Bitlocker は、ドライブの暗号化に使用される Windows のデータ暗号化ツールです。暗号化されたドライブは、起動中にトラステッド プラットフォーム モジュール (TPM) によって解放される正しいキーでのみアクセスできます。
TPM は、ハードウェアとソフトウェアのプロファイルが初期設定と一致する場合にのみ、このキーを解放します。プロファイルが一致しない場合は、回復キーを要求する Bitlocker 回復コンソールが表示されます。初期プロファイルと現在のプロファイルが一致しない限り、Bitlocker は回復キーを要求し続けます。
これとは別に、ブート ドライブ設定の変更、バグのある BIOS、または復号化キーとプラットフォームの不適切な構成構成レジスタ (PCR) の設定は、この問題の他の考えられる原因です。
起動のたびに Bitlocker が回復キーを要求するのを修正する方法
システムでハードウェアまたはファームウェアの変更を試みる前に Bitlocker を一時停止および再開すると、プロンプトが表示されなくなります
リカバリ キーがわからない場合、Bitlocker リカバリ セットアップでスタックする可能性があります。このようなシナリオでセットアップを回避するには、他のコンピューターを使用してログインし、Microsoft アカウント内で回復キーを見つけることができます。
BIOS の更新
議論されている問題は、バグのある BIOS が原因で発生しています。場合によっては、古いバージョンの BIOS が TPM ハードウェア モジュールと互換性がないことが判明しました。マザーボードの製造元は、このようなバグや非互換性をアップデートで解決する傾向があります。
したがって、問題を解決するために BIOS の更新を試すことができます。
Windows + R キーを押して ファイル名を指定して実行 を開きます。 msinfo32 と入力して、システム情報を開きます。ベースボード メーカーとベースボード製品に対応する値を確認してください。同様に注意してください。
次に、製造元の公式サイトにアクセスして、BIOS/ファームウェアを検索します。ダウンロードしてインストールし、画面の指示に従って BIOS を更新します。
多くのシステムでは、特定の OEM ツールをダウンロードして、このファームウェア更新プロセスを容易にすることができます。 Acer care center、Dell Support Assist などは、この目的のための OEM アプリケーションの例です。
BIOS 構成の変更
USB Type-C および Thunderbolt ケーブル接続には、デフォルトがあります。 したがって、これらのケーブルを使用してシステムに I/O デバイスを接続した場合、BIOS はそれを起動優先リストにリストし、システムの変更と見なします。
Bitlocker は、ログインするために回復キーを自動的に要求します。これを修正するには、本当に必要でない限り、BIOS から USB タイプ C および TBT ケーブルの起動サポートを無効にすることができます。
起動します。コンピュータを起動し、起動する前に BIOS キー (通常は F2、F8 などのファンクション キー) を押し続けます。矢印キーを使用して、システム構成 > USB 構成に進みます。
Type-C/Thunderbolt の Boot と Pre の Disable を選択します-boot に対応。
UEFI ネットワーク スタックを無効にします。 ファスト ブートを有効にします。
Bitlocker を再度有効にする
場合によっては、保存されたハードウェア/ソフトウェア プロファイルが TPM の PCR 内で更新されないことがあります。そのため、起動ごとにハードウェア プロファイルの変更としてフラグが立てられ、アクセスするには回復キーが必要になります。
暗号化を解除してからドライブを暗号化すると、一時的な不具合が修正されます。通常、管理者特権のコマンド プロンプトで manage-bde –protectors –disable C: および manage-bde –protectors –enable C: コマンドを実行すると、問題が解決します。
ただし、グループ ポリシー エディターから BitLocker の設定を変更して、問題をさらに解決することができます。
手順 1: Bitlocker をオフにする
Windows キーを押して、次のように入力します。 Bitlocker の管理。 Bitlocker をオフにするをクリックします。
[Bitlocker をオフにする] ボタンをクリックして確定します。
ステップ 2: グループ ポリシーを構成する
Windows + R を押して [ファイル名を指定して実行] を開きます。 gpedit.msc と入力して Enter キーを押します。
展開 コンピュータの構成 >管理用テンプレート>Windows コンポーネント、Bitlocker ドライブ暗号化。 オペレーティング システム ドライブをクリックします。
右側のセクションで、[ネイティブ UEFI ファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する] 
[有効] ラジオ ボタンを選択し、次を除くすべてのオプションのチェックを外します:
PCR 0
PCR 2
PCR 4
PCR 11 
少し古い方向けCSM を含むファームウェアを搭載したシステムの場合、[BIOS ベースのファームウェア構成用に TPM プラットフォーム検証プロファイルを構成する > 有効] をクリックし、PCR 以外のオプションのチェックを外して続行します 0, 2 、4、8、9、10、11。 [適用] で確定し、[OK] をクリックします。
これで、Bitlocker をオンにして、問題を修正することができます。
レガシー BIOS を使用する
多くのメーカーは、TPM に関係なく、自社製品で UEFI BIOS モードを推し進めています。モデル。 UEFI は TPM 1.2 と TPM 2.0 の両方でうまく機能しますが、以前のバージョンでは最新の UEFI モードとの互換性の問題が発生することがあります。その場合は、レガシー BIOS モードに切り替えて、問題が解決するかどうかを確認できます。
BIOS セットアップ メニューに入り、[ブート] タブに移動します。 ブート モードから レガシー を選択します。
F10 または画面上の任意のキーを押して変更を保存し、終了します。
セキュア ブートを無効にする
メーカーはセキュア ブート機能をデフォルトで有効にして、許可されていないハードウェアまたはソフトウェア コンポーネントを使用してデバイスが起動するのを防ぎます。そのため、有効にすると、システム メーカーが信頼するコンポーネントのみにアクセスが許可されます。
この機能は、多くの Linux オペレーティング システムとあまり人気のない GPU を実行しようとしたときに問題を示します。問題を回避するには、BIOS からセキュア ブート機能を無効にしてみてください。
BIOS メニューに入り、[ブート] タブまたは [セキュリティ] に移動します。 セキュア ブートを検索し、その状態を無効に変更します。
マルウェアのスキャン
マルウェアは、システム内のカーネル レベルのプロセスに影響を与えることができます。コンピューターの既定の動作を操作できます。これは、TPM スキャンでシステム プロファイルの変更としてカウントされます。このようなプロファイルの変更がすべてのアクティブなセッションで発生する場合、再起動のたびに回復キーが必要になります。
議論された問題やその他のセキュリティ リスクから保護するために、システム上の脅威を定期的にチェックする必要があります。
Windows + I キーで 設定 を開きます。 プライバシーとセキュリティ > Windows セキュリティ
ウイルスと脅威の防止をクリックします
次に、[スキャン オプション] をクリックします。
Microsoft Defender ウイルス対策 (オフライン スキャン) を選択し、 今すぐスキャン ボタン。
コンピューターを再起動し、フル スキャンを実行してから脅威への対処を行うまでに時間がかかります。
Windows Update
Windows を更新すると、バグが修正され、現在のバージョンの TPM/Bitlocker の互換性の問題も解決されます。場合によっては、BIOS やその他のドライバーの更新も Windows の更新と共にバンドルされ、説明した問題を含むさまざまな問題が修正されます。
Windows + I キーを押して 設定 を開きます。 Windows Update に移動し、[更新プログラムの確認] ボタンをクリックします。
[ダウンロードしてインストール] ボタンをクリックし、画面の指示に従って更新を完了します。
更新中に問題が発生した場合は、Windows Update コンポーネントのリセットを検討してください。
Windows 更新のインストール後に問題が発生した場合は、更新をアンインストールしてロールバックできます。
設定の Windows Update > 更新履歴 に移動します。
アップデートのアンインストールまでスクロールしてクリックします。
最後のアップ内で アンインストール をクリックします表示されているリストの日付。これが最新のものです。
を押しますアンインストールボタンをクリックして確認します。
TPM の問題を解決する
原因に関係なく、この問題は起動中に「TPM が復号化キーを解放していません」と要約されます。この問題は、上記のすべての問題ではなく、TPM 自体にも存在する可能性があります。保存されている古い復号化キー、破損したドライバー、または欠陥のあるモジュールが原因として考えられます。
TPM キーをクリアする
TPM 内に保存されているキーが間違っている場合、デバイスには議論されている問題が表示されます。再起動するたびに。 TPM をクリアすると、キーが削除され、Bitlocker がデフォルトの状態から再初期化されて問題が修正されます。
Windows + R を押して ファイル名を指定して実行 を開きます。 tpm.msc と入力して Enter キーを押します。
をクリックしますTPM をクリア…
再起動をクリックしますボタン。
TPM ドライバーの再インストール
破損した TPM ドライバーも、TPM の全体的な機能に問題を引き起こす可能性があります。ドライバーを再インストールして修正することができます。
[実行] に devmgmt.msc と入力して デバイス マネージャー を開きます。
ダブルクリックして、[セキュリティ デバイス] カテゴリを展開します。
トラステッド プラットフォーム モジュールを右クリックし、デバイスのアンインストールを選択します。
アンインストールで確認しますボタン。次に、[アクション] メニューをクリックして、[ハードウェア変更のスキャン] を選択します。
ドライバーはまもなく再インストールされます。
TPM を交換してください
この問題が解決しない場合は、可能性があります。 TPM モジュールのハードウェア自体に障害があります。このような場合は、TPM の交換についてメーカーのサポートに連絡することを検討してください。
