BitLocker(ビットロッカー)が、いつの間にか有効に
Windowsの更新などでBitLockerが意図せずにONになってしまうことがあるらしい。私の場合は、WindowsのHomeエディションで、BitLockerの機能が利用可能になり、しかも、デフォルトでONになっているのをキッティング時に発見したため、慌てて対策を取ることにした。
管理者ユーザーは、MSアカウントに
結論から言うと、BitLocker対策は、ロックされた時に確実に「回復キー」を手に入れられるようにすることだ。そのための第一歩は、(なにか悔しいような気もするのだが、)Microsoftアカウントを作り、PCを紐づけていくことだ。BitLockerがONになってしまった場合は、Microsoftアカウントの管理サイトにログインできれば、「回復キー」も入手できる、はずだ。
1つのMSアカウントでデバイスをすでに30台以上、登録している
そういうわけで、Windows11以降、PCをキッティングする際は、PCの「管理者」ユーザーは、いつも「ローカルアカウント」ではなく、MSアカウントにしている。一部ネットでは、一つのMSアカウントで管理できるデバイスは10台まで、という情報もあったが、現在、すでに30台以上、一つのMSアカウントで問題なく管理できている。私が勤務先で管理しているWindows11のPCは、全て、MSアカウントでの管理下になっている。これはこれで、楽といえば楽。
追記:未確認情報ですが、50台まで登録すると、古いものから登録が抹消されてしまう可能性があります。複数のデバイスを登録されている方は、ご注意ください。文末の追記もご参照ください。
BitLockerの回復キーを見るときは、2要素認証が必要
今年(2023年)の8月、実際に会社のPCが4台、BitLockerにロックされてしまった。が、MSアカウントで管理していたおかげで、4台とも問題なく、「回復キー」による復旧ができて事なきを得た。ただ、「回復キー」をコピーして社員に送るため、「回復キー」の一覧ページにアクセスしようとすると、2要素認証で、IDのメールアドレスに送られるコードの入力が必要になる。普段使っていないメールアドレスをIDにすると、少々面倒だ。
PC名をわかりやすい名前に変更しておく
30台も一つのMSアカウントで管理していると、「回復キー」も30個、一覧表示されることなる。BitLockerでロックされると、ブルースクリーン上に「回復キー」の識別コードも表示されるので、どれがロックされたPCの「回復キー」か特定することはできるが、ロックされたPCの(パニクっている)ユーザーにその識別コードを確認させ、連絡させなければならない。その点、「回復キー」一覧には、PC名も表示されるので、キッティング時、わかりやすいPC名前に変更しておくと、識別キーに頼る必要がなくなるのでよい。
余談
あとこれは余談だが、4台のうちの1台がロックされた時、私は休暇でソウルにいた。ネットが使える場所に着いてPCを開き、MSの管理ページにログインしたら、表示がハングル語になっていて笑った。WindowsOSの位置情報でブラウザの表示を最適化する、みたいなオプションがONになっていたためだろう。同行者にハングル語を1年で習得した秀才がいたので、そのまま、そいつに読み上げてもらいながら操作してみて、なかなか楽しかった。IT系異国情緒。PCのトラブル対応が、旅の思い出になってしまったw
追記:MSアカウントのデバイス管理画面から数台、勝手に消える?
重要情報。一昨日、2024年6月11日、MSアカウントのデバイス一覧から数台、登録が消えているのを発見。現在、50台以上、登録しているはずだが、49台に。50台以上になると、登録情報が勝手に消されてしまうのかもしれない。サポートに問い合わせるも、たらい回しにされ、まだ確認が取れていない。利用の際はご注意ください。未確認情報ですが、取り急ぎ、お知らせまで。
