[Windows 10 Pro] [Windows 8.1 Pro] TPM機能と連携してBitLockerドライブ暗号化を有効/無効にする方法

対象製品

Windows 10 Pro
Windows 8.1 Pro

  • TPMセキュリティーチップ搭載モデル
  • Intel PTT対応モデル

説明

BitLockerドライブ暗号化を有効にすると、ドライブ全体のデータが暗号化され、正しい暗号化キーを持っている人だけが暗号化を解除できます。
ドライブ全体を暗号化できるため、パスワードなどの重要なデータの保護に役立ちます。
例えば、PCからハードディスクを取り出して、ほかのPCに接続してもデータにアクセスすることはできません。

TPMセキュリティーチップが搭載された、あるいはIntel PTTに対応したPCは、暗号化を解除できる暗号化キーをTPMセキュリティーチップ またはIntel PTT 内に保存することで、暗号化キーの漏えいを防ぎ、セキュリティーを高めることができます。

【事前確認】

    • 事前に下記の関連Q&Aの内容をご参照ください。

      ▼関連Q&A:
      [VAIO_PC] TPM機能を使用する場合の注意事項

    • 弊社では、BitLockerドライブ暗号化についての動作保証を行っていません。
      必要に応じ、事前にデータのバックアップを行ってください。

    • InstantGoに対応したモデルは、デバイスの暗号化を使用することもできます。

      ▼関連Q&A:
      [VAIO_PC] デバイスの暗号化について

    • Windows 10プリインストールモデルでSSD/HDDからリカバリーを行う場合、
      Cドライブ内のファイルも必要となるため、暗号化を無効にしなかった場合にはリカバリーを行えません。
      リカバリーを行う前に暗号化を無効にするか、リカバリーの実行画面で回復キーを入力し、
      暗号化を無効にしてからリカバリーを行ってください。

    • Intel PTTに対応したVAIOにおいても、Windows上での各種操作時にはTPMセキュリティーチップ搭載のVAIOと同じ手順を実行します。
      Windowsの画面上では、TPMセキュリティーチップ搭載機種とIntel PTT対応機種で操作画面の表示には一切変更がありません。

目次へ戻る


  • BitLockerドライブ暗号化を有効にする方法

以下の手順でBitLockerの設定を行います。
※画像はWindows 8.1 です。

  1. [コントロール パネル]画面を表示します。

  2. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  3. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティング システム ドライブ]欄の、[BitLocker を有効にする]を選択します。

    [BitLocker ドライブ暗号化]画面

    【参考情報】

    BIOSセットアップメニューでTPM機能が無効になっている場合は、[BitLocker ドライブ暗号化セットアップ]画面が表示されるので、下記の操作を行ってください。

    1. [BitLocker ドライブ暗号化セットアップ]画面で[次へ]ボタンを選択します。

      [BitLocker ドライブ暗号化]画面

    2. [TPM セキュリティ ハードウェアを有効にします]画面が表示されるので、[再起動]ボタンを選択します。

      [TPM セキュリティ ハードウェアを有効にします]画面

    3. 起動時に確認画面が表示されるので、[Execute]を選択し、[Enter]キーを押します。
      • [Reject]を選択すると、TPM機能は無効のままとなります。

      [BIOS]画面

    4. Windowsが起動するので、起動後にデスクトップ画面を表示します。
    5. [BitLocker ドライブ暗号化セットアップ]画面が表示されるので、[次へ]ボタンを選択します。
  5. [回復キーのバックアップ方法を指定してください。]画面が表示されるので、下記のいずれかを選択し、回復キーのバックアップ方法を選択します。

    ※ここでは例として[ファイルに保存する]を選択します。

    • Microsoftアカウントに保存する
      Microsoftアカウントでサインインする必要があります。

    • ファイルに保存する
      任意の場所にテキストファイルで回復キー(パスワード)を保存します。

    • 回復キーを印刷する
      回復キーを印刷します

    [回復キーのバックアップ方法を指定してください。]画面

  6. [BitLocker 回復キーに名前を付けて保存]画面が表示されるので、任意の場所を選択し、[保存]ボタンを選択します。

    • ここでは例として、USBフラッシュメモリーに保存します。

    [BitLocker 回復キーに名前を付けて保存]画面

  7. [回復キーのバックアップ方法を指定してください。]画面に戻るので、「回復キーが保存されました。」と表示されていることを確認して、[次へ]ボタンを選択します。

    [回復キーのバックアップ方法を指定してください。]画面

  8. [ドライブを暗号化する範囲の選択]画面が表示されるので、下記のいずれかを選択し、[次へ]ボタンを選択します。

    • 使用済みの領域のみ暗号化する
      データが保存されている領域のみ暗号化されます。
      空き領域や削除された過去のデータは暗号化されません。

    • ドライブ全体を暗号化する
      すべてのデータと空き領域が暗号化されます。

    [BitLocker ドライブ暗号化]画面

  9. Windows 10でWindows 10 November update 以降のバージョンを適用している場合は、「使用する暗号化モードを選ぶ」画面が表示されるので、任意の設定を選択したうえで、[次へ]を選択します。

    Image

  10. [このドライブを暗号化する準備ができましたか?]画面がされるので、[BitLocker システム チェックを実行する]にチェックをつけて、[続行]ボタンを選択します。

    「このドライブを暗号化する準備ができましたか?」画面

  11. 「コンピューターを再起動する必要があります」というメッセージが表示されるので、[今すぐ再起動する]ボタンを選択します。

    「コンピュータを再起動する必要があります」画面

     

    【参考情報】

    上記のメッセージ画面が表示されない場合は、通知領域から表示される「暗号化はコンピューターの再起動後に開始されます」というバルーンを選択するとメッセージ画面が表示されます。

    バルーンメッセージ画面

  12. Windowsが再起動するので、再起動後にデスクトップ画面を表示します。

  13. 通知領域から「暗号化を実行中です」というバルーンが表示され、暗号化が開始されるのでしばらく待ちます。

    • 暗号化にかかる時間はCPUやハードディスクの容量などにより異なりますが、1GBにつき約1分間が目安です。

    メッセージ画面

  14. 暗号化が完了すると、「C: の暗号化が完了しました。」というメッセージが表示されるので、[閉じる]ボタンを選択します。

以上で操作は完了です。

目次へ戻る


  • BitLockerドライブ暗号化を無効にする方法

※下記は、例として、オペレーティングシステムドライブ(Cドライブ)の暗号化を解除する手順です。

  1. [コントロール パネル]画面を表示します。

  2. [コントロール パネル]画面が表示されるので、[システムとセキュリティ]を選択します。

    [コントロール パネル]画面

  3. [システムとセキュリティ]画面が表示されるので、[BitLocker ドライブ暗号化]を選択します。

    [システムとセキュリティ]画面

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティング システム ドライブ]の[BitLocker を無効にする]を選択します。

    BitLocker ドライブ暗号化]画面

  5. [BitLocker 無効にする]画面が表示されるので、[BitLocker を無効にする]ボタンを選択します。

    [BitLocker 無効にする]画面

  6. 通知領域から、「暗号化の解除を実行中です」というメッセージが表示され、暗号化の解除が開始されます。

    バルーンメッセージ

  7. [C: の暗号化解除が完了しました。]画面が表示されるので、[閉じる]ボタンを選択します。

    [C: の暗号化解除が完了しました]画面

以上で操作は完了です。

目次へ戻る


  • 回復キーの入力方法

修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合、Windows の起動時に以下の回復モードの画面が表示されます。この画面が表示された場合は、以下の手順で回復キーを入力してください。

回復モード画面

  1. バックアップした回復キーに記載されている、「ID」の先頭部分の文字列が回復モード画面に表示されている、「キーID」の文字列と同じかどうかを確認します。
  2. 「ID」が同じならば、回復キーを入力し、[続行]を選択します。
  3. ロックが解除され、「正しい回復キーです」と表示されたら、[再起動]を選択してください。

以上で操作は完了です。
通常通りWindowsが起動します。

【参考情報】

  • 2018年10月までに発売のVAIOでは、タッチパネルのスクリーンキーボードから回復キーの入力はできません。
    必ず「本体のキーボード」 から回復キーを入力してください。

    2018年11月以降に発売のVAIO(VJA121、VJPA11、VJS141、VJPK11、VJS153、VJPH21 ※2019年6月現在)の場合
    「本体のキーボード」はもちろん 「タッチパネル操作でのスクリーンキーボード」 および 「タッチパッド操作でのスクリーンキーボード」 どちらの場合でも、回復キー入力が可能です。

  • ロック解除後に再度回復モードの画面が表示された場合は、回復キーを入力し、Windows起動後に、デバイスの暗号化を無効にしてください。
    再度デバイスの暗号化を使用する場合は、その後有効にしてください。
    新しい回復キーが生成されますので、必ずバックアップしてください。
    なお、TPMのロックアウトのリセットを実行する事で、TPMのロックを解除することもできますが、この場合あらかじめTPMの管理で、TPM所有者のパスワードを設定しておく必要があります。
    TPMの管理については、コントロールパネルの「BitLockerドライブ暗号化」、もしくは「デバイスの暗号化」画面の左下の[TPMの管理]を選択することで、設定画面を表示できます。
    設定の詳細は、以下のマイクロソフト社のWebページを参照してください。

    TPM管理

目次へ戻る


通常の設定では、起動時にドライブのロックは自動的に解除されますが、PIN入力やUSBフラッシュドライブを接続しないとドライブのロックが解除されないようにするには以下の手順で操作してください。

  1. [Windows]キーと[R]キーを同時に押します。

  2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。

    Image

  3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スタートアップ時に追加の認証を要求する]を選択します。

    Image

  4. 「スタートアップ時に追加の認証を要求する」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で[OK]を選択します。

    Image

     

    【参考情報】

    • 基本の設定では、PINに使用できるのは数字のみですが、PINに文字列を使用したい場合は、「ローカルグループポリシーエディター」画面で、「スタートアップの拡張PINを許可する」の設定を有効にしてください。
    • VJZ13A*、VJA12A、VJZ13B*、VJZ131*、VJA121*、VJPA11*シリーズについては、基本の設定では「PINを入力する」は使用できません。
      「PINを入力する」を使用する場合は、「ローカルグループポリシーエディター」画面で、「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」の設定を有効にしてください。

      Image
  5. コントロールパネルを開きます。

    ▼関連Q&A:
    [Windows 10] 「設定」と「コントロールパネル」画面を表示する方法
    [Windows 8.1] [コントロール パネル]画面を表示する方法

  6. [システムとセキュリティ]を選択します。

  7. 「システムとセキュリティ」画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  8. 「BitLockerドライブ暗号化」画面が表示されるので、[スタートアップ時にドライブのロックを解除する方法の変更]を選択します。

    Image

  9. 「スタートアップ時にドライブのロックを解除する方法を選択する」画面が表示されるので、以下のいずれかを選択し、画面に表示される内容に従って設定します。

    • PINを入力する
      起動時に任意で設定した文字列を入力します。
    • USBフラッシュドライブを挿入する
      ドライブ解除用に設定したUSBフラッシュドライブを差していないと起動できないようにします。
    • BitLockerでドライブのロックを自動的に解除する
      ドライブのロックを自動的に解除するようにします。

    Image

以上で操作は完了です。

目次へ戻る


  • ドメイン環境でのBitLockerドライブ暗号化について

ドメイン環境では、BitLockerドライブ暗号化の使用が制限されている場合があります。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、あらかじめシステム管理者に、ドメイン環境での使用の可否について確認してください。

VJZ13A*、VJZ12A、VJZ13B*、VJZ131*、VJA121*、VJPA11*シリーズについては、そのままではドメイン環境でBitLockerドライブ暗号化を使用できません。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、以下の手順でローカルグループポリシーの設定を変更してからBitLockerドライブ暗号化を有効にしてください。

  1. [Windows]キーと[R]キーを同時に押します。

  2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。

    Image

  3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする]を選択します。

    Image

  4. 「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で、[OK]を選択します。

    Image

以上で操作は完了です。BitLockerドライブ暗号化を有効にする方法を参照し、BitLockerドライブ暗号化を有効にしてください。

目次へ戻る


フィードバックいただいた内容は、コンテンツの品質向上目的のみに活用させていただきます。
返信等は行っておりませんのでご了承ください。
お問い合わせにつきましてはWebフォームからお申し込みください。

関連FAQ


    LINEで送る
    お問い合わせフォーム