Windows 11の24H2アップデートが気になっている方は多いと思いますが、今回注目されているのがBitLocker(あるいはデバイス暗号化)が勝手に有効化されてしまうケースです。私自身、アップデート後に回復キーが分からず焦った経験もあり、今回はそのトラブルを回避する方法や実際の手順をまとめてみました。
BitLockerが強制有効化される理由
Windows 11の24H2アップデートまたはクリーンインストール時に、意図しない形でBitLockerがオンになってしまう現象が報告されています。なぜこのような挙動になるのか、主な背景を見ていきましょう。
ハードウェアとOSの進化
最近のパソコンやタブレット端末はセキュリティチップ(TPM)を搭載しているものが一般的になり、OS側も標準で暗号化機能を活用しやすくなっています。Windows 11では、プライバシー保護や情報漏洩対策のため、初期セットアップ時に自動でデバイス暗号化が行われることがあります。
Microsoftアカウントとの連携
クリーンインストールや初回起動時にMicrosoftアカウントでサインインすると、そのアカウント情報とパソコンが紐付けされ、回復キーを自動保存する仕組みが動作することがあります。これがうまく噛み合わない場合や、アカウントに正しくアクセスできない場合、鍵を入手できなくなる恐れがあります。
私自身、知らないうちにBitLockerがオンになっていたことに気付かず、ある日OSトラブルの修復時に回復キーを要求され、急いでMicrosoftアカウントを調べまくったことがありました。普段使わないアカウントでも、こういう時のためにしっかり管理しておく必要があると痛感しました。
ロックアウトのリスクと回復キー
もし回復キーが分からないままデバイス暗号化が有効化されると、何かの拍子にBitLockerがロックをかける状況になったとき、大切なデータにアクセスできなくなるかもしれません。
回復キーの保存場所
BitLockerによる暗号化が完了すると、回復キーと呼ばれる48桁の英数字が自動生成されます。通常は下記のいずれかに保存されるケースが多いです。
Microsoftアカウント上
セットアップ時にオンライン状態だったり、クリーンインストール時にMicrosoftアカウントを使用している場合、自動でクラウドに保管されている可能性があります。ただし、どのアカウントに保存されているかは明確に通知されないこともあり、複数のアカウントを持っている方は要注意です。
ローカルへの印刷やUSBメモリ
ユーザーが手動で回復キーをバックアップできる設定を選んだ場合、紙に印刷したり、USBメモリに記録することも可能です。実際、印刷した紙を保管しておくのは意外と安心感があります。紛失や物理的破損には注意が必要ですが、アカウントのパスワードを忘れても紙さえあれば復旧できるのがメリットです。
アカウント管理の重要性
パソコンをセットアップする際にMicrosoftアカウントを使うなら、ログイン情報やパスワードの再設定手段を万全にしておく必要があります。退職や引越しなどで以前のアカウントが無効化されている場合、回復キーを取り出せずに困るケースが散見されます。
対策と回避方法
BitLockerによる暗号化が決して悪いわけではありません。むしろセキュリティを高められるので、情報漏洩防止としては素晴らしい技術です。しかし、設定や管理を誤るとロックアウトという大問題に発展します。ここでは主な対策と回避策を見ていきます。
設定から無効化する手順
BitLockerを使いたくない、あるいは暗号化を解除しておきたい場合は、Windowsの設定やコントロールパネルからオフにすることができます。
Windowsの設定を使う場合
1. スタートメニューから設定を開く
2. プライバシーとセキュリティを選択
3. デバイス暗号化の項目がある場合は、オフに切り替える
途中で復号処理が走るため、PCの利用中にやや時間がかかることがあります。
コントロールパネルからの場合
1. コントロールパネルを開く
2. BitLockerドライブ暗号化をクリック
3. 対象ドライブのBitLockerをオフにするを選択
プロセス完了までPCを再起動しないようにしたほうが安全です。暗号化解除には容量やスペックによって時間差があります。
レジストリ編集による方法
クリーンインストールや初期セットアップ前に、自動的な暗号化を防止したいときはレジストリを変更するテクニックがあります。具体的には以下のキーを設定します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\BitLocker PreventDeviceEncryption (DWORD 32bit) = 1 (16進数)
この値を1にすると、Windowsがデバイス暗号化を自動的に有効にしなくなります。ただし、24H2アップデート後や初期設定が完了した後では効果がありません。
Microsoftアカウントではなくローカルアカウントでセットアップ
最近のWindows 11 Homeなどでは、インストール直後のOOBE(Out of Box Experience)でオンライン接続しなければ先に進めないように見えますが、ネットワーク接続を切ったり特殊な操作を行うと、ローカルアカウントだけで設定を完了できます。ローカルアカウントを使えば、デバイス暗号化が自動実行されにくくなる傾向があります。
私が複数台のPCをセットアップする際は、テスト用マシンではローカルアカウントを使うようにしています。アップデートによるBitLockerの自動有効化を避けたい場合には有効な手段ですね。
回復キーのバックアップを習慣化
BitLockerを使う場合でも、回復キーを複数の方法で保管すれば、ロックアウトリスクは大幅に下げられます。
紙に印刷、USBメモリに保存、Microsoftアカウントにも保存、など複数ルートで管理しておくと、どれかが使えなくなっても安心です。
Windows 11 HomeとProの違い
Windows 11 HomeとProではBitLockerの表記が異なるものの、実質的には同等の暗号化機能が働くことも少なくありません。ただし、制御できる範囲にいくつかの差があります。表にまとめてみました。
| 機能 | Windows 11 Home | Windows 11 Pro |
|---|---|---|
| デバイス暗号化 | 標準搭載(主に新規PCで自動有効化されやすい) | BitLocker機能をフル搭載(グループポリシーなどで制御可能) |
| 管理方法 | 設定アプリやコントロールパネルでシンプルに操作 | グループポリシーやCMD、PowerShellで細かく制御可能 |
| 回復キーの保存先 | 主にMicrosoftアカウントに自動保存(手動バックアップ可) | Microsoftアカウントに加え、ADやAzure ADにも統合できる |
| 強制有効化の可能性 | 高い(OEMやクリーンインストール時) | 高い(企業向けデフォルト設定の影響がある場合も) |
ユーザーから寄せられる声と提案
突然の暗号化に対する不安
自分の意志で暗号化を設定しているのならまだしも、アップデートや新規セットアップの過程でいつの間にか暗号化が施されていたという報告が増えています。とくに初めてWindows 11を使う方や、以前のOSからアップデートした方には戸惑いの声も多いようです。
OOBEでの選択肢が欲しい
Windowsインストールや初回起動時(OOBE)で、BitLockerを使いたいかどうか明確に選択できれば理想的なのに、実際にはネットワーク接続を行った途端に暗号化が自動オンになるケースもあります。ユーザーとしては、アップデート前にしっかりアナウンスをしてほしいところです。
Feedback Hubでの意見送信
Microsoftへフィードバックを送る際は、Windowsに搭載されているFeedback Hub(スタートメニューから検索可能)を使うと担当部署に意見が届きやすいとされています。強制有効化に関する不満や、より分かりやすいUIを望む声は、公式にも多数寄せられているようです。
まとめ
Windows 11 24H2のアップデートやクリーンインストール時には、BitLockerが自動で有効化される可能性があります。これ自体はセキュリティ向上の施策として有用ですが、回復キーの所在が分からなくなるとロックアウトのリスクがあるため、十分に注意が必要です。
もし暗号化が不要であれば、アップデート前にレジストリでPreventDeviceEncryptionの値を設定したり、ローカルアカウントで初期セットアップを行うことを検討してみてください。すでに暗号化されている場合は、早めに回復キーを印刷やUSBメモリでバックアップし、不安であれば設定画面やコントロールパネルから無効化する方法もあります。
強制有効化によるトラブルを避けたい方は、日頃からアカウント管理を怠らず、アップデート時の設定にも細心の注意を払うようにしてみてください。
アップデートはセキュリティや利便性の向上をもたらしますが、その過程で発生し得るBitLockerのような思わぬ落とし穴に目を向けておくことが大事です。大切なデータを守りながら、気持ちよく最新機能を活用したいですね。
コメント