[Windows 8.1 Pro] TPM機能と連携してBitLockerドライブ暗号化を有効／無効にする方法

対象製品

Windows 8.1 Pro

TPMセキュリティーチップ搭載モデル
Intel PTT対応モデル

説明
事前確認
BitLockerドライブ暗号化を有効にする方法
BitLockerドライブ暗号化を無効にする方法
回復キーの入力方法
起動時のドライブのロックを解除する方法について
ドメイン環境でのBitLockerドライブ暗号化について

説明

BitLockerドライブ暗号化を有効にすると、ドライブ全体のデータが暗号化され、正しい暗号化キーを持っている人だけが暗号化を解除できます。
ドライブ全体を暗号化できるため、パスワードなどの重要なデータの保護に役立ちます。
例えば、PCからハードディスクを取り出して、ほかのPCに接続してもデータにアクセスすることはできません。

TPMセキュリティーチップが搭載された、あるいはIntel PTTに対応したPCは、暗号化を解除できる暗号化キーをTPMセキュリティーチップ
またはIntel PTT 内に保存することで、暗号化キーの漏えいを防ぎ、セキュリティーを高めることができます。

【事前確認】

- 事前に下記の関連Q&Aの内容をご参照ください。
  
  ▼関連Q&A：
  [VAIO_PC] TPM機能を使用する場合の注意事項
- 弊社では、BitLockerドライブ暗号化についての動作保証を行っていません。
  必要に応じ、事前にデータのバックアップを行ってください。
- InstantGoに対応したモデルは、デバイスの暗号化を使用することもできます。
  
  ▼関連Q&A:
  [VAIO_PC] デバイスの暗号化の機能説明と設定

目次へ戻る

BitLockerドライブ暗号化を有効にする方法

以下の手順でBitLockerの設定を行います。

[コントロールパネル]画面を表示します。
[コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。
[システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。
[BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティングシステムドライブ]欄の、[BitLocker を有効にする]を選択します。
【参考情報】
BIOSセットアップメニューでTPM機能が無効になっている場合は、[BitLocker ドライブ暗号化セットアップ]画面が表示されるので、
下記の操作を行ってください。
1. [BitLocker ドライブ暗号化セットアップ]画面で[次へ]ボタンを選択します。
2. [TPM セキュリティハードウェアを有効にします]画面が表示されるので、[再起動]ボタンを選択します。
3. 起動時に確認画面が表示されるので、[Execute]を選択し、[Enter]キーを押します。
  - [Reject]を選択すると、TPM機能は無効のままとなります。
4. Windowsが起動するので、起動後にデスクトップ画面を表示します。
5. [BitLocker ドライブ暗号化セットアップ]画面が表示されるので、[次へ]ボタンを選択します。
[回復キーのバックアップ方法を指定してください。]画面が表示されるので、下記のいずれかを選択し、回復キーのバックアップ方法を選択します。

※ここでは例として[ファイルに保存する]を選択します。
- Microsoftアカウントに保存する
  Microsoftアカウントでサインインする必要があります。
- ファイルに保存する
  任意の場所にテキストファイルで回復キー(パスワード)を保存します。
- 回復キーを印刷する
  回復キーを印刷します
[BitLocker 回復キーに名前を付けて保存]画面が表示されるので、任意の場所を選択し、[保存]ボタンを選択します。
- ここでは例として、USBフラッシュメモリーに保存します。
[回復キーのバックアップ方法を指定してください。]画面に戻るので、「回復キーが保存されました。」と表示されていることを確認して、[次へ]ボタンを選択します。
[ドライブを暗号化する範囲の選択]画面が表示されるので、下記のいずれかを選択し、[次へ]ボタンを選択します。
- 使用済みの領域のみ暗号化する
  データが保存されている領域のみ暗号化されます。
  空き領域や削除された過去のデータは暗号化されません。
- ドライブ全体を暗号化する
  すべてのデータと空き領域が暗号化されます。
[このドライブを暗号化する準備ができましたか?]画面がされるので、[BitLocker システムチェックを実行する]にチェックをつけて、[続行]ボタンを選択します。
「コンピューターを再起動する必要があります」というメッセージが表示されるので、[今すぐ再起動する]ボタンを選択します。

【参考情報】

上記のメッセージ画面が表示されない場合は、通知領域から表示される「暗号化はコンピューターの再起動後に開始されます」というバルーンを選択すると
メッセージ画面が表示されます。
Windowsが再起動するので、再起動後にデスクトップ画面を表示します。
通知領域から「暗号化を実行中です」というバルーンが表示され、暗号化が開始されるのでしばらく待ちます。
- 暗号化にかかる時間はCPUやハードディスクの容量などにより異なりますが、1GBにつき約1分間が目安です。
暗号化が完了すると、「C: の暗号化が完了しました。」というメッセージが表示されるので、[閉じる]ボタンを選択します。

以上で操作は完了です。

目次へ戻る

BitLockerドライブ暗号化を無効にする方法

※下記は、例として、オペレーティングシステムドライブ(Cドライブ)の暗号化を解除する手順です。

[コントロールパネル]画面を表示します。
[コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。
[システムとセキュリティ]画面が表示されるので、[BitLocker ドライブ暗号化]を選択します。
[BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティングシステムドライブ]の[BitLocker を無効にする]を選択します。

【参考情報】

保護を無効にするのではなく、アップデート等を実施する場合などで、一時的にBitLockerの保護を停止したい場合は
上記の画面にある「保護の中断」を選択してください。

※「保護の中断」を選択すると、警告画面が表示されます。
内容を確認して「はい」を選択し、「BitLocker が中断されました」と表示されていれば、「保護の中断」は完了です。
PCを再起動すると保護が自動的に再開され、BitLocker が有効な状態に戻ります。
[BitLocker 無効にする]画面が表示されるので、[BitLocker を無効にする]ボタンを選択します。
通知領域から、「暗号化の解除を実行中です」というメッセージが表示され、暗号化の解除が開始されます。
[C: の暗号化解除が完了しました。]画面が表示されるので、[閉じる]ボタンを選択します。

以上で操作は完了です。

目次へ戻る

回復キーの入力方法

修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合、
Windows の起動時に以下の回復モードの画面が表示されます。この画面が表示された場合は、以下の手順で回復キーを入力してください。

回復モード画面

バックアップした回復キーに記載されている、「ID」の先頭部分の文字列が回復モード画面に表示されている、「キーID」の文字列と同じかどうかを確認します。
「ID」が同じならば、回復キーを入力し、[続行]を選択します。
ロックが解除され、「正しい回復キーです」と表示されたら、[再起動]を選択してください。

以上で操作は完了です。
通常通りWindowsが起動します。

【参考情報】

2018年10月までに発売のVAIOでは、タッチパネルのスクリーンキーボードから回復キーの入力はできません。
必ず「本体のキーボード」 から回復キーを入力してください。
ロック解除後に再度回復モードの画面が表示された場合は、回復キーを入力し、Windows起動後に、デバイスの暗号化を無効にしてください。
再度デバイスの暗号化を使用する場合は、その後有効にしてください。
新しい回復キーが生成されますので、必ずバックアップしてください。
なお、TPMのロックアウトのリセットを実行する事で、TPMのロックを解除することもできますが、この場合あらかじめTPMの管理で、TPM所有者のパスワードを設定しておく必要があります。
TPMの管理については、コントロールパネルの「BitLockerドライブ暗号化」、もしくは「デバイスの暗号化」画面の左下の[TPMの管理]を選択することで、設定画面を表示できます。
設定の詳細は、以下のマイクロソフト社のWebページを参照してください。
TPM管理

目次へ戻る

起動時のドライブのロックを解除する方法について

通常の設定では、起動時にドライブのロックは自動的に解除されますが、PIN入力やUSBフラッシュドライブを接続しないとドライブのロックが解除されないようにするには
以下の手順で操作してください。

[Windows]キーと[R]キーを同時に押します。
「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。
「ローカルグループポリシーエディター」画面が表示されるので、左側より、
[コンピューターの構成]－[管理用テンプレート]－[Windowsコンポーネント]－[BitLockerドライブ暗号化]－[オペレーティングシステムのドライブ]を選択後、
右側の一覧より[スタートアップ時に追加の認証を要求する]を選択します。
「スタートアップ時に追加の認証を要求する」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で[OK]を選択します。
【参考情報】
- 基本の設定では、PINに使用できるのは数字のみですが、PINに文字列を使用したい場合は、「ローカルグループポリシーエディター」画面で
  「スタートアップの拡張PINを許可する」の設定を有効にしてください。
- VJZ13A*、VJA12A、VJZ13B*、VJZ131*、VJA121*、VJPA11*シリーズについては、基本の設定では「PINを入力する」は使用できません。
  「PINを入力する」を使用する場合は、「ローカルグループポリシーエディター」画面で
  「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」の設定を有効にしてください。
コントロールパネルを開きます。

▼関連Q&A:
[Windows 8.1] [コントロールパネル]画面を表示する方法
[システムとセキュリティ]を選択します。
「システムとセキュリティ」画面が表示されるので、[BitLockerドライブ暗号化]を選択します。
「BitLockerドライブ暗号化」画面が表示されるので、[スタートアップ時にドライブのロックを解除する方法の変更]を選択します。
「スタートアップ時にドライブのロックを解除する方法を選択する」画面が表示されるので、以下のいずれかを選択し、画面に表示される内容に従って設定します。
- PINを入力する
  起動時に任意で設定した文字列を入力します。
- USBフラッシュドライブを挿入する
  ドライブ解除用に設定したUSBフラッシュドライブを差していないと起動できないようにします。
- BitLockerでドライブのロックを自動的に解除する
  ドライブのロックを自動的に解除するようにします。

以上で操作は完了です。

目次へ戻る

ドメイン環境でのBitLockerドライブ暗号化について

ドメイン環境では、BitLockerドライブ暗号化の使用が制限されている場合があります。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、あらかじめシステム管理者に、ドメイン環境での使用の可否について確認してください。

VJZ13A*、VJZ12A、VJZ13B*、VJZ131*、VJA121*、VJPA11*シリーズについては、そのままではドメイン環境でBitLockerドライブ暗号化を使用できません。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、以下の手順でローカルグループポリシーの設定を変更してからBitLockerドライブ暗号化を有効にしてください。

[Windows]キーと[R]キーを同時に押します。
「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。
「ローカルグループポリシーエディター」画面が表示されるので、左側より
[コンピューターの構成]－[管理用テンプレート]－[Windowsコンポーネント]－[BitLockerドライブ暗号化]－[オペレーティングシステムのドライブ]を選択後、
右側の一覧より[スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする]を選択します。
「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」画面が表示されるので、
[有効]のチェックボックスにチェックを入れた上で、[OK]を選択します。

以上で操作は完了です。BitLockerドライブ暗号化を有効にする方法を参照し、BitLockerドライブ暗号化を有効にしてください。

目次へ戻る

このQ&Aは役に立ちましたか？

関連FAQ