BitLockerとは
BitLockerとは、OSエディションが「Windows10 Pro」以上のパソコンに標準で搭載されている暗号化機能のことです。有効化しておけば、ノートパソコンを紛失した際などに情報漏えいのリスクを減らせます。
BitLockerはWindows標準の暗号化機能なので、暗号化の専用ソフトなどを導入する必要がない点もメリットです。

BitLocker を自動で有効化するための前提条件
- Windows 10 のバージョンが 1803 以降であること
- Windows 10 のエディションが Pro、Enterprise、Education であること
- デバイスは Azure AD に参加しているか、Hybrid Azure AD に参加していること
- デバイスに TPM (トラステッド プラットフォーム モジュール) 2.0 が搭載されていること
- BIOS モードが UEFI モードであること
- インターネットに接続されていること
TPM の搭載やバージョンの確認
TPM 未搭載 (もしくはバージョンが 2.0 未満) のデバイスでも BitLocker 自体は利用できますが、自動的に有効化を行うためには TPM 搭載が前提です。
デバイスでの確認方法
1.[ファイル名を指定して実行] から「tpm.msc」を開く

2. TPM のバージョンが確認できます。

Intune での確認方法
Intune に登録されているデバイスは、デバイス上だけでなく Intune 画面で TPM の搭載有無やバージョンの確認が行えます。
- [デバイス] – [Windows] をクリック
- デバイス名を選択
- [ハードウェア] をクリックし、TPM を確認します。TPM が未搭載の場合は、空白です。

構成プロファイルの作成
BitLocker を自動で有効化するよう構成プロファイルを作成
- [デバイス] – [Windows] をクリック
- [構成プロファイル] をクリック
- [プロファイルの作成] をクリック
- 以下を選択し、[次へ] をクリック
- プラットフォーム : Windows 10 以降
- プロファイルの種類 : テンプレート
- テンプレート名 : Endpoint Protection
- 名前と説明を指定し、[次へ] をクリック
- [Windows 暗号化] を展開し、必要な設定を行い、[次へ] をクリック
- 暗号化の強度やデバイス起動時のキーの入力の有無など設定は、組織のセキュリティ ルールに合わせて設定

- 割り当てるグループを指定し、[次へ] → [作成] をクリック
- 設定の適用先や除外先のルールを指定して作成
- OS のエディションやバージョンを指定して割り当てる条件や割り当てない条件を指定可能

Intuneを使用して BitLocker で Windows デバイスを暗号化する - Microsoft Intune
Microsoft Intune ポリシーを使用して、サイレント暗号化や個人データ暗号化など、Windows デバイスで BitLocker 暗号化を管理します。

コメント