Windows10で「BitLocker ドライブ暗号化」の設定方法や、現在BitLockerが「有効」または「無効」かを確認する方法を教えてください。
「BitLocker ドライブ暗号化」は、Windows 10 Proで利用できる機能です。操作方法については、本ぺージでご紹介します。
VAIO サポートセンターでは、BitLockerドライブ暗号化についての動作保証を行っていません。
必要に応じ、事前にデータのバックアップを行ってください。
Windows 10、Windows 11プリインストールモデルでSSD/HDDからリカバリーを行う場合、Cドライブ内のファイルも必要となるため、暗号化を無効にしなかった場合にはリカバリーを行えません。
リカバリーを行う前に暗号化を無効にするか、リカバリーの実行画面で回復キーを入力し、暗号化を無効にしてからリカバリーを行ってください。
Intel PTT などのFirmWare TPM に対応したVAIOにおいても、Windows上での各種操作時にはTPMセキュリティーチップ搭載のVAIOと同じ手順を実行します。
Windowsの画面上では、TPMセキュリティーチップ搭載機種とIntel PTT などのFirmWare TPM 対応機種で、操作画面の表示には一切変更はありません。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「BitLockerドライブ暗号化」が表示されます。「オペレーティング システム ドライブ」欄の「BitLocker を有効にする」をクリックします。
「回復キーのバックアップ方法を指定してください。」と表示されます。
下記のいずれかをクリックし、回復キーのバックアップ方法をクリックします。
※ここでは例として「Microsoftアカウントに保存する」をクリックします。
Microsoftアカウントに保存する
Microsoftアカウントでサインインしている必要があります。
ファイルに保存する
任意の場所にテキストファイルで回復キーを保存します。
回復キーを印刷する
回復キーを印刷します
「回復キーが保存されました。」と表示されていることを確認して「次へ」をクリックします。
「ドライブを暗号化する範囲のクリック」が表示されます。下記のいずれかをクリックし「次へ」ボタンをクリックします。
使用済みの領域のみ暗号化する
データが保存されている領域のみ暗号化されます。
空き領域や削除された過去のデータは暗号化されません。
ドライブ全体を暗号化する
すべてのデータと空き領域が暗号化されます。
※セキュリティを強固なものにするために、こちらをクリックすることを推奨します。
「使用する暗号化モードを選ぶ」画面が表示されます。「新しい暗号化モード」をクリックして「次へ」をクリックします。
「このドライブを暗号化する準備ができましたか?」が表示されます。「BitLocker システム チェックを実行する」にチェックをつけ「続行」ボタンをクリックします。
「コンピューターを再起動する必要があります」というメッセージが表示されます。「今すぐ再起動する」ボタンをクリックします。
再起動後に再度「BitLocker ドライブ暗号化」を表示します。
「C:BitLocker が暗号化中です」というメッセージが表示され、暗号化が行われるのでしばらく待ちます。
暗号化が完了すると「C: BitLocker が有効です」というメッセージが表示されます。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「BitLocker ドライブ暗号化」が表示されます。「オペレーティング システム ドライブ」の「BitLocker を無効にする」をクリックします。
「BitLocker を無効にする」が表示されます。「BitLocker を無効にする」をクリックします。
「BitLocker が暗号化の解除中です」のメッセージが表示され、暗号化の解除が開始されます。
「C: BitLocker が無効です」と表示されていれば、暗号化の解除が完了です。
※「暗号化の解除が完了しました」などのダイアログは表示されません。
BIOSやファームウェアのアップデートなど、一部のアップデートプログラムは、BitLockerの解除や中断を行ってからアップデートをしなかった場合に、システムの再起動時に回復キーを求められることがあります。
BitLockerの解除の場合、解除の完了までに、数十分から数時間かかってしまうため、アップデートプログラムなどを適用する場合は、以下の手順で中断を行っていただくと、すぐにアップデート等を行っていただくことができます。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「システムとセキュリティ」が表示されます。「オペレーティング システム ドライブ」の「保護の中断」をクリックします。
警告画面が表示されます。確認して「はい」をクリックします。
この後、画面右下に「保護が中断されています」のポップアップが表示されます。
「BitLocker が中断されました」と表示されていれば「保護の中断」は完了です。
各種アップデート等行う場合は、この状態で行ってください。
PCを再起動すると保護が自動的に再開され、BitLockerが有効な状態に戻ります。
手動で保護を再開するには、BitLockerの管理を開いて「保護の再開」をクリックします。
BitLocker回復キーを聞かれるような状態になった場合、通常では回復キーを入力後、PCの再起動を行えば、以降は回復キーを聞かれることはありませんが、お客様のご使用の環境によっては、起動毎に回復キーを聞かれる場合があります。
このような場合「保護の中断」を行い、その後「保護の再開」を行うと現象が改善する場合があります。
ドメイン環境では、BitLockerドライブ暗号化の使用が制限されている場合があります。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、あらかじめシステム管理者にドメイン環境での使用の可否について確認してください。
VJA121*、VJPA11*シリーズでご利用の場合
本体とキーボードが分離するモデルのため、そのままではドメイン環境でBitLockerドライブ暗号化を使用できません。
以下の手順でローカルグループポリシーの設定を変更してから、BitLockerドライブ暗号化を有効にしてください。
【Windows】キーと【R】キーを同時に押し「ファイル名を指定して実行」を起動します。「gpedit.msc」と入力後「OK」をクリックします。
「ローカルグループポリシーエディター」画面が表示されるので、左側のツリーを以下の順にクリックして、展開します。
「コンピューターの構成」
-「管理用テンプレート」
-「Windowsコンポーネント」
-「BitLockerドライブ暗号化」
-「オペレーティングシステムのドライブ」
クリック後、右側の一覧から「スタートアップ時に追加の認証を要求する」をクリックします。
「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」画面が表示されます。
「有効]のチェックボックスにチェックを入れて「OK]をクリックします。
以上で操作は完了です。BitLockerドライブ暗号化を有効にする を参照し、BitLockerドライブ暗号化を有効にしてください。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「BitLocker ドライブ暗号化」が表示されるので「オペレーティング システム ドライブ」欄で「BitLocker が有効です」と表記されている場合は、現在BitLocker は「有効」の状態です。
「BitLocker が無効です」と表記されている場合は、現在BitLocker は「無効」の状態です。
修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合、Windows の起動時に以下の回復モードの画面が表示されます。この画面が表示された場合は、以下の手順で回復キーを入力してください。
「BitLockerドライブ暗号化を有効にする」 手順.5 でバックアップした回復キーに記載されている「ID」の先頭部分の文字列が回復モード画面に表示されている「(キーを識別する)回復キーID」の文字列(画像内➀)と同じかどうかを確認します。
「ID」が同じならば、回復キーを入力(画像内②へ)し「続行」をクリックします。
ロックが解除され「正しい回復キーです」と表示されたら「再起動」をクリックしてください。
2018年10月までに発売のVAIOでは、タッチパネルのスクリーンキーボードから回復キーの入力はできません。
必ず「本体のキーボード」 から回復キーを入力してください。
2018年11月以降に発売のVAIOの場合
「本体のキーボード」はもちろん「タッチパネル操作でのスクリーンキーボード」および「タッチパッド操作でのスクリーンキーボード」どちらの場合でも、回復キー入力が可能です。
ロック解除後に再度回復モードの画面が表示された場合は、回復キーを入力し、Windows起動後に、デバイスの暗号化を無効にしてください。
再度デバイスの暗号化を使用する場合は、その後有効にしてください。
新しい回復キーが生成されますので、必ずバックアップしてください。
なお、TPMのロックアウトのリセットを実行する事で、TPMのロックを解除することもできますが、
この場合、あらかじめTPMの管理で「TPM所有者のパスワード」を設定しておく必要があります。
TPMの管理については、コントロールパネルの「BitLockerドライブ暗号化」もしくは「デバイスの暗号化」画面の左下の「TPMの管理」をクリックすることで設定画面を表示できます。
通常の設定では、起動時にドライブのロックは自動的に解除されますが、PINを入力したり、USBフラッシュドライブを接続しないとドライブのロックが解除されないようにするには以下の手順で操作してください。
【Windows】キーと【R】キーを同時に押し「ファイル名を指定して実行」を起動します。「gpedit.msc」と入力後「OK」をクリックします。
「ローカルグループポリシーエディター」画面が表示されるので、左側のツリーを以下の順にクリックして、展開します。
「コンピューターの構成」
-「管理用テンプレート」
-「Windowsコンポーネント」
-「BitLockerドライブ暗号化」
-「オペレーティングシステムのドライブ」
クリック後、右側の一覧から「スタートアップ時に追加の認証を要求する」をクリックします。
「スタートアップ時に追加の認証を要求する」が表示されます。「有効」のチェックボックスにチェックを入れた上で「OK」をクリックします。
VJA121*、VJPA11*シリーズについては、基本の設定では「PINを入力する」は使用できません。
「PINを入力する」を使用する場合は、「ローカルグループポリシーエディター」画面で
「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」(青枠)の設定を有効にしてください。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「BitLockerドライブ暗号化」画面が表示されます。「スタートアップ時にドライブのロックを解除する方法の変更」をクリックします。
「スタートアップ時にドライブのロックを解除する方法をクリックする」画面が表示されるので、以下のいずれかをクリックし、画面に表示される内容に従って設定します。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「BitLocker ドライブ暗号化]画面が表示されます。「リムーバブル データ ドライブ」にある ボタンをクリックします。
表示される「BitLocker を有効にする」をクリックします。
「BitLockerを起動しています」が表示されます。そのままお待ちください。
「このドライブのロック解除方法をクリックする]画面が表示されるので、下記のいずれかをクリックし、回復キーのバックアップ方法をクリックします。
※ここでは例として「パスワードを使用してドライブのロックを解除する」をクリックします。
パスワードを使用してドライブのロックを解除する
複数の文字種を混ぜて設定する必要があります。
スマートカードを使用してドライブのロックを解除する
使用するスマートカードとPINの情報を用意しておく必要があります。
「回復キーのバックアップ方法を指定してください。」が表示されます。
下記のいずれかをクリックし、回復キーのバックアップ方法をクリックします。
※ここでは例として「ファイルに保存する」をクリックします。
Microsoftアカウントに保存する
Microsoftアカウントでサインインしている必要があります。
ファイルに保存する
任意の場所にテキストファイルで回復キーを保存します。
回復キーを印刷する
回復キーを印刷します
「回復キーのバックアップ方法を指定してください。」に「回復キーが保存されました。」と表示されていることを確認して「次へ」ボタンをクリックします。
「ドライブを暗号化する範囲のクリック」が表示されるので、下記のいずれかをクリックし「次へ」ボタンをクリックします。
使用済みの領域のみ暗号化する
データが保存されている領域のみ暗号化されます。
空き領域や削除された過去のデータは暗号化されません。
ドライブ全体を暗号化する
すべてのデータと空き領域が暗号化されます。
※セキュリティを強固なものにするために、こちらをクリックすることを推奨します。
「使用する暗号化モードを選ぶ」が表示されるので「新しい暗号化モード」をクリックしたうえで「次へ」をクリックします。
「このドライブを暗号化する準備ができましたか?」画面がされるので「暗号化の開始」ボタンをクリックします。
「D(クリックしたドライブ名): の暗号化が完了しました。」のメッセージが表示されるまで待ち「閉じる」ボタンをクリックします。
以上で操作は完了です。
暗号化されたリムーバブルメディアにアクセスする場合「このドライブのロックを解除するためにパスワードを入力してください。」のダイアログが表示されるので、パスワードを入力して「ロック解除」ボタンをクリックします。
※スマートカードで解除する設定の場合はスマートカードを挿入し、PIN情報を入力します。
画面下部にある、スタート ボタンをクリックして「スタートメニュー」-「Windows システムツール」を開き「コントロールパネル」を開きます。
「コントロールパネル」が表示されます。「システムとセキュリティ」をクリックします。
「システムとセキュリティ」が表示されます。「BitLockerドライブ暗号化」をクリックします。
「BitLocker ドライブ暗号化」が表示されます。「リムーバブル データ ドライブ」の「BitLocker を無効にする」をクリックします。
「BitLocker を無効にする」ダイアログが表示されます。「BitLocker を無効にする」をクリックします。
暗号化の解除が始まります。
「D(選択したドライブ名): の暗号化解除が完了しました。」のダイアログが表示されたら「閉じる」ボタンを押します。
「リムーバブル データ ドライブ」に「BitLocker が無効です」と表示されていれば、解除は完了です。