Surface Pro 3 でセットアップ後に自動でドライブ暗号化が開始される理由

 

 

こんにちは。Surface 法人向けサポート担当の岩松です。

 

Surface Pro 3 には、実は 2 種類のドライブ暗号化機能があることをご存知でしょうか。

従来からのビジネス向け機能である "BitLocker" のほかに、「デバイス暗号化」という機能が使用できます。

 

今回の記事では、この機能の概要と、 BitLocker で意図した設定が行えない際に無効化する方法をご紹介します。

 

Surface Pro 3 でセットアップ後に自動的に暗号化が開始される理由 = デバイスの暗号化

 

Windows 8.1 の新機能「デバイスの暗号化」は、セットアップ後に自動的にドライブの暗号化を開始します。

この機能は、Windows RT にあった機能が取り入れられたもので、Connected Standby(スリープから瞬時に復帰を可能にする技術)をサポートする Windows 8.1 デバイスでのみ動作します。(Surface Pro 3 もこれに該当します。)

 

詳細については、下記の公式ドキュメントをご覧ください。

 

デバイスの暗号化でファイルの保護をサポートする

 

What's New in BitLocker in Windows and Windows Server

 https://technet.microsoft.com/en-us/library/dn306081.aspx

 

(抄訳)

>Unlike a standard BitLocker implementation, device encryption is enabled automatically so that the device is always protected.

通常のBitLocker の実装と異なり、「デバイスの暗号化」は自動的に有効にされ、デバイスを常時保護します。

 

「デバイスの暗号化」機能が利用している暗号化技術自体は、 BitLocker と同じものです。

このため、「デバイスの暗号化」による暗号化が完了した状態では、 コントロール パネルから [ BitLocker ドライブ暗号化 ] アプレットを起動すると、「 BitLocker が有効です」(Microsoft アカウントでセットアップまたはサインインした場合)または「 BitLocker はアクティブ化を待機中です」(その他の場合)と表示されます。回復キーのバックアップなどの操作を行うこともできます。

 

ただし、例えば、OS のカスタム イメージを展開し、コマンドで BitLocker のドライブ暗号化を開始する場合などでは、重ねて暗号化を実行する形になるため、エラーが発生して意図した設定が行えないことがあります。

この問題を回避するには、あらかじめ「デバイスの暗号化」を無効化します。 

 

展開時に「デバイスの暗号化」機能を無効化する手順

 

「デバイス暗号化」を無効化する手順については、下記の公式ドキュメントに記載されています。

 

TechNet: PreventDeviceEncryption

https://technet.microsoft.com/en-us/library/dn293372.aspx

 

詳細については上記をご参照いただきたいと思いますが、要約すると、展開時に応答ファイルに設定を追加してから Sysprep を実施し、レジストリ キーの値が変更されるようにしておく必要があります。

これにより、Surface Pro 3 のセットアップ時に、自動で暗号化が開始しないようにすることができます。

 

------------------------------------------------------

(具体的な応答ファイルの XML の例)

<settings pass="specialize">

 
<component name="Microsoft-Windows-SecureStartup-FilterDriver" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS">

   
<PreventDeviceEncryption>true</PreventDeviceEncryption>

</component>

</settings>

 

(展開後に追加されるレジストリ)

• パス: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

• キーの値: PreventDeviceEncryption (1)

• タイプ: REG_DWORD

-------------------------------------------------------