Hebikuzure's Tech Memo

2018年12月1日

Office の更新プログラムのダウンロードサイズ

Filed under: Microsoft Office — タグ: , , , — hebikuzure @ 5:06 PM

現在一般消費者向けに提供されている Microsoft Office 製品はすべてクイック実行(C2R)形式になっていて、更新プログラムは自動的にダウンロード /インストールされるようになっています。また企業向け製品でも Office 2016 のボリュームライセンス版を最後に MSI インストール形式での提供は終了し、Office 365 / ボリュームライセンス版 Office 2019 共にクイック実行形式になったので、更新プログラムは同様に自動的なダウンロードとインストールが行われます。

個人の場合、利用しているインターネット接続が従量課金制であったり、利用データー量に上限があったりして、更新プログラムのダウンロード サイズが気になる場合があるでしょう。また企業内でもネットワーク トラフィックの管理上、同様にダウンロード サイズを気にしている管理者の方もいらっしゃるでしょう。

ダウンロード サイズの確認

そのような場合、提供されている Office の更新プログラムのサイズは以下のページで確認することができます。

Office 365 ProPlus の更新プログラムのダウンロード サイズ(https://docs.microsoft.com/ja-jp/officeupdates/download-sizes-office365-proplus-updates)

このページでは更新プログラムの提供が行われる概ね1週間前を目途にそのダウンロード サイズが提供されます(必ずしも1週間前までとは限らないようですが)。例えば下の図のように、2018 年 11 月 27 日に提供された更新プログラムのダウンロード サイズは、2018 年 11 月 13 日 提供のバージョン 1811 (ビルド 11001.20108) から更新する場合で 167MB であることが分かります。

image

ただし、このページの「注意」でも書かれているようにいくつかの留意事項があります。

  • 提供されるサイズは英語版の Office 365 ProPlus のものです。他の言語版や他の(Office 365 Solo などの)エディションではこれとはいくらか異なるでしょう。ただし言語リソースや含まれるアプリケーションの違いを除けば共通する部分も大きいので、概ねの目安にはなるでしょう
  • 提供されるダウンロード サイズ自体「概算」で、実際とは 50MB 程度の差が出る場合があります
  • 提供される更新は累積的であるため、このページで示されているサイズは一つ前の更新適用状態から新しい更新を適用する場合のサイズです。何らかの理由で以前の更新をスキップしている場合、サイズが大きくなる場合があります。

また企業向け Office 365 の場合は更新チャネル(更新のタイミングの指定)を切り替えできますが、「月次チャネル」から「半期チャネル」・「半期チャネル (対象指定)」 から「半期チャネル」など、チャネルを切り替える場合には、 Office 全体を再度ダウンロードしてインストールしなおすすることになるので、少なくとも 1 GB になります。

広告

2018年10月6日

「配信の最適化」の「ローカル ネットワーク」

Filed under: Windows Tips — タグ: , , — hebikuzure @ 4:34 PM

Windows 10 の Windows Update では「配信の最適化」が利用でき、更新プログラムを Microsoft Update サーバーから直接ダウンロードするだけでなく、他の PC (Windows 10) から P2P でダウンロードすることも可能になっています。

この機能は [設定] – [更新とセキュリティ] – [配信の最適化] で構成することができますが、無効にしたければ [他の PC からのダウンロードを許可する] をオフにします。
※「ダウンロードを許可する」の文言ですが、オフにすることで他の PC へのアップロードも行われなくなります。

キャプチャ

ローカル ネットワーク上の PC

[他の PC からのダウンロードを許可する] を有効にした場合、P2P で更新プログラムを融通する範囲を構成できます。選択肢は

  • ローカル ネットワーク上の PC
  • ローカル ネットワーク上の PC とインターネット上の PC

の二つです。

ここで注意が必要なのは、ここで使われている「ローカル ネットワーク」という言葉です。通常「ローカル ネットワーク」というと同じサブネット マスクを持つブロードキャスト ドメインの範囲を差すことが多いのですが、ここでの意味は違います。

この「ローカル ネットワーク」の説明は「Windows 10 更新プログラムの配信の最適化の構成」に書かれているのですが、この資料はグループ ポリシーで配信の最適化を構成する場合の資料なので、通常のユーザー インターフェースから設定を行っている場合には気付きにくいかもしれません。ユーザ インターフェースでの設定はポリシーでの「ダウンロード モード」に相当しますが、ポリシーの方がより細かな制御ができるので余計に分かりにくいでしょう。

ユーザー インターフェースでの「ローカル ネットワーク上の PC」はポリシーのダウンロード モードでは「LAN (1 – 既定)」に相当し、「ローカル ネットワーク上の PC とインターネット上の PC」は「インターネット (3)」に相当します。そして「LAN (1 – 既定)」はこの資料では以下のように説明されています。

この既定の配信の最適化の動作モードでは、同じネットワーク上のピアとの共有が有効になります。 配信の最適化のクラウド サービスでは、ターゲット クライアントとして同じパブリック IP アドレスを使用してインターネットに接続するその他のクライアントを検索します。 これらのクライアントは、プライベート サブネット IP を使用して、同じネットワーク上の他のピアに接続しようとします。

つまり PC 自身のサブネットに関わらず、同じパブリック IP アドレス(グローバル IP アドレス)を利用している範囲が「ローカル ネットワーク」になります。そのため、自分の管理していない PC との接続を行わない意図で「ローカル ネットワーク上の PC」を設定していても、以下のようなケースでは、ネットワークのオペレーターが適切なフィルタリングを行っていない限り、意図しない PC と P2P 接続する動作になります。

  • 賃貸住宅や共同住宅に備え付けのネットワークで、1つのグローバルアドレスからインターネットに接続している
  • 公衆無線 LAN に接続している
  • キャリア グレード NAT の WLAN やプロバイダーに接続している

このようなネットワークを常に利用される場合で自分の管理していない PC との P2P 接続を行いたくない場合は、「ローカル ネットワーク上の PC」を選択するのではなく「配信の最適化」を無効にする必要があります。「ローカル ネットワーク上の PC」の選択は、インターネットへのゲートウェイ(ブロードバンド ルーターなど)にグローバル IP アドレスが割り当てられている場合に有効でしょう。

企業環境での留意点

複数の場所を拠点間 VPN で結んでインターネットへのゲートウェイを1か所に集約している企業/組織の場合、すべての拠点のすべての PC が同じグローバル IP アドレスを利用しますから、企業内全体が「ローカル ネットワーク」と認識されます。

そのため配信の最適化の P2P トラフィックが VPN に流れる可能性があります。これを避けるには配信の最適化自体を無効にするか、ポリシーで「HTTP のみ (0)」「インターネット (3)」「簡易 (99)」「バイパス (100)」などを選択するか、「グループ (2)」を選択して拠点ごとにグループを構成するか、を行いましょう。

参考資料

2018年9月26日

Windows でインターネット接続しているのに「インターネットなし」と表示される

Filed under: Windows Tips — タグ: , , , — hebikuzure @ 7:37 PM

Windows Vista 以降の Windows ではタスクバーの通知領域に表示されるネットワーク 接続アイコンをポイントすると、

キャプチャ

このように「インターネット アクセス」など現在の接続の制限の有無が表示されます。

この接続状態の認識は単に表示されるだけでなく、Windows のシステムを含むプログラムからも利用できるようになっています。例えば Microsoft アカウントでのサインインの際にオンラインでの認証が可能かどうか判断したり、アプリでオンライン モードとオフライン モードを切り替えたりするのに使われます。

さて、ごくまれな現象ですが、実際にブラウザーなどからインターネットに接続して Web ページを閲覧できているのに、この状態の表示が「インターネットなし」になってしまう場合があります。この現象について解説します。

「インターネットなし」になる理由

この状態の表示は「ネットワーク接続インジケーター Network Connection Status Indicator」 (NCSI) と呼ばれる機能で、いくつかの接続テストを行ってインターネット接続の有無を判定しています。

具体的には以下のような接続テストを行います。

Windows 10 バージョン 1607 未満の場合

  1. http://www.msftncsi.com (ipv6.msftncsi.com for IPv6) の名前解決ができること
  2. http://www.msftncsi.com (ipv6.msftncsi.com for IPv6) に対して HTTP でアクセスし、ncsi.txt ファイルを取得できること
  3. dns.msftncsi.com の DNS 名前解決が ”131.107.255.255” と一致すること

Windows 10 バージョン 1607 以降の場合

  1. http://www.msftconnecttest.com (ipv6.msftconnecttest.com for IPv6) の名前解決ができること
  2. http://www.msftconnecttest.com (ipv6.msftconnecttest.com for IPv6) に対して HTTP でアクセスし、connecttest.txt ファイルを取得できること
  3. dns.msftncsi.com の DNS 名前解決が ”131.107.255.255” と一致すること

つまり、実際に多くのインターネット サイト / インターネット リソースに問題なく接続できていても、上記のテストにパスしなければ NCSI は「インターネットなし」になります。そのため Microsoft アカウントでのパスワードの変更が反映されない、ストアがオフラインになり利用できない、Outlook の先進認証が機能しない、Office サブスクリプションのライセンス認証ができない、などの問題が生じます。

テストにパスできない理由はプロキシやファイアウォールなどのネットワーク経路で http://www.msftncsi.comhttp://www.msftconnecttest.com へのアクセスが制限されている、dns.msftncsi.com の DNS 名前解決が正しく行えない、などとなります。企業内のネットワークなどであれば管理者に依頼してこれらの通信が正しくできるよう設定を変更すればよいのですが、公衆サービス / 施設の LAN / Wi-Fi や WLAN などの場合、こうした変更を行うことが難しい場合もあるでしょう。

回避策

クライアント側の設定に問題が無いにも関わらず、ネットワーク経路の問題で NCSI が「インターネットなし」になり Windows やアプリケーションの動作に問題が出る場合は、NSCI の検知の動作を無効にして回避することができます。

NCSI の検知動作を無効にするには、以下のいずれかの方法を取ってください。

レジストリを構成する

以下のレジストリ値を構成します。

  • キー:HKLM\ SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator
  • 名前:EnableActiveProbing
  • 種類:REG_DWORD
  • データ:0

グループポリシー

コンピューターの管理
ー 管理用テンプレート
ーー システム
ーーー インターネット通信の管理
ーーーー インタネット通信の設定
ーーーーー Windows ネットワーク接続状態インジケーターのアクティブなテストを無効にする

キャプチャ2

副作用としては、通知領域の NCSI アイコンが常に警告の表示になる場合があります。

なお企業内のネットワークで NCSI のテストのトラフィックを遮断したい場合は、イントラネット内などに http://www.msftncsi.comhttp://www.msftconnecttest.com の代替のアクセス先サーバーを立てて、NCSI のテストをパスするという方法があります。詳しくは参考資料の「The Network Connection Status Icon」をご覧ください。

参考資料

2018年9月14日

Office 365 デスクトップ アプリの更新チャネルの変更

Filed under: Microsoft Office — タグ: , , — hebikuzure @ 6:28 PM

企業向け Office 365 はサブスクリプション モデルなので Office デスクトップ アプリケーションもインストール後に定期的な機能更新プログラムが提供されます。この機能更新は Windows 10 の更新と同様、提供のタイミングでいくつかのチャネルが用意されています。チャネルとそれが既定で提供される製品は「Office 365 ProPlus 更新プログラムのチャネルの概要」に掲載されていますが、

  • Office 365 Pro Plus は半期チャネル
  • Office 365 Business で提供される Office は月次チャネル

となります。

どのチャネルでもセキュリティ更新プログラムは毎月提供されます。

現在の更新チャネルは Office アプリケーションの [ファイル] – [アカウント](Outlook では [Office アカウント])- [バージョン情報] に表示されます。

キャプチャ2

更新チャネルの変更

どの更新チャネルを利用するかは、管理者が Officev365 のインストール時に構成できます。方法としては

などがあります。

Office 展開ツールや System Center Configuration Manager、Microsoft 365 admin center でインストール時にチャネルを構成した場合や、特に構成変更をせず既定の設定のままインストールした場合で、後からチャネルを変更したい場合はレジストリを構成します。チャネル変更のためのレジストリ設定は以下の通りです。
※ HKLM なので変更には管理者権限が必要です。

レジストリ値を変更後、Windows の サインアウト/サインインを行うと変更が反映されます。

2018年9月8日

Application ログの警告ID64「証明書の有効期限がまもなく切れるか、既に切れています。」

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 7:27 PM

Windows 10 のコンピューターでイベント ログの Application ログを確認すると、以下のような「警告」が多数見つかる場合があります。

ログの名前:         Application
ソース:           Microsoft-Windows-CertificateServicesClient-AutoEnrollment
日付:            2018/09/04 11:30:27
イベント ID:       64
タスクのカテゴリ:      なし
レベル:           警告
キーワード:         クラシック
ユーザー:          N/A
コンピューター:       ********
説明:
拇印 ************************************************ の ローカル システム の証明書の有効期限がまもなく切れるか、既に切れています。

キャプチャ

どの警告も拇印が同じなので、特定の証明書の期限切れの警告が繰り返し出ていると考えられますが、思い当たるような証明書のインストールは行っていないのです。

このような警告が出る原因と対処方法について説明します。

警告の正体

この警告はコンピューターにインストール済みの証明書の期限切れの警告ですが、証明書スナップインを使って拇印から該当の証明書を探すと、これは XBL Client IPsec lssuing CA が発行元になっているクライアント証明書であることが分かりました。

キャプチャ2

キャプチャ3

この “XBL Client IPsec lssuing CA” とは何かというと、その実態は Windows 10 の Xbox アプリの証明機関と思われます。

実際に動作を確認すると、Xbox アプリを起動して Microsoft のゲーム サーバーと何らかのネットワーク アクティビティを行うと(簡単なのは Xbox アプリを起動して、[設定] – [ネットワーク] でネットワーク ステータスを検査する)証明書が自動的に更新され、有効期間が24時間の新しい証明書に置き換えられました。上のスクリーンショットはその更新後の証明書の表示です。

この証明書は Xbox アプリ以外では利用されていないと考えられますので安全に削除可能ですし、Xbox アプリを利用しているのであれば必要に応じて更新されるので、警告が出ていても安全に蒸してきます。

参考情報

もし警告の対象となっている証明書が XBL Client IPsec lssuing CA 発行のものでなかった場合は、以下を参考に対処しましょう。

2018年9月7日

一部のセキュリティ対策ソフトで Web カメラへのアクセスが警告される

Filed under: Windows Info — タグ: , , — hebikuzure @ 6:25 PM

Windows 10 でサードパーティ製のセキュリティ対策ソフトウエアを利用している場合、PC に搭載/接続されている Web カメラへのアクセスが警告されることがあるようです。

ここでカメラにアクセスしていると警告されるプロセスは

  • Device Census (プログラム名:DeviceCensus)
  • Host Process for Windows Tasks (プログラム名:taskhostw)

の二つです。

この二つのうち DeviceCensus はWindows 10 の「診断 & フィードバック」の機能で利用されているデバイス情報収集のプログラムで、この情報収集はタスクスケジューラて定期的に実行されるために、タスクのホスト プロセスである taskhostw も検知されると考えられます。

参考

Windows の Device Census によるカメラへのアクセスは、どのような種類・機能のカメラが接続されているのかを調べているだけで、(Microsoft の主張によれば)撮影を行っているわけではありません。したがってこのような警告は通常安全に無視できると考えられます。

またこの「診断 & フィードバック」の設定は [設定] – [プライバシー] – [診断 & フィードバック] で構成できますが、「基本」を選んでも「完全]を選んでもデバイスに関する情報は収集されるので、サードパーティ製セキュリティ対策ソフトウエアによる警告をなくすることはできないでしょう。なお Enterprise エディションの場合はこの他に「セキュリティ」という設定が利用でき、収取/送信されるデーターを最小限に抑止できます。

参考情報

2018年9月4日

OneDrive のファイルが削除できない

Filed under: Windows トラブル — タグ: , , , — hebikuzure @ 4:55 PM

複数のクライアントで同じアカウントを使って OneDrive でファイルとフォルダーの同期をしている場合などで、バックアップからの復元を行う、ユーザープロファイルのマイグレーションを行うなどの操作をきっかけに OneDrive の同期情報に不整合が生じて、ファイルやフォルダーの削除ができなくなることがあるようです。典型的なエラーは『予期しないエラーのため、フォルダーを削除できません。このエラーが再発する場合は、エラーコードを使用して、この問題についてのヘルプを検索してください。 エラー 0x8007016B: クラウドファイルへのアクセスが拒否されました。』といったものです。

対処方法

この場合の対処方法として考えられるのは

  1. ブラウザーで Web の OneDrive にアクセスして、そこで当該のファイルが存在していれば削除する
  2. 削除できないファイルがあるコンピューターをセーフモードで起動して削除する

です。「1.」の方法で削除してもクライアントに反映されない場合や、Web 上では当該のファイルが見つからない場合は「2.」を試すと良いでしょう。「2.」の方法で削除可能になるのは、セーフモードでは OneDrive クライアントが起動していないからですね。

以下の事例ではセーフモードで削除できています。

OneDriveの同期を解除せずにユーザーを削除したが、OneDrive以下のローカルファイル削除でエラー0x8007016A, 0x8007016Bが出る

2018年8月29日

非管理者ユーザーにセーフモードでサインインさせない


Windows 10 を含めて Windows 7 以降のバージョンでは、Windows をセーフモードやセーフモードとネットワークで起動した場合、管理者権限の有無を問わずどのユーザーでもサインイン(ログオン)が可能です。しかしセーフモードでは通常起動の際には自動的に動作するサービスやプログラムが起動していない状態になるため、挿入しているセキュリティ ソリューションが無効になってしまう場合があります。またセーフモードでは通常アクセスできない機能などにアクセスできる場合もあります。

こうしたことを考えると、管理者権限を持たない通常のユーザーがセーフモードでサインインできなくすることは、コンピューターのセキュリティ強化に繋がるといえます。

非管理者にセーフモードでサインインさせない設定

管理者権限を持たないユーザーをセーフモードでサインインできなくするには、以下のレジストリを構成します。
※Windows 7 / Windows Server 2008 R2 の場合は SP1 の適用が必要です

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
名前:SafeModeBlockNonAdmins
種類:REG_DWORD
データ:1

ドメイン環境であれば、このレジストリ構成をグループポリシーで配布できます。

コンピューターの構成 > 基本設定 > Windows の設定 > レジストリ
image

参考情報

2018年8月28日

Windows の「ユーザー名」

Filed under: Windows Info — タグ: , , , , , — hebikuzure @ 6:08 PM

Windows の利用上でよくある質問が

  • サインイン(ログオン)画面で表示される名前を変えたい
  • ユーザー名を変えたい
  • ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい

というものです。これらの質問はいずれも Windows では利用する「ユーザー名」に関わるものですが、Windows の「ユーザー名」が正しく理解されていない場合も少なくないので、解説しておきたいと思います。

ユーザー名と「表示名」

先ほどの質問のうち、「サインイン(ログオン)画面で表示される名前を変えたい」という場合の「表示される名前」は「表示名」(フルネーム)で、実際の「ユーザー名」ではありません。表示名はサインイン(ログオン)画面やアカウントの管理画面、スタート画面(スタートメニュー)などに表示されますが、表示にだけ使われる「看板」のようなもので、Windows の内部的な管理情報としては利用されませんし、必須でもありません(ユーザーを新規作成した時は「表示名」は付けられていません)。

これに対して「ユーザー名」は実際に Windows の内部的な管理情報として利用される名前です。先ほどの質問のうちの「ユーザー プロファイル フォルダー名」もこのユーザー名を元に(通常はユーザー名そのまま)作成されます。またファイルとフォルダーの共有を行うなどのリモート アクセスの際に必要となる資格情報で使われるのもこの「ユーザー名」です。

したがって Windows を利用するには「ユーザー名」は必須で、ユーザー名なしに Windows にサインインして利用することはできません。また「表示名」が設定されていない場合は、ユーザー名がそのまま表示名として利用されます。

Windows 10 の場合、これらの名前は以下のように決められます。

ローカルアカウントの場合

アカウントの作成時に付けた名前がユーザー名になります。下のスクリーンショットの場合、「山田太郎」がユーザー名になります。この画面でのアカウントの作成時には「表示名」を設定できないので、「山田太郎」が表示名としても使われます。

キャプチャ

表示名を設定・変更するには、コントロールパネルを利用します。下の画面で「アカウント名の変更」をクリックすると設定・変更ができます。

キャプチャ3

Microsoft アカウントの場合

Microsoft アカウントの場合は、Microsoft アカウントのユーザ名(@ の左側の部分、myuser@hotmail.com なら myuser )が内部的なユーザー名として利用されますが、通常は Microsoft アカウント全体(@ の左側のドメイン名まで含めて)を「ユーザー名」と考えても良いでしょう。
表示名は Microsoft アカウントに設定している表示名(名前)がそのまま使われます。これは https://account.microsoft.com/profile/ で編集・変更することが可能です。

Active Directory ドメイン ユーザーや Azure AD ユーザーの場合

コンピューターが Active Directory ドメインに参加していて、ドメインユーザーでサインインしている場合のユーザー名と表示名はドメインの管理者が登録した情報になります。ユーザーが直接変更することはできませんので、表示名を変えたい場合はドメインの管理者に依頼する必要があります。

AzureAD に参加したコンピューターで AzureAD ユーザーでサインインした場合も AzureAD に登録されている内容になりますが、表示名はユーザーが変更可能です(Office365 ユーザーなら https://portal.office.com/account/#personalinfo から編集できます)。

ローカル ユーザーとグループ

Windows のエディションが Pro (Professional) 以上なら、[コンピューターの管理] の中に [ローカル ユーザーとグループ] があります。

キャプチャ3

これを使うとローカル アカウントのユーザー名や表示名をより簡単に確認・変更できます。ここでは「表示名」は「フルネーム」として扱われていますが、変更したいユーザーをダブルクリック(または右クリックして [プロパティ])すれば、フルネームの編集ができます。またユーザー名自体もここで変更可能です。ユーザー名を変更するには、変更したいユーザーを右クリックし、[名前の変更] を選択します。

エディションが Home の場合「ローカル ユーザーとグループ」が利用でいません。そのため Home エディションでユーザー名を変更するにはコマンドプロンプトを利用する必要があります。以下のコマンドで「山田太郎」というユーザー名を「Tyamada」に変更できます(もちろん Pro 以上のエディションでも利用できます)。

wmic useraccount where name=’山田太郎’ call rename name=’Tyamada’

[ローカル ユーザーとグループ] には Microsoft アカウントのユーザーも表示されおり、変更などの操作も可能になっていますが、Microsoftアカウントのユーザーの名前変更はここで行わない方が良いと思います(試したことがありませんが、問題が起きる可能性も考えられます)。

ユーザー名と SID

先に「ユーザー名は Windows の内部的な管理情報として利用されている」と書きましたが、実際に最終的な管理情報として使われているのはユーザー名ではなく SID と呼ばれる一意の(重複することがない)管理番号です。

SID は次のような形式で表されます。

S-1-5-21-4260733700-639579216-3482586806-1001

この SID とユーザー名が紐づけられて管理されています。したがって表示名(フルネーム)まで含めると

SID ⇒ ユーザ名 ⇒ 表示名(フルネーム)

という構造になっています。このように SID はユーザーを識別する根本であるため、表示名やユーザー名は変更可能ですが、一度ユーザーに割り振られた SID は変更できません。ユーザーのサインイン パスワードやファイル/フォルダーに対するアクセス権、記憶させた資格情報は SID と紐づけられて管理されているため、ユーザー名を変更してもこれらの情報は新しいユーザー名でそのまま利用することができます。

SID についての詳細は以下も参照してください
Well-known security identifiers in Windows operating systems

プロファイル フォルダー名

最初に書いた質問のうち「ユーザー プロファイル フォルダー名(C:\Users\ の配下のフォルダー名)を変えたい」というものはよく見かけるのですが、結論から言えばこれは「できない(正式な手段が提供されていない)」になります。先に書いたようにこのプロファイル フォルダー名はユーザーが最初にサインインする際に、そのユーザー名を使って命名され作成されるのですが、その情報はレジストリに SID と関連付けられて記録されます。そのため表示名やユーザー名を変更しても、プロファイル フォルダーの名前は変更されませんし、また(別のユーザーでサインインして操作するなど)無理やり名前を変更すると、利用できなくなって一時プロファイルが使われるようになってしまいます。

レジストリに記録されている情報をすべて書き換えることで変更ができる/できたという情報もありますが、公式に提供されている手段ではありませんので、どのような副作用が起きるかわかりません。これはやらない方が良いことだと思います。

まとめ

Windows でユーザーを識別する情報と、変更可能かどうかをまとめています。

  • SID:変更不可
  • ユーザー名:変更可能([ローカル ユーザーとグループ] またはコマンド)
  • 表示名(フルネーム):変更可能(コントロール パネルやオンライン アカウントのプロファイルから)

2018年8月26日

BitLocker の回復パスワードを確認する

Filed under: Windows Tips — タグ: , , , — hebikuzure @ 2:15 PM

Windows のセキュリティー機能にディスクを暗号化する BitLocker があります。

BitLocker と「回復パスワード」

BitLocker 暗号化では復号のために必要となるキーを TPM チップに格納して、暗号化したディスクが同じデバイスに接続されている限りは透過的に復号が行われるようになってるため、ユーザーは普段は復号のための操作をする必要はありません。

追加の構成で TPM チップではなく USB ドライブを使用したり、起動時にパスワードや PIN を求めるようにすこことも可能です。
BitLocker についての詳細は Microsoft Docs の「BitLocker」を参照してください。

ただしデバイスのブート構成が変更された場合や、PC が起動できなくなってドライブを別のデバイスで読み取る必要がある場合、また上記の追加の構成で USB ドライブを紛失したり PIN を忘れたりした場合、「回復パスワード」を使うことで暗号化されたディスクにアクセスすることが可能になります。回復パスワードは 48桁の数字からなるパスワードです。

回復パスワードだ求められる場合については「BitLocker 回復ガイド」の「BitLocker 回復が実行される原因」を参照してください。

BitLocker を有効にする場合、次のようなメッセージが表示されて「回復キー」の保存を求められますが、ここで保存できるのが「回復パスワード」です(資料や UI、実際のデータで用語が混乱していますが、ここで「回復パスワード」が自動生成され、指定した方法で保存できます)。

image

この他に Active Directory ドメインに参加している PC の場合は、ドメイン内のサーバーに自動的に保存されるよう構成できます。
AzureAD に参加している PC では AzureAD に保存することもできます。

回復パスワードが不明になったら

さて、何らかの理由でここで保存した回復パスワードの情報が利用できなくなった場合、例えば利用していた Microsoft アカウントが利用できなくなったり、保存したファイルや印刷物を紛失した場合、設定済みの回復キーを調べなければならなくなります。

回復パスワードを求めれれる状況にならなければ通常の使用には問題ないのですが、ひとたび回復パスワードを求められると、それを入力しない限りそのディスクを読み取ることはできなくなります。

参考:BitLocker 回復キーを探す

参考資料に書かれているように、起動ディスクが暗号化されていて回復パスワードが分からない場合、PC を初期化しなければ利用できなくなります。当然ディスクに保存していたデーターもすべて失われます。

回復パスワードを調べる

設定済みの回復パスワードを調べるには管理者コマンドプロンプトで以下のコマンドを実行します。

manage-bde.exe –protectors –get C:
(C ドライブを暗号化した場合)

これで最初に保存した時と同じ ID とパスワードを表示することができます。改めてファイルに保存したり印刷したりして、大切に保管しておきましょう。

Older Posts »

WordPress.com で無料サイトやブログを作成.

%d人のブロガーが「いいね」をつけました。