Microsoftは火曜日、いくつかのWindows Server 2025デバイスが2026年4月のKB5082063 Windowsセキュリティ更新のインストール後にBitLockerリカバリーにブートすることを確認しました。
BitLockerはストレージドライブを暗号化してデータ盗難を防ぐWindowsセキュリティ機能です。Windowsコンピューターは通常、ハードウェア変更やTPM(Trusted Platform Module)更新などのイベント後にBitLockerリカバリーモードに入り、デフォルトのロック解除メカニズムを介してロック解除されていない保護されたドライブへのアクセスを取り戻します。
「推奨されていないBitLockerグループポリシー構成を持つ一部のデバイスは、この更新をインストールした後の最初の再起動時にBitLockerリカバリーキーを入力する必要がある場合があります」とMicrosoft は述べています。
「このシナリオでは、BitLockerリカバリーキーは1回だけ入力する必要があります。グループポリシー構成が変わらない限り、その後の再起動はBitLockerリカバリー画面をトリガーしません。」
しかし、会社が説明したように、これは非常に特定の構成でのみ発生し、次のすべての条件が満たされるシステムでのみ発生します:
- OSドライブでBitLockerが有効になっています。
- グループポリシー「ネイティブUEFIファームウェア構成用のTPMプラットフォーム検証プロファイルを構成」が構成され、PCR7が検証プロファイルに含まれている(または同等のレジストリキーが手動で設定されている)。
- システム情報(msinfo32.exe)は、Secure Boot State PCR7バインディングが「不可能」であることを報告しています。
- Windows UEFI CA 2023証明書がデバイスのSecure Boot署名データベース(DB)に存在し、デバイスが2023署名付きWindows Boot Managerをデフォルトにすることに適格です。
- デバイスはまだ2023署名付きWindows Boot Managerを実行していません。
Microsoftは、この既知の問題は個人デバイスに影響を与える可能性は低いと付け加えました。影響を受ける構成は通常、エンタープライズITチームが管理するシステムで見つかります。
同社は現在、この問題の解決策に取り組んでおり、今月のセキュリティ更新のインストールを可能にする一時的な回避策を共有しています。
管理者は、KB5082063更新をデプロイする前にグループポリシー構成を削除し、これらのステップに従ってBitLockerバインディングがPCR7プロファイルを使用していることを確認するよう勧められています。
インストール前にPCR7グループポリシーを削除できない場合は、影響を受けたデバイスに既知の問題ロールバック(KIR)を適用して、2023 Boot Managerへの自動切り替えを防ぎ、BitLockerリカバリーのトリガーを回避できます。
2025年5月、Microsoftは緊急更新をリリースして、2025年5月のセキュリティ更新をインストール後にWindows 10システムがBitLockerリカバリーにブートする原因となっていた同様の問題に対処しました。
1年前の2024年8月、Microsoftは別の既知の問題を修正し、2024年7月のWindowsセキュリティ更新をインストールした後に、サポートされているすべてのWindowsバージョンでBitLockerリカバリープロンプトをトリガーしていました。
2022年8月、WindowsデバイスもKB5012170セキュリティ更新をインストールした後、BitLockerリカバリープロンプトで動作不能になりました。
