次の方法で共有


BitLocker プレブート回復画面

BitLocker の回復中、 プレブート回復画面 はユーザーにとって重要なタッチポイントであり、組織のニーズに合わせてカスタマイズされたカスタム回復メッセージ、追加のサポート用の直接回復 URL、ユーザーが回復キーを見つけるのに役立つ戦略的ヒントを提供します。

この記事では、プレブート回復画面に表示されるさまざまな要素について詳しく説明し、ポリシー設定と回復キーの状態が表示される情報にどのように影響するかを詳しく説明します。 パーソナライズされたメッセージでも実用的なガイダンスでも、プレブートの回復画面は、ユーザーの回復プロセスを合理化するように設計されています

既定のプレブート回復画面

既定では、BitLocker 回復画面に汎用メッセージと URL https://aka.ms/recoverykeyfaqが表示されます。

カスタム回復メッセージ

BitLocker ポリシー設定を使用すると、BitLocker プリブート回復画面でカスタム回復メッセージと URL を構成できます。 カスタム回復メッセージと URL には、BitLocker セルフサービス回復ポータルのアドレス、IT 内部 Web サイト、またはサポート用の電話番号を含めることができます。

カスタム回復メッセージで構成された BitLocker ポリシー設定。

カスタム回復 URL で構成された BitLocker ポリシー設定。

ポリシー設定を使用してカスタム回復メッセージを構成する方法の詳細については、「 プレブート回復メッセージと URL の構成」を参照してください。

回復キーのヒント

BitLocker メタデータには、BitLocker 回復キーが保存された日時と場所に関する情報が含まれています。 この情報は、UI またはパブリック API を介して公開されません。 これは、ユーザーがボリュームの回復キーを見つけるのに役立つヒントの形式で BitLocker 回復画面でのみ使用されます。 ヒントは回復画面に表示され、キーが保存された場所を参照します。 ヒントは、ブート マネージャーの回復画面と WinRE のロック解除画面の両方に適用されます。

(処理の順序で) 復旧中に表示されるヒントを制御する規則があります。

  1. ポリシー設定を使用して構成されている場合は、カスタム回復メッセージを常に表示する
  2. 常に汎用ヒントを表示する: 詳細については、「https://aka.ms/recoverykeyfaq」を参照してください。
  3. ボリュームに複数の回復キーが存在する場合は、最後に作成された (正常にバックアップされた) 回復キーに優先順位を付ける
  4. バックアップされていないキーよりも、バックアップに成功したキーに優先順位を付ける
  5. リモート バックアップの場所に対して、次の順序でバックアップ ヒントに優先順位を付けます。
    • Microsoft アカウント
    • Microsoft Entra ID
    • Active Directory
  6. キーが印刷され、ファイルに保存されている場合は、2 つの個別のヒントではなく、結合されたヒントを表示します
  7. 同じ復旧キーに対して同じ種類の複数のバックアップ (削除とローカル) が実行された場合は、最新のバックアップ日でバックアップ情報に優先順位を付けます
  8. オンプレミスの Active Directory に保存されたキーに関する特定のヒントはありません。 この場合、カスタム メッセージ (構成されている場合) または汎用メッセージである [組織のヘルプ デスクに問い合わせる] が表示されます。
  9. 2 つの回復キーが存在し、バックアップされたキーが 1 つだけの場合、もう一方のキーが新しい場合でも、バックアップされたキーが要求されます

例: ファイルに保存された単一の回復パスワードと単一のバックアップ

このシナリオでは、回復パスワードがファイルに保存されます

重要

回復キーを印刷したり、ファイルに保存したりすることはお勧めしません。 代わりに、Microsoft アカウント、Microsoft Entra ID、または Active Directory バックアップを使用します。

例: Microsoft アカウントの単一の回復パスワードと単一バックアップ

このシナリオでは、カスタム URL が構成されます。 回復パスワードは次のとおりです。

  • Microsoft アカウントに保存
  • 印刷されない
  • ファイルに保存されない

結果: カスタム URL と Microsoft アカウント (https://aka.ms/myrecoverykey) のヒントが表示されます。

Windows 11 バージョン 24H2 以降では、回復パスワードが MSA に保存されている場合、BitLocker プリブート回復画面に Microsoft アカウント (MSA) ヒントが表示されます。 このヒントは、回復キー情報を格納するために使用された MSA アカウントをユーザーが理解するのに役立ちます。

例: AD DS での単一の回復パスワードと単一バックアップ

このシナリオでは、カスタム URL が構成されます。 回復パスワードは次のとおりです。

  • Active Directory に保存
  • 印刷されない
  • ファイルに保存されない

結果: カスタム URL のみが表示されます。

例: 複数のバックアップを含む単一の回復パスワード

このシナリオでは、回復パスワードは次のとおりです。

  • Microsoft アカウントに保存
  • Microsoft Entra ID に保存
  • 印刷
  • ファイルに保存

結果: Microsoft アカウント ヒント (https://aka.ms/myrecoverykey) のみが表示されます。

例: sinlge バックアップを使用した複数の回復パスワード

このシナリオでは、2 つの回復パスワードがあります。

回復パスワード #1 は次のとおりです。

  • ファイルに保存
  • 作成時間: 午後 1 時
  • キー ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

回復パスワード #2 は次のとおりです。

  • バックアップされていない
  • 作成時間: 午後 3 時
  • キー ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

結果: 正常にバックアップされたキーのヒントのみが表示されます(最新のキーではない場合でも)。

例: 複数のバックアップを含む複数の回復パスワード

このシナリオでは、2 つの回復パスワードがあります。

回復パスワード #1 は次のとおりです。

  • Microsoft アカウントに保存
  • Microsoft Entra ID に保存
  • 作成時間: 午後 1 時
  • キー ID: 4290B6C0-B17A-497A-8552-272CC30E80D4

回復パスワード #2 は次のとおりです。

  • Microsoft Entra ID に保存
  • 作成時間: 午後 3 時
  • キー ID: 045219EC-A53B-41AE-B310-08EC883AAEDD

結果: 保存された最新のキーである Microsoft Entra ID ヒント (https://aka.ms/aadrecoverykey) が表示されます。

追加の回復情報画面

Windows 11 バージョン 24H2 以降の BitLocker プリブート回復画面では、回復エラー情報が強化されます。 回復画面には、回復エラーの性質に関する詳細情報が表示され、ユーザーは問題をよりよく理解して対処できます。

ユーザーは、 Alt キーを押して回復エラーに関する追加情報を確認できます。

[ 追加の回復情報 ] 画面には 、エラー カテゴリコードが含まれています。このコードを使用すると、この記事の次のセクションから詳細を取得できます。

次のセクションでは、BitLocker エラー カテゴリごとのコードについて説明します。 各セクションには、回復画面にエラー メッセージが表示されたテーブルと、エラーの原因があります。 一部のテーブルには、考えられる解決策が含まれています。

エラー カテゴリは次のとおりです。

ユーザーによって開始される

エラー コード エラーの原因 解決方法
E_FVE_USER_REQUESTED_RECOVERY ユーザーは、回復モードに ESC するオプションを使用して、画面から明示的に回復モードに入った。
E_FVE_BOOT_DEBUG_ENABLED ブート デバッグ モードが有効になっています。 ブート構成データベースからブート デバッグ オプションを削除します。

コード整合性

ドライバー署名の適用は、オペレーティング システムのコードの整合性を確保するために使用されます。

エラー コード エラーの原因
E_FVE_CI_DISABLED ドライバー署名の適用が無効になっています。

デバイスロックアウト

デバイス ロックアウトしきい値機能を使用すると、管理者は BitLocker 保護を使用して Windows サインインを構成できます。 構成された数の失敗した Windows サインイン試行の後、デバイスが再起動され、BitLocker 回復方法を提供することによってのみ回復できます。

この機能を利用するには、ポリシー設定 [対話型ログオン] を構成する必要があります。 コンピューターの構成>Windows 設定>セキュリティ設定>ローカル ポリシー>セキュリティ オプションにあります。 または、 Exchange ActiveSyncMaxFailedPasswordAttempts ポリシー設定または DeviceLock 構成サービス プロバイダー (CSP) を使用します。

エラー コード エラーの原因 解決方法
E_FVE_DEVICE_LOCKEDOUT サインイン試行回数が多すぎるため、デバイスのロックアウトがトリガーされました。 サインイン画面に戻すには、BitLocker 回復方法が必要です。
E_FVE_DEVICE_LOCKOUT_MISMATCH デバイス ロックアウト カウンターが同期されていません。 サインイン画面に戻すには、BitLocker 回復方法が必要です。

ブート構成

ブート構成データベース (BCD) には、Windows ブート環境に関する重要な情報が含まれています。

エラー コード エラーの原因 解決方法
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION
BitLocker は、ブート アプリケーションが変更されたため、回復モードに入ります。
BitLocker は BCD 内のデータを追跡し、BitLocker の回復は、このデータが警告なしで変更されたときに発生する可能性があります。

回復画面を参照して、変更されたブート アプリケーションを見つけます。
この問題を修復するには、BCD 構成を復元します。 起動前に BCD 構成を復元できない場合は、デバイスのロックを解除するために BitLocker 回復方法が必要です。

詳細については、「 ブート構成データの設定」と「BitLocker」を参照してください。

TPM

トラステッド プラットフォーム モジュール (TPM) は、デバイスのセキュリティ保護に使用される暗号化ハードウェアまたはファームウェアです。 BitLocker は、データの暗号化に使用される暗号化キーの保護を管理する TPM 保護機能 を作成します。

起動時に、BitLocker は TPM と通信してデバイスのロックを解除し、データにアクセスしようとします。

エラー コード エラーの原因
E_FVE_TPM_DISABLED TPM は存在しますが、ブート前または起動時に使用するために無効になっています。
E_FVE_TPM_INVALIDATED TPM は存在しますが、無効になっています。
E_FVE_BAD_SRK TPM の内部ストレージ ルート キーが破損しています。
E_FVE_TPM_NOT_DETECTED ブート システムに TPM がない、または検出されない。
E_MATCHING_PCRS_TPM_FAILURE 暗号化キーの封印を解除すると、TPM が予期せず失敗しました。
E_FVE_TPM_FAILURE その他の TPM エラーに対してすべてキャッチします。

詳細については、「 トラステッド プラットフォーム モジュール テクノロジの概要 」および 「BitLocker と TPM」を参照してください。

保護者

TPM 保護機能

TPM には、BitLocker TPM 保護機能の検証プロファイルで使用できる複数のプラットフォーム構成レジスタ (PCR) が含まれています。 PCR は、ブート プロセスの整合性を検証するために使用されます。つまり、ブート構成とブート フローが改ざんされていないことです。

BitLocker の回復は、TPM 保護機能検証プロファイルで使用される PCR の予期しない変更の結果である可能性があります。 TPM 保護機能プロファイルで使用されていない PCR に対する変更は、BitLocker には影響しません。

エラー コード エラーの原因 解決方法
E_FVE_PCR_MISMATCH デバイスの構成が変更されました。

考えられる原因は次のとおりです。
- 起動可能なメディアが挿入されます。 削除してデバイスを再起動すると、この問題が解決する可能性があります
- TPM 保護機能を更新せずにファームウェアの更新が適用されました
デバイスのロックを解除するには、回復方法が必要です。

その他の例については、「 BitLocker 回復シナリオ」を参照してください。

PCR 7 の特殊なケース

TPM プロテクタが検証プロファイルで PCR 7 を使用する場合、BitLocker は PCR 7 がセキュア ブートの特定のイベント セットを測定することを想定しています。 これらの測定値は、UEFI 仕様で定義されています。詳細については、「信頼の静的ルート測定」を参照してください。

エラー コード エラーの原因 解決方法
E_FVE_SECUREBOOT_DISABLED セキュア ブートが無効になっています。 暗号化キーにアクセスしてデバイスのロックを解除するために、BitLocker はセキュア ブートがオンになると想定しています。 セキュア ブートを再度有効にしてシステムを再起動すると、回復の問題が解決する可能性があります。 それ以外の場合は、デバイスにアクセスするために回復方法が必要です。
E_FVE_SECUREBOOT_CHANGED セキュア ブート構成が予期せず変更されました。 PCR 7 で測定されたブート構成が変更されました。
これは、次のいずれかが原因である可能性があります。
- BitLocker が TPM 保護機能を更新したときに存在しなかった追加の測定値が現在存在する
- BitLocker が TPM 保護機能を最後に更新したときに存在していたが、現在は存在しない測定値が不足している
- 予想されるイベントの測定値が異なる
デバイスのロックを解除するには、回復方法が必要です。

Unknown

エラー コード エラーの原因 解決方法
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker は、不明なエラーが原因で回復モードに入った。 デバイスのロックを解除するには、回復方法が必要です。