株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます、山口です。
本手順でできること
さて、今回の投稿では、Intune の構成プロファイルを利用して BitLocker を自動で暗号化する方法をご案内していきたいと思います。
本設定を利用することで、Windows デバイスを紛失時にディスクを抜き取られた場合でも、組織データ漏洩に対策することができます。
また、BitLocker の回復キーを Microsoft 365 のテナント側で保持することで、BitLockerの回復キーの管理負担を軽減することが可能です。
※ BitLocker によるディスク暗号化については、Entra ID(旧 Azure AD)への参加が前提となります。
※ BitLocker でのディスク暗号化を実現するためには、以下の設定項目が指定の内容に変更されている必要があります。
- サードパーティの暗号化に関するプロンプトを非表示にする = "はい"
- 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する = "はい"
- キー ファイルの作成 = "必要許可" または "ブロック"
- 回復パスワードの作成 = "許可" または "必須"
設定手順
1.Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
2.「デバイス」→ プラットフォーム別「Windows」をクリックします。
3.「構成プロファイル」-「+プロファイルの作成」をクリックします。
4.プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。
5.テンプレート名の項目にて、「Endpoint Protection」選択し、「作成」をクリックします。
6.名前欄に、任意のポリシー名を入力し、「次へ」をクリックします。
設定項目 | 設定値 |
---|---|
名前 | BitLocker の管理 |
7.次の設定を変更します。
設定項目 | 設定値 |
---|---|
デバイスの暗号化 | 必要 |
他のディスクのディスク暗号化に対する警告 | ブロック |
Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する | 許可 |
起動時の追加認証 | 必要 |
※Azure AD は 2023年10月1日から、Entra ID にリブランドされました。
8.次の設定を変更し、「次へ」をクリックします。
設定項目 | 設定値 |
---|---|
互換性のない TPM チップでの BitLocker | ブロック |
OS ドライブの回復 | 有効にする |
BitLocker セットアップウィザードの回復オプション | ブロック |
BitLocker 回復情報を Azure Active Directory に保存 | 有効にする |
BitLocker を有効にする前に Azure Active Directory で回復情報を保存 | 必要 |
9.「+グループの追加」をクリックし、設定を適用するグループを検索および選択し、「選択」をクリックします。
割り当て対象 |
---|
情報システム部グループ |
10.設定を適用するグループを確認し、「次へ」をクリックします。
11.「次へ」をクリックします。
12.設定内容を確認し、「作成」をクリックします。
Windows デバイスへの自動暗号化が成功すると Microsoft Intune 管理センター上で、BitLocker の回復キーが保持されます。
Windows エクスプローラ上での暗号化済みの表示
※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。