かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.63 ローカルアカウントなのにデバイス暗号化が既定でオン?|最新OSのここに注目(注意)!

 

 

vol.63 ローカルアカウントなのにデバイス暗号化が既定でオン?|最新OSのここに注目(注意)!

2024年11月25日配信
執筆者:山内 和朗

 このブログでは、2024年10月初めにリリースされた「Windows 11バージョン24H2(2024 Update)」をこれまで使用/試用してきて、私が気が付いた仕様の変更点や問題点を取り上げてきました。これらの問題は、Windows 11バージョン24H2の既知の問題のリストには(まだ)追加されていないものです。そして、そのような問題はまだありますし、これからも出てきそうです。特に運用管理に関わる視点で気になる気になる点をもう1つ紹介します。

メモ. Windows 11 24H2の新規インストール、正しいはずのパスワードが弾かれる(追加情報あり)
vol.61 Windows 11 24H2ではWMICが既定で無効の件|最新OSのここに注目(注意)!
vol.62 Webのマーク(Mark of the Web)が外れない?|最新OSのここに注目(注意)!
Windows 11, version 24H2 known issues and notifications|Windows message center(Microsoft Learn)

 

BitLocker自動デバイス暗号化の要件緩和

 

 「BitLocker自動デバイス暗号化(BitLocker automatic device encryption)」は、Windows 8.1で初めて導入された、自動的なディスク暗号化保護機能です。Windows 10/11の場合、自動デバイス暗号化の要件を満たすデバイスにWindowsをインストールし、Mini-Setupとも呼ばれるOOBE(Out of box experience)中に開始され、MicrosoftアカウントまたはMicrosoft Entra ID(旧称Azure Active Directory)アカウントでセットアップを完了すると保護が始まります。BitLockerドライブ暗号化機能をサポートしないHomeエディションの場合は同じBitLocker技術に基づく「デバイスの暗号化」機能を使用して、Homeエディション以外はBitLockerドライブ暗号化機能でOSドライブ(C)が暗号化され、オフラインアクセスから保護されるようになります。

 Windows 11バージョン24H2では、この自動デバイス暗号化の要件が緩和され、より多くのデバイスで自動的に保護される(または手動で保護を有効化できる)ようになりました。具体的には、これまで必須であった「モダンスタンバイまたはHSTI準拠」と「許可されていないDMA対応バス/デバイスが存在しない」という2つの要件が削除されました。

OEM 向け Windows 11 での BitLocker ドライブ暗号化|Windows Hardware Developer(Microsoft Learn)

要件緩和の思わぬ影響

 

 この要件緩和の影響として、知らないうちに暗号化がオンになっていて、いざというときに(起動失敗の繰り返しの後など)回復キーが分からないというトラブルが増えそうで心配です。

 自動デバイス暗号化の要件緩和の別の影響を、Hyper-V仮想マシン(VM)のマスターイメージ作成時に経験しました。それは、「システム準備ツール(Sysprep.exe)」を使用したイメージの一般化の失敗です。エラーに示された場所にあるログを確認すると、「OSボリュームでBitLockerがオンになっている、Sysprepを実行するためにBitLokerをオフにしろ(Bilocker is on for the OS volume. Turn BitLocker off to run Sysprep.」と記録されていました(画面1)。

 

画面1
画面1 OSボリュームでBitLockerがオンになっていることが原因で、Sysprepの実行に失敗

 「設定」アプリで「BitLocker」を検索すると、「デバイスの暗号化設定」と「BitLockerの管理(コントロールパネル)」の2つが見つかりました。「デバイスの暗号化」のページは、自動デバイス暗号化に対応したデバイスにのみ表示される項目です。Windows 11バージョン23H2以前は、この項目がHyper-V VMのゲストOSに表示されることはありませんでした。自動デバイス暗号化の要件緩和によって、Hyper-V VMにも表示されるようになったのでしょう。Windows 11を実行するために必要なHyper-V VMの設定(第2世代仮想マシン、UEFIセキュアブート有効、仮想TPM有効)は、Windows 11バージョン24H2の緩和された自動デバイス暗号化の要件を満たすものになったというわけです。

 「設定」アプリでの「デバイスの暗号化」スイッチは既定で「オン」になっており、「BitLockerドライブ暗号化」コントロールパネルは「C: BitLockerが暗号化中です」と示しています。Manage-bdeコマンドでステータスを確認すると、インストール完了直後から暗号化が開始され、暗号化が100%になるとコントロールパネルの表示は「C: BitLockerはアクティブ化を待機中です」に変化しました。暗号化は行われていますが、保護はオフ(アクティブ化するまでロック解除)の状態です(画面2)。

 

画面2
画面2 ローカルアカウントでセットアップしたのにも関わらず、暗号化が始まっていた

 しかし、繰り返しますが、このVMはローカルアカウントでセットアップしたものです。前出のOEM向けドキュメントには、こうも説明されています。

“注意:
BitLocker自動デバイス暗号化は、既製 (OOBE) エクスペリエンス中に開始されます。 ただし、保護はユーザーが Microsoft アカウントまたは Azure Active Directory アカウントを使用してサインインインした後でのみ有効になります。 それまでは保護が中断され、データは保護されません。 BitLocker 自動デバイス暗号化はローカル アカウントでは有効になっていません。その場合、Bitlocker コントロール パネルを使用して BitLocker を手動で有効にすることができます。”

 実際には、ローカルアカウントでも自動デバイス暗号化は有効(オン)になっていました。これが仕様なのか、何かの間違い(OSのバグ、ドキュメントの表現ミス)なのか分かりませんが、事実としては、ローカルアカウントでも有効化され、保護が中断された状態です。上記の注意書きは、その中断された状態のことを、「ローカル アカウントでは有効になっていません(英語の表現は“BitLocker automatic device encryption is not enabled with local accounts”」と表現しているのでしょうか。

 ちなみに、Windows 11バージョン23H2を同じ設定のVMにインストールした場合、「設定」アプリに「デバイス暗号化」は見つかりませんし、もちろん、自動的にBitLockerによるOSドライブの保護が有効になることもありません(画面3)。

 

画面3
画面3 同じ設定のVMにWindows 11バージョン23H2を同じ設定で新規インストールしたもの。「設定」アプリに「デバイスの暗号化設定」は表示されず、C:ドライブの暗号化が自動的に行われることもない

 

Sysprepエラーの回避策

 

 問題のVMについては、「設定」アプリで「デバイス暗号化」スイッチをオフにし、C:ドライブのBitlockerが無効になったことを確認した上で、Sysprepを実行することでエラーを回避することができました(画面4)。BitLockerの無効化は、コマンドプロンプトまたはPowerShellで次のコマンドラインを管理者として実行することでも、行うことができます。

 

manage-bde -off C:
manage-bde -status C:

 

画面4
画面4 「デバイス暗号化」スイッチをオフにし、C:ドライブのBitLockerが無効になったことを確認してからSysprepを実行すると、エラーなしで成功した

 なお、この問題というか、Windows 11バージョン24H2からの新しい仕様については、以下の連載記事にも反映しています。

vol.40 Windows 11のVMテンプレートを作成|ラボ環境 in オンプレを作る(8)

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_2024fh_TOP5

最新記事