Microsoft Intuneを使ってWindows Update方法 Intune により BitLocker を自動有効化する方法を紹介しました。
TPM 非搭載やバージョンが古いデバイスでも BitLocker 自体の利用は可能です。
TPM 未搭載のデバイスで BitLocker を有効化するためにはグループ ポリシーの変更が必要です。
変更が必要なポリシー
グループ ポリシー エディターを開いて、変更が必要なポリシーを確認
[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティングシステムのドライブ] – [スタートアップ時に追加の認証を要求する] を開きて確認
[互換性のある TPM が装備されていない BitLocker を許可する] を有効にする
グループ ポリシーの展開
グループ ポリシーは手動でも設定変更可能ですが、操作にはローカル管理者権限が必要ですし、1台1台設定を行うのは大変ですので、Intune を利用すれば、AAD に参加しているデバイスに対してグループ ポリシーの設定を展開する事が可能です。
- [デバイス] – [Windows] をクリック
- [構成プロファイル] を開き、[プロファイルの作成] に進む
- 以下を選択し、[作成] をクリック
- プラットフォーム : Windows 10 以降
- プロファイルの種類 : テンプレート
- テンプレート名 : 管理用テンプレート
- 名前や説明を入力し、[次へ]
- [コンピューターの構成] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティング システムのドライブ] – [スタートアップ時に追加の認証を要求する] に対して、設定を行い、[次へ] をクリック
- [状態] : 有効を選択する
- [互換性のある TPM が装備されていない BitLocker を許可する] : チェック オン
- ポリシーを適用するグループを指定し、[次へ] → [作成] をクリック
- ※ BitLocker 自動有効化の設定を行っている デバイスに割り当てると、正しく自動有効化の設定が展開されない可能性があるので要注意
TPM 非搭載デバイスで BitLocker を利用する際の注意点
ポリシー変更後、BitLocker の有効化はコントロールパネルで操作して行いますが、BitLocker の有効化は、デバイスのローカル管理者権限アカウントでのみ行えます。
コメント