Intune で BitLocker を自動で有効化

Azure

BitLockerとは

BitLockerとは、OSエディションが「Windows10 Pro」以上のパソコンに標準で搭載されている暗号化機能のことです。有効化しておけば、ノートパソコンを紛失した際などに情報漏えいのリスクを減らせます。
BitLockerはWindows標準の暗号化機能なので、暗号化の専用ソフトなどを導入する必要がない点もメリットです。

BitLocker を自動で有効化するための前提条件

  • Windows 10 のバージョンが 1803 以降であること
  • Windows 10 のエディションが Pro、Enterprise、Education であること
  • デバイスは Azure AD に参加しているか、Hybrid Azure AD に参加していること
  • デバイスに TPM (トラステッド プラットフォーム モジュール) 2.0 が搭載されていること
  • BIOS モードが UEFI モードであること
  • インターネットに接続されていること

TPM の搭載やバージョンの確認

TPM 未搭載 (もしくはバージョンが 2.0 未満) のデバイスでも BitLocker 自体は利用できますが、自動的に有効化を行うためには TPM 搭載が前提です。

デバイスでの確認方法

    1.[ファイル名を指定して実行] から「tpm.msc」を開く

    2. TPM のバージョンが確認できます。

    Intune での確認方法

    Intune に登録されているデバイスは、デバイス上だけでなく Intune 画面で TPM の搭載有無やバージョンの確認が行えます。

    1. [デバイス] – [Windows] をクリック
    2. デバイス名を選択
    3. [ハードウェア] をクリックし、TPM を確認します。TPM が未搭載の場合は、空白です。

    構成プロファイルの作成

    BitLocker を自動で有効化するよう構成プロファイルを作成

    1. [デバイス] – [Windows] をクリック
    2. [構成プロファイル] をクリック
    3. [プロファイルの作成] をクリック
    4. 以下を選択し、[次へ] をクリック
      • プラットフォーム : Windows 10 以降
      • プロファイルの種類 : テンプレート
      • テンプレート名 : Endpoint Protection
    5. 名前と説明を指定し、[次へ] をクリック
    6. [Windows 暗号化] を展開し、必要な設定を行い、[次へ] をクリック
      • 暗号化の強度やデバイス起動時のキーの入力の有無など設定は、組織のセキュリティ ルールに合わせて設定
    1. 割り当てるグループを指定し、[次へ] → [作成] をクリック
    2. 設定の適用先や除外先のルールを指定して作成
      • OS のエディションやバージョンを指定して割り当てる条件や割り当てない条件を指定可能

    Intuneを使用して BitLocker で Windows デバイスを暗号化する - Microsoft Intune
    Microsoft Intune ポリシーを使用して、サイレント暗号化や個人データ暗号化など、Windows デバイスで BitLocker 暗号化を管理します。

    コメント