Ask CORE

Microsoft Japan Windows Technology Support

Windows 10 1803 で AD DS に BitLocker の回復情報が保存できない

こんにちは、Windows プラットフォーム サポートの國重です。
本記事では、Windows 10 バージョン 1803 で確認されている BitLocker ドライブ暗号化機能の問題についてご紹介いたします。

更新履歴
2018/8/1
回避策に追記しました。

事象


Windows 10 バージョン 1803 で Active Directory に BitLocker の回復情報が保存できない問題が報告されております。
本問題が発生した場合、以下のエラーメッセージが表示されますが、Windows 10 バージョン 1803 の動作によって発生している問題であることが確認されており、Active Directory ドメイン サービス スキーマの構成に問題はございません。

発生条件


本問題は以下 2 つの条件を満たす場合に発生し、ドメイン アカウントの資格情報を使用して BitLocker を有効化した場合は発生しません。

 1. グループ ポリシーで Active Directory に BitLocker の回復情報を保存するように構成している。(*1 確認方法)
 2. ローカル アカウントの資格情報を使用して BitLocker を有効化している。

回避策


現在、弊社では本問題が修正されるよう調査/作業を進めております。

本問題はローカル アカウントの資格情報を使用した場合に発生し、ローカル アカウントで BitLocker の回復情報を Active Directory に保存する手段につきましては、回避策がございません。
大変ご迷惑をおかけいたしますが、本問題が発生した場合は以下いずれかの手段で BitLocker を有効化いただきますようお願い申し上げます。

 1. ドメインの管理者アカウントで BitLocker を有効化します。
 2. ドメインの管理者アカウントが使用できない場合は、ドメイン アカウントを一時的にローカルの Administrators グループに所属させて BitLocker を有効化します。

補足


*1 グループ ポリシーの確認方法
下記 3 つのグループ ポリシー内にある “AD DS に xxxx の BitLocker 回復情報を保存する” を有効にしている場合、BitLocker の暗号化を開始する際に BitLocker の回復情報が Active Directory に保存されます。

– グループ ポリシー名
[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する]
[BitLocker で保護されている固定データ ドライブの回復方法を選択する]
[BitLocker で保護されているリムーバブル データ ドライブの回復方法を選択する]

– グループ ポリシー エディター上の設定画面