OS: Windows 10 version 1803
USBメモリもしくはSDカード
クライアント用にと購入されたノートPCにTPM(Trusted Platform Module)が搭載されておらず、BitLockerが使えぬと泡を食ったのであるが、TPM無しでもまったく使用できるようであるから胸をなでおろしたところである。
然し乍ら、少しばかりの設定とUSBメモリやSDカードなどの記憶媒体を要するなどすんなりとはいかないので記録しておくものである。まずはBitLockerの管理へ移る。
「BitLockerを有効にする」とあるから当然に使えるものだと思ってクリックする。
そうするとこういう仕打ちである。ポリシーの設定が必要であればその画面へ誘導してほしいけれども、そういった気配りがないのでつれない。
メッセージから察するにグループポリシーの設定を変更する必要があるように見受けられる。そこでグループポリシーエディターを起動する。
「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLocker ドライブ暗号化」→「オペレーティングシステムのドライブ」と辿って「スタートアップ時に追加の認証を要求する」の編集画面へ移行する。
デフォルトでは未構成になっているものを「有効」に変更する。これでTPMのないマシンでもBitLockerによる暗号化を実施できるようになった。
もう一度BitLockerの管理画面から「BitLockerを有効にする」を選択すると、先ほどの無慈悲なメッセージはなりをひそめて設定を進めることができる。
まずは起動時にドライブのロックを解除する方法の選択を求められる。毎回パスワードを入力するのは七面倒で肯んずることはできぬ、という思惑から「USBフラッシュドライブを挿入する」を選択する。
予め準備しておいたUSBメモリやSDカードをマシンに接続していれば、ここでスタートアップキーの保存先ドライブとしてリストに現れる。
リストに出てこないのであればUSBメモリが壊れているとか接続ポートの調子がよろしくないとかSKYSEAによって使用できぬよう厳しく管理されているなどの原因があるものである。
回復キーのバックアップをどうするか選択を迫られるので要件にあった方法を選べばよろしい。Microsoftアカウントの作成予定も無く、余分なUSBメモリも手元に無く、暗号化するドライブ以外にファイルを保存するドライブも無く、プリンタの使用も制限されている環境であっても回復キーをPDFで保存するやり口で急場は凌げるようである。そこで「回復キーを印刷する」を選択する。
そして「Microsoft Print to PDF」を選択して印刷ボタンを押し付ける。通常はこれから暗号化しようというドライブに回復キーは置けないけれども、この方法なら保存が許されるのでひとまず処理は先へと進められる。
あとはマシンを再起動すれば暗号化の処理が自動で始まる。
進捗は、タスクバーに表示されるBitLockerのアイコンから確認できる。暗号化途中にマシンを再起動しても処理に差し障りはないので恐れずに実施すればよいけれども、起動後にBitLockerの処理が一時停止状態になっていることが多いから、処理がすすんでいるか確認をしておくのがよさそうである。
タスクバーにBitLockerのアイコンが姿を表さないケースもあるから、そういう場合はコマンドプロンプトからmanage-bde -statusコマンドで確認してやればよろしい。コマンドプロンプトは管理者権限で起動しておかなければ「エラー: 必要なリソースにアクセスしようとしましたが拒否されました。コンピューターの管理権限があることを確認してください。」とにべもない。
恙無く暗号化に成功したあと、試みにスタートアップキーが保存されたUSBメモリを取り外してから起動するとこうである。思惑通り事が運んだようである。
