こんにちは、マイクロソフトマンです。
Surface等のタブレット端末では、そのままではBitLockerのPIN認証の機能が使えません。
理由ですが、Surfaceをタブレット端末専用として使用している方は、タイプカバーなどのキーボードをもっていない場合もあり、OS起動前のPIN入力ができないことを考慮したためです。
ただし、最近のSurfaceではPIN入力時に画面にスクリーンキーボード(ソフトウェアキーボード)が表示されます。つまり画面に表示されるキーボードからキー入力ができます。また、スクリーンキーボードが表示されなくても、USBキーボードをもっているなら、それを使ってPINの入力をすることもできます。
そのため、SurfaceなどのWindows10タブレット端末でPIN認証を有効化することによる問題はありません。
そこで、今回はPIN認証を有効化する設定について紹介します。また、Surfaceでスクリーンキーボードを表示させる方法も解説します。
SurfaceでBitLockerのPIN認証を有効化する方法
BitLockerでPIN認証を有効化する方法については、以下の記事を参考にしてください。ただし、以下の記事だけでは、Surfaceなどのタブレット端末ではPIN認証の機能が使えません。
そこで、追加で下記の設定を行います。
Win + Rボタンを押下して、「gpedit.msc」と入力して、ローカルグループポリシーエディターを起動します。ローカルグループポリシーは、PCの各機能の詳細設定を行うものです。
画面左に表示されるフォルダツリーから、コンピュータの構成 → 管理用テンプレート → Windowsコンポーネント → BitLockerドライブ暗号化 → オペレーティングシステムのドライブ の順に開きます。
その中にある「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」をダブルクリックして、設定画面から有効にします。
設定後、Cドライブの右クリックメニューから「BitLockerの管理」を選択します。すると以下のBitLokcerドライブ暗号化の画面が表示されますので、「スタートアップ時にドライブのロックを解除する方法」の変更から、PIN認証を有効化します。
スレートとは何のことか?
グループポリシーの設定画面ででてきたスレートとは何のことでしょうか?英語のslateのことで、そのまま訳すと粘岩石です。漢字が読めませんね・・。
粘岩石とは、もともと文字を書き込む石板の素材として使われていたものです。そこから、スレートデバイスという言葉ができました。スレートデバイスとは、Microsoftの「スレートPC」やAppleの「iPad」など、石版のような形状をしたフルタッチパネル型のタブレット端末のことです。
フルタッチパネルのデバイスは、キーボードやマウスなしで使えるという特徴をもっていますよね。それが考慮されてWindows10のスレートデバイスでは、初期状態でPIN認証が有効化されないようになっています。
ちなみにスレートデバイスかどうかを確認する方法を紹介します。
Windows + Rボタンで開く画面から、「msinfo32」とコマンドを入力します。すると以下の画面が表示されます。プラットフォームの役割のところが「スレート」と表示されていれば、スレートデバイスです。
SurfaceのPIN認証でスクリーンキーボードを使用する方法
画面に表示されるキーボードをスクリーンキーボードといいます。ソフトウェアキーボードともいわれます。
私のSurface Pro 5ではスクリーンキーボードが使用できました。初期の頃のSurfaceはわかりませんが、少なくとも2017年度以降のSurfaceはハード的にスクリーンキーボードが用意されているのではないかと思います。
ハード的にといったのは、PIN認証はWindows OSが起動する前の認証なので、スクリーンキーボードを使用できるかどうかはハード(おそらくマザーボード)に依存するからです。
スクリーンキーボードを表示する方法は簡単です。PC起動時のPIN認証画面で左下に表示されているキーボードアイコンをクリックすると画面にキーボードが表示されます。
「このPCのスタートアップオプションが正しく構成されていません」のエラーの解決方法
BitLockerで暗号化する際に、以下のエラーが出る場合があります。
「このPCのスタートアップオプションが正しく構成されていません。詳細については、システム管理者に問い合わせてください。」
このエラーが出た場合は会社のシステム管理者に、うえで説明したスレートデバイスでPIN認証を有効化する設定をActive Directoryのグループポリシーに設定してもらう必要があります。
何のこと?と思った方のために簡単に説明します。
今回説明したローカルグループポリシーでPIN認証を有効化する方法は、PCの所有者自身が設定する方法です。しかし、PCの台数が数百台、数千台、数万台とあるような会社では、1台1台設定するのは無理がありますので、Active DirectoryというWindows PC管理のサーバを使い、すべてのPCにグループポリシーを一括配信・設定しています。
今回のエラーは、Active Directoryで配信するグループポリシーでPINの設定を強制しているのですが、スレートデバイスでのPIN認証が使用できる設定になっておらず、矛盾が発生しています。その結果、スタートアップオプションが正しく構成されていませんのエラーとなっています。
まとめ
Surfaceなどのスレートデバイスで、PIN入力を有効化するには、グループポリシーの設定が必要です。
記事で紹介した「msinfo32」コマンドを使用して、スレートデバイスかどうか確認し、スレートデバイスならグループポリシーのBitLockerの設定で「スレートでプリブートキーボード入力が必要なBitLocker認証を使用できるようにする」を有効化しましょう。
今の時代は、PCに様々な情報がはいっています。そのため、PCが盗難されたりしたら大変なことになる可能性もあります。個人でもセキュリティが重要となっている時代です。
PIN認証を使うことで、セキュリティが格段にあがりますので、ぜひ使ってみてください。