次の方法で共有

クライアント側からの BitLocker ポリシーのトラブルシューティング

  • [アーティクル]

この記事では、クライアント側で BitLocker 暗号化のトラブルシューティングを行う方法に関するガイダンスを提供します。 Microsoft Intune 暗号化レポート は、暗号化に関する一般的な問題を特定してトラブルシューティングするのに役立ちますが、BitLocker 構成サービス プロバイダー (CSP) からの一部の状態データが報告されない場合があります。 これらのシナリオでは、さらに調査するためにデバイスにアクセスする必要があります。

BitLocker 暗号化プロセス

次の手順では、BitLocker で以前に暗号化されていない Windows 10 デバイスの暗号化に成功するイベントのフローについて説明します。

  1. 管理者 必要な設定を使用して Intune で BitLocker ポリシーを構成し、ユーザー グループまたはデバイス グループを対象とします。
  2. ポリシーは Intune サービスのテナントに保存されます。
  3. Windows 10 Mobile デバイス管理 (MDM) クライアントは、Intune サービスと同期し、BitLocker ポリシー設定を処理します。
  4. BitLocker MDM ポリシーの更新スケジュールされたタスクは、BitLocker ポリシー設定を完全ボリューム暗号化 (FVE) レジストリ キーにレプリケートするデバイス上で実行されます。
  5. BitLocker 暗号化はドライブで開始されます。

暗号化レポートには、Intune の対象となる各デバイスの暗号化状態の詳細が表示されます。 トラブルシューティングにこの情報を使用する方法の詳細なガイダンスについては、「 Intune 暗号化レポートを使用した BitLocker のトラブルシューティングを参照してください。

手動同期を開始する

暗号化レポートに実用的な情報がないと判断した場合は、影響を受けるデバイスからデータを収集して調査を完了する必要があります。

デバイスにアクセスしたら、最初の手順データを収集する前に、Intune サービスと同期を手動で初期化することです。 Windows デバイスで、 Settings>Accounts>Access の職場または学校><職場または学校アカウントを選択します>>Infoを選択します。 次に、 デバイスの同期状態Sync を選択します。

同期が完了したら、次のセクションに進みます。

イベント ログ データの収集

次のセクションでは、暗号化の状態とポリシーのトラブルシューティングに役立つさまざまなログからデータを収集する方法について説明します。 ログ データを収集する前に、必ず手動同期を完了してください。

モバイル デバイス管理 (MDM) エージェントのイベント ログ

MDM イベント ログは、Intune ポリシーの処理または CSP 設定の適用に問題があったかどうかを判断するのに役立ちます。 OMA DM エージェントは Intune サービスに接続し、ユーザーまたはデバイスを対象とするポリシーの処理を試みます。 このログには、Intune ポリシーの処理の成功と失敗が表示されます。

次の情報を収集または確認します。

LOG>DeviceManagement-Enterprise-Diagnostics-Provider admin

  • 場所: スタート メニュー>イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Admin を右クリックします。
  • ファイル システムの場所: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

このログをフィルター処理するには、イベント ログを右クリックし、 [現在のログのフィルター処理>Critical/Error/Warning を選択します。 次に、フィルター処理されたログで BitLocker を検索します (F3 キーを押してテキストを入力します)。

BitLocker 設定のエラーは BitLocker CSP の形式に従うので、次のようなエントリが表示されます。

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

または

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Note

トラブルシューティング用のイベント ビューアーを使用して、このイベント ログのデバッグ ログを有効にすることもできます。

BitLocker-API 管理イベント ログ

これは BitLocker のメイン イベント ログです。 MDM エージェントがポリシーを正常に処理し、DeviceManagement-Enterprise-Diagnostics-Provider 管理者イベント ログにエラーがない場合、これは調査する次のログです。

LOG>BitLocker-API 管理

  • 場所: スタート メニュー>イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Windows>BitLocker-API を右クリックします。
  • ファイル システムの場所: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

通常、信頼されたプラットフォーム モジュール (TPM) や Windows 回復環境 (WinRE) など、ポリシーに必要なハードウェアまたはソフトウェアの前提条件がない場合は、ここにエラーが記録されます。

エラー: サイレント暗号化を有効にできませんでした

次の例に示すように、グループ ポリシーの競合としてサイレント暗号化とマニフェスト中に実装できない競合ポリシー設定もログに記録されます。

サイレント暗号化を有効にできませんでした。

エラー: グループ ポリシー設定が競合しているため、BitLocker 暗号化をこのドライブに適用できません。 BitLocker で保護されていないドライブへの書き込みアクセスが拒否された場合、USB スタートアップ キーの使用は必要ありません。 BitLocker を有効にする前に、システム管理者にこれらのポリシーの競合を解決してください。

解決策: 互換性のある TPM スタートアップ PIN を Blocked に構成します。 これにより、サイレント暗号化を使用するときに競合するグループ ポリシー設定が解決されます。

サイレント暗号化が必要な場合は、PIN と TPM のスタートアップ キーを Blocked に設定する必要があります。 TPM スタートアップ PIN とスタートアップ キーを Allowed その他のスタートアップ キーと PIN 設定をユーザー操作用に Blocked に構成すると、BitLocker-AP イベント ログでグループ ポリシー エラーが発生します。 また、ユーザーの操作を必要とするように TPM スタートアップ PIN またはスタートアップ キーを構成すると、サイレント暗号化が失敗します。

互換性のある TPM 設定のいずれかを Required に構成すると、サイレント暗号化が失敗します。

互換性のある TPM スタートアップが [必須] に設定されていることを示す BitLocker OS ドライブの設定。

エラー: TPM を使用できません

BitLocker-API ログのもう 1 つの一般的なエラーは、TPM が使用できないということです。 次の例は、TPM がサイレント暗号化の要件であることを示しています。

サイレント暗号化を有効にできませんでした。 TPM は使用できません。

エラー: 互換性のあるトラステッド プラットフォーム モジュール (TPM) セキュリティ デバイスがこのコンピューターで見つかりません。

解決策: デバイスで使用可能な TPM があることを確認し、TPM が存在する場合は、TPM.msc または PowerShell コマンドレット get-tpm を使用して状態を確認します。

エラー: 許可されていない DMA 対応バス

BitLocker-API ログに次の状態が表示される場合は、DMA の脅威を公開する可能性がある、接続されたダイレクト メモリ アクセス (DMA) 対応デバイスが Windows によって検出されたことを意味します。

許可されていない DMA 対応バス/デバイスが検出されました

解決策: この問題を修復するには、まず、デバイスに元の機器メーカー (OEM) との外部 DMA ポートがないことを確認します。 次に、次の手順に従って、デバイスを許可リストに追加します。 注: DMA デバイスが内部 DMA インターフェイス/バスである場合にのみ、DMA デバイスを許可リストに追加します。

システム イベント ログ

TPM の問題など、ハードウェア関連の問題が発生している場合は、TPMProvisioningService または TPM-WMI ソースの TPM のシステム イベント ログにエラーが表示されます。

LOG>System イベント

  • 場所: スタート メニュー>イベント ビューアー>Windows ログ>System を右クリックします。
  • ファイル システムの場所: C:\Windows\System32\winevt\Logs\System.evtx

システム イベント ログのプロパティのフィルター処理。

これらのイベント ソースをフィルター処理して、デバイスが TPM で発生している可能性があるハードウェア関連の問題を特定し、利用可能なファームウェア更新プログラムがあるかどうかを OEM 製造元に確認します。

タスク スケジューラ操作イベント ログ

タスク スケジューラ操作イベント ログは、ポリシーが Intune から受信された (DeviceManagement-Enterprise で処理されている) が、BitLocker 暗号化が正常に開始されないシナリオのトラブルシューティングに役立ちます。 BitLocker MDM ポリシーの更新は、MDM エージェントが Intune サービスと同期したときに正常に実行されるスケジュールされたタスクです。

次のシナリオで操作ログを有効にして実行します。

  • BitLocker ポリシーは、DeviceManagement-Enterprise-Diagnostics-Provider 管理者イベント ログ、MDM 診断、およびレジストリに表示されます。
  • エラーはありません (ポリシーは Intune から正常に取得されました)。
  • 暗号化が試みられたことを示すために、BitLocker-API イベント ログには何も記録されません。

LOG>Task スケジューラ操作イベント

  • 場所: イベント ビューアー>アプリケーションとサービス ログ>Microsoft>Windows>TaskScheduler
  • ファイル システムの場所: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

操作イベント ログを有効にして実行する

重要

BitLocker MDM ポリシーの更新スケジュールされたタスクを実行している問題がログによって特定されるため、データをログに記録する前に、このイベント ログを手動で有効にする必要があります。

  1. このログを有効にするには、スタート メニュー>イベント ビューアー>アプリケーションとサービス>Microsoft>Windows>TaskScheduler>Operational を右クリックします。

    TaskScheduler - 操作ログのスクリーンショット。

  2. 次に、Windows 検索ボックスに「タスク スケジューラ」と入力し、 Task Scheduler>Microsoft>Windows>BitLocker を選択します。 BitLocker MDM ポリシーの更新を右クリックし、 実行を選択します。

  3. 実行が完了したら、 Last Run Result 列でエラー コードを調べ、タスク スケジュール イベント ログでエラーがないか調べます。

    タスク スケジューラの BitLocker タスクのスクリーンショットの例。

    上記の例では、0x0は正常に実行されています。 0x41303エラーは、タスクが以前に実行されたことがないことを意味します。

Note

タスク スケジューラのエラー メッセージの詳細については、「タスク スケジューラ エラーと成功定数を参照してください。

BitLocker 設定の確認

次のセクションでは、暗号化の設定と状態を確認するために使用できるさまざまなツールについて説明します。

MDM 診断レポート

MDM ログのレポートを作成して、Intune で管理されている Windows 10 デバイスの登録またはデバイス管理の問題を診断できます。 MDM 診断レポートには、Intune に登録されているデバイスとそのデバイスに展開されたポリシーに関する有用な情報が含まれています。

このプロセスのチュートリアルについては、YouTube ビデオ Windows デバイスで Intune MDM 診断レポートを作成する方法に関するページを参照してください。

  • ファイル システムの場所: C:\Users\Public\Documents\MDMDiagnostics

OS のビルドとエディション

暗号化ポリシーが正しく適用されない理由を理解する最初の手順は、Windows OS のバージョンとエディションで構成した設定がサポートされているかどうかを確認することです。 一部の CSP は特定のバージョンの Windows で導入され、特定のエディションでのみ機能します。 たとえば、BitLocker CSP 設定の大部分は Windows 10 バージョン 1703 で導入されましたが、Windows 10 バージョン 1809 までは Windows 10 Pro ではサポートされていませんでした。

さらに、AllowStandardUserEncryption (バージョン 1809 で追加)、ConfigureRecoveryPasswordRotation (バージョン 1909 で追加)、RotateRecoveryPasswords (バージョン 1909 で追加)、状態 (バージョン 1903 で追加) などの設定があります。

EntDMID を使用した調査

EntDMID は、Intune 登録の一意のデバイス ID です。 Microsoft Intune 管理センターでは、EntDMID を使用して All Devices ビューを検索し、特定のデバイスを識別できます。 また、サポート ケースが必要な場合は、サービス側でさらにトラブルシューティングを行えるようにするために、Microsoft サポートにとって重要な情報でもあります。

MDM 診断レポートを使用して、管理者が構成した設定でポリシーがデバイスに正常に送信されたかどうかを特定することもできます。 BitLocker CSP を参照として使用すると、Intune サービスと同期するときに選択された設定を解読できます。 レポートを使用して、ポリシーがデバイスを対象としているかどうかを判断し、 BitLocker CSP ドキュメントを使用して 構成されている設定を特定できます。

MSINFO32

MSINFO32は、デバイスが BitLocker の前提条件を満たしているかどうかを判断するために使用できるデバイス データを含む情報ツールです。 必要な前提条件は、BitLocker ポリシー設定と必要な結果によって異なります。 たとえば、TPM 2.0 のサイレント暗号化には、TPM と Unified Extensible Firmware Interface (UEFI) が必要です。

  • 場所: [検索] ボックスに「msinfo32」と入力し、検索結果でシステム情報を右クリックし、管理者として実行を選択します。
  • ファイル システムの場所: C:\Windows\System32\Msinfo32.exe。

ただし、この項目が前提条件を満たしていない場合、必ずしも Intune ポリシーを使用してデバイスを暗号化できないというわけではありません。

  • サイレントで暗号化するように BitLocker ポリシーを構成していて、デバイスが TPM 2.0 を使用している場合は、BIOS モードが UEFI であることを確認することが重要です。 TPM が 1.2 の場合、UEFI で BIOS モードを使用する必要はありません。
  • セキュア ブート、DMA 保護、PCR7 構成はサイレント暗号化には必要ありませんが、 Device Encryption サポートで強調表示されている可能性があります。 これは、自動暗号化のサポートを確保するためです。
  • TPM を必要とせず、サイレントで暗号化するのではなくユーザー操作を行う BitLocker ポリシーにも、MSINFO32チェックインするための前提条件はありません。

TPM。MSC ファイル

TPM.msc は、Microsoft 管理コンソール (MMC) スナップイン ファイルです。 TPM.msc を使用して、デバイスに TPM があるかどうかを判断し、バージョンを識別し、使用する準備ができているかどうかを判断できます。

  • 場所: [検索] ボックスに「 tpm.msc」と入力し、右クリックして [管理者として実行 選択します
  • ファイル システムの場所: MMC スナップイン C:\Windows\System32\mmc.exe。

TPM は BitLocker の前提条件ではありませんが、提供されるセキュリティが強化されているため、強くお勧めします。 ただし、TPM はサイレント暗号化と自動暗号化に必要です。 Intune でサイレント暗号化を試みている場合に、BitLocker API とシステム イベント ログに TPM エラーがある場合、TPM.msc は問題の理解に役立ちます。

正常な TPM 2.0 状態の例を次に示します。 右下の仕様バージョン 2.0 と、状態が使用できる状態になっていることに注意してください。

トラステッド プラットフォーム モジュール コンソールの正常な TPM 2.0 状態のスクリーンショット例。

次の例は、BIOS で TPM が無効になっている場合の異常な状態を示しています。

トラステッド プラットフォーム モジュール コンソールの異常な TPM 2.0 状態のスクリーンショット例。

TPM を必要とするようにポリシーを構成し、TPM が見つからないか異常になったときに BitLocker で暗号化することを期待することは、最も一般的な問題の 1 つです。

Get-Tpm コマンドレット

コマンドレットは、Windows PowerShell 環境の軽量コマンドです。 TPM.msc の実行に加えて、Get-Tpm コマンドレットを使用して TPM を確認できます。 管理者権限でこのコマンドレットを実行する必要があります。

  • 場所: 検索ボックスに「 cmd」と入力し、右クリックして 管理者として実行>PowerShell>get-tpm を選択します。

PowerShell ウィンドウの現在およびアクティブな TPM のスクリーンショットの例。

上記の例では、TPM が存在し、PowerShell ウィンドウでアクティブになっていることがわかります。 値は True です。 値が False に設定されている場合は、TPM に問題があることを示します。 BitLocker は、TPM が存在し、準備が整い、有効になり、アクティブ化され、所有されるまで TPM を使用できません。

Manage-bde コマンドライン ツール

Manage-bde は、Windows に含まれる BitLocker 暗号化コマンド ライン ツールです。 BitLocker を有効にした後の管理に役立つよう設計されています。

  • 場所: [検索] ボックスに「 cmd」と入力し、 管理者として実行を右クリックして選択し、「 manage-bde -status」と入力します。
  • ファイル システムの場所: C:\Windows\System32\manage-bde.exe。

コマンド プロンプト ウィンドウの manage-bde.exe コマンドのスクリーンショット例。

manage-bde を使用して、デバイスに関する次の情報を検出できます。

  • 暗号化されていますか? Microsoft Intune 管理センターのレポートでデバイスが暗号化されていないことが示されている場合、このコマンド ライン ツールは暗号化の状態を識別できます。
  • どの暗号化方法が使用されていますか? ツールの情報をポリシー内の暗号化方法と比較して、それらが一致することを確認できます。 たとえば、Intune ポリシーが XTS-AES 256 ビットに構成されていて、デバイスが XTS-AES 128 ビットを使用して暗号化されている場合、Microsoft Intune 管理センター ポリシー レポートでエラーが発生します。
  • どのような特定の保護機能が使用されていますか? プロテクターにはいくつかの 組み合。 デバイスでどの保護機能が使用されているかを把握することは、ポリシーが正しく適用されているかどうかを理解するのに役立ちます。

次の例では、デバイスは暗号化されていません。

BitLocker で暗号化されていないデバイスのスクリーンショットの例。

BitLocker レジストリの場所

これは、Intune によって取得されたポリシー設定を解読する際に見るレジストリの最初の場所です。

  • 場所: Start>Run を右クリックし、「 regedit 」と入力してレジストリ エディターを開きます。
  • 既定のファイル システムの場所: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM エージェント レジストリ キーは、実際の BitLocker ポリシー設定を含む PolicyManager のグローバル一意識別子 (GUID) を識別するのに役立ちます。

レジストリ エディターの BitLocker レジストリの場所。

上記の例では、GUID が強調表示されています。 次のレジストリ サブキーに GUID (テナントごとに異なる) を含めて、BitLocker ポリシー設定のトラブルシューティングを行うことができます。

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

MDM エージェントによって構成された BitLocker ポリシー設定が表示されているレジストリ エディターのスクリーンショット

このレポートには、MDM エージェント (OMADM クライアント) によって取得された BitLocker ポリシー設定が表示されます。 これらは MDM 診断レポートに表示される設定と同じであるため、これは、クライアントが選択した設定を識別する別の方法です。

EncryptionMethodByDriveType レジストリ キーの例:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions の例:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker レジストリ キー

ポリシー プロバイダーのレジストリ キーの設定は、メインの BitLocker レジストリ キーに複製されます。 設定を比較して、ユーザー インターフェイス (UI)、MDM ログ、MDM 診断、ポリシー レジストリ キーのポリシー設定に表示される内容と一致することを確認できます。

  • レジストリ キーの場所: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

FVE レジストリ キーの例を次に示します。

レジストリ エディターで見つかった BitLocker レジストリ キーのスクリーンショット。

  • A: EncryptionMethodWithXtsOs、EncryptionMethodWithXtsFdv、EncryptionMethodWithXtsRdv には、次の値を指定できます。
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM、UseTPMKey、UseTPMKeyPIN、USeTPMPIN はすべて 2 に設定されています。これは、すべて許可するように設定されていることを意味します。
  • C: ほとんどのキーは、オペレーティング システム ドライブ (OS)、固定ドライブ (FDV)、リムーバブル ドライブ (FDVR) の設定のグループに分かれていることに注意してください。
  • D: OSActiveDirectoryBackup の値は 1 で、有効になっています。
  • E: OSHideRecoveryPage は 0 に等しく、有効になっていません。

レジストリ内のすべての設定名をデコードするにはBitLocker CSP のドキュメントを使用します。

REAgentC.exe コマンドライン ツール

REAgentC.exeは、Windows 回復環境 (Windows RE) の構成に使用できるコマンドライン実行可能ツールです。 WinRE は、サイレント暗号化や自動暗号化などの特定のシナリオで BitLocker を有効にするための前提条件です。

  • 場所: Start>Run を右クリックし、「 cmd」と入力します。 次に、 cmd を右クリックし 管理者として実行>reagentc /info を選択します。
  • ファイル システムの場所: C:\Windows\System32\ReAgentC.exe。

ヒント

WinRe が有効になっていないことを示すエラー メッセージが BitLocker API に表示される場合は、デバイスで reagentc /info コマンドを実行して WinRE の状態を確認します。

コマンド プロンプトの ReAgentC.exe コマンドの出力。

WinRE の状態が無効になっている場合は、管理者として reagentc /enable コマンドを実行して手動で有効にします。

コマンド プロンプトでReAgentC.exeを有効にするスクリーンショットの例。コマンド試薬 /enable を実行する

まとめ

Intune ポリシーを使用して Windows 10 デバイスで BitLocker を有効にできない場合、ほとんどの場合、ハードウェアまたはソフトウェアの前提条件は満たされません。 BitLocker-API ログを調べると、どの前提条件が満たされていないかを特定するのに役立ちます。 最も一般的な問題:

  • TPM が存在しない
  • WinRE が有効になっていません
  • TPM 2.0 デバイスで UEFI BIOS が有効になっていません

ポリシーの構成が正しく行わないと、暗号化エラーが発生する可能性もあります。 すべての Windows デバイスがサイレントで暗号化できるわけではないので、対象としているユーザーとデバイスについて考えてください。

BitLocker を有効にする際に必要なユーザー操作のため、サイレント暗号化を目的としたポリシーのスタートアップ キーまたは PIN の構成は機能しません。 Intune で BitLocker ポリシーを構成する場合は、この点に注意してください。

ポリシー設定がデバイスによって取得されているかどうかを確認して、ターゲット設定が成功したかどうかを確認します。

MDM 診断、レジストリ キー、デバイス管理エンタープライズ イベント ログを使用してポリシー設定を識別し、設定が正常に適用されたかどうかを確認できます。 BitLocker CSP のドキュメントは、これらの設定を解読して、ポリシーで構成されているものと一致するかどうかを理解するのに役立ちます。