メイン コンテンツへスキップ
Support
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

重要: この記事には、コンピューターのセキュリティ設定を低くする方法や、コンピューターのセキュリティ機能を無効にする方法を示す情報が記載されています。 これらの変更によって特定の問題を回避できますが、 変更を行う前に、特定の環境でこの回避策を実行した際に生じるリスクを評価することをお勧めします。 この回避策を実行する場合は、コンピューターを保護するために、ここに記載された処理以外にも適切な処理を実行してください。

現象

Surface デバイスで次の現象が 1 つ以上発生します。

  • 起動時に、BitLocker 回復キーの入力を求め、正しい回復キーを入力しますが、Windows は起動しません。

  • Surface Unified Extensible Firmware Interface (UEFI) 設定で直接起動します。

  • Surface デバイスが無限の再起動ループに入っているように見えます。

原因

この動作は、次のシナリオで発生する可能性があります。

  • BitLocker は有効になっており、PCR 7 と PCR 11 の既定値以外のプラットフォーム構成レジスタ (PCR) 値を使用するように構成されています。たとえば、次の場合に使用します。

    • セキュア ブートがオフになっています。

    • PCR 値は、グループ ポリシーなどによって明示的に定義されています。

  • デバイス TPM のファームウェアを更新するファームウェア更新プログラムをインストールするか、システム ファームウェアの署名を変更します。 たとえば、Surface dTPM (IFX) 更新プログラムをインストールします。

 管理者特権のコマンド プロンプトから次のコマンドを実行することで、デバイスで使用されている PCR 値を確認できます。

manage-bde.exe -protectors -get <OSDriveLetter>:

                注 PCR 7 は、Surface デバイスを含むコネクト スタンバイ (InstantGO または Always On、Always Connected PC とも呼ばれます) をサポートするデバイスの要件です。 このようなシステムでは、PCR 7 とセキュア ブートの TPM が正しく構成されている場合、BitLocker は既定で PCR 7 と PCR 11 にバインドします。 詳細については、「BitLocker グループ ポリシー 設定」の「プラットフォーム構成レジスタ (PCR)について」を参照してください。

回避策 

警告: BitLocker ドライブ暗号化は、データを暗号化することで組織の機密情報を保護するのに役立ちます。 BitLocker を一時的に無効にするこの回避策では、データが危険にさらされる可能性があります。 この資料の情報は、記載されている回避策をユーザーが自己の判断で使用することを前提に提供されているものであり、この回避策をお勧めするものではありません。 この回避策は、自己の責任において使用してください。

方法 1: TPM または UEFI ファームウェアの更新中に BitLocker を中断する

Suspend-BitLocker を使用して TPM または UEFI ファームウェアに更新プログラムを適用する前に、BitLocker を一時的に中断することで、システム ファームウェアまたは TPM ファームウェアに更新プログラムをインストールする場合に、このシナリオを回避できます。

 TPM と UEFI ファームウェアの更新では、インストール中に複数の再起動が必要になる場合があります。 そのため、中断 BitLocker は Suspend-BitLocker コマンドレットを使用し、 Reboot Count パラメーターを使用して 2 より大きい再起動回数を指定して、ファームウェア更新プロセス中に BitLocker を中断したままにする必要があります。 再起動回数 0 は、PowerShell コマンドレット Resume-BitLocker またはその他のメカニズムを使用して BitLocker が再開されるまで、BitLocker を無期限に中断します。

TPM または UEFI ファームウェア更新プログラムのインストールのために BitLocker を一時停止するには:

  1. 管理 PowerShell セッションを開きます。

  2. 次のコマンドレットを入力し、Enter:

    Suspend-BitLocker -MountPoint "C:" -RebootCount 0

    を押します。 ここで 、C: はディスクに割り当てられたドライブです

  3. Surface デバイス ドライバーとファームウェアの更新プログラムをインストールします。

  4. ファームウェアの更新プログラムが正常にインストールされたら、Resume-BitLocker コマンドレットを使用して BitLocker を再開します

    Resume-BitLocker -MountPoint "C:"

方法 2: セキュア ブートを有効にし、既定の PCR 値を復元する

TPM または UEFI ファームウェアに今後の更新プログラムを適用するときに BitLocker Recovery に入らないように、BitLocker が中断された後にセキュア ブートと PCR の値の既定と推奨される構成を復元することを強くお勧めします。

BitLocker が有効になっている Surface デバイスでセキュア ブートを有効にするには:

  1. 方法 1 で説明されているように、Suspend-BitLocker コマンドレットを使用して BitLocker を中断します。

  2. Surface Laptop での Surface UEFI の使用、新しいSurface Pro、Surface Studio、Surface Book、Surface Pro 4で定義されている方法のいずれかを使用して、Surface デバイスを UEFI に起動します。

  3. [ セキュリティ ] セクションを選択します。

  4. [セキュア ブート] の下の [ 構成の変更 ] をクリックします。

  5. [ Microsoft Only] を選択し、[OK] をクリック します

  6. [ 終了] を選択し、[ 再起動] を選択してデバイスを再起動します。

  7. 方法 1 で説明されているように、Resume-BitLocker コマンドレットを使用して BitLocker を再開します。

BitLocker ドライブ暗号化の検証に使用する PCR 値を変更するには:

  1. PCR を構成するグループ ポリシーを無効にするか、そのようなポリシーが適用されるすべてのグループからデバイスを削除します。 詳細については、「BitLocker グループ ポリシー リファレンス」の「展開オプション」を参照してください。

  2. 方法 1 で説明されているように、Suspend-BitLocker コマンドレットを使用して BitLocker を中断します。

  3. 方法 1 で説明されているように、Resume-BitLocker コマンドレットを使用して BitLocker を再開します。

方法 3: ブート ドライブから保護機能を削除する

TPM または UEFI 更新プログラムをインストールしていて、デバイスが起動できない場合は、正しい BitLocker 回復キーが入力されていても、BitLocker 回復キーと Surface 回復イメージを使用してブート ドライブから BitLocker 保護機能を削除することで、起動する機能を復元できます。

BitLocker 回復キーを使用してブート ドライブから保護機能を削除するには:

  1. go.microsoft.com/fwlink/p/?LinkId=237614 から BitLocker 回復キーを取得するか、Microsoft BitLocker 管理や監視 (MBAM) などの他の方法で BitLocker が管理されている場合は、管理者に問い合わせてください。

  2. 別のコンピューターから、[Surface の回復イメージをダウンロードする] から Surface 回復イメージをダウンロードし、USB 回復ドライブを作成します。

  3. USB Surface 回復イメージ ドライブから起動します。

  4. メッセージが表示されたら、オペレーティング システムの言語を選択します。

  5. キーボード レイアウトを選択します。

  6. [トラブルシューティング] を選択します。

  7. [ 詳細オプション] を選択します

  8. [ コマンド プロンプト] を選択します

  9. 次のコマンドを実行します:

    manage-bde -unlock -recoverypassword <パスワード>C:

    manage-bde -protectors -disable C:

    ここで、C: はディスクに割り当てられたドライブであり、 <パスワード> は、手順 1 で取得した BitLocker 回復キーです。

    メモ このコマンドの使用方法の詳細については、Microsoft Learn の記事 「Manage-bde: unlock」を参照してください。

  10. コンピューターを再起動します。

  11. メッセージが表示されたら、手順 1 で取得した BitLocker 回復キーを入力します。

 ブート ドライブから BitLocker 保護機能を無効にすると、デバイスは BitLocker ドライブ暗号化によって保護されなくなります。 BitLocker を再度有効にするには、[スタート] を選択し、「BitLocker の管理」と入力し、Enter キーを押して BitLocker ドライブ暗号化コントロール パネルアプレットを起動し、ドライブを暗号化する手順に従います。

方法 4: Surface ベア メタル回復 (BMR) を使用してデータを回復し、デバイスをリセットする

Windows で起動できない場合に Surface デバイスからデータを回復するには:

  1. https://go.microsoft.com/fwlink/p/?LinkId=237614 から BitLocker 回復キーを取得するか、Microsoft BitLocker 管理や監視 (MBAM) などの他の方法で BitLocker が管理されている場合は、管理者に問い合わせてください。

  2. 別のコンピューターから、[Surface の回復イメージをダウンロードする] から Surface 回復イメージをダウンロードし、USB 回復ドライブを作成します。

  3. USB Surface 回復イメージ ドライブから起動します。

  4. メッセージが表示されたら、オペレーティング システムの言語を選択します。

  5. キーボード レイアウトを選択します。

  6. [トラブルシューティング] を選択します。

  7. [ 詳細オプション] を選択します

  8. [ コマンド プロンプト] を選択します

  9. 次のコマンドを実行します:

    manage-bde -unlock -recoverypassword <password> C:

    ここで C: はディスクに割り当てられたドライブ であり、<パスワード> は手順 1 で取得した BitLocker 回復キーです

  10. ドライブのロックが解除されたら、 copy コマンドまたは xcopy コマンドを使用して、ユーザー データを別のドライブにコピーします。

    メモこれらのコマンドの詳細については、「Windows コマンド ライン リファレンス」を参照してください

Surface 回復イメージを使用してデバイスをリセットするには、「USB 回復ドライブを使用して Surface をリセットする方法」の「USB 回復ドライブの作成と使用」の手順に従います。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをいただき、ありがとうございます。

×