none
BitLocker ドライブ暗号化ツールについて RRS feed

  • 質問

  • 以下のManage-bdeコマンドを使用して、BitLocker有効化をした場合に以下のようなエラーが出ました。

     manage-bde -on c: -RecoveryPassword -skiphardwaretest -Password

    エラー: エラーが発生しました (コード 0x803100a5):
    BitLocker ドライブ暗号化でサポートされるのは、仮想プロビジョニング対応ストレージでの使用領域のみの暗号化だけです。

    AzureVM上に作成したWindows10上でコマンドを実行したのですが、AzureVM上では暗号化できないのでしょうか。
    AzureVM上でもCドライブを右クリック「BitLockerを有効にする」の手動では暗号化できるので、コマンドでもできると考えているのですが、原因や対処方法はありますでしょうか。

    <参照URL>

    https://docs.microsoft.com/ja-jp/windows/security/information-protection/bitlocker/bitlocker-use-bitlocker-drive-encryption-tools-to-manage-bitlocker

    2019年6月18日 11:04

すべての返信

  • 現段階では Azure VM の殆どは第1世代 VM かと思いますので、Bitlocker が既定で必要とする TPM (正確には仮想 TPM) を搭載していないので、その様なエラーになるのではないでしょうか。TPM 無しで Bitlocker で暗号化する事も可能ですが、その場合は事前にスタートアップキーの作成が必要です。 (物理環境だと USB メモリ等に保存するのが一般的)

    一応、これらの制約や手順は VM にも当てはまるらしく、それさえ満たせは VM でもサポートされる様です。なお、TPM 無しの環境で Bitlocker で暗号化する手順については、記載頂いた URL に載っているので確認してみて下さい。

     

    BitLockerはバーチャルハードディスク(VHD)をサポートしますか?

    https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-using-with-other-programs-faq#does-bitlocker-support-virtual-hard-disks-vhds

     

    ちなみに、仮想 TPM をサポートしている第2世代 VM については、Azure では5月末ごろにプレビューとして提供開始されているので、そちらなら TPM を利用した Bitlocker が使えるものと思われます。

     

    Azure の第 2 世代 VM (プレビュー)

    https://docs.microsoft.com/ja-jp/azure/virtual-machines/linux/generation-2

     

    https://www.atmarkit.co.jp/ait/articles/1905/27/news011.html

    2019年6月18日 13:32
  • AzureVMはTPM搭載がないが、TPMの無いAzureVMでもBitLockerで暗号化することができるということで、よろしいでしょうか。

    以下のTPM チップがないコンピューターで BitLocker を有効にする方法を実行してみましたが、同じエラーが出ました

    manage-bde –protectors -add C: -startupkey E: manage-bde -on C: -RecoveryPassword -skiphardwaretest 

    AzureVM上でBitLockerを有効にするコマンドは使用できないということでしょうか。

    また、実機PCでは「スタートアップ時にドライブのロックを解除する方法を選択する」で「PINを入力する」というのが出てきますが、AzureVM上では「PINを入力する」が出てきません。
    こちらもAzureVM上では使用できないということでしょうか。




    • 編集済み S.Takano 2019年6月19日 5:19
    2019年6月19日 5:18
  • 手順が記載されているページには無いようですが、既定だとTPM を要求するように強制されていたと思うので、以下のポリシーで TPM 無しでもBitlockerを許可するように設定してみて下さい。

     

    管理テンプレート>Windows コンポーネント>Bitlocker ドライブ暗号化>オペレーティング システムのドライブ>スタートアップ時に追加の認証を要求する

     

    互換性のある TPM が装備されていない BitLocker を許可する (USB フラッシュ ドライブでパスワードまたはスタートアップ キーが必要):有効

    2019年6月19日 6:33
  • GPOで上記の設定は既に設定しているので、原因は他にあるということでしょうか。

    また、実機PCでは「スタートアップ時にドライブのロックを解除する方法を選択する」で「PINを入力する」というのが出てきますが、AzureVM上では「PINを入力する」が出てきません。
    こちらもAzureVM上では使用できないということでしょうか。

    • 編集済み S.Takano 2019年6月19日 6:59
    2019年6月19日 6:56
  • 既に設定されているのであれば、何かしら別の設定が邪魔をしているか、他に原因が有るのかもしれませんね。

    BitLockerでPINを使うにはTPMが搭載されている必要が有るので、TPMが搭載されていないであろう Azure VM で「PINを入力する」の選択肢が出てこないのはそのためかと思われます。

    2019年6月19日 7:13
  • AzureVM上でBitLockerを有効にして再起動すると、リモート接続ができなくなります。

    再起動後、AzureVMのブート診断でスクリーンショットを確認すると、

    BitLocker解除画面になっているのでリモート接続できないと思われます。

    ブート診断をOFFにしてもBitLocker解除画面になります。

    AzureVM上でBitLocker解除をすることは可能でしょうか。

    2019年6月19日 7:57
  • Azure VM Bitlokcer を有効化した事が無く、その様な事象に遭遇した事はありませんが、以下にトラブルへの対処方法が記載されている様です。

     

    Azure VM での BitLocker ブート エラー

    https://docs.microsoft.com/ja-jp/azure/virtual-machines/troubleshooting/troubleshoot-bitlocker-boot-error

    2019年6月19日 8:43
  • manage-bde -on c: -RecoveryPassword -skiphardwaretest -UsedSpaceOnly -Password

    上記のコマンドでAzureVM上でもBitLockerを有効にできました。

    上記のコマンドを実行すると、パスワード入力が求められます。

    上記のコマンドをバッチファイルにした場合パスワード入力が求められるので、コマンド内にパスワードを埋め込むことはできないのでしょうか。

    2019年6月19日 9:28
  • PowerShell Enable-BitLocker だと -password の後に値を指定できるようなので、こちらで代替すれば可能かもしれません。

     

    Enable-BitLocker

    https://docs.microsoft.com/en-us/powershell/module/bitlocker/enable-bitlocker?view=win10-ps

    2019年6月19日 12:07
  • S.Takanoさん、こんにちは。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    Lapivyさんから寄せられた情報はお役に立ちましたか。

     

    ご不明な点がございましたら、お気軽にお問い合わせください。

    参考になった投稿には「回答としてマーク」をご設定ください。

     

    今後とも TechNet フォーラムをよろしくお願いします。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年6月21日 7:33
    モデレータ