株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます、山口です。
本手順でできること
さて、今回の投稿では、Intune の構成プロファイルを利用して BitLocker を自動で暗号化する方法をご案内していきたいと思います。
本設定を利用することで、Windows デバイスを紛失時にディスクを抜き取られた場合でも、組織データ漏洩に対策することができます。
-1.png)
また、BitLocker の回復キーを Microsoft 365 のテナント側で保持することで、BitLockerの回復キーの管理負担を軽減することが可能です。
※ BitLocker によるディスク暗号化については、Entra ID(旧 Azure AD)への参加が前提となります。
※ BitLocker でのディスク暗号化を実現するためには、以下の設定項目が指定の内容に変更されている必要があります。
- サードパーティの暗号化に関するプロンプトを非表示にする = "はい"
- 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する = "はい"
- キー ファイルの作成 = "必要許可" または "ブロック"
- 回復パスワードの作成 = "許可" または "必須"
設定手順
1.Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
2.「デバイス」→ プラットフォーム別「Windows」をクリックします。
-2.png)
3.「構成プロファイル」-「+プロファイルの作成」をクリックします。
4.プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。
-3.png)
5.テンプレート名の項目にて、「Endpoint Protection」選択し、「作成」をクリックします。
-4.png)
6.名前欄に、任意のポリシー名を入力し、「次へ」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| 名前 | BitLocker の管理 |
-5.png)
7.次の設定を変更します。
| 設定項目 | 設定値 |
|---|---|
| デバイスの暗号化 | 必要 |
| 他のディスクのディスク暗号化に対する警告 | ブロック |
| Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する | 許可 |
| 起動時の追加認証 | 必要 |
※Azure AD は 2023年10月1日から、Entra ID にリブランドされました。
-6.png)
8.次の設定を変更し、「次へ」をクリックします。
| 設定項目 | 設定値 |
|---|---|
| 互換性のない TPM チップでの BitLocker | ブロック |
| OS ドライブの回復 | 有効にする |
| BitLocker セットアップウィザードの回復オプション | ブロック |
| BitLocker 回復情報を Azure Active Directory に保存 | 有効にする |
| BitLocker を有効にする前に Azure Active Directory で回復情報を保存 | 必要 |
-7.png)
9.「+グループの追加」をクリックし、設定を適用するグループを検索および選択し、「選択」をクリックします。
| 割り当て対象 |
|---|
| 情報システム部グループ |
-8.png)
10.設定を適用するグループを確認し、「次へ」をクリックします。
-9.png)
11.「次へ」をクリックします。
-10.png)
12.設定内容を確認し、「作成」をクリックします。
-11.png)
Windows デバイスへの自動暗号化が成功すると Microsoft Intune 管理センター上で、BitLocker の回復キーが保持されます。
Windows エクスプローラ上での暗号化済みの表示
-13.png)
-12.png)
