Windows 10 バージョン 1511 で BitLocker の事前プロビジョニングが使用されている場合、以前のバージョンの Windows は "Windows と Configuration Manager のセットアップ" 手順の後に開始されません
この記事では、Windows 10 バージョン 1511 で BitLocker を事前プロビジョニングする場合に、"Windows と Configuration Manager のセットアップ" 手順を実行した後に、以前のバージョンの Windows が起動しない理由について説明します。
適用対象: Windows 10 – すべてのエディション、Windows 7 Service Pack 1
元の KB 番号: 4494799
現象
次のシナリオで考えてみましょう。
- Windows 10 バージョン 1511 ADK をブート イメージにインストールします。
- ブート イメージにKB3143760を適用します。
- 新しい 1511 ブート イメージを使用して、Windows 10 バージョン 1511 より前の Windows バージョンをインストールする必要があります。 これを行うには、組み込みの "Pre-Provision BitLocker" ステップをタスク シーケンスに追加します。 これにより、BitLocker ドライブの暗号化を高速化する "使用領域のみの暗号化" 機能が有効になります。
タスク シーケンスのすべての手順は、"Windows と Configuration Manager のセットアップ" ステップまで想定どおりに動作します。 この手順を実行すると、デバイスが "回復" 画面に起動し、"PC に BitLocker 回復オプションがもうありません" というメッセージが表示され、次のスクリーンショットのようになります。
![この手順の後の [回復] 画面のスクリーンショット。](media/earlier-versions-not-start-use-pre-provision-bitlocker/no-more-bitlocker-recovery-option.png)
原因
この問題は、セキュリティを強化するために、Windows 10 バージョン 1511 の既定の暗号化が AES 128 から XTS-AES 128 に変更されたために発生します。 新しい暗号化方法は、Windows 10 バージョン 1511 より前にリリースされたシステム バージョンでは認識されません。
この状況を確認するには、コマンド ライン サポートを有効にし、Windows PE フェーズ中に次のコマンドを実行します。
manage-bde.exe -status
![[暗号化方法] が XTS-AES 128 であることを示すコマンドの出力のスクリーンショット。](media/earlier-versions-not-start-use-pre-provision-bitlocker/manage-bde-exe-status.png)
解決方法
この問題を解決するには、 Run Command Line ステップを使用します。 これを行うには、"BitLocker の事前プロビジョニング" タスク シーケンス ステップの前に次のコマンドを追加します。
reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f
x64 ブート イメージを使用する場合は、64 ビット ファイル システムのリダイレクトを無効にするオプションを選択します。
AES 256 などの他の暗号化方法を使用する場合は、次の表のガイダンスを使用します。
| 値 | 暗号化方法 | 意味とコマンド ライン構文 |
|---|---|---|
| 1 | AES_128_WITH_DIFFUSER | ボリュームは、Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化され、AES キー サイズが 128 ビットのディフューザー 層を使用して強化されています。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 1 /f |
| 2 | AES_256_WITH_DIFFUSER | ボリュームは、Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化され、AES キー サイズが 256 ビットのディフューザー 層を使用して強化されています。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 2 /f |
| 3 | AES_128 | ボリュームは、AES キー サイズが 128 ビットの Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化されています。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 3 /f |
| 4 | AES_256 | ボリュームは、AES キー サイズが 256 ビットの Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化されています。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 4 /f |
| 6 | XTS_AES128 * | ボリュームは、XTS-AES キー サイズが 128 ビットである Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化されています。 これは、Windows PE 10.0.586.0 (バージョン 1511) の既定値です。reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 6 /f |
| 7 | XTS_AES256 * | ボリュームは、XTS-AES キー サイズが 256 ビットである Advanced Encryption Standard (AES) アルゴリズムによって完全または部分的に暗号化されています。 reg.exe add HKLM\SOFTWARE\Policies\Microsoft\FVE /v EncryptionMethod /t REG_DWORD /d 7 /f |
* Windows 10 イメージ、バージョン 1511 以降のバージョンの展開でのみサポートされます
これで、システムのデプロイが機能します。 暗号化方法は、以前の Windows PE リリースと同様に、AES 128 に再び設定されます。
