ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

HP Elitebook x360 1040 G5でBitLockerのPIN設定が表示されない

HP Elitebook x360 1040 G5でBitLockerのPIN設定が表示されないという事象があるようです。おそらく限定的な事象かもしれませんが、同様の事象が発生した場合は、同じ方法で解決するかもしれません。

 

HP Elitebook x360 1040 G5を使用しています。

CドライブをBitLockerにて暗号化する際、起動時の認証PINコードを設定しようとしたのですが、すぐに回復パスワードの保存方法が表示され設定ができない状態となっています。

グループポリシーの設定で「スタートアップ時に追加の認証を要求する」「スタートアップの拡張PINを許可する」は有効にしており、類似の質問を参考にTPMのクリアも行っております。

一点気になるのは、cmdで設定しようと「manage-bde -protectors -add c: -TPMAndPIN」を入力した際、「グループポリシー設定ではスタートアップ時に設定ができていません」という旨の表示でエラーが返ってきます。そのため有効にしているにもかかわらず反映されてないのではないかと考えているのですが・・・

 

こちら、WindowsUpdateで復旧したようですが、以下の情報も参考になるかもしれません。

 

①グループポリシーの種類

グループポリシーはローカルグループポリシーでしょうか、ActiveDirectoryのグループポリシーでしょうか?

ActiveDirectoryのグループポリシーなら、クライアント側で gpredult コマンドを実行して意図した通りポリシーが適用されているか確認して下さい。

https://social.technet.microsoft.com/Forums/azure/ja-JP/d76fdf5d-b619-4bd9-8b79-f8f20a40f3e7/gpo?forum=win10itprogeneralJP

 

②グループポリシーの設定

BitLockerの有効化時にPINを指定できるか否かは「スタートアップ時に追加の認証を要求する」の設定内容によりますが、どの様になっていますでしょうか?

manage-bde コマンドで PIN (TPMAndPIN) を指定して暗号化を試みた際に「グループポリシー設定ではスタートアップ時に設定ができていません」とメッセージが出るなら、「スタートアップ時に追加の認証を要求する」で PIN 方式が適切に許可されていない可能性が考えられます。

切り分けとして、以下の様に PIN のみを要求しそれ以外は許可しない設定にしてみると良いかもしれません。(本来なら PIN以外の方式は "許可する" でも良いはずですが)

 

「参考」

https://social.technet.microsoft.com/Forums/ja-JP/1a1a5a73-1263-4a85-b67c-ab936d73f663/bitlockerpin?forum=win10itprogeneralJP

 

後、個人的な経験としてはPCの内蔵電池がなくなった理由かもしれませんが、BitLockerのパスワードを求められるという事象を経験したことがあります。WindowsUpdateなどで都度、BIOSの設定が初期化されることがあり、古い端末は色々と問題が起こりますね。