BitLocker のトラブルシューティングに関するガイドライン

この記事では、BitLocker の一般的な問題について説明し、これらの問題をトラブルシューティングするためのガイドラインを示します。 この記事では、収集するデータや確認する設定などの情報も提供します。 この情報により、トラブルシューティング プロセスがはるかに簡単になります。

イベント ログを確認

イベント ビューアーを開き、アプリケーションとサービス ログ>Microsoft>Windowsで次のログを確認します。

• BitLocker-API。 Management ログ、Operational ログ、およびこのフォルダーで生成されたその他のログを確認します。 既定のログには、以下の一意の名前があります。

  • Microsoft-Windows-BitLocker-API/Management
  • Microsoft-Windows-BitLocker-API/Operational
  • Microsoft-Windows-BitLocker-API/トレース - Show Analytic and Debug Logs が有効になっている場合にのみ表示されます

• BitLocker-DrivePreparationTool。 Admin ログ、Operational ログ、およびこのフォルダーに生成されたその他のログを確認します。 既定のログには、以下の一意の名前があります。

  • Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
  • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

さらに、TPM および TPM-WMI イベント ソースによって生成された、イベントの [Windows ログ]>[System] ログを確認します。

ログをフィルター処理して表示またはエクスポートするには、 wevtutil.exe コマンド ライン ツールまたは Get-WinEvent PowerShell コマンドレットを使用できます。

たとえば、 wevtutil.exe を使用して、操作ログの内容を BitLocker-API フォルダーから BitLockerAPIOpsLog.txt という名前のテキスト ファイルにエクスポートするには、コマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Get-WinEvent コマンドレットを使用して同じログをコンマ区切りのテキスト ファイルにエクスポートするには、Windows PowerShell ウィンドウを開き、次のコマンドを実行します。

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Get-WinEvent を管理者特権の PowerShell ウィンドウで使用すると、次の構文を使用して、システムまたはアプリケーション ログからフィルター処理された情報を表示できます。

• BitLocker に関連する情報を表示するには:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
  

  このようなコマンドの出力は次のようになります。

  

• BitLocker 関連情報をエクスポートするには:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
  

• TPM 関連の情報を表示するには:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
  

• TPM 関連の情報をエクスポートするには:

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
  

  このようなコマンドの出力は次のようになります。

  

Note

Microsoft サポートに問い合わせる場合は、このセクションに記載されているログをエクスポートすることをお勧めします。

BitLocker テクノロジから状態情報を収集する

管理者特権の Windows PowerShell ウィンドウを開き、次の各コマンドを実行します。

コマンド	Notes	詳細情報
Get-Tpm > C:\TPM.txt	ローカル コンピューターのトラステッド プラットフォーム モジュール (TPM) に関する情報をエクスポートする PowerShell コマンドレット。 このコマンドレットは、TPM チップがバージョン 1.2 か 2.0 かに応じて異なる値を示します。 このコマンドレットは、Windows 7 ではサポートされていません。	Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt	コンピューター上のすべてのドライブの一般的な暗号化状態に関する情報をエクスポートします。	manage-bde.exeの状態
manage-bde.exe c: -protectors -get > C:\Protectors	BitLocker 暗号化キーに使用される保護方法に関する情報をエクスポートします。	manage-bde.exeプロテクター
reagentc.exe /info > C:\reagent.txt	Windows 回復環境 (WindowsRE) の現在の状態と使用可能な回復イメージに関するオンラインまたはオフライン イメージに関する情報をエクスポートします。	reagentc.exe
Get-BitLockerVolume \| fl	BitLocker ドライブ暗号化で保護できるボリュームに関する情報を取得する PowerShell コマンドレット。	Get-BitLockerVolume

構成情報を確認する

1. 管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

   コマンド	Notes	詳細情報
   gpresult.exe /h <Filename>	ポリシー情報の結果セットをエクスポートし、情報を HTML ファイルとして保存します。	gpresult.exe
   msinfo.exe /report <Path> /computer <ComputerName>	ローカル コンピューター上のハードウェア、システム コンポーネント、およびソフトウェア環境に関する包括的な情報をエクスポートします。 /レポートオプションは、情報を.txt ファイルとして保存します。	msinfo.exe

2. レジストリ エディターを開き、次のサブキーのエントリをエクスポートします。

   • HKLM\SOFTWARE\Policies\Microsoft\FVE
   • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

BitLocker の前提条件を確認する

BitLocker の問題を引き起こす可能性のある一般的な設定には、次のシナリオがあります。

• TPM のロックが解除されている必要があります。 get-tpm PowerShell コマンドレット コマンドの出力で TPM の状態を確認します。

• Windows RE が有効になっている必要があります。 reagentc.exe コマンドの出力で WindowsRE の状態を確認します。

• システム予約パーティションでは、正しい形式を使用する必要があります。

  • Unified Extensible Firmware Interface (UEFI) コンピューターでは、システム予約パーティションが FAT32 でフォーマットされている必要があります。
  • レガシ コンピューターでは、システム予約済みパーティションが NTFS でフォーマットされている必要があります。

• 問題が発生しているデバイスがスレートまたはタブレット PC の場合は、 https://gpsearch.azurewebsites.net/#8153 を使用して、 スレートでのプリブート キーボード入力が必要な BitLocker 認証の有効な使用 オプションの状態を確認します。

BitLocker の前提条件の詳細については、「 BitLocker の基本的な展開: BitLocker を使用したボリュームの暗号化」を参照してください。

次のステップ

これまでに調べた情報が特定の問題 (WindowsRE が有効になっていないなど) を示している場合、問題は簡単に修正できる可能性があります。

明らかな原因がない問題の解決は、どのコンポーネントが関係し、どのような動作が表示されているかによって異なります。 収集された情報は、調査する領域を絞り込むのに役立ちます。

• 問題が発生しているデバイスが Microsoft Intune によって管理されている場合は、「 Intune を使用した BitLocker ポリシーの適用: 既知の問題」を参照してください。

• BitLocker が起動しないか、ドライブを暗号化できない場合、および TPM に関連するエラーまたはイベントが発生している場合は、「 BitLocker でドライブを暗号化できない:既知の TPM の問題を参照してください。

• BitLocker が起動しない場合、またはドライブを暗号化できない場合は、「 BitLocker でドライブを暗号化できない:既知の問題を参照してください。

• BitLocker ネットワーク ロック解除が期待どおりに動作しない場合は、「 BitLocker ネットワーク ロック解除: 既知の問題」を参照してください。

• 暗号化されたドライブの復旧時に BitLocker が予期したとおりに動作しない場合、または BitLocker がドライブを予期せず回復した場合は、「 BitLocker 回復: 既知の問題」を参照してください。

• BitLocker または暗号化されたドライブが想定どおりに動作せず、TPM に関連するエラーまたはイベントが発生している場合は、「 BitLocker と TPM: その他の既知の問題を参照してください。

• BitLocker または暗号化されたドライブが期待どおりに動作しない場合は、「 BitLocker の構成: 既知の問題」を参照してください。

Microsoft サポートに連絡して問題の解決に役立つ場合は、収集した情報を手元に置くことをお勧めします。