情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Intune の構成プロファイルを使用して、BitLocker の暗号化を自動開始する。

Microsoft Intune
情報屋ヤマグチのタレコミ
この記事の内容
本手順でできること
設定手順

株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます、山口です。

本手順でできること

さて、今回の投稿では、Intune の構成プロファイルを利用して BitLocker を自動で暗号化する方法をご案内していきたいと思います。

本設定を利用することで、Windows デバイスを紛失時にディスクを抜き取られた場合でも、組織データ漏洩に対策することができます。

データ漏洩

また、BitLocker の回復キーを Microsoft 365 のテナント側で保持することで、BitLockerの回復キーの管理負担を軽減することが可能です。

※ BitLocker によるディスク暗号化については、Entra ID(旧 Azure AD)への参加が前提となります。
※ BitLocker でのディスク暗号化を実現するためには、以下の設定項目が指定の内容に変更されている必要があります。

  • サードパーティの暗号化に関するプロンプトを非表示にする = "はい"
  • 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する = "はい"
  • キー ファイルの作成 = "必要許可" または "ブロック"
  • 回復パスワードの作成 = "許可" または "必須"

設定手順

1.Microsoft Intune 管理センター( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。

2.「デバイス」→ プラットフォーム別「Windows」をクリックします。

デバイス

3.「構成プロファイル」-「+プロファイルの作成」をクリックします。

4.プラットフォームの項目にて、「Windows 10 以降」を選択し、プロファイルの種類の項目にて、「テンプレート」を選択します。

プロファイルの作成

5.テンプレート名の項目にて、「Endpoint Protection」選択し、「作成」をクリックします。

作成

6.名前欄に、任意のポリシー名を入力し、「次へ」をクリックします。

設定項目 設定値
名前 BitLocker の管理

次へ

7.次の設定を変更します。

設定項目 設定値
デバイスの暗号化 必要
他のディスクのディスク暗号化に対する警告 ブロック
Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する 許可
起動時の追加認証 必要

※Azure AD は 2023年10月1日から、Entra ID にリブランドされました。

設定を変更

8.次の設定を変更し、「次へ」をクリックします。

設定項目 設定値
互換性のない TPM チップでの BitLocker ブロック
OS ドライブの回復 有効にする
BitLocker セットアップウィザードの回復オプション ブロック
BitLocker 回復情報を Azure Active Directory に保存 有効にする
BitLocker を有効にする前に Azure Active Directory で回復情報を保存 必要

次へ

9.「+グループの追加」をクリックし、設定を適用するグループを検索および選択し、「選択」をクリックします。

割り当て対象
情報システム部グループ

選択

10.設定を適用するグループを確認し、「次へ」をクリックします。

次へ

11.「次へ」をクリックします。

次へ

12.設定内容を確認し、「作成」をクリックします。

作成

Windows デバイスへの自動暗号化が成功すると Microsoft Intune 管理センター上で、BitLocker の回復キーが保持されます。

Windows エクスプローラ上での暗号化済みの表示

暗号化済みの表示

表示

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード

山口 泰志(やまぐち たいし)氏

※ 本投稿は、ソフクリ365倶楽部のTeams投稿した内容を再編したものです。 ソフクリ365倶楽部は こちら

■著者紹介■

山口 泰志(やまぐち たいし) 氏
埼玉県在住 出身: 福岡県だが、育ちは佐賀県

中小Sier、フリーランスエンジニア、大規模Sier等での経験を経て、2016年にソフトクリエイトに入社、AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、自らMicrosoft 365 サービスの企画、立上げ後、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導入を主導。

現在、Microsoft 365を中心としたテクノロジーをソフクリ365倶楽部で発信しながら、グループ全体のMicrosoft テクノロジーにて主導的な役割を担う。

趣味は、登山、ロードバイクを中心にアクティブ。しっかり考えて、やるべきことは、直ぐにやるがmotto。

山口をもっと知りたい!方は こちら