Home
1420 words
7 minutes
[Windows] ハンズオン: manage-bde で BitLocker をコマンドライン運用する
2025-12-28
Windows
BitLocker
/
Windows
/
Security
/
CLI
/
PowerShell

最終更新: 2025-12-28

概要#

manage-bde.exe は Windows 標準の BitLocker コマンドラインユーティリティです。GUI を使わずに暗号化の有効化、解除、復旧、保守を行えます。本ハンズオンは管理者権限コンソールで実行する実践手順をまとめており、英語版と内容を一致させています。

安全上の注意: これらの操作はディスク暗号化に影響します。権限のあるシステムでのみ実行し、必ずバックアップと復旧キーを安全に保管してから作業してください。

前提条件#

  • BitLocker をサポートする Windows エディション (Pro / Enterprise / Education など)
  • 管理者として実行したコマンドプロンプトまたは PowerShell
  • 推奨: TPM 1.2 以上 (TPM がない場合はグループポリシーで TPM なしを許可:
    「コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > BitLocker ドライブ暗号化 > スタートアップ時の追加認証を要求」)
  • 復旧キー保管先 (ネットワーク共有、USB、印刷、Azure AD/AD DS へのエスクロー等)

クイックリファレンス#

manage-bde -status                     # すべてのボリュームの状態確認
manage-bde -on C: -RecoveryPassword    # C: を BitLocker 有効化 (回復用パスワード)
manage-bde -off C:                     # C: の暗号化を解除 (無効化)
manage-bde -lock E:                    # データボリュームをロック
manage-bde -unlock E: -RecoveryPassword <48-digit>   # 回復パスワードで解除
manage-bde -protectors -get C:         # キープロテクタ一覧
manage-bde -protectors -add C: -RecoveryKey F:       # USB(F:)に回復キーを追加
manage-bde -pause C:                   # 暗号化/復号処理を一時停止
manage-bde -resume C:                  # 暗号化/復号処理を再開
manage-bde -changepassword C:          # 数値回復パスワードを変更
manage-bde -changepin C:               # TPM+PIN 構成の PIN を変更
manage-bde -autounlock -enable E:      # データボリューム E: の自動ロック解除を有効化
manage-bde -KeyPackage -Protectors -Get C: > C:\Temp\C-KeyPackage.txt  # キーパッケージをエクスポート

1. BitLocker 状態を確認する#

manage-bde -status

ポイント:

  • Conversion Status / Percentage Encrypted: 暗号化・復号の進捗
  • Protection Status: On / Off / Suspended
  • Key Protectors: TPM, Numerical Password, Recovery Key, TPM+PIN など

出力例:

Volume C:
    [OS Volume]
    Size:                 475.87 GB
    BitLocker Version:    2.0
    Conversion Status:    Fully Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Automatic Unlock:     Disabled
    Key Protectors:
        TPM
        Numerical Password

2. OS ドライブ (C:) で BitLocker を有効化#

TPM + 回復パスワードの例:

manage-bde -on C: -RecoveryPassword
  • 48 桁の回復パスワードが生成されるので安全に保管します。
  • 再起動が促される場合があります。
  • 進捗は manage-bde -status で確認します。

3. プロテクタの確認・追加#

既存プロテクタを確認:

manage-bde -protectors -get C:

USB ドライブ (F:) に回復キーを追加:

manage-bde -protectors -add C: -RecoveryKey F:

数値回復パスワードを追加:

manage-bde -protectors -add C: -RecoveryPassword

4. ロックされたデータボリュームを解除#

manage-bde -unlock E: -RecoveryPassword 111111-222222-333333-444444-555555-666666-777777-888888

保護が無効化されていれば再有効化:

manage-bde -protectors -enable E:

5. データボリュームを手動ロック#

manage-bde -lock E:

取り外し前や復旧テストに有用です。

6. 保護の一時停止 / 再有効化 (サスペンド / レジューム)#

ファームウェア更新などで一時停止する場合:

manage-bde -protectors -disable C:

再有効化:

manage-bde -protectors -enable C:

7. 暗号化/復号処理の一時停止・再開#

進行中の変換を一時停止して再開:

manage-bde -pause C:
manage-bde -resume C:

8. 回復パスワード (数値) を変更#

manage-bde -changepassword C:

プロンプトに従い新しい 48 桁を設定します。

9. TPM+PIN の PIN を変更 (TPM+PIN 構成)#

manage-bde -changepin C:

プロンプトに従い新しい PIN を設定します。

10. データボリュームの自動ロック解除を有効化#

OS ドライブ解除時にデータドライブ (E:) を自動解除:

manage-bde -autounlock -enable E:

無効化:

manage-bde -autounlock -disable E:

11. キーパッケージをエクスポート (高度な復旧用)#

manage-bde -KeyPackage -Protectors -Get C: > C:\Temp\C-KeyPackage.txt

復旧情報とともに安全に保管します。

12. ボリュームの暗号化を解除 (BitLocker 無効化)#

manage-bde -off C:

進捗確認:

manage-bde -status C:

13. 暗号化/復号の進捗率を確認#

manage-bde -status C:

Conversion StatusPercentage Encrypted を確認します。

14. manage-bde のリモート利用#

管理権限とリモート管理設定がある場合 (PC01):

manage-bde -status -computername PC01
manage-bde -protectors -get C: -computername PC01

15. 典型的な OS ドライブ運用フロー#

:: 1) 状態確認
manage-bde -status C:

:: 2) TPM + 回復パスワードで有効化
manage-bde -on C: -RecoveryPassword

:: 3) 再起動後に進捗確認
manage-bde -status C:

:: 4) (任意) USB に回復キーを追加
manage-bde -protectors -add C: -RecoveryKey F:

:: 5) プロテクタ一覧
manage-bde -protectors -get C:

:: 6) (任意) 保守のため一時停止し再開
manage-bde -protectors -disable C:
manage-bde -protectors -enable C:

16. 典型的なデータドライブ運用フロー#

:: 1) 回復パスワードで有効化
manage-bde -on E: -RecoveryPassword

:: 2) (任意) 自動ロック解除を有効化
manage-bde -autounlock -enable E:

:: 3) 検証
manage-bde -status E:
manage-bde -protectors -get E:

17. トラブルシューティングのヒント#

  • Protection Off / Suspended: manage-bde -protectors -enable <drive> で再有効化。
  • 解除できない: 48 桁の回復パスワード (ハイフン含む) を確認。
  • BitLocker が利用不可: Windows エディションを確認。TPM なしで使う場合は前述のグループポリシーを設定。
  • 暗号化中のパフォーマンス懸念: 重要作業中は manage-bde -pause <drive>、後で manage-bde -resume <drive>
  • ログ確認: イベント ビューアー → Applications and Services LogsMicrosoftWindowsBitLocker-API または BitLocker-Driver を確認。

18. 代表的な終了コード#

  • 0 成功
  • -2147024891 (0x80070005) アクセス拒否 (管理者で実行)
  • -2144272366 (0x80310012) すでに有効、または状態に合わない操作
  • -2144272336 (0x80310030) TPM 未準備、または要件未充足

19. 暗号化方式の設定メモ#

有効化前に PowerShell またはグループポリシーで方式を設定できます。例 (XTS-AES 256):

# 管理者 PowerShell で実行
$os = "XtsAes256"
$fixed = "XtsAes256"
$removable = "XtsAes256"
Set-BitLockerVolume -MountPoint C: -EncryptionMethod $os
Set-BitLockerVolume -MountPoint E: -EncryptionMethod $fixed

Set-BitLockerVolume がない場合はグループポリシーを使用: 「コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > BitLocker ドライブ暗号化」

20. 設定後のクイック検証チェックリスト#

  • manage-bde -status で以下を確認:
    • Conversion Status: Fully Encrypted
    • Protection Status: Protection On
    • Lock Status: Unlocked (マウント中)
  • manage-bde -protectors -get <drive> で OS は TPM、回復パスワード/キーが存在。
  • 復旧情報を安全に保管し、非本番で復旧テスト済み。
  • 自動ロック解除は必要なデータボリュームのみに有効化。

参考情報#

  • Microsoft Learn: BitLocker Drive Encryption Administration with manage-bde
  • Microsoft Docs: BitLocker Recovery Guide
  • Microsoft Docs: Configure encryption methods for BitLocker
[Windows] ハンズオン: manage-bde で BitLocker をコマンドライン運用する
https://ss0832.github.io/posts/20251228_manage-bde-hands-on-ja/
Author
ss0832
Published at
2025-12-28
【DFT】M06 / M06-2Xの数式構造:省略された「パラメータの塊」の中身
[Windows] Hands-on: Using manage-bde to Operate BitLocker from the Command Line