BitLockerで暗号化したパソコンを修理に出した際、メーカーから「回復パスワードを入力する画面が表示された」との連絡があった。回復パスワードを聞かれることは想定内ではあったが、これを探すのに苦労した。

回復パスワードは後述の方法でActiveDirectoryに保管するようにしていたが、全く見当たらない。数日かけて探してみて、ようやく確認方法が分かったのでメモ。

事前準備

ActiveDirectory環境でBitLockerを使用している場合、グループポリシーを使って回復パスワードをActiveDirectoryに保管できる。

回復パスワードを保管するには、グループポリシー管理エディタから「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「BitLockerドライブ暗号化」を開き、「Active DirectoryドメインサービスにBitLocker回復情報を保存する」を有効にする。

回復パスワード確認方法

サーバーマネージャーから「Active Directoryユーザーとコンピューター」を開き、回復パスワードを確認したいコンピューターを右クリック→「プロパティ」を押す。

「BitLocker 回復」タブで回復パスワードを確認できる。

「BitLocker 回復」タブが表示されない場合

私がまさにその状況だったのだが、下記画像のように「BitLocker 回復」タブが表示されなかった。

いろいろ調べたところ、これを表示するにはサーバーに「BitLocker ドライブ暗号化管理ユーティリティ」をインストールする必要があるということが分かった。

BitLocker ドライブ暗号化管理ユーティリティについては、下記リンク先の記事を参考。

learn.microsoft.com

以下、リンク先本文より引用。

2008 R2 以降の Windows Server バージョンでは、BitLocker ドライブ暗号化管理ユーティリティ機能にアクセスできます。これは、BitLocker の管理に役立ちます。 機能をインストールすると、BitLocker Active Directory 回復パスワード ビューアーが含まれるので、Active Directory のユーザーとコンピューターには BitLocker 回復情報が追加されます。

回復パスワードを表示させるには回復パスワードビューアーが必要とのこと。下記リンク先の記事によると、既定ではBitLockerはインストールされていないみたい。

learn.microsoft.com

以下、リンク先本文より引用。

すべての Windows Server エディションでは、BitLocker は既定ではインストールされませんが、サーバー マネージャーまたはWindows PowerShellコマンドレットを使用してインストールできます。

今回は試していないけど、記事によるとPowerShellでもインストールできるみたい。

インストール方法

サーバーマネージャーの「役割と機能の追加」からインストールする。

機能の追加画面で「リモート サーバ管理ツール」→「機能管理ツール」の中に「BitLocker ドライブ暗号化管理ユーティリティ」があるので、全てチェックを入れてインストールする。*1

インストール後、「BitLocker 回復」タブが増えていることを確認する。

おわりに

BitLockerはドライブ全体を暗号化するので、回復パスワードが分からないと暗号化が解除できない。セキュリティ対策としては優秀だと思うが、いざというときにすぐに回復パスワードが確認できないとデータが取り出せなくなって詰むので注意。