MSアカウント連携が必須になったWindows11と不要だったWindows10

Windows11はMSアカウント（またはADアカウント）が必要とされるOSで、基本的にMSアカウントなしでセットアップできないOSだったりする。もちろん「ローカルアカウント」のみでセットアップするような回避方法もあるのだけれど。

一方、Windows10は「ローカルアカウント」によるセットアップが可能なOSだ。具体的には「インターネット接続しないでセットアップ」すればよい。しかし、この場合に恐ろしいトラップがある。「メーカー製のPCは問答無用にPCをBitlocker暗号化する」ということだ。

Bitlocker暗号化の強制とそのわかりづらさ

メーカー製PCのWindowsの場合、購入後にPCを起動すると、OOBEという「Windowsの初期設定プログラム」が起動する。このプログラムが終わると勝手にBitlock暗号化を始める。そして、OOBEの中でMSアカウントと連携できていれば「MSアカウントにBitlockerの回復キーを保存する」ようだ。

んでもって困るのが、MSアカウントと連携できていない場合、Bitlocker暗号化された状態なのにもかかわらず、回復キーが保存されていないという状態になる。

まずは設定アプリで暗号化状態を確認すると、「暗号化を完了させるためにはMSアカウントが必要です」と表示される。

次に「Bitlocker暗号化」の管理画面を確認すると、アクティブ化を待機中と表示される。

そしてドライブの管理画面を開くと、暗号化はされていることが確認できる。

一般的なイメージでは、「アクティブ化を待機中」というのは「暗号化の準備はできているけどやっていない」ではないかと思うし、「暗号化を完了させるには~」についても「暗号化自体は行っていない」ように思えるけれど、実際の「アクティブ化を待機中」と「暗号化を完了させるには~」は「暗号化を仕掛かっているか、完了しているけれど回復キーの保存が終わっていない状態」を意味するのだ。こんなもの誰がわかるというのか。

上記をまとめると以下2点となる。
・Bitlocker暗号化はデフォルトで実施されるもの。
・MSアカウント連携しない限り、回復キーは保存されない

それで何が問題なのか

Bitlocker暗号化とは「HWに大幅な変更が発生した場合、ドライブの複合が行えなくなる」ような暗号化だ。簡単な例で言えば、マザーボード交換されてしまうと、マザーボートに搭載されたTPMというチップも交換されてしまうので、起動できなくなる*1。最初に書いた、メーカー修理時などでマザーボード交換をしてしまうと、そのPCは起動できなくなってしまう。このとき「回復キー」さえあれば復元が可能なのだけれど、

自ら進んで暗号化したわけではないので、暗号化されていることも知らないし、回復キーが必要な事も知らないし、そもそも回復キー保存されていない

という状態に陥ってしまう。

ということで、マイクロソフトさんはMSアカウント接続を強制するようになっているし、MSアカウント接続を回避すると故障時にデータがロストするという結果になる。

個人的にはマイクロソフトさんが「個人のデータを人質にして、MSアカウント接続を強制している」ようにしか見えないので、やり口としてはランサムウェアに近いものがある。
ただし、iOSやAndroid OSだって、まともに使用するためには、Appleアカウントか、Googleアカウント接続する必要があるので、あまりマイクロソフトさんを責められないような気もするが、そうであっても「MSアカウント接続しない場合の回復キーの問題の説明」くらいはOOBEの中でしてもいいんじゃないかなと思うのであった。

まあ、Windows11ではよほどのことが無い限り、MSアカウント連携しないなんてことは起こらないだろうから、
・Windows11でMSアカウントを無理やり回避した人
・どうしてもMSアカウントなんて使いたくないから、セットアップ時にMSアカウント作って、セットアップ終了後アカウント削除している人
以外の人は、そんなに気を付けなくてよいです・

今メーカー製のWindows10PCを使用している人、またはメーカー製のWindows10のPCをwindows11にバージョンアップした人は、
・Bitlocker暗号化されていないか
・回復キーはどこかにあるか
を確認した方がよいでしょう。

と書いた後に↓この記事見つけた。ほぼ同じ内容だけれど、MSアカウント回避行動が致命傷になるというのが今回の日記の焦点なのでそこはあまりかぶっていないかな。
pc.watch.impress.co.jp