minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
Windows 11でCredential GuardとBitLockerが非互換エラーを出す問題とは
Windows 11 24H2以降にアップグレードしたあと、BitLockerによるドライブ暗号化が突然無効になったり、「Credential Guardが有効なためBitLockerを開始できません」というエラーが表示されたりするケースが増えています。特にActive Directoryに参加している企業PCや、Hyper-Vを使用している環境で顕著に発生しています。
本記事ではWindows 11のCredential GuardとBitLockerが非互換状態になる原因を詳しく解説し、それぞれの用途・環境に合わせた対処法を網羅します。セキュリティを損なわずに両機能を共存させる設定も紹介しますので、システム管理者の方もぜひ参考にしてください。
この記事でわかること
- Credential GuardとBitLockerの役割と相互作用の仕組み
- 非互換エラーが発生する具体的な条件
- エラーが出る場合の5つの対処法
- グループポリシーとレジストリでの設定方法
- 両機能を安全に共存させる構成
Credential GuardとBitLockerの基礎知識
Credential Guardとは
Credential Guard(資格情報の保護)はWindows 10 Enterprise以降に搭載されたセキュリティ機能です。仮想化ベースセキュリティ(VBS: Virtualization Based Security)を使って、NTLMハッシュやKerberosチケットなどのログイン資格情報を別の保護された仮想マシン環境(Isolated User Mode)に格納します。これによりPass-the-Hash攻撃やPass-the-Ticket攻撃からシステムを保護します。
BitLockerとは
BitLockerはWindows Vista以降に搭載されたドライブ暗号化機能です。TPMチップと連携してシステムドライブ(通常はCドライブ)を暗号化し、PCの盗難や物理的なアクセスによるデータ漏洩を防ぎます。Windows 11では24H2からHomeエディションでも自動的に有効化されるようになりました。
なぜ非互換になるのか
Credential GuardはHyper-Vの技術を使って仮想化された環境を構築します。一方BitLockerはTPMを使ってシステムの完全性を測定(PCR値の読み取り)します。Credential GuardがHyper-Vハイパーバイザーを有効化すると、TPMが測定するシステム構成が変化し、BitLockerがPC構成の変更を検知して保護モードに入る場合があります。
Windows 11 24H2ではCredential GuardがデフォルトでHyper-V依存の構成になるよう変更されており、この変更がBitLockerとの相性問題を引き起こしています。
| 機能 | 技術基盤 | 保護対象 | 問題の接点 |
|---|---|---|---|
| Credential Guard | VBS / Hyper-V | ログイン資格情報 | TPMのPCR値変化 |
| BitLocker | TPM 2.0 | ストレージデータ | Hyper-V起動でPCR変化を検知 |
非互換エラーが発生する具体的な条件
条件1: Windows 11 24H2以降へのアップグレード後
Windows 11 24H2ではCredential GuardがHyper-VのVBSを自動的に有効化する設定がデフォルトになりました。これ以前のバージョンからアップグレードした場合、BitLockerが起動時に構成変更を検知して「回復モード」に入り、回復キーの入力を求められることがあります。
条件2: グループポリシーで両機能が同時に強制有効化されている
Active Directory環境でグループポリシーにより「Credential Guardの有効化」と「BitLockerのドライブ暗号化を要求する」が同時に適用されている場合、両方の設定が衝突します。
条件3: Hyper-Vを手動でインストールした後
「Windowsの機能の有効化または無効化」でHyper-Vをインストールまたは削除した場合、TPMのPCR値が変わり、BitLockerが回復キーを要求します。
条件4: セキュアブートの設定変更後
BIOSでセキュアブートを有効化・無効化した場合も、BitLockerのTPM測定値が変化してエラーが発生します。Credential GuardはセキュアブートとUEFIの組み合わせを必要とするため、セキュアブートを変更すると両方の機能が影響を受けます。
対処法:環境に合わせて選択してください
対処法1: BitLockerの回復キーを入力して再開する(即時対応)
BitLockerが「回復キーの入力を求めている」状態であれば、回復キーを入力することで起動できます。回復キーは以下の場所に保存されています。
- Microsoftアカウント: https://account.microsoft.com/devices/recoverykey
- Active Directory / Azure AD: IT管理者またはAzureポータル
- USBドライブ: セットアップ時に保存した場合
- 印刷物: セットアップ時に印刷した場合
起動後はBitLockerの状態を確認し、必要に応じてTPM保護機能をリセットします。
対処法2: BitLockerのTPMプロテクターをリセットする
回復キーで起動後、TPMとBitLockerの整合性をリセットすることで、次回起動時から回復キー入力が不要になります。管理者権限のコマンドプロンプトで以下を実行してください。
manage-bde -protectors -delete C: -type TPM manage-bde -protectors -add C: -TPM manage-bde -protectors -enable C:
対処法3: Credential GuardのVBS依存を変更する(グループポリシー)
Credential GuardがHyper-VのVBSを必須としない設定に変更することで、BitLockerとの競合を減らせます。グループポリシーエディター(gpedit.msc)で以下の設定を変更してください。
「コンピューターの構成 → 管理用テンプレート → システム → Device Guard → 仮想化ベースのセキュリティを有効にする」を開き、「資格情報の保護の構成」を「UEFIロックなしで有効にする」に設定します。これによりCredential GuardはUEFIファームウェアへの書き込みを行わず、再起動時のTPM測定値の変化が抑えられます。
対処法4: BitLockerのPCRプロファイルを変更する(上級者向け)
BitLockerがどのTPM PCRレジスタを使用して整合性を確認するかを変更することで、Credential Guardの起動による影響を受けにくくなります。管理者権限のPowerShellで以下を実行してください。
$KeyProtectorId = (Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object { $_.KeyProtectorType -eq "Tpm" } | Select-Object -ExpandProperty KeyProtectorId
Remove-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $KeyProtectorId
Add-BitLockerKeyProtector -MountPoint "C:" -TpmAndPinProtector
この設定ではTPMだけでなくPINも組み合わせた認証になります。Hyper-Vの起動によるPCR変化があっても、PIN入力があれば解錠できます。
対処法5: どちらかの機能を優先して無効化する
セキュリティ要件によっては、どちらかの機能を一時的に無効化することが現実的な選択肢になります。
| 無効化する機能 | 推奨環境 | リスク | 無効化コマンド |
|---|---|---|---|
| Credential Guard | 個人PC・スタンドアロン環境 | 資格情報の盗難リスクが増加 | グループポリシーまたはレジストリ |
| BitLocker | 物理的セキュリティが確保された環境 | 盗難時のデータ漏洩リスク | manage-bde -off C: |
レジストリで設定を確認する方法
Credential Guardの現在の状態はレジストリエディター(regedit)で確認できます。以下のパスを確認してください。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\CredentialGuard 値名: Enabled 0 = 無効 / 1 = 有効
また「msinfo32」(システム情報)を開いて「Virtualization-based security」の項目を確認することで、VBSおよびCredential Guardの稼働状態を確認できます。
この記事に関連するおすすめ商品
TPM 2.0対応マザーボード
約15,000円〜
Windows 11のBitLockerとCredential Guard両機能に必要なTPM 2.0搭載マザーボード
USBセキュリティキー(FIDO2対応)
約5,000円〜
BitLocker回復キーやWindowsログインの多要素認証に使えるFIDO2キー
※ 価格は変動します。最新価格はリンク先でご確認ください
よくある質問(FAQ)
Q. Credential GuardとBitLockerを両方有効にすることはできますか?
A. 可能です。ただし設定順序と構成が重要です。BitLockerを先に設定してTPMプロテクターを登録してからCredential Guardを有効化すると、PCR変化による再登録が必要になる場合があります。対処法3(UEFIロックなしの設定)と対処法2(TPMプロテクターのリセット)を組み合わせることで両機能を共存させられます。
Q. 企業のActiveDirectory環境でこの問題が起きた場合、誰に相談すればよいですか?
A. 社内のIT管理者またはシステム部門に連絡してください。グループポリシーの変更は管理者権限が必要です。個人では対応できない場合がほとんどです。また、MicrosoftのEnterprise Supportに問い合わせることも選択肢です。
Q. BitLockerの回復キーを紛失した場合はどうなりますか?
A. Microsoftアカウントに紐付いている場合は「https://account.microsoft.com/devices/recoverykey」から取得できます。組織管理のデバイスであればAzure ADまたはActive Directoryに保存されています。いずれにも存在しない場合、ドライブのデータ復元は非常に困難です。回復キーは必ず安全な場所に保管してください。
Q. Windows 11 Homeでもこの問題は発生しますか?
A. Windows 11 HomeにはCredential Guardが搭載されていないため、本記事のHyper-Vとの競合問題は発生しません。ただしBitLockerが自動有効化された状態でHyper-Vを手動インストールした場合は、TPMのPCR値変化でBitLockerが回復モードに入る可能性があります。
Q. VBSを無効にするとセキュリティはどのくらい低下しますか?
A. VBS(Virtualization Based Security)を無効にするとCredential GuardだけでなくHVCI(Hypervisor Protected Code Integrity)も無効になります。これにより、カーネルモードの悪意あるドライバーによる攻撃に対する防御が弱まります。企業環境ではVBSを無効にする前に必ずセキュリティ担当者と協議してください。
まとめ
Windows 11のCredential GuardとBitLockerの非互換エラーは、VBSとTPM測定の相互作用から生じます。対処法をまとめると次の通りです。
- 即時対応: BitLockerの回復キーでPCを起動し、通常の操作状態に戻す
- 根本解決: Credential GuardのグループポリシーをUEFIロックなしに変更する
- 上級者向け: BitLockerのTPMプロテクターをリセットするかTPM+PINに変更する
- 要件次第: どちらかの機能を無効化する(セキュリティ担当者と相談の上)
両機能はどちらもWindowsセキュリティの重要な柱です。エラーへの対応を急ぐあまりどちらかを安易に無効化せず、組織のセキュリティポリシーに沿った対処を心がけてください。
