Intune – ディスク暗号化(BitLocker)をデバイスに適用 動作確認

2024.02.26

WindowsデバイスにBitLockerを設定することで、ディスク暗号化されます。そのため、デバイスを紛失したり盗まれたりした際の情報漏洩リスクを軽減します。

この記事では、Intuneを用いてWindowsデバイスのディスクをBitLockerで暗号化する手順とその動作を確認します。

Intuneでは、構成プロファイルを用いた設定もできますが、今回は、「エンドポイントセキュリティ」の「ディスクの暗号化」プロファイルを用いた手順を確認します。

スポンサーリンク

ディスクの暗号化 設定

Microsoft Intune 管理センター(https://intune.microsoft.com/)」より、「エンドポイント セキュリティ」をクリックします。

管理する」>>「ディスク暗号化」をクリックします。

ポリシーの作成」をクリックします。

プラットフォームに「Windows10以降」、プロファイルに「BitLocker」を選択し、「作成」をクリックします。

任意の名前(今回は「ディスク暗号化」)を設定し、「次へ」をクリックします。

次の「構成設定」では、設定項目が大きく、「BitLocker」と「管理用テンプレート」に分かれます。

BitLockerの設定

  • ディスクの暗号化を必須にする:BitLockerを有効にしますので、「有効」にします。
  • 他のディスク暗号化の警告を許可する:「無効」にすることで、サイレントに暗号化が行われます。また、回復キーがMicrosoft Entra に保存されます。
  • 標準ユーザの暗号化を許可する:ログインしているユーザーが管理者でない場合でも、BitLockerを有効にすることができます。「有効」に設定します。
  • 回復パスワードローテーションの構成:パスワード使用後のローテーションの有無を設定します。今回は、Entra ID参加しているデバイスに対して、BitLockerを有効にするため、「Azure AD参加済みデバイスに対して更新をオンにする」を選択します。

管理用テンプレート

Windows コンポーネント」>>「BitLockerドライブ暗号化」では、暗号化方式を設定します。

  • Choose drive encryption method and cipher strength (Windows 10 [ Version 1511] and later):暗号化方法の構成の選択の有無を指定します。ここでは、Enabled有効)にしてみます。すると、3項目に対して、暗号化方式を指定できます。
  • Select the encryption method for fixed data drives固定データドライブの暗号化に対する暗号化方式を指定します。ここでは、デフォルトとします。
  • Select the encryption method for removable data drivesリムーバブルデータドライブの暗号化に対する暗号化方式を指定します。ここでは、デフォルトとします。
  • Select the encryption method for operating system drivesOSドライブの暗号化に対する暗号化方式を指定します。ここでは、デフォルトとします。

次にオペレーティングシステムドライブの暗号化について、設定します。

  • Enforce drive encryption type on operating system drive:BitLockerの暗号化を強制したいので、Enabled有効)にします。
  • Select the encryption typeUsed Space Only encryption使用中のスペースのみ暗号化)を選択します。

起動時の追加認証(Require additional authentication at startup)」Enabled有効)に設定します。

その他、「固定データドライブ」および「リムーバブル データ ドライブ」の設定もありますが、今回は構成せず、「次へ」をクリックします。

スコープタグ」は何も設定せず、「次へ」をクリックします。

割り当て」タブで、対象となるグループを選択します。予め「セキュリティ適用グループ」という名前のグループを作成し、デバイス「Win11-3」がメンバとして登録されています。

グループの追加」をクリックします。

セキュリティ適用グループ」を指定し、「選択」をクリックします。

グループが登録されたことを確認し、「次へ」をクリックします。

確認と作成」タブで、設定を確認し、「作成」をクリックします。

下記のとおり、登録されます。

スポンサーリンク

動作確認

デバイス「Win11-3」には、まだ、BitLockerは有効ではありません

早期のインストールが実行されるよう、デバイスの同期を実行します。デバイス「Win11-3」の詳細画面から「同期」をクリックします。

はい」をクリックします。

BitLockerの進捗確認

しばらくした後、BitLockerの暗号化の進捗をコマンド(manage-bde -status)で確認します。

すると、暗号化が実行中です。

しばらくすると、暗号化が完了しました。

設定」>>「プライバシーとセキュリティ」>>「Windowsセキュリティ」>>「デバイスのセキュリティ」>>「BitLockerドライブ暗号化を管理する」をクリックすると、BitLockerが有効であることが確認できます。

回復キーの確認

Microsoft Intune 管理センター(https://intune.microsoft.com/)」より、「デバイス」より回復キーを確認することができます。

今回、BitLockerを有効にした「Win11-3」をクリックします。

回復キー」をクリックします。

回復キーの表示」をクリックします。

下記のように、回復キーを取得することができます。

スポンサーリンク

適用状態の確認

Microsoft Intune 管理センター(https://intune.microsoft.com/)」より、「ディスク暗号化」の適用状況を確認します。

エンドポイント セキュリティ」>>「ディスクの暗号化」 をクリックします。

ポリシーをクリックします。

「成功」のデバイスがカウントされています。「レポートの表示」をクリックします。

今回、適用対象の「Win11-3」が表示されています。

スポンサーリンク

参考サイト

  >> BitLocker CSP 
BitLocker CSP - Windows Client Management
BitLocker CSP の詳細については、こちらをご覧ください。
learn.microsoft.com

コメント