概要
Windows 11 24H2 では Home エディションでも Bitlocker が有効化されることが Microsoft 社より公表されました。
デバイス暗号化は、オペレーティング システム ドライブと固定ドライブに対して BitLocker 暗号化を自動的に有効にする Windows 機能です。 これは、複雑なセキュリティ設定を管理することなく、個人情報を安全に保ちたい日常的なユーザーにとって特に有益です。
Windows でのデバイス暗号化 – Microsoft サポート
~~~~~省略~~~~~
Windows Pro、Enterprise、Education の各エディションで使用できる BitLocker ドライブ暗号化とは異なり、Device Encryption は、Windows Home を実行するデバイスを含む幅広いデバイスで使用できます。
実際に検証してみて、これが本当かどうかを確かめてみます。
Windows 11 24H2 へのアップグレードに必要な容量は、こちらの記事で検証しています。
Windows 11 24H2 Pro の動作
1.OS をインストール。OOBE の [Microsoft アカウントを追加しましょう] では、Microsoft アカウントを追加。
2.無事起動。バージョンは 24H2、Windows 11 Pro になっていることを確認。
3.[設定] – [プライバシーとセキュリティ] – [デバイスの暗号化] にて、[デバイスの暗号化] が自動で有効になっていることを確認。
4.一部では、「これは Bitlocker ではないのでは?」と言っている人がいたが、[コントロールパネル] の [Bitlocker ドライブ暗号化] では “Bitlocker が有効です” となっていることを確認。
5.[Microsoft アカウント] には Bitlocker の 回復キーが登録されていることを確認。
6.OS が格納されたディスクを別 PC に移して、起動したところ、回復キーが求められることを確認。
Windows 11 24H2 Home の動作
Pro では初期セットアップすると、自動で Bitlocker が有効化されたことは確認できました。
ここでは、24H2 を Microsoft アカウントアカウントに紐づけ、BypassNRO を実施、23H2 Home をインプレースアップグレードした状態で自動で Bitlocker が有効化されるかも確認します。
24H2 を初期セットアップした場合 (Microsoft アカウントに紐づけ)
1.Windows 11 24H2 Home を初期セットアップにて、Microsoft アカウントに紐づけると、自動でデバイスの暗号化が有効化された。
これは不具合かどうか不明だが、[コントロールパネル] – [デバイスの暗号化] では、”Bitlocker が有効です” が表記されなかった。
24H2 を初期セットアップした場合 (ローカルアカウント作成)
初期セットアップした後、ローカルアカウント作成:BypassNRO を実施した場合である。
BypassNRO の操作については、こちらを参考に。
1.BypassNRO を実施後、Windows 起動した際は Bitlocker はなんと有効化された。
コントロールパネルの “デバイスの暗号化” では、何も表示されていないが、”設定” では有効化されているようだ。
23H2 からインプレースアップグレードした場合
Windows 11 23H2 Home を作成し、そこから 24H2 へアップグレードした場合である。
1.Windows 11 23H2 Home を作り、[設定] と [コントロールパネル] のどちらにも Bitlocker がないことを確認。
※この状態では Microsoft アカウントを紐づけていない。
2.インプレースアップグレード後、Windows 11 24H2 で Home であったが、[デバイスの暗号化] は自動で有効化されなかった。
ただし、[オン] にすることはできるようで、Windows 11 24H2 からは Home で Bitlocker が使える (使わされる) ことは本当のようである。
Windows 10 からインプレースアップグレード
1.Windows 10 22H2 を Microsoft アカウントに紐づけた状態で、Windows Update からインプレースアップグレードを行う。
Windows 10 22H2 の状態では、Bitlocker は有効化されていないことを確認。
2.Windows Update から Windows 11 へインプレースアップグレード。
[デバイスの暗号化] を確認したところ、Bitlocker は有効化されていなかった。
結果
以上のシナリオと結果です。
結果的に、Bitlocker が自動で有効化されないパターンは、23H2 からローカルアカウント (Microsoft アカウントを紐づけていない) を使用しアップグレードした場合と Windows 10 をインプレースアップグレードした場合のみでした。
| 現状 | アップグレード後 | Microsoft アカウント 紐づけ | Bitlocker 結果 |
| Windows 11 24H2 新規インストール | – | 〇 | 有効化される |
| Windows 11 24H2 新規インストール | – | × | 有効化される |
| Windows 11 23H2 | Windows 11 24H2 | × | 有効化されない |
| Windows 11 23H2 | Windows 11 24H2 | 〇 | 有効化される |
| Windows 10 22H2 | Windows 11 24H2 | 〇 | 有効化されない |
補足
デバイスの暗号化を有効にする場合、デバイス要件も満たさないといけないです。
以下は利用できない環境:
- TPM が無効、もしくは TPM が利用できない環境
- WinRE が設定されていない
- セキュアブートが無効化されている、もしくはドッキングステーションや特殊な NIC を使っている
デバイス暗号化のサポートステータスを表します:
Device Encryption in Windows – Microsoft Support
- 前提条件を満たしています: デバイス暗号化はデバイスで利用可能です。
- TPM is not usable: お使いのデバイスにTPM(Trusted Platform Module)が搭載されていないか、BIOSまたはUEFIでTPMが有効になっていません。
- WinRE が設定されていない: デバイスに Windows Recovery Environment が設定されていません。
- PCR7バインディングがサポートされていない BIOS/UEFIでセキュア・ブートが無効になっている、またはブート中に周辺機器(特殊なネットワーク・インターフェース、ドッキング・ステーション、外付けグラフィック・カードなど)がデバイスに接続されている。
