情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
セミナー

Intune の構成プロファイルを使用して、BitLocker の暗号化を自動開始する。

Microsoft Intune
情報屋ヤマグチのタレコミ
この記事の内容
本手順でできること
設定手順

株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます、山口です。

本手順でできること

さて、今回の投稿では、Intune の構成プロファイルを利用して BitLocker を自動で暗号化する方法をご案内していきたいと思います。

本設定を利用することで、Windows デバイスを紛失時にディスクを抜き取られた場合でも、組織データ漏洩に対策することができます。

データ漏洩

また、BitLocker の回復キーを Microsoft 365 のテナント側で保持することで、BitLockerの回復キーの管理負担を軽減することが可能です。

※ BitLocker によるディスク暗号化については、Entra ID(旧 Azure AD)への参加が前提となります。
※ BitLocker でのディスク暗号化を実現するためには、以下の設定項目が指定の内容に変更されている必要があります。

  • サードパーティの暗号化に関するプロンプトを非表示にする = "はい"
  • 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する = "はい"
  • キー ファイルの作成 = "必要許可" または "ブロック"
  • 回復パスワードの作成 = "許可" または "必須"

設定手順

1.Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。

2.「デバイス」→ プラットフォーム別「Windows」をクリックします。

デバイス

3.「構成プロファイル」-「+プロファイルの作成」をクリックします。

4.プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。

プロファイルの作成

5.テンプレート名の項目にて、「Endpoint Protection」選択し、「作成」をクリックします。

作成

6.名前欄に、任意のポリシー名を入力し、「次へ」をクリックします。

設定項目 設定値
名前 BitLocker の管理

次へ

7.次の設定を変更します。

設定項目 設定値
デバイスの暗号化 必要
他のディスクのディスク暗号化に対する警告 ブロック
Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する 許可
起動時の追加認証 必要

※Azure AD は 2023年10月1日から、Entra ID にリブランドされました。

設定を変更

8.次の設定を変更し、「次へ」をクリックします。

設定項目 設定値
互換性のない TPM チップでの BitLocker ブロック
OS ドライブの回復 有効にする
BitLocker セットアップウィザードの回復オプション ブロック
BitLocker 回復情報を Azure Active Directory に保存 有効にする
BitLocker を有効にする前に Azure Active Directory で回復情報を保存 必要

次へ

9.「+グループの追加」をクリックし、設定を適用するグループを検索および選択し、「選択」をクリックします。

割り当て対象
情報システム部グループ

選択

10.設定を適用するグループを確認し、「次へ」をクリックします。

次へ

11.「次へ」をクリックします。

次へ

12.設定内容を確認し、「作成」をクリックします。

作成

Windows デバイスへの自動暗号化が成功すると Microsoft Intune 管理センター上で、BitLocker の回復キーが保持されます。

Windows エクスプローラ上での暗号化済みの表示

暗号化済みの表示

表示

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード
セミナー
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
中堅・中小企業様向けには、日々、
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
情報屋山口ブログに関するおすすめ記事
Microsoft Intune で、Windows LAPS を管理してみるよ
Windows アプリ保護ポリシーを設定してみるよ
Intune の構成プロファイルを使用して、Windows のストレージセンサーを構成するよ
Intune の構成プロファイルを使用して、Windows のマルチ共有モードを利用するよ
Intune の構成プロファイルを使用して、Windows のキオスク モードを有効化するよ