【Windows】会社PC交換時にBitLocker回復キーで確認すること

社用PCの交換時、BitLocker回復キーの扱いを誤ると新しいPCでデータにアクセスできなくなることがあります。BitLockerはWindowsの暗号化機能であり、回復キーはドライブのロック解除に必須です。しかし、多くの企業ではIT部門が一元管理しているため、ユーザー自身でキーを確認する必要はないと思われがちです。実際には、交換手順によっては自分で回復キーを控えておかなければならない場面もあります。この記事では、PC交換時にBitLocker回復キーに関して確認すべきポイントを整理します。

なぜPC交換時にBitLocker回復キーが問題になるのか

BitLockerの暗号化と回復キーの役割

BitLockerはWindowsに標準搭載されたドライブ暗号化機能で、PCを紛失や盗難から保護するために多くの企業で導入されています。暗号化にはTPM(Trusted Platform Module)というハードウェアモジュールが利用されることが多く、通常の起動時にはユーザーが意識することなくログインできます。しかし、ハードウェアの変更やシステムの不整合が発生すると、BitLockerがセキュリティ上の脅威と判断してドライブをロックし、回復キーの入力を求めてきます。この回復キーは48桁の数字で構成され、正しく入力しないとドライブにアクセスできません。PC交換時には、古いPCのドライブを新しいPCに移行する場合や、新しいPCで既存のデータを復元する場合に回復キーが必要となります。

交換時に発生しやすいトラブルの例

例えば、古いPCの内蔵SSDを新しいPCにそのまま取り付けて起動しようとすると、TPMの違いによりBitLockerがロックを解除できず、回復キーを要求されるケースがあります。また、Windowsをクリーンインストールする際に、BitLockerで暗号化されたドライブをフォーマットせずに再利用しようとすると、同様の現象が発生します。さらに、IT部門が回復キーを管理している場合でも、交換手続きの中でキーが引き継がれず、新しいPCでデータを読めなくなるトラブルも報告されています。こうした問題を避けるためには、事前に回復キーの保管場所を把握し、適切な手順で移行を行う必要があります。

回復キーの確認方法:シナリオ別

回復キーの保管場所は、企業の環境によって異なります。以下の表で主なシナリオと確認方法をまとめました。自分がどのシナリオに該当するか判断する際の参考にしてください。

自分の環境がどれに当たるかわからない場合は、まずはPCのサインイン画面で「回復キーの入力」が表示されているかどうか、またはコマンドプロンプトから「manage-bde -protectors -get C:」と入力してTPMの状態を確認してみてください。ただし、会社のPCでは管理者権限がないと実行できない場合があります。

PC交換時にBitLocker回復キーを確認する具体的な手順

ここでは、一般的なシナリオとして、旧PCが起動可能でAzure ADに参加している場合の手順を説明します。なお、会社のポリシーによっては以下の手順が適用できないこともあるため、IT部門の指示に従ってください。

1. 旧PCでAzure ADポータルにアクセスします。ブラウザで https://portal.azure.com を開き、会社のアカウントでサインインします。
2. 検索バーに「BitLocker回復キー」と入力し、表示された「BitLocker回復キー」サービスを選択します。
3. PC名またはキーID(回復キー入力画面に表示される8桁の英数字)で検索します。該当するPCの回復キーが表示されたら、48桁の数字を控えます。
4. 同時に、回復キーIDもメモしておきます。キーIDは回復キーとセットで必要になることがあります。
5. 控えた回復キーは、新しいPCのセットアップ時にBitLockerのロック解除画面が表示された場合に使用します。また、万一に備えて、暗号化されたPDFやパスワードマネージャーに安全に保管してください。

手順が完了したら、新しいPCのセットアップを進めてください。もし新しいPCでBitLockerの回復キー画面が出た場合は、控えたキーを入力します。キーが正しければ、ドライブのロックが解除され、データにアクセスできるようになります。

失敗パターンとその回避策

よくある失敗パターン3選

BitLocker回復キーの取得や使用でよくある失敗を以下に挙げます。

• 失敗1: 回復キーを確認せずに旧PCを初期化してしまった。 多くの場合、PC交換手順として初期化が指示されますが、その前に回復キーを取得していないと、後で必要になったときに手遅れになります。回避策として、初期化の前に必ず回復キーを確認し、ファイルに保存するかIT部門に連絡してください。
• 失敗2: 回復キーを間違った場所で探してしまった。 例えば、個人のMicrosoftアカウントと会社のAzure ADアカウントを混同すると、キーが見つかりません。自分がどの環境で管理されているかを事前に確認しておくことが重要です。
• 失敗3: 回復キーを自分で保管後に紛失した。 紙に印刷して机に貼る、メモ帳に保存するなどの方法はセキュリティリスクが高く、紛失や漏洩の原因になります。必ず暗号化されたストレージやパスワードマネージャーを利用してください。

成功するための事前準備

PC交換が始まる前に、次の3つを確認しておくとスムーズです。まず、IT部門に「BitLocker回復キーはどこで確認できるか」を問い合わせてください。次に、旧PCが起動可能なうちに、コマンドプロンプトで「manage-bde -protectors -get C:」を実行し、回復キーIDを控えておきます(管理者権限が必要な場合があります)。最後に、回復キーを安全な場所に保存します。これらを実施しておけば、万が一のトラブルにも対応できます。

管理者に確認すべき情報と伝え方

IT部門に問い合わせる際には、以下の情報を伝えるとスムーズに回答を得られます。

• 交換する旧PCのコンピューター名(設定→システム→詳細情報で確認)
• BitLockerが有効になっているドライブ(通常はC:ドライブ)
• 回復キーID(起動時の回復キー入力画面に表示される8桁の数字、またはmanage-bdeで確認可能)
• 新しいPCのコンピューター名(すでに決まっている場合)

「PC交換のため、BitLocker回復キーの取得方法を教えてください。旧PC名はXXXX、キーIDはYYYYです」と簡潔に伝えると良いでしょう。また、新しいPCへのデータ移行方法についても合わせて確認することをおすすめします。管理者側で回復キーをエクスポートして提供してもらえる場合と、自分でポータルから取得する方法を案内される場合があります。

よくある質問(FAQ)

Q1. 回復キーを紛失した場合、どうすればいいですか?
IT部門に連絡してください。Active DirectoryやAzure ADにバックアップがあれば、管理者が回復キーを再発行できます。ただし、どの環境でも管理者がキーを持っているとは限らないため、事前に保管場所を確認しておくことが重要です。

Q2. 新しいPCで回復キーを入力してもロックが解除されません。
入力したキーが間違っている可能性があります。キーは48桁で、ハイフンやスペースを含む場合があります。また、大文字小文字は区別されません。キーIDが一致しているか確認し、再度入力してみてください。それでも解除できない場合は、IT部門に相談してください。

Q3. PC交換後、新しいPCでもBitLockerを有効にする必要がありますか?
通常、会社のポリシーに従います。多くの企業では新しいPCにもBitLockerを有効にするよう指示されます。新しいPCでBitLockerを有効にすると、新たな回復キーが生成され、自動的にAzure ADなどに保存されます。慌てずにIT部門の手順に従ってください。

Q4. 回復キーを安全に保管する方法はありますか?
暗号化されたPDFやパスワードマネージャー(例:Bitwarden、1Password)が推奨されます。紙に印刷する場合も、施錠できる金庫や机の引き出しに保管し、ラベルには「PC回復キー」と書かないなど工夫してください。また、会社のポリシーで許可されている保管方法を必ず確認しましょう。

まとめ

会社PCの交換時には、BitLocker回復キーの所在を事前に確認することがトラブル防止の鍵です。回復キーはAzure AD、Microsoftアカウント、またはIT部門の管理ツールに保存されていることが多く、自分で取得するか管理者に依頼する必要があります。手順を誤るとデータにアクセスできなくなるリスクがあるため、慌てずに計画的に対応してください。特に、旧PCを初期化する前には必ず回復キーを控えておくことを忘れないでください。安全なデータ移行のために、この記事の手順を参考にしていただければ幸いです。