Ask CORE

Microsoft Japan Windows Technology Support

Windows 10 1803 で AD DS に BitLocker の回復情報が保存できない

こんにちは、Windows プラットフォーム サポートの國重です。
本記事では、Windows 10 バージョン 1803 で確認されている BitLocker ドライブ暗号化機能の問題についてご紹介いたします。

更新履歴
2018/8/1
回避策に追記しました。

事象


Windows 10 バージョン 1803 で Active Directory に BitLocker の回復情報が保存できない問題が報告されております。
本問題が発生した場合、以下のエラーメッセージが表示されますが、Windows 10 バージョン 1803 の動作によって発生している問題であることが確認されており、Active Directory ドメイン サービス スキーマの構成に問題はございません。

発生条件


本問題は以下 2 つの条件を満たす場合に発生し、ドメイン アカウントの資格情報を使用して BitLocker を有効化した場合は発生しません。

1. グループ ポリシーで Active Directory に BitLocker の回復情報を保存するように構成している。(*1 確認方法)
2. ローカル アカウントの資格情報を使用して BitLocker を有効化している。

回避策


本問題は KB4458469  で修正されております。

 2018 9 27 — KB4458469 (OS ビルド 17134.320)
 https://support.microsoft.com/ja-jp/help/4458469/windows-10-update-kb4458469

KB4458469 を適用していただくか、以下いずれかの手段で BitLocker を有効化いただきますようお願い申し上げます。

1. ドメインの管理者アカウントで BitLocker を有効化します。
2. ドメインの管理者アカウントが使用できない場合は、ドメイン アカウントを一時的にローカルの Administrators グループに所属させて BitLocker を有効化します。

補足


*1 グループ ポリシーの確認方法
下記 3 つのグループ ポリシー内にある “AD DS に xxxx の BitLocker 回復情報を保存する” を有効にしている場合、BitLocker の暗号化を開始する際に BitLocker の回復情報が Active Directory に保存されます。

– グループ ポリシー名
[BitLocker で保護されているオペレーティング システム ドライブの回復方法を選択する]
[BitLocker で保護されている固定データ ドライブの回復方法を選択する]
[BitLocker で保護されているリムーバブル データ ドライブの回復方法を選択する]

– グループ ポリシー エディター上の設定画面