[Windows 11 Pro] TPM機能と連携してBitLockerドライブ暗号化を有効/無効にする方法

[Windows 11 Pro] TPM機能と連携してBitLockerドライブ暗号化を有効/無効にする方法

対象製品

Windows 11 Pro

  • TPMセキュリティーチップ搭載モデル
  • Intel PTT などのFirmWare TPM 対応モデル

説明

BitLockerドライブ暗号化を有効にすると、ドライブ全体のデータが暗号化され、正しい暗号化キーを持っている人だけが暗号化を解除できます。
ドライブ全体を暗号化できるため、パスワードなどの重要なデータの保護に役立ちます。
例えば、PCからSSDやハードディスクを取り出して、ほかのPCに接続してもデータにアクセスすることはできません。

TPMセキュリティーチップが搭載された、あるいはIntel PTT などのFirmWare TPM に対応したPCは、暗号化を解除できる暗号化キーをTPMセキュリティーチップ またはIntel PTT などのFirmWare TPM 内に保存することで、暗号化キーの漏えいを防ぎ、セキュリティーを高めることができます。

【事前確認】

    • 弊社では、BitLockerドライブ暗号化についての動作保証を行っていません。
      必要に応じ、事前にデータのバックアップを行ってください。

    • Windows 11プリインストールモデルでSSD/HDDからリカバリーを行う場合、
      Cドライブ内のファイルも必要となるため、暗号化を無効にしなかった場合にはリカバリーを行えません。
      リカバリーを行う前に暗号化を無効にするか、リカバリーの実行画面で回復キーを入力し、
      暗号化を無効にしてからリカバリーを行ってください。

    • Intel PTT などのFirmWare TPM に対応したVAIOにおいても、Windows上での各種操作時にはTPMセキュリティーチップ搭載のVAIOと同じ手順を実行します。
      Windowsの画面上では、TPMセキュリティーチップ搭載機種とIntel PTT などのFirmWare TPM 対応機種で操作画面の表示には一切変更がありません。

目次へ戻る


  • BitLockerドライブ暗号化を有効にする方法

以下の手順でBitLockerの設定を行います。

  1. [コントロール パネル]画面を表示します。

    ▼関連Q&A:

    [Windows 11]「コントロールパネル」を表示する方法

  2. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  3. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティング システム ドライブ]欄の、[BitLocker を有効にする]を選択します。

  5. [回復キーのバックアップ方法を指定してください。]画面が表示されるので、下記のいずれかを選択し、回復キーのバックアップ方法を選択します。

    ※ここでは例として[Microsoftアカウントに保存する]を選択します。

    • Microsoftアカウントに保存する
      Microsoftアカウントでサインインしている必要があります。

    • ファイルに保存する
      任意の場所にテキストファイルで回復キーを保存します。

    • 回復キーを印刷する
      回復キーを印刷します

  6. [回復キーのバックアップ方法を指定してください。]画面に、「回復キーが保存されました。」と表示されていることを確認して、[次へ]ボタンを選択します。

  7. [ドライブを暗号化する範囲の選択]画面が表示されるので、下記のいずれかを選択し、[次へ]ボタンを選択します。

    • 使用済みの領域のみ暗号化する
      データが保存されている領域のみ暗号化されます。
      空き領域や削除された過去のデータは暗号化されません。

    • ドライブ全体を暗号化する
      すべてのデータと空き領域が暗号化されます。
      ※セキュリティを強固なものにするために、こちらを選択することを「強く」推奨します。

  8. 「使用する暗号化モードを選ぶ」画面が表示されるので、[新しい暗号化モード]を選択したうえで、[次へ]を選択します。

  9. [このドライブを暗号化する準備ができましたか?]画面がされるので、[BitLocker システム チェックを実行する]にチェックをつけて、[続行]ボタンを選択します。

  10. 「コンピューターを再起動する必要があります」というメッセージが表示されるので、[今すぐ再起動する]ボタンを選択します。

  11. Windowsが再起動するので、再起動後に[BitLocker ドライブ暗号化] 画面を表示します。

    「C:BitLocker が暗号化中です」というメッセージが表示され、暗号化が行われるのでしばらく待ちます。

    • 暗号化にかかる時間はCPUやハードディスクの容量などにより異なりますが、1GBにつき約1分間が目安です。

  12. 暗号化が完了すると、「C: BitLocker が有効です」というメッセージが表示されます。

以上で操作は完了です。

目次へ戻る


  • BitLockerドライブ暗号化を無効にする方法

※下記は、例として、オペレーティングシステムドライブ(Cドライブ)の暗号化を解除する手順です。

  1. [コントロール パネル]画面を表示します。

    ▼関連Q&A:

    [Windows 11]「コントロールパネル」を表示する方法

  2. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  3. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[オペレーティング システム ドライブ]の[BitLocker を無効にする]を選択します。

  5. [BitLocker を無効にする]画面が表示されるので、[BitLocker を無効にする]ボタンを選択します。

  6. 「BitLocker が暗号化の解除中です」というメッセージが表示され、暗号化の解除が開始されます。

  7. [C: BitLocker が無効です] と表示されたら暗号化解除が完了です。
    ※「暗号化の解除が完了しました」などのダイアログは表示されません。

以上で操作は完了です。

目次へ戻る


  • 回復キーの入力方法

修理で部品を交換した場合や、ハードウェア上の問題やセキュリティーに関連する予期しない構成の変更が行われた場合、Windows の起動時に以下の回復モードの画面が表示されます。この画面が表示された場合は、以下の手順で回復キーを入力してください。

  1. バックアップした回復キーに記載されている、「ID」の先頭部分の文字列が回復モード画面に表示されている、「キーID」の文字列と同じかどうかを確認します。
  2. 「ID」が同じならば、回復キーを入力し、[続行]を選択します。
  3. ロックが解除され、「正しい回復キーです」と表示されたら、[再起動]を選択してください。

以上で操作は完了です。
通常通りWindowsが起動します。

【参考情報】

  • 2018年10月までに発売のVAIOでは、タッチパネルのスクリーンキーボードから回復キーの入力はできません。
    必ず「本体のキーボード」 から回復キーを入力してください。

    2018年11月以降に発売のVAIO の場合
    「本体のキーボード」はもちろん 「タッチパネル操作でのスクリーンキーボード」 および 「タッチパッド操作でのスクリーンキーボード」 どちらの場合でも、回復キー入力が可能です。

  • ロック解除後に再度回復モードの画面が表示された場合は、回復キーを入力し、Windows起動後に、デバイスの暗号化を無効にしてください。
    再度デバイスの暗号化を使用する場合は、その後有効にしてください。
    新しい回復キーが生成されますので、必ずバックアップしてください。
    なお、TPMのロックアウトのリセットを実行する事で、TPMのロックを解除することもできますが、この場合あらかじめTPMの管理で、TPM所有者のパスワードを設定しておく必要があります。
    TPMの管理については、コントロールパネルの「BitLockerドライブ暗号化」、もしくは「デバイスの暗号化」画面の左下の[TPMの管理]を選択することで、設定画面を表示できます。

目次へ戻る


  • 起動時のドライブのロックを解除する方法について

通常の設定では、起動時にドライブのロックは自動的に解除されますが、PIN入力やUSBフラッシュドライブを接続しないとドライブのロックが解除されないようにするには以下の手順で操作してください。

  1. [Windows]キーと[R]キーを同時に押します。

  2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。


  3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スタートアップ時に追加の認証を要求する]を選択します。


  4. 「スタートアップ時に追加の認証を要求する」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で[OK]を選択します。


     

    【参考情報】

    • 基本の設定では、PINに使用できるのは数字のみですが、PINに文字列を使用したい場合は、「ローカルグループポリシーエディター」画面で、「スタートアップの拡張PINを許可する」(赤枠)の設定を有効にしてください。
    • VJA121*、VJPA11*シリーズについては、基本の設定では「PINを入力する」は使用できません。
      「PINを入力する」を使用する場合は、「ローカルグループポリシーエディター」画面で、「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」(青枠)の設定を有効にしてください。


  5. [コントロール パネル]画面を表示します。

    ▼関連Q&A:

    [Windows 11]「コントロールパネル」を表示する方法

  6. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  7. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  8. 「BitLockerドライブ暗号化」画面が表示されるので、[スタートアップ時にドライブのロックを解除する方法の変更]を選択します。


  9. 「スタートアップ時にドライブのロックを解除する方法を選択する」画面が表示されるので、以下のいずれかを選択し、画面に表示される内容に従って設定します。

    • PINを入力する
      起動時に任意で設定した文字列を入力します。
    • USBフラッシュドライブを挿入する
      ドライブ解除用に設定したUSBフラッシュドライブを差していないと起動できないようにします。
    • BitLockerでドライブのロックを自動的に解除する
      ドライブのロックを自動的に解除するようにします。

以上で操作は完了です。

目次へ戻る


  • ドメイン環境でのBitLockerドライブ暗号化について

ドメイン環境では、BitLockerドライブ暗号化の使用が制限されている場合があります。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、あらかじめシステム管理者に、ドメイン環境での使用の可否について確認してください。

VJA121*、VJPA11*シリーズについては、そのままではドメイン環境でBitLockerドライブ暗号化を使用できません。
ドメイン環境でBitLockerドライブ暗号化を使用する場合は、以下の手順でローカルグループポリシーの設定を変更してからBitLockerドライブ暗号化を有効にしてください。

  1. [Windows]キーと[R]キーを同時に押します。

  2. 「ファイル名を指定して実行」画面が表示されるので、[gpedit.msc]と入力後、[OK]を選択します。

  3. 「ローカルグループポリシーエディター」画面が表示されるので、左側より、[コンピューターの構成]-[管理用テンプレート]-[Windowsコンポーネント]-[BitLockerドライブ暗号化]-[オペレーティングシステムのドライブ]を選択後、右側の一覧より[スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする]を選択します。

  4. 「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」画面が表示されるので、[有効]のチェックボックスにチェックを入れた上で、[OK]を選択します。


以上で操作は完了です。BitLockerドライブ暗号化を有効にする方法を参照し、BitLockerドライブ暗号化を有効にしてください。

目次へ戻る


  • リムーバブルメディアを暗号化する方法(BitLocker To Go)

以下の手順でBitLocker To Go の設定を行います。

  1. [コントロール パネル]画面を表示します。

    ▼関連Q&A:

    [Windows 11]「コントロールパネル」を表示する方法

  2. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  3. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[リムーバブル データ ドライブ]欄の、[BitLocker を有効にする]を選択します。

  5. [このドライブのロック解除方法を選択する]画面が表示されるので、下記のいずれかを選択し、回復キーのバックアップ方法を選択します。

    ※ここでは例として[パスワードを使用してドライブのロックを解除する]を選択します。

    • パスワードを使用してドライブのロックを解除する
      複数の文字種を混ぜて設定する必要があります。

    • スマートカードを使用してドライブのロックを解除する
      使用するスマートカードとPINの情報を用意しておく必要があります。

  6. [回復キーのバックアップ方法を指定してください。]画面が表示されるので、下記のいずれかを選択し、回復キーのバックアップ方法を選択します。

    ※ここでは例として[Microsoftアカウントに保存する]を選択します。

    • Microsoftアカウントに保存する
      Microsoftアカウントでサインインしている必要があります。

    • ファイルに保存する
      任意の場所にテキストファイルで回復キーを保存します。

    • 回復キーを印刷する
      回復キーを印刷します

  7. [回復キーのバックアップ方法を指定してください。]画面に、「回復キーが保存されました。」と表示されていることを確認して、[次へ]ボタンを選択します。

  8. [ドライブを暗号化する範囲の選択]画面が表示されるので、下記のいずれかを選択し、[次へ]ボタンを選択します。

    • 使用済みの領域のみ暗号化する
      データが保存されている領域のみ暗号化されます。
      空き領域や削除された過去のデータは暗号化されません。

    • ドライブ全体を暗号化する
      すべてのデータと空き領域が暗号化されます。
      ※セキュリティを強固なものにするために、こちらを選択することを「強く」推奨します。

  9. 「使用する暗号化モードを選ぶ」画面が表示されるので、[新しい暗号化モード]を選択したうえで、[次へ]を選択します。

  10. [このドライブを暗号化する準備ができましたか?]画面がされるので、[暗号化の開始]ボタンを選択します。

  11. 「D(選択したドライブ名): の暗号化が完了しました。」というメッセージが表示されるので、[閉じる]ボタンを選択します。

以上で操作は完了です。

 

【参考情報】

暗号化されたリムーバブルメディアにアクセスする場合、「このドライブのロックを解除するためにパスワードを入力してください。」というダイアログが表示されるので、パスワードを入力して[ロック解除] ボタンをクリックします。
※スマートカードで解除する設定の場合はスマートカードを挿入し、PIN情報を入力します。

目次へ戻る


  • リムーバブルメディアの暗号化を解除する方法

以下の手順でBitLocker To Go の解除を行います。

  1. [コントロール パネル]画面を表示します。

    ▼関連Q&A:

    [Windows 11]「コントロールパネル」を表示する方法

  2. [コントロールパネル]画面が表示されるので、[システムとセキュリティ]を選択します。

  3. [システムとセキュリティ]画面が表示されるので、[BitLockerドライブ暗号化]を選択します。

  4. [BitLocker ドライブ暗号化]画面が表示されるので、[リムーバブル データ ドライブ]欄の、[BitLocker を無効にする]を選択します。

  5. [BitLocker を無効にする] ダイアログが表示されるので、[BitLocker を無効にする] ボタンをクリックします。

  6. 暗号化の解除が始まります。

  7. 「D(選択したドライブ名): の暗号化解除が完了しました。」のダイアログが表示されたら[閉じる] ボタンを押します。

  8. [リムーバブル データ ドライブ]欄に、[BitLocker が無効です] と表示されていることを確認します。

以上で操作は完了です。

目次へ戻る


フィードバックいただいた内容は、コンテンツの品質向上目的のみに活用させていただきます。
返信等は行っておりませんのでご了承ください。
お問い合わせにつきましてはWebフォームからお申し込みください。

関連FAQ


    お問い合わせフォーム