BitLocker ネットワーク ロック解除: 既知の問題
BitLocker ネットワーク ロック解除機能を使用すると、各コンピューターの起動時に BitLocker PIN を入力しなくても、コンピューターをリモートで管理できます。 この動作を構成するには、環境が次の要件を満たす必要があります。
- 各コンピューターはドメインに属しています。
- 各コンピューターには、内部ネットワークへの有線接続があります。
- 内部ネットワークは DHCP を使用して IP アドレスを管理します。
- 各コンピューターには、Unified Extensible Firmware Interface (UEFI) ファームウェアに DHCP ドライバーが実装されています。
BitLocker ネットワーク ロック解除のトラブルシューティング方法に関する一般的なガイドラインについては、「 ネットワーク ロック解除を有効にする方法: ネットワーク ロック解除のトラブルシューティングを参照してください。
この記事では、BitLocker ネットワーク ロック解除を使用するときに発生する可能性があるいくつかの既知の問題について説明し、これらの問題に対処するためのガイダンスを提供します。
ヒント
BitLocker ネットワーク ロック解除は、特定のコンピューターで有効になっている場合に、UEFI コンピューターで次の手順を使用して検出できます。
管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
manage-bde.exe -protectors -get <Drive>例えば次が挙げられます。
manage-bde.exe -protectors -get C:このコマンドの出力に、 TpmCertificate (9) の種類のキー保護機能が含まれている場合、BitLocker ネットワーク ロック解除の構成は正しいです。
レジストリ エディターを起動し、次の設定を確認します。
次のレジストリ キーが存在し、次の値があります。
- サブキー:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE - 型:
REG_DWORD - 値:
1と等しいOSManageNKP(True)
- サブキー:
レジストリ キー:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificatesには、手順 1 で見つかった BitLocker ネットワーク ロック解除キー保護機能の証明書拇印の名前と一致する名前のエントリがあります。
Surface Pro 4 デバイスでは、UEFI ネットワーク スタックが正しく構成されていないため、BitLocker ネットワークロック解除が機能しません
以下のシナリオについて考えてみます。
BitLocker ネットワーク ロック解除は、「 BitLocker: ネットワーク ロック解除を有効にする方法」の説明に従って構成されています。 Surface Pro 4 の UEFI は、DHCP を使用するように構成されています。 ただし、Surface Pro 4 が再起動しても、BitLocker PIN の入力を求められます。
同じインフラストラクチャを使用するように構成されている別の種類のタブレットやノート PC など、別のデバイスをテストする場合、BitLocker PIN の入力を求めずに、デバイスが予期したとおりに再起動します。 このテストでは、インフラストラクチャが正しく構成されていること、および問題がデバイスに固有であることを確認します。
Surface Pro 4 で BitLocker ネットワーク ロック解除が機能しない原因
デバイス上の UEFI ネットワーク スタックが正しく構成されていません。
Surface Pro 4 で BitLocker ネットワーク ロック解除が機能しない場合の解決策
Surface Pro 4 の UEFI ネットワーク スタックを正しく構成するには、Microsoft Surface Enterprise 管理モード (SEMM) を使用する必要があります。 SEMM の詳細については、「 SEMM を使用して Surface デバイスを登録および構成するを参照してください。
Note
SEMM を使用できない場合、Surface Pro 4 は、最初のブート オプションとしてネットワークを使用するように Surface Pro 4 を構成することで、BitLocker ネットワーク ロック解除を使用できる場合があります。
Windows クライアント コンピューターで BitLocker ネットワーク ロック解除機能を使用できない
以下のシナリオについて考えてみます。
BitLocker ネットワーク ロック解除は、「 BitLocker: ネットワーク ロック解除を有効にする方法」の説明に従って構成されています。 Windows 8 クライアント コンピューターは、イーサネット ケーブルを使用して内部ネットワークに接続されます。 ただし、デバイスを再起動しても、デバイスは BitLocker PIN の入力を求められます。
Windows クライアント コンピューターで BitLocker ネットワーク ロック解除機能を使用できない原因
Windows 8 ベースまたは Windows Server 2012 ベースのクライアント コンピューターは、クライアントが DHCP サーバーまたは WDS サーバーから関連のない BOOTP 応答を受信するかどうかに応じて、BitLocker ネットワーク ロック解除保護機能を受信または使用しない場合があります。
DHCP サーバーは、DHCP オプションと BOOTP ベンダー拡張機能で許可されているとおりに、DHCP オプションを BOOTP クライアントに送信できます。 この動作は、DHCP サーバーが BOOTP クライアントをサポートしているため、DHCP サーバーが BOOTP 要求に応答することを意味します。
DHCP サーバーが受信メッセージを処理する方法は、メッセージがメッセージの種類オプションを使用するかどうかによって異なります。
- BitLocker ネットワーク ロック解除クライアントが送信する最初の 2 つのメッセージは、DHCP DISCOVER\REQUEST メッセージです。 メッセージの種類オプションを使用するため、DHCP サーバーはそれらを DHCP メッセージとして扱います。
- BitLocker ネットワーク ロック解除クライアントが送信する 3 番目のメッセージには、[メッセージの種類] オプションがありません。 DHCP サーバーは、メッセージを BOOTP 要求として扱います。
BOOTP クライアントをサポートする DHCP サーバーは、BOOTP プロトコルに従ってこれらのクライアントと対話する必要があります。 サーバーは、DHCP DHCPOFFER メッセージではなく BOOTP BOOTREPLY メッセージを作成する必要があります。 つまり、サーバーには DHCP メッセージ オプションの種類を含めず、BOOTREPLY メッセージのサイズ制限を超えてはなりません。 サーバーが BOOTP BOOTREPLY メッセージを送信すると、サーバーは BOOTP クライアントのバインディングを BOUND としてマークします。 DHCP 以外のクライアントは DHCPREQUEST メッセージを送信せず、そのクライアントは DHCPACK メッセージを予期しません。
BOOTP クライアントをサポートするように構成されていない DHCP サーバーが BOOTP クライアントから BOOTREQUEST メッセージを受信した場合、そのサーバーは BOOTREQUEST メッセージを自動的に破棄します。
DHCP と BitLocker ネットワーク ロック解除の詳細については、「 BitLocker: ネットワーク ロック解除を有効にする方法: ネットワーク ロック解除シーケンスを参照してください。
Windows クライアント コンピューターで BitLocker ネットワーク ロック解除機能を使用できない場合の解決策
この問題を解決するには、 DHCP オプションを DHCP と BOOTP から DHCP に変更して、DHCP サーバーの構成を変更します。