BitLocker が起動するたびにパスワードを要求する本当の原因と回避方法

最終更新: 09/10/2025
著者: クリスチャンガルシア

  • BitLocker は、ブートの変更 (TPM/BIOS/UEFI、USB-C/TBT、セキュア ブート、外部ハードウェア) 後に回復状態に入ります。
  • キーは MSA、Azure AD、AD 内にのみ存在し、ユーザーが印刷または保存したものであり、キーがないと復号化できません。
  • 解決策: BitLocker を一時停止/再開し、WinRE で manage-bde を実行し、BIOS (USB-C/TBT、セキュア ブート) を調整し、BIOS/Windows を更新します。

BitLockerは起動のたびに回復キーを要求する

¿BitLocker は起動のたびに回復キーを要求しますか? BitLocker が起動のたびに回復キーを要求するようになると、BitLocker は静かなセキュリティレイヤーとしての役割を果たせなくなり、日常的に煩わしいものになります。このような状況は、多くの場合、警鐘を鳴らすことになります。「何か不具合があるのだろうか? BIOS/UEFI のどこかを触ってしまったのだろうか? TPM が壊れているのだろうか? それとも Windows が警告なしに「何か」を変更したのだろうか?」と。しかし実際には、ほとんどの場合、BitLocker 自体はまさに必要な動作をしています。 潜在的に安全でないブートを検出した場合はリカバリモードに入る.

重要なのは、なぜこのようなことが起こるのか、キーはどこで見つけられるのか、そして再びキーの入力を求められないようにするにはどうすればよいのかを理解することです。実際のユーザー体験(HP Envyの再起動後に青いメッセージが表示されたユーザーなど)とメーカーの技術資料に基づくと、非常に具体的な原因(USB-C/Thunderbolt、セキュアブート、ファームウェアの変更、ブートメニュー、新しいデバイス)があり、 信頼できるソリューション 特別なトリックは必要ありません。さらに、鍵を紛失した場合に何ができて何ができないかを明確に説明します。 回復キーがなければデータを復号化することはできません.

BitLocker 回復画面とは何ですか? なぜ表示されるのですか?

BitLockerはシステムディスクとデータドライブを暗号化し、 不正アクセスから保護するブート環境(ファームウェア、TPM、ブートデバイスの順序、接続された外部デバイスなど)の変更を検出すると、リカバリモードを起動し、 48桁のコードこれは通常の動作であり、Windows では誰かがパラメータを変更してマシンを起動し、データを抽出しようとするのを阻止しています。

マイクロソフトは率直にこう説明しています。「Windowsは、不正アクセスの試みを示唆する危険な状態を検出した場合にキーを要求します。管理されたコンピューターまたは個人用コンピューターでは、 BitLockerは常に管理者権限を持つユーザーによって有効化されます (あなた、他の誰か、またはあなたの組織)。そのため、この画面が繰り返し表示される場合、BitLockerが「壊れている」のではなく、 ブーツの中の何かが毎回変わる チェックをトリガーします。

BitLockerが起動時に毎回キーを要求する本当の理由

WindowsのBitLockerの11

メーカーやユーザーによって記録されている非常に一般的な原因がいくつかあります。原因の特定は状況によって異なるため、確認する価値があります。 適切な解決策を選択する:

  • USB-C/Thunderbolt (TBT) ブートおよびプリブートが有効多くの最近のコンピューターでは、USB-C/TBTブートサポートとThunderboltプリブートがBIOS/UEFIでデフォルトで有効になっています。これにより、ファームウェアが新しいブートパスをリストし、BitLockerがそれを変更と解釈してキーの入力を求めることがあります。
  • セキュアブートとそのポリシー- ポリシーを有効化、無効化、または変更すると (たとえば、「オフ」から「Microsoft のみ」へ)、整合性チェックがトリガーされ、キーの入力を求めるプロンプトが表示される場合があります。
  • BIOS/UEFIおよびファームウェアのアップデートBIOS、TPM、またはファームウェア自体を更新すると、重要なブート変数が変更されます。BitLocker はこれを検出し、次回の再起動時にキーの入力を求めます。プラットフォームが不整合な状態のままになっている場合は、その後の再起動でもキーの入力を求めます。
  • グラフィカルブートメニューとレガシーブートWindows 10/11のモダンブートメニューでは、不整合が発生し、回復プロンプトが強制的に表示されることがあります。ポリシーをレガシーに変更すると、この問題が安定する可能性があります。
  • 外部デバイスと新しいハードウェア: Thunderbolt の背後にある USB-C/TBT ドック、ドッキング ステーション、USB フラッシュ ドライブ、外部ドライブ、または PCIe カードがブート パスに表示され、BitLocker の認識内容が変更されます。
  • 自動ロック解除とTPMの状態: データボリュームの自動ロック解除と、特定の変更後に測定値を更新しないTPMは、 定期的な回復プロンプト.
  • 問題のあるWindowsアップデート: 一部の更新プログラムではブート/セキュリティ コンポーネントが変更される可能性があり、更新プログラムが再インストールされるかバージョンが修正されるまでプロンプトが強制的に表示されます。

特定のプラットフォーム(USB-C/TBTポート搭載のDellなど)では、USB-C/TBTブートサポートとTBTプリブートがデフォルトで有効になっていることが典型的な原因であるとDell自身も確認しています。これらを無効にすると、 ブートリストから消える リカバリモードの起動を停止します。唯一のマイナス効果は USB-C/TBT または特定のドックから PXE ブートすることはできません。.

BitLocker 回復キーを見つける場所(そして見つけられない場所)

何かに触れる前に、キーを見つける必要があります。Microsoftとシステム管理者は明確に述べています。 有効な場所はわずかです 回復キーが保存される場所:

  • Microsoft アカウント (MSA)Microsoftアカウントでサインインし、暗号化が有効になっている場合、キーは通常、オンラインプロファイルにバックアップされます。別のデバイスからhttps://account.microsoft.com/devices/recoverykeyで確認できます。
  • アズールAD- 職場/学校アカウントの場合、キーは Azure Active Directory プロファイルに保存されます。
  • オンプレミスの Active Directory (AD): 従来の企業環境では、管理者は キーID BitLocker 画面に表示されます。
  • 印刷またはPDF: 暗号化を有効にした際に印刷したか、ローカルファイルやUSBドライブに保存した可能性があります。バックアップもご確認ください。
  • ファイルに保存 適切な方法に従っている場合は、別のドライブまたは組織のクラウドに保存します。
限定コンテンツ - ここをクリックしてください  ファイルのアクティビティを追跡する方法

これらのサイトのいずれにも見つからない場合は、「魔法のショートカット」はありません。 鍵なしでは正当な方法では復号できない一部のデータ復旧ツールでは、WinPE を起動してディスクを調べることができますが、システム ボリュームの暗号化されたコンテンツにアクセスするには 48 桁のキーが必要になります。

始める前に簡単なチェック

時間を節約し、不要な変更を防ぐことができる簡単なテストがいくつかあります。これらを活用して、 本当の引き金を特定する リカバリモードから:

  • 外部のすべてを切断する: ドック、メモリ、ディスク、カード、USB-C 対応モニターなど。基本的なキーボード、マウス、ディスプレイだけで起動します。
  • キーを入力してみてください 一度実行し、Windows に入った後に保護を一時停止および再開して TPM を更新できるかどうかを確認します。
  • BitLockerの実際の状態を確認する コマンドで: manage-bde -statusOS ボリュームが暗号化されているかどうか、その方法 (例: XTS-AES 128)、パーセンテージ、プロテクターがアクティブかどうかが表示されます。
  • キーIDを書き留めます ブルーリカバリ画面に表示されるIDです。ITチームに依頼する場合は、そのIDを使ってAD/Azure AD内の正確なキーを見つけることができます。

解決策1: BitLockerを一時停止して再開し、TPMを更新する

キーを入力してログインできる場合、最も速い方法は 保護の一時停止と再開 BitLocker が TPM 測定値をコンピューターの現在の状態に合わせて更新するようにします。

  1. 入力します 回復キー それが現れるとき。
  2. Windows では、「コントロール パネル」→「システムとセキュリティ」→「BitLocker ドライブ暗号化」に移動します。
  3. システムドライブ(C:)で、 保護を一時停止する。 確認する。
  4. 数分待ってから押してください 保護を再開するこれにより、BitLocker は現在のブート状態を「良好」として受け入れるようになります。

この方法は、ファームウェアの変更やUEFIの軽微な調整を行った後に特に役立ちます。再起動後 パスワードを要求しなくなりました、 BIOS に触れることなくループを解決できます。

解決策2: WinREからプロテクターのロックを解除し、一時的に無効にする

回復プロンプトを通過できない場合、またはブート時にキーが再度要求されないようにしたい場合は、Windows回復環境(WinRE)を使用して 管理-bde プロテクターを調整します。

  1. 回復画面で、 Escキー 詳細オプションを表示して選択する このユニットをスキップ.
  2. トラブルシューティング→詳細オプション→ コマンドプロンプト.
  3. 次の方法で OS ボリュームのロックを解除します。 manage-bde -unlock C: -rp TU-CLAVE-DE-48-DÍGITOS (パスワードに置き換えてください)。
  4. プロテクターを一時的に無効にする: manage-bde -protectors -disable C: 再起動します。

Windowsを起動すると、 履歴書プロテクター コントロールパネルから、または manage-bde -protectors -enable C:ループが消えたかどうかを確認します。この操作は安全であり、通常、システムが安定するとプロンプトの繰り返しが停止します。

解決策3: BIOS/UEFIでUSB-C/ThunderboltとUEFIネットワークスタックを調整する

USB-C/TBTデバイス、特にノートパソコンやドッキングステーションでは、特定のブートメディアを無効にすることで、ファームウェアがBitLockerを混乱させる「新しい」パスを導入するのを防ぐことができます。例えば多くのDellモデルでは、以下のようになります。 推奨オプション:

  1. BIOS/UEFIに入る(通常のキー: F2 o F12 オンにすると表示されます。
  2. 設定セクションを探します USB およびThunderbolt。モデルによっては、「システム構成」、「統合デバイス」などの下にある場合があります。
  3. サポートを無効にする USB-Cブート o サンダーボルト3.
  4. をオフにします USB-C/TBT プリブート (存在する場合は、「TBT の背後にある PCIe」)。
  5. をオフにします UEFIネットワークスタック PXE を使用しない場合。
  6. POST動作で設定する クイックスタート包括的"。

保存して再起動すると、プロンプトは消えます。ただし、以下のトレードオフにご注意ください。 USB-C/TBT または一部のドックから PXE 経由で起動できなくなります。IT 環境で必要な場合は、アクティブな状態を維持し、ポリシーで例外を管理することを検討してください。

限定コンテンツ - ここをクリックしてください  Malwarebytes Anti-Malware が検出するマルウェアは何ですか?

解決策4: セキュアブート(有効化、無効化、または「Microsoftのみ」ポリシー)

セキュアブートはブートチェーン内のマルウェアから保護します。そのステータスやポリシーを変更することが、コンピュータにとってまさに必要なことかもしれません。 ループから抜け出す通常機能する 2 つのオプション:

  • アクティブ化する 無効になっている場合は、ポリシーを選択してください 「マイクロソフトだけ」 互換性のあるデバイスで。
  • 消して 署名されていないコンポーネントまたは問題のあるファームウェアによってキー要求が発生した場合。

変更するには、WinRE → このドライブをスキップ → トラブルシューティング → 詳細オプション → UEFIファームウェア構成 → 再起動します。UEFIで、 安全な立ち上げ 好みのオプションに調整し、F10で保存します。プロンプトが表示されなくなったら、ルートが セキュアブートの非互換性.

解決策5: BCDを使用したレガシーブートメニュー

一部のシステムでは、Windows 10/11のグラフィカルブートメニューを開くと回復モードが起動します。ポリシーを「レガシー」に変更すると、ブートが安定し、BitLockerがキーの入力を再度要求しなくなります。

  1. を開く 管理者としてのコマンドプロンプト.
  2. 実行: bcdedit /set {default} bootmenupolicy legacy Enterキーを押します。

再起動してプロンプトが消えたかどうかを確認してください。何も変わらない場合は、以下の手順で設定を元に戻すことができます。 平等なシンプルさ ポリシーを「標準」に変更します。

解決策6: BIOS/UEFIとファームウェアを更新する

古くなった、またはバグのあるBIOSは、 TPM測定の失敗 強制リカバリモード。メーカー提供の最新の安定バージョンにアップデートすると、通常は非常に便利です。

  1. メーカーのサポートページにアクセスして、最新のものをダウンロードしてください。 BIOS / UEFI あなたのモデルのために。
  2. 具体的な手順を読んでください(WindowsでEXEを実行するだけで十分な場合もありますが、 USB FAT32とフラッシュバック).
  3. プロセス中は、 安定した給餌 中断を避けてください。完了すると、初回起動時にキーの入力を求められる場合があります(通常)。その後、BitLocker をサスペンドしてから再開してください。

多くのユーザーから、BIOSをアップデートした後、しばらくするとプロンプトが表示されなくなるという報告がありました。 シングルキー入力 およびサスペンド/再開保護サイクル。

解決策7: Windows Updateでパッチをロールバックして再統合する

Windowsのアップデートによってブートの重要な部分が変更されている場合もあります。 再インストールまたはアンインストール 問題のあるアップデート:

  1. 設定 → 更新とセキュリティ → Verhistorical de actualizaciones.
  2. 入って アップデートをアンインストールする疑わしいものを識別して削除します。
  3. 再起動、BitLockerを一時停止、再起動 更新プログラムをインストールします その後、保護を再開します。

このサイクルの後にプロンプ​​トが停止した場合、問題は 中間状態 これにより、スタートアップの信頼チェーンが一貫性を失ってしまいました。

解決策8: データドライブの自動ロック解除を無効にする

複数の暗号化ドライブがある環境では、 自動ロック解除 TPMによるデータボリュームロックが干渉する可能性があります。コントロールパネル→BitLocker→「自動ロック解除を無効にする影響を受けるドライブに「」と入力し、再起動してプロンプトの繰り返しが停止するかどうかをテストします。

些細なことのように思えるかもしれませんが、 複雑なブートチェーン 複数のディスクがある場合は、その依存関係を削除すると、ループを解決できるほど簡素化される可能性があります。

解決策9: 新しいハードウェアと周辺機器を取り外す

問題が発生する直前にカードを追加したり、ドックを交換したり、新しいデバイスを接続したりした場合は、 一時的に削除する具体的には、「Thunderbolt の背後」にあるデバイスがブートパスとして表示される場合があります。これらのデバイスを削除してプロンプトが表示されなくなったら、完了です。 有罪 構成が安定したら再導入できます。

現実のシナリオ: ノートパソコンが再起動後にパスワードを要求する

典型的なケース:HP Envyが黒い画面で起動し、確認を求める青いボックスが表示され、その後 BitLockerキー入力後、WindowsはPINまたは指紋認証で正常に起動し、すべて正常に動作しているように見えます。しかし、再起動すると、同じ要求が再度表示されます。ユーザーは診断プログラムを実行し、BIOSを更新しましたが、何も変わりません。一体何が起こっているのでしょうか?

ブーツの部品が残っている可能性が高い 一貫性がない (最近のファームウェア変更、セキュアブートの変更、外部デバイスのリスト)であり、TPM の測定値が更新されていません。このような状況では、以下の手順が最善です。

  • キーを一度入力すると、 一時停止と再開 BitLocker。
  • チェック manage-bde -status 暗号化と保護機能を確認します。
  • 問題が解決しない場合は、BIOS を確認してください。 USB-C/TBTプリブートを無効にする および UEFI ネットワーク スタック、またはセキュア ブートを調整します。

BIOSを調整し、サスペンド/レジュームサイクルを実行した後、要求が 姿を消すそうでない場合は、WinRE からプロテクターを一時的に無効にして、再試行してください。

回復キーなしで BitLocker をバイパスできますか?

明確にしておきたいのは、BitLockerで保護されたボリュームを復号化するには、 48桁のコード または有効な保護者。鍵がわかれば、 ボリュームのロックを解除する 次に、プラットフォームを安定させている間にプロテクターを一時的に無効にして、ブート要求なしでブートが続行されるようにします。

限定コンテンツ - ここをクリックしてください  Liberapayで誰かを報告する方法は?

一部の回復ツールでは、データの復旧を試みるためにWinPEブート可能メディアを提供していますが、システムドライブの暗号化された内容を読み取るには、 キー持っていない場合は、ドライブをフォーマットして Windowsを最初からインストールするデータが失われたと仮定します。

Windowsをフォーマットしてインストールする:最後の手段

ディスクドライブエラー

すべての設定を行ってもプロンプトを通過できない場合(キーを持っていない場合)、唯一の操作方法は ドライブをフォーマットする Windowsを再インストールします。WinRE→コマンドプロンプトから diskpart ディスクを識別してフォーマットし、インストール USB からインストールします。

この点に到達する前に、正当な場所で鍵を探し尽くし、 管理者 企業向けデバイスの場合、メーカーによっては WinPE エディション 回復ソフトウェアを使用して他の暗号化されていないドライブからファイルをコピーすることはできますが、暗号化された OS ボリュームのキーが必要になることは避けられません。

エンタープライズ環境: Azure AD、AD、キー ID の回復

職場や学校のデバイスでは、キーが アズールAD またはで Active Directory回復画面から、 Escキー 見るために キーIDそれを書き留めて管理者に送信してください。管理者はその識別子を使って、デバイスに関連付けられた正確なキーを見つけ、アクセスを許可することができます。

また、組織のブートポリシーを確認してください。USB-C/TBT経由のPXEブートに依存している場合は、無効化しない方が良いでしょう。代わりに、IT部門は チェーンに署名する または、繰り返しプロンプトが表示されないように構成を標準化します。

特別なインパクトのあるモデルとアクセサリー

USB-C/TBT および関連ドックを搭載した一部の Dell コンピューターで、次のような動作が見られました。 WD15、TB16、TB18DC、および特定のLatitudeシリーズ(5280/5288、7280、7380、5480/5488、7480、5580)、XPS、Precision 3520、その他のシリーズ(Inspiron、OptiPlex、Vostro、Alienware、Gシリーズ、固定およびモバイルワークステーション、Proシリーズ)にも適用されます。これは故障を意味するものではなく、 USB-C/TBTブートとプリブートが有効 BitLocker は新しいブート パスを「認識」する可能性が高くなります。

これらのプラットフォームをドッキングステーションと一緒に使用する場合は、 安定したBIOS構成 プロンプトを回避するために、これらのポートを介した PXE の必要性の有無を文書化します。

BitLocker がアクティブ化されないようにすることはできますか?

BitLockerを

Windows 10/11では、Microsoftアカウントでサインインすると、一部のコンピュータで デバイスの暗号化 ほぼ透過的にキーをMSAに保存します。ローカルアカウントを使用しており、BitLockerが無効になっていることを確認した場合は、自動的にアクティブ化されることはありません。

さて、賢明なのはそれを永久に「去勢」することではなく、 それを制御する: BitLockerが必要ない場合はすべてのドライブで無効にし、「デバイス暗号化」がアクティブになっていないことを確認し、将来有効にする場合はキーのコピーを保存してください。重要なWindowsサービスを無効にすることは推奨されません。 セキュリティを侵害する システムを破壊したり、副作用を発生させたりします。

よくある質問

Microsoft アカウントを使用する場合、パスワードはどこにありますか? 別のコンピューターからhttps://account.microsoft.com/devices/recoverykeyにアクセスしてください。デバイスごとのキーのリストとその情報が表示されます。 ID.

ローカル アカウントを使用する場合、Microsoft にキーを要求できますか? いいえ。Azure AD/ADに保存またはバックアップしていない場合、Microsoftには保存されません。印刷物、PDF、バックアップを確認してください。 鍵がなければ復号はできない.

¿管理-bde -ステータスは私を助けてくれますか? はい、ボリュームが暗号化されているかどうか、方法(例: XTS-AES 128)、保護が有効になっているかどうか、ディスクがロックされているかどうかを確認します。これは、次に何をすべきかを判断するのに役立ちます。

USB-C/TBT ブートを無効にするとどうなりますか? 通常はプロンプトは消えますが、その代わりに PXE経由で起動できなくなります これらの港や基地から。シナリオに応じて評価してください。

BitLockerが起動のたびにキーを要求する場合、通常は永続的な起動変更が表示されます: 起動をサポートするUSB​​-C/TBTポート、 安全な立ち上げ 不一致、最近更新されたファームウェア、またはブートパス内の外部ハードウェア。キーが属する場所(MSA、Azure AD、AD、印刷、またはファイル)を見つけて入力し、「一時停止と再開” を実行してTPMを安定させてください。問題が解決しない場合は、BIOS/UEFI(USB-C/TBT、UEFIネットワークスタック、セキュアブート)を調整し、BCDEditでレガシーメニューを試し、BIOSとWindowsを最新の状態に保ってください。企業環境では、キーIDを使用してディレクトリから情報を取得してください。また、以下の点にご注意ください。 鍵がなければ暗号化されたデータにアクセスできないその場合、フォーマットとインストールは、作業を再開するための最後の手段となります。