BitLocker 回復キーの管理

BitLocker を使ってディスクを暗号化すると、回復キーと呼ばれる暗号化を解除する情報が自動作成されます。普段は回復キーを利用することはありませんが、BIOS アップデート時など Windows の起動トラブルが発生した場合、次のような [BitLocker回復] 画面が表示されることがあり、回復キーを求められます。

BitLocker 回復キーの保存先

回復キーは BitLocker を有効とした時に自動的に作成され、指定した場所に保存されます。

以前 UP した [Intune で BitLocker を自動で有効化する] でご紹介した BitLocker を自動で有効化する方法を利用した場合は、回復キーは Azure AD 上にに保存されます。
手動で BitLocker を有効化する場合は、設定時に保存先を指定でき、保存先として [ファイルに保存する] や [回復キーを印刷する] などが選択できますが、[Azure AD アカウントに保存する] を選択し、Azure AD で一元管理する方法がおすすめです。

※ [Azure AD アカウントに保存する] ではなく [クラウド ドメイン アカウントに保存する] と表示される場合があります。

[Azure AD アカウントに保存する] を選択した場合、デバイスがオフライン環境であるなど Azure AD に接続できない場合はエラーとなります。インターネット接続状態を確認し、Azure AD に接続できる環境で再度 [Azure AD アカウントに保存する] を選択して実行してください。

BitLocker 回復キーの確認方法

デバイス利用者が確認する場合

1. 365 にサインインを行い、画面右上のプロファイル写真をクリックし、[アカウントを表示] をクリックします。
2. [デバイス] をクリックします。
3. 対象のデバイスをクリックし、[BitLocker キーの表示] をクリックします。
   
4. [Show recovery key] をクリックします。
   
5. 回復キーが確認できます。
   

 管理者が確認する場合

Microsoft 365 管理者は、登録されているすべてのデバイスの回復キーを確認できます。

1. Azure Active Directory admin center (https://aad.portal.azure.com) を開きます
2. [Azure Active Directory] – [デバイス] をクリックします。
   
3. 対象のデバイスをクリックします。
   
4. [Show Recovery Key] をクリックします。
   
5. 回復キーが確認できます。
   

回復キーは普段利用することはありませんが、組織として管理しておきたい項目のひとつです。Azure AD で行うことで、Microsoft 365 の他のサービスとあわせて一元管理することができ、IT 管理者の管理負担も削減できます。