

   

   以上で操作は完了です。デバイスの暗号化が実行されます。

    ご注意

   暗号化はバックグラウンドで自動的に実行されますが、PCの動作が緩慢になったり応答なしになる場合があります。
   暗号化が完了するまで、ACアダプターに接続し何もせずそのまま置いておくことをおすすめします。

目次へ戻る

修理に出される場合や、BIOSの設定を変更する場合は、事前にデバイスの暗号化を無効にしてください。
無効にしなかった場合、回復モードが表示されます。また、暗号化の解除ができなくなる場合があります。
デバイスの暗号化を無効にするには、Windows 11/Windows 10/Windows 8.1で手順が異なりますので、それぞれのOSごとに操作してください。

▼Windows 11の場合

1. Windows起動後インターネットに接続し、Microsoftアカウントに切り替えます。すでにMicrosoftアカウントでログインしている場合は、次の手順へ進んでください。

   ▼関連Q&A:
   [Windows 11] ローカルアカウントとMicrosoft アカウントを切り替える方法

2. 「設定」画面を開きます。

   ▼関連Q&A:
   [Windows 11] 「設定」画面を表示する方法

3. 「プライバシーとセキュリティ」-「デバイスの暗号化」を選択します。

4. デバイスの暗号化を「オフ」にします。（画像はオンの状態です。クリックして、オフにします。）

   

5. 「デバイスの暗号化の無効化」画面が表示されるので、[オフにする]を選択します。

   

   以上で操作は完了です。デバイスの暗号化の無効化が実行されます。
   無効化には時間がかかりますが、バックグラウンドで実行されます。

▼Windows 10の場合

1. 「設定」画面を開きます。

   ▼関連Q&A:
   [Windows 10] 「設定」と「コントロールパネル」画面を表示する方法

2. 「システム」を選択します。

   

3. 「システム」画面が表示されるので、[バージョン情報]を選択し、右側の項目を下にスクロールし、「デバイスの暗号化」の項目の[オフにする]を選択します。

   

4. 「デバイスの暗号化の無効化」画面が表示されるので、[オフにする]を選択します。

   

   以上で操作は完了です。デバイスの暗号化の無効化が実行されます。
   無効化には時間がかかりますが、バックグラウンドで実行されます。

▼Windows 8.1の場合

1. [Windows ]キー＋[C]キーを押すか、画面の右上隅にマウスポインターを合わせて( タッチパネルの場合は画面の右端からスワイプして)、表示されたチャームから[設定]を選択します。

2. 「設定」チャームが表示されるので、[PC設定の変更]を選択します。

3. 「PC設定」画面が表示されるので、[PCとデバイス]を選択します。

4. 「PCとデバイス」の画面が表示されるので、[PC情報]を選択します。

5. 「PC情報」画面が表示されるので、デバイスの暗号化の項目の[オフにする]を選択します。

   

6. 「デバイスの暗号化の無効化」画面が表示されるので。[オフにする]を選択します。

   

   以上で操作は完了です。デバイスの暗号化の無効化が実行されます。
   無効化には時間がかかりますが、バックグラウンドで実行されます。

目次へ戻る

• 回復キーのバックアップ方法

回復キーはデバイスの暗号化の有効時に自動的にMicrosoftアカウントに保存されますが、万が一の場合に備えて、以下の手順でバックアップをしてください。

1. コントロールパネルを開きます。

   ▼関連Q&A:
   [Windows 11]「コントロールパネル」を表示する方法
   [Windows 10] 「設定」と「コントロールパネル」画面を表示する方法
   [Windows 8.1] [コントロール パネル]画面を表示する方法

2. [システムとセキュリティ]を選択します。

3. 「システムとセキュリティ」画面が表示されるので、[BitLockerドライブ暗号化]、もしくは[デバイスの暗号化]を選択します。

4. 「BitLockerドライブ暗号化」、もしくは「デバイスの暗号化」画面が表示されるので、[回復キーのバックアップ]を選択します。

   

5. 「回復キーのバックアップ方法を指定してください。」と表示されるので、以下のいずれかを選択します。

   • Microsoftアカウントに保存する
     Microsoftアカウントに保存します。

   • ファイルに保存する
     内蔵のハードディスク/SSDには保存できないため、USB接続のフラッシュメモリーなどを接続して保存します。

   • 回復キーを印刷する
     プリンターなどで紙に印刷します。

   

   以上で操作は完了です。

    参考情報

   Microsoftアカウントから回復キーを入手する場合は、下記ページの「BitLocker 回復キーの取得方法を教えてください。」の項目をご確認ください。

   BitLocker 回復キー: よく寄せられる質問

目次へ戻る

• 回復キーの入力方法

修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合、Windows の起動時に以下の回復モードの画面が表示されます。
この画面が表示された場合は、以下の手順で回復キーを入力してください。

1. MicrosoftアカウントのBitLocker 回復キーのページ、もしくはバックアップした回復キーに記載されている、「ID」の先頭部分の文字列が回復モード画面に表示されている、「キーID」の文字列と同じかどうかを確認します。

2. 「ID」が同じならば、回復キーを入力し、[続行]を選択します。

3. ロックが解除され、「正しい回復キーです」と表示されたら、[再起動]を選択してください。

   以上で操作は完了です。通常通りWindowsが起動します。

    参考情報

   • タッチパネルのスクリーンキーボードから回復キーの入力はできません。必ず本体のキーボードから回復キーを入力してください。

   • ロック解除後に再度回復モードの画面が表示された場合は、回復キーを入力し、Windows起動後に、デバイスの暗号化を無効にしてください。
     再度デバイスの暗号化を使用する場合は、その後有効にしてください。
     新しい回復キーが生成されますので、必ずバックアップしてください。
     なお、TPMのロックアウトのリセットを実行する事で、TPMのロックを解除することもできますが、この場合あらかじめTPMの管理で、TPM所有者のパスワードを設定しておく必要があります。
     TPMの管理については、コントロールパネルの 「BitLockerドライブ暗号化」、もしくは「デバイスの暗号化」画面の左下の[TPMの管理]を選択することで、設定画面を表示できます。
     設定の詳細は、以下のWebページを参照してください。

     TPM管理

目次へ戻る

• 起動時のドライブのロックを解除する方法について

通常の設定では、起動時にドライブのロックは自動的に解除されますが、PIN入力やUSBフラッシュドライブを接続しないとドライブのロックが解除されないようにするには以下の手順で操作してください。

1. [Windows]キーと[R]キーを同時に押します。

2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。

   

3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]－[管理用テンプレート]－[Windowsコンポーネント]－[BitLockerドライブ暗号化]－[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スタートアップ時に追加の認証を要求する]を選択します。

   

4. 「スタートアップ時に追加の認証を要求する」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で[OK]を選択します。

   

    参考情報

   • 基本の設定では、PINに使用できるのは数字のみですが、PINに文字列を使用したい場合は、「スタートアップの拡張PINを許可する」の設定も有効にしてください。

   • VJZ13*シリーズについては、基本の設定では「PINを入力する」は使用できません。
     「PINを入力する」を使用する場合は、「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」の設定を有効にしてください。

     

5. コントロールパネルを開きます。

   ▼関連Q&A:
   [Windows 11]「コントロールパネル」を表示する方法
   [Windows 10] 「設定」と「コントロールパネル」画面を表示する方法
   [Windows 8.1] [コントロール パネル]画面を表示する方法

6. [システムとセキュリティ]を選択します。

7. 「システムとセキュリティ」画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

8. 「BitLockerドライブ暗号化」画面が表示されるので、[スタートアップ時にドライブのロックを解除する方法の変更]を選択します。

   

9. 「スタートアップ時にドライブのロックを解除する方法を選択する」画面が表示されるので、以下のいずれかを選択し、画面に表示される内容に従って設定します。

   •  PINを入力する
     起動時に任意で設定した文字列を入力します。
   • USBフラッシュドライブを挿入する
     ドライブ解除用に設定したUSBフラッシュドライブを差していないと起動できないようにします。
   • BitLockerでドライブのロックを自動的に解除する
     ドライブのロックを自動的に解除するようにします。

   

   以上で操作は完了です。

目次へ戻る

• ドメイン環境でのデバイスの暗号化について

ドメイン環境では、デバイスの暗号化の使用が制限されている場合があります。
ドメイン環境でデバイスの暗号化を使用する場合は、あらかじめシステム管理者に、ドメイン環境での使用の可否について確認してください。
デバイスの暗号化の使用が制限されている場合は、BitLockerドライブ暗号化を使用してください。（Windows 11 Pro/Windows 10 Pro/Windows 8.1 Proのみ）

VJZ13*シリーズについては、そのままではドメイン環境でデバイスの暗号化を使用できません。
以下の手順でローカルグループポリシーの設定を変更してからデバイスの暗号化を有効にしてください。

1. [Windows]キーと[R]キーを同時に押します。

2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。

   

3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]－[管理用テンプレート]－[Windowsコンポーネント]－[BitLockerドライブ暗号化]－[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする]を選択します。

   

4. 「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で、[OK]を選択します。

   

   以上で操作は完了です。
   デバイスの暗号化を有効にする方法を参照し、デバイスの暗号化を有効にしてください。

目次へ戻る