トラステッドプラットフォームモジュール(TPM)なしでBitLockerを使用する方法

BitLockerのフルディスク暗号化には、通常、トラステッドプラットフォームモジュール(TPM)を備えたコンピューターが必要です。TPMのないPCでBitLockerを有効にしようとすると、管理者がシステムポリシーオプションを設定する必要があることが通知されます。

BitLockerは、WindowsのProfessional、Enterprise、およびEducationエディションでのみ使用できます。Windows 7 Ultimateにも含まれていますが、WindowsのHomeエディションでは使用できません。

BitLockerにTPMが必要なのはなぜですか?

関連:TPMとは何ですか?Windowsがディスク暗号化にTPMを必要とするのはなぜですか?

BitLockerは通常、コンピューターのマザーボード上にトラステッドプラットフォームモジュール(TPM)を必要とします。このチップは、実際の暗号化キーを生成して保存します。起動時にPCのドライブのロックを自動的に解除できるため、Windowsのログインパスワードを入力するだけでサインインできます。簡単ですが、TPMは内部でハードワークを行っています。

誰かがPCを改ざんしたり、コンピューターからドライブを取り外して復号化しようとしたりすると、TPMに保存されているキーがないとアクセスできません。TPMは、別のPCのマザーボードに移動した場合も機能しません。

一部のマザーボードにはTPMチップを購入して追加できますが、マザーボード(またはラップトップ)でサポートされていない場合は、TPMなしでBitLockerを使用することをお勧めします。安全性は劣りますが、何もないよりはましです。

TPMなしでBitLockerを使用する方法

グループポリシーを変更することで、この制限を回避できます。PCがビジネスまたは学校のドメインに参加している場合、グループポリシーの設定を自分で変更することはできません。グループポリシーは、ネットワーク管理者によって一元的に構成されます。

自分のPCでこれを実行していて、ドメインに参加していない場合は、ローカルグループポリシーエディターを使用して、自分のPCの設定を変更できます。

ローカルグループポリシーエディターを開くには、キーボードのWindows + Rを押し、[ファイル名を指定して実行]ダイアログボックスに「gpedit.msc」と入力して、Enterキーを押します。

左側のウィンドウで、[ローカルコンピューターポリシー]> [コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [BitLockerドライブの暗号化]> [オペレーティングシステムドライブ]に移動します。

右ペインの「起動時に追加の認証が必要」オプションをダブルクリックします。

ウィンドウの上部にある[有効]を選択し、[互換性のあるTPMなしでBitLockerを許可する(USBフラッシュドライブのパスワードまたはスタートアップキーが必要)]チェックボックスがここで有効になっていることを確認します。

「OK」をクリックして変更を保存します。これで、グループポリシーエディターウィンドウを閉じることができます。変更はすぐに有効になります。再起動する必要もありません。

BitLockerを設定する方法

これで、BitLockerを通常どおり有効化、構成、および使用できます。[コントロールパネル]> [システムとセキュリティ]> [BitLockerドライブ暗号化]に移動し、[BitLockerをオンにする]をクリックしてドライブを有効にします。

最初に、PCの起動時にドライブのロックを解除する方法を尋ねられます。PCにTPMが搭載されている場合は、コンピューターでドライブのロックを自動的に解除するか、TPMの存在を必要とする短いPINを使用することができます。

TPMがないため、PCを起動するたびにパスワードを入力するか、USBフラッシュドライブを提供するかを選択する必要があります。ここでUSBフラッシュドライブを提供する場合、ファイルにアクセスするためにPCを起動するたびに、そのフラッシュドライブをPCに接続する必要があります。

関連:WindowsでBitLocker暗号化を設定する方法

BitLockerのセットアッププロセスを続行して、BitLockerドライブの暗号化を有効にし、回復キーを保存して、ドライブを暗号化します。残りのプロセスは、通常のBitLockerセットアッププロセスと同じです。

PCが起動したら、パスワードを入力するか、指定したUSBフラッシュドライブを挿入する必要があります。パスワードまたはUSBドライブを指定できない場合、BitLockerはドライブを復号化できず、Windowsシステムを起動してファイルにアクセスすることもできません。