概要
Windows 11 24H2 では Home エディションでも Bitlocker が有効化されることが Microsoft 社より公表されました。
デバイス暗号化は、オペレーティング システム ドライブと固定ドライブに対して BitLocker 暗号化を自動的に有効にする Windows 機能です。 これは、複雑なセキュリティ設定を管理することなく、個人情報を安全に保ちたい日常的なユーザーにとって特に有益です。
Windows でのデバイス暗号化 – Microsoft サポート
~~~~~省略~~~~~
Windows Pro、Enterprise、Education の各エディションで使用できる BitLocker ドライブ暗号化とは異なり、Device Encryption は、Windows Home を実行するデバイスを含む幅広いデバイスで使用できます。
実際に検証してみて、これが本当かどうかを確かめてみます。
Windows 11 24H2 へのアップグレードに必要な容量は、こちらの記事で検証しています。
※本検証は 25H2 でも同様の結果を確認できています。
Windows 11 24H2 Pro の動作
1.OS をインストール。OOBE の [Microsoft アカウントを追加しましょう] では、Microsoft アカウントを追加。
2.無事起動。バージョンは 24H2、Windows 11 Pro になっていることを確認。
3.[設定] – [プライバシーとセキュリティ] – [デバイスの暗号化] にて、[デバイスの暗号化] が自動で有効になっていることを確認。
4.一部では、「これは Bitlocker ではないのでは?」と言っている人がいたが、[コントロールパネル] の [Bitlocker ドライブ暗号化] では “Bitlocker が有効です” となっていることを確認。
5.[Microsoft アカウント] には Bitlocker の 回復キーが登録されていることを確認。
6.OS が格納されたディスクを別 PC に移して、起動したところ、回復キーが求められることを確認。
Windows 11 24H2 Home の動作
Pro では初期セットアップすると、自動で Bitlocker が有効化されたことは確認できました。
ここでは、24H2 を Microsoft アカウントアカウントに紐づけ、BypassNRO を実施、23H2 Home をインプレースアップグレードした状態で自動で Bitlocker が有効化されるかも確認します。
24H2 を初期セットアップした場合 (Microsoft アカウントに紐づけ)
1.Windows 11 24H2 Home を初期セットアップにて、Microsoft アカウントに紐づけると、自動でデバイスの暗号化が有効化された。
これは不具合かどうか不明だが、[コントロールパネル] – [デバイスの暗号化] では、”Bitlocker が有効です” が表記されなかった。
24H2 を初期セットアップした場合 (ローカルアカウント作成)
初期セットアップした後、ローカルアカウント作成:BypassNRO を実施した場合である。
BypassNRO の操作については、こちらを参考に。
1.BypassNRO を実施後、Windows 起動した際は Bitlocker はなんと有効化された。
コントロールパネルの “デバイスの暗号化” では、何も表示されていないが、”設定” では有効化されているようだ。
23H2 から機能更新した場合 (Microsoft アカウント紐づけ)
Windows 11 23H2 Home を作成した状態で、Microsoft アカウントに紐づけした状態。
アップグレード後、Bitlocker は有効化されていなかった。
※この際はバージョン 25H2。
23H2 から機能更新した場合 (ローカルアカウント)
※この状態では Microsoft アカウントを紐づけていない。
Windows 11 23H2 Home を作成し、そこから 24H2 へアップグレードした場合である。
1.Windows 11 23H2 Home を作り、[設定] と [コントロールパネル] のどちらにも Bitlocker がないことを確認。
2.機能更新後、Windows 11 24H2 で Home であったが、[デバイスの暗号化] は自動で有効化されなかった。
ただし、[オン] にすることはできるようで、Windows 11 24H2 からは Home で Bitlocker が使える (使わされる) ことは本当のようである。
Windows 10 からインプレースアップグレード
1.Windows 10 22H2 を Microsoft アカウントに紐づけた状態で、Windows Update からインプレースアップグレードを行う。
Windows 10 22H2 の状態では、Bitlocker は有効化されていないことを確認。
2.Windows Update から Windows 11 へインプレースアップグレード。
[デバイスの暗号化] を確認したところ、Bitlocker は有効化されていなかった。
結果
以上のシナリオと結果です。
結果的に、Bitlocker が自動で有効化されないパターンは、23H2 からアップグレードした場合と Windows 10 をインプレースアップグレードした場合でした。
つまり 24H2 以降、新規でセットアップすると有効化されます。
| 現状 | アップグレード後 | Microsoft アカウント 紐づけ | Bitlocker 結果 |
| Windows 11 24H2 新規インストール | – | 〇 | 有効化される |
| Windows 11 24H2 新規インストール | – | × | 有効化される |
| Windows 11 23H2 | Windows 11 24H2 | 〇 | 有効化されない |
| Windows 11 23H2 | Windows 11 24H2 | × | 有効化されない |
| Windows 10 22H2 | Windows 11 24H2 | 〇 | 有効化されない |
ちなみに Microsoft の公式ドキュメントでは、ローカルアカウントでは自動で有効化されない、と明記されていますが、実環境と異なります。
※2025年11月7日現在でも、ローカルアカウントでセットアップしても、Bitlockerは自動で有効化されました。
Microsoft アカウントまたは職場または学校アカウントを使用してデバイスに初めてサインインまたは設定すると、Device Encryption が有効になり、そのアカウントに回復キー がアタッチされます。 ローカル アカウントを使用している場合、Device Encryption は自動的にオンになりません。
Windows でのデバイス暗号化 – Microsoft サポート
補足
デバイスの暗号化を有効にする場合、デバイス要件も満たさないといけないです。
以下は利用できない環境:
- TPM が無効、もしくは TPM が利用できない環境
- WinRE が設定されていない
- セキュアブートが無効化されている、もしくはドッキングステーションや特殊な NIC を使っている
デバイス暗号化のサポートステータスを表します:
Device Encryption in Windows – Microsoft Support
- 前提条件を満たしています: デバイス暗号化はデバイスで利用可能です。
- TPM is not usable: お使いのデバイスにTPM(Trusted Platform Module)が搭載されていないか、BIOSまたはUEFIでTPMが有効になっていません。
- WinRE が設定されていない: デバイスに Windows Recovery Environment が設定されていません。
- PCR7バインディングがサポートされていない BIOS/UEFIでセキュア・ブートが無効になっている、またはブート中に周辺機器(特殊なネットワーク・インターフェース、ドッキング・ステーション、外付けグラフィック・カードなど)がデバイスに接続されている。
