よもやま話β版

よもやま話を書きます。内容はぺらぺら。自由に書く。

Windows10の再インストールをした後に「デバイスの暗号化」機能を利用するのに苦労した話

どれくらい再現性があるかわからないし、困ってる人もいないかもしれないが、個人的に苦労したので記録しておく。

結論

UEFI(BIOS)画面の"Secure Boot"の項目が無効になっていたので、有効にしたら解決した。

経緯

Windows 10 Homeをクリーンインストールした

Windows 10 Home の LenovoPC(ThinkBook 13s G2) を使っていたら、ある日、BitLockerの回復キーの入力を求められる画面が表示される問題が発生した。Windows 10 Home は BitLocker を使用できないので、暗号化も無いものと思いこんでいたが、ドライブの暗号化自体は有効になっていて、何かしらの拍子で回復キーを求められることがあるようだ。しかしこの時(BitLockerは使用できないものと思っていたために)、回復キーとなる文字列の把握ができていなかった。また、本来なら回復キーはMicrosoftアカウント(のOneDrive?)にアップロードされているはずであったが、この期待も外れた。(初回起動時にローカルアカウントを使ってしまったのかも。詳細不明)

とにかく、回復キーが分からない以上、「BitLocker回復」の青画面から復帰する手段は無いと判断した。中身のローカルデータは諦める前提で、PC端末をまだ使用したかったので、Windows自体のクリーンインストールをする決断をせざるを得なかった。USBを使ってインストールメディアを作成し、クリーンインストールした。 クリーンインストールの方法については公式supportページ参照。
Windows 用のインストール メディアを作成する - support.microsoft.com

おや、Cドライブの様子が…

無事クリーンインストールが済み、正常に利用できるようになった。しかし、Cドライブを確認したところ、これまでついていた暗号化の鍵マークが無かった。また、設定 > 更新とセキュリティ に表示されるはずの「デバイスの暗号化」の項目も消えていた。他の機能は全く正常に使用できるが、どうにもすわりが悪い。なんとかしたいと考えた。

原因調査

参考: Windows 10 ホーム コンピューターでデバイス暗号化を有効にする方法 – ステップ バイ ステップ チュートリアル - JA Atsit

まず、Windowsの検索ボックスから「システム情報」を探し、「管理者として実行」後、「デバイス暗号化のサポート」の項目をチェックした。すると、「デバイスの自動暗号化が失敗した理由」として、次の項目が挙がっていた。

  • PCR7 バインドはサポートされていません
  • 許可されていない DMA 対応バス/デバイスが検出されました
  • WinRE が構成されていません

しかしながら、元々はドライブ暗号化が出来ていたはずなので、機器が要件を満たさないということは無いだろう……と考えた。 念の為、参考URLにしたがって、次のことも確認した。

TMPが存在するか

  • Windowsの検索ボックスに「tpm.msc」と入力し、開く。
  • "状態"が「TPM は使用する準備ができています。」と表示されていることを確認した。

BIOSモードを確認

  • Windowsの検索ボックスで「システム情報」を探し、開く。
  • "BIOS モード"の項目に「UEFI」と書かれていることを確認した。

UEFI(BIOS)からいじる

色々やった*1が、最終的に次の手順で解決した。
参考: https://system2.wiki/windows/42656.html

  • 設定 > 更新とセキュリティ > 回復 > PCの起動をカスタマイズする「今すぐ再起動」
  • "オプションの選択"画面になる。トラブルシューティング > 詳細オプション > UEFI ファームウェアの設定 > 「再起動」
  • UEFI(BIOS) 画面になる。
    • "Security"タブ > "Secure Boot"項目が[Disabled]になっていたので、[Enabled]に変更
    • "Exit"タブ > "Exit Saving Changes"

UEFI(BIOS)画面(スマホで撮った)

UEFI(BIOS)画面を終了してwindows10に戻って確認すると、「デバイスの暗号化」が有効になっていた。

懸念

「WinRE が構成されていません」が解決しなかった。
参考: https://www.ubackup.com/jp/windows-10/could-not-find-recovery-environment.html
参考を見て reagent/info をチェックしたところ、有効になっているので、一旦問題ないとみなした。(うーん。)

「回復キー」をチェックしておく

今後の急な「BitLocker回復」画面になってしまう状況に備えて、BitLockerの設定画面は見れないが(Windows 10 Homeなので)、参考サイト先の方法で回復キー文字列を確認しておくことにした。

参考: BitLocker回復キーを紛失・忘れてしまった時の確認方法 | たぴチャンネル-少しの工夫で生活を豊かに-

とりあえず一旦、これでよしとする。

*1:電話問い合わせして諦めるように言われたり、BIOS拡張のisoディスク作ってみたり(失敗した)、...etc.