Surface デバイスに Surface UEFI または TPM ファームウェアの更新プログラムをインストールした後、BitLocker 回復キーの入力を求めるメッセージが表示される

  • [アーティクル]

この記事では、Surface デバイスに Surface UEFI または TPM ファームウェアの更新プログラムをインストールした後に BitLocker 回復キーの入力を求められる問題の回避策について説明します。

適用対象: Surface Studio 1、Surface Pro 4、Surface Pro 3、Surface Book、Surface Laptop (第 1 世代)、Surface Pro (第 5 世代)、Surface Book 2 ~ 13 インチ、LTE を使用したSurface ProAdvanced、Surface Book 2 ~ 15 インチ
元の KB 番号: 4057282

重要

この記事では、セキュリティ設定を下げる方法や、コンピューターのセキュリティ機能をオフにする方法について説明します。 これらの変更を行って、特定の問題を回避できます。 これらの変更を行う前に、特定の環境でのこの回避策の実装に関連するリスクを評価することをお勧めします。 この回避策を実装する場合は、コンピューターの保護に役立つ適切な追加の手順を実行します。

現象

Surface デバイスで次の現象が 1 つ以上発生します。

  • 起動時に BitLocker 回復キーの入力を求め、正しい回復キーを入力しますが、Windows は起動しません。
  • Surface Unified Extensible Firmware Interface (UEFI) 設定で直接起動します。
  • Surface デバイスが無限の再起動ループに入っているように見えます。

原因

この動作は、次のシナリオで発生する可能性があります。

  • BitLocker は有効になっており、PCR 7 と PCR 11 の既定値以外のプラットフォーム構成レジスタ (PCR) 値を使用するように構成されています。たとえば、次の場合に使用します。

    • セキュア ブートがオフになっています。
    • PCR 値は、グループ ポリシーなどによって明示的に定義されています。

  • デバイス TPM のファームウェアを更新するファームウェア更新プログラムをインストールするか、システム ファームウェアの署名を変更します。 たとえば、Surface dTPM (IFX) 更新プログラムをインストールします。

注:

管理者特権のコマンド プロンプトから次のコマンドを実行することで、デバイスで使用されている PCR 値を確認できます。

manage-bde.exe -protectors -get <OSDriveLetter>:

PCR 7 は、Surface デバイスを含むコネクト スタンバイ (InstantGO または Always On、Always Connected PC とも呼ばれます) をサポートするデバイスの要件です。 このようなシステムでは、PCR 7 とセキュア ブートの TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドします。 詳細については、 BitLocker グループ ポリシー設定の「プラットフォーム構成レジスタ (PCR)について」を参照してください。

回避策

警告

BitLocker ドライブ暗号化は、データを暗号化することで、organizationの機密情報を保護するのに役立ちます。 BitLocker を一時的に無効にするこの回避策では、データが危険にさらされる可能性があります。 この回避策はお勧めしませんが、この回避策を独自の裁量で実装できるように、この情報を提供しています。 この回避策は、自己の責任において使用してください。

方法 1: TPM または UEFI ファームウェアの更新中に BitLocker を中断する

Suspend-BitLocker を使用して TPM または UEFI ファームウェアに更新プログラムを適用する前に、BitLocker を一時的に中断することで、システム ファームウェアまたは TPM ファームウェアに更新プログラムをインストールする場合に、このシナリオを回避できます。

注:

TPM と UEFI ファームウェアの更新では、インストール中に複数の再起動が必要になる場合があります。 そのため、一時停止 BitLocker は Suspend-BitLocker コマンドレットを使用し、 パラメーターを RebootCount 使用して 2 より大きい再起動の数を指定して、ファームウェア更新プロセス中に BitLocker を中断したままにする必要があります。 再起動回数 0 は、PowerShell コマンドレット Resume-BitLocker またはその他のメカニズムを使用して BitLocker が再開されるまで、BitLocker を無期限に中断します。

TPM または UEFI ファームウェア更新プログラムのインストールのために BitLocker を一時停止するには:

  1. 管理 PowerShell セッションを開きます。

  2. 次のコマンドレットを入力し、 Enter キーを押します。

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    ここで、C: はディスクに割り当てられたドライブです。

  3. Surface デバイス ドライバーとファームウェアの更新プログラムをインストールします。

  4. ファームウェアの更新プログラムが正常にインストールされたら、次のように Resume-BitLocker コマンドレットを使用して BitLocker を再開 します。

    Resume-BitLocker -MountPoint "C:"

方法 2: セキュア ブートを有効にし、既定の PCR 値を復元する

TPM または UEFI ファームウェアに今後の更新プログラムを適用するときに BitLocker Recovery に入らないように、BitLocker が中断された後にセキュア ブートと PCR の値の既定と推奨される構成を復元することを強くお勧めします。

BitLocker が有効になっている Surface デバイスでセキュア ブートを有効にするには:

  1. メソッド 1 で説明されているように、コマンドレットを Suspend-BitLocker 使用して BitLocker を中断します。
  2. Surface Laptop での Surface UEFI の使用、新しいSurface Pro、Surface Studio、Surface Book、Surface Pro 4で定義されている方法のいずれかを使用して、Surface デバイスを UEFI に起動します。
  3. [ セキュリティ ] セクションを選択します。
  4. [セキュア ブート] で [構成の変更] を選択します。
  5. [ Microsoft Only OK]>を選択します
  6. [ 終了] を選択し、[ 再起動] を選択 してデバイスを再起動します。
  7. メソッド 1 で説明されているように、コマンドレットを Resume-BitLocker 使用して BitLocker を再開します。

BitLocker ドライブ暗号化の検証に使用する PCR 値を変更するには:

  1. PCR を構成するグループ ポリシーを無効にするか、そのようなポリシーが適用されるすべてのグループからデバイスを削除します。 詳細については、「BitLocker グループ ポリシー リファレンス」の「展開オプション」を参照してください。
  2. メソッド 1 で説明されているように、コマンドレットを Suspend-BitLocker 使用して BitLocker を中断します。
  3. メソッド 1 で説明されているように、コマンドレットを Resume-BitLocker 使用して BitLocker を再開します。

方法 3: ブート ドライブから保護機能を削除する

TPM または UEFI 更新プログラムをインストールしていて、デバイスが起動できない場合は、正しい BitLocker 回復キーが入力されていても、BitLocker 回復キーと Surface 回復イメージを使用してブート ドライブから BitLocker 保護機能を削除することで、起動する機能を復元できます。

BitLocker 回復キーを使用してブート ドライブから保護機能を削除するには:

  1. Microsoft アカウントから BitLocker 回復キーを取得するか、Microsoft BitLocker 管理や監視 (MBAM) などの他の方法で BitLocker が管理されている場合は、管理者に問い合わせてください。

  2. 別のコンピューターから、[Surface の回復イメージをダウンロードする] から Surface 回復イメージをダウンロード し、USB 回復ドライブを作成します。

  3. USB Surface 回復イメージ ドライブから起動します。

  4. メッセージが表示されたら、オペレーティング システムの言語を選択します。

  5. キーボード レイアウトを選択します。

  6. [詳細オプショントラブルシューティング>] コマンド プロンプトを>選択します。

  7. 以下のコマンドを実行します。

    manage-bde -unlock -recoverypassword <password>C:
manage-bde -protectors -disable C:

    ここで、C: はディスクに割り当てられたドライブであり、 <パスワード> は手順 1 で取得した BitLocker 回復キーです。

    注:

    このコマンドの使用方法の詳細については、「 Manage-bde: unlock」を参照してください。

  8. コンピューターを再起動します。

  9. メッセージが表示されたら、手順 1 で取得した BitLocker 回復キーを入力します。

注:

ブート ドライブから BitLocker 保護機能を無効にすると、デバイスは BitLocker ドライブ暗号化によって保護されなくなります。 BitLocker を再度有効にするには、[スタート] を選択し、「BitLocker の管理」と入力し、Enter キーを押して BitLocker ドライブ暗号化コントロール パネルアプレットを起動し、ドライブを暗号化する手順に従います。

方法 4: Surface ベア メタル回復 (BMR) を使用してデータを回復し、デバイスをリセットする

Windows で起動できない場合に Surface デバイスからデータを回復するには:

  1. Microsoft アカウントから BitLocker 回復キーを取得するか、Microsoft BitLocker 管理や監視 (MBAM) などの他の方法で BitLocker が管理されている場合は、管理者に問い合わせてください。

  2. 別のコンピューターから、[Surface の回復イメージをダウンロードする] から Surface 回復イメージをダウンロード し、USB 回復ドライブを作成します。

  3. USB Surface 回復イメージ ドライブから起動します。

  4. メッセージが表示されたら、オペレーティング システムの言語を選択します。

  5. キーボード レイアウトを選択します。

  6. [詳細オプショントラブルシューティング>] コマンド プロンプトを>選択します。

  7. 次のコマンドを実行します。

    manage-bde -unlock -recoverypassword <password> C:

    ここで、C: はディスクに割り当てられたドライブであり、 <パスワード> は手順 1 で取得した BitLocker 回復キーです。

  8. ドライブのロックが解除されたら、または xcopy コマンドを使用copyして、ユーザー データを別のドライブにコピーします。

    注:

    これらのコマンドの詳細については、「 Windows コマンド ライン リファレンス」を参照してください

Surface 回復イメージを使用してデバイスをリセットするには、「USB 回復ドライブを使用して Surface をリセットする方法」の「USB 回復ドライブの 作成と使用」の手順に従います。