【解決方法】ファイルの EFS 暗号化に失敗 (属性の適用エラー)

ファイルのプロパティ画面から EFS 暗号化しようとすると、以下のエラー メッセージが表示されて EFS 暗号化に失敗することがあります。

属性の適用エラー:

ファイルの属性の適用中にエラーが発生しました:
このシステムに対して構成された回復ポリシーに無効な回復証明書が含まれています。

 

こちらはドメイン環境に設定されている回復エージェント証明書が利用不可(=無効)の状態となっていることが要因です。
回復エージェント証明書が “無効” となる要因として、多くの場合は証明書の有効期間切れです。

今回は無効となっている回復エージェント証明書の確認方法、対処方法について紹介します。

 

原因

ドメイン環境に設定されている回復エージェント証明書の中に、”有効期間切れ” など無効な証明書が含まれていることが原因と考えられます。

この問題を解消して、ファイルを EFS 暗号化できるようにするためには、ドメイン管理者が無効な EFS 回復エージェント証明書を特定して、回復エージェント証明書の配布の設定を削除する必要があります。

そのため、まずは無効な EFS 回復エージェント証明書がどれなのかを確認します。

確認方法はエラー メッセージが表示されて、EFS 暗号化が行えない端末上で以下の情報を採取します。

 

1) 管理者権限でコマンド プロンプトを開きます。

2) 以下のコマンド プロンプトを実行して、グループ ポリシーの適用結果セットを確認します。

      gpresult /h <ファイル名>

 

3) 作成された html ファイルを開きます。

作成された html ファイルより、対象の端末に適用されているコンピューター ポリシーの [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー/ファイル システムの暗号化] にある [証明書] の項目が、回復エージェント証明書の一覧です。

[有効期限] の項目から、回復エージェント証明書の有効期間をチェックして有効期限切れとなっている証明書を探します。(対象の端末のシステム時刻は 2025 年 1 月 20 日)
また、[優勢な GPO] の項目より、有効期限切れとなっている回復エージェント証明書を配布している GPO の名前を特定できます。

有効期限切れとなっている回復エージェント証明書を配布している GPO を特定できたら、GPO から回復エージェント証明書を削除します。

 

対処策

有効期限切れとなっている回復エージェント証明書が 1 つでも配布されていたら、EFS 暗号化を行うことができません。
“原因” の手順で確認した GPO から、有効期限切れとなっている回復エージェント証明書することで事象が解消します。

1) 任意のドメイン コントローラーに管理者権限をもつユーザーでログオンします。

2) [Windows 管理ツール] より、[グループ ポリシーの管理] を開きます。

3) [グループ ポリシーの管理] より、対象のポリシーを右クリックして [編集] をクリックします。

 

4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [暗号化ファイル システム] を選択し、画面の右ペインから有効期限切れとなっている回復エージェント証明書を右クリックして [削除] をクリックします。

 

5) “選択された証明書を永久的に削除しますか?” というメッセージが表示されたら、[はい] をクリックして、GPO の設定から対象の EFS 回復エージェント証明書が削除されたことを確認します。

 

6) クライアント端末の方でコマンド プロンプトで gpupdate /force コマンドを実行して、ポリシーを強制的に適用させて、正常に EFS 暗号化を行えるようになったことを確認します。