Microsoft 365

Intune で BitLocker を自動で有効化する

  • 2021.04.15

外出やテレワークなどにより会社のデバイスを持ち出して利用するシーンが増えています。デバイスを社外でも利用できることで場所にとらわれずに仕事ができる点はメリットといえますが、一方で盗難や紛失により保存されているデータが抜き取られ情報が漏洩してしまうリスクへの対応がより重要となります。

ユーザー認証の管理、セキュリティ対策ソフトの導入といった対策も必要ですが、端末の盗難や紛失が原因となる情報漏えい対策としてはディスクの暗号化が有効です。

Windows 10 では BitLocker が利用できます。BitLocker を有効化することでディスクが暗号化され、復号化のためのキーがなければディスクの中身を読み取ることができなくなります。デバイスの紛失時や盗難にあった時にも情報が抜き取られてしまうことを防げます。

BitLocker の有効化は Windows のコントロールパネルから行えますが、暗号化にはデバイスのローカル管理者権限が必要であることや、操作が多いことより、ユーザーが行う作業としては負担が大きいといえます。

そこで利用したいのが Intune です。
Intune を用いて対象デバイスに BitLocker を有効にする設定を展開することで、対象のデバイスにおいて自動でディスクの暗号化が行われます。ユーザーへの作業依頼も不要となり、管理者の負担軽減も図れます。

Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。

① BitLocker を自動で有効化するための前提条件

BitLocker を自動で有効化するには、デバイスが前提条件を満たしている必要があります。

  • Windows 10 のバージョンが 1803 以降であること
  • Windows 10 のエディションが Pro、Enterprise、Education であること
  • デバイスは Azure AD に参加しているか、Hybrid Azure AD に参加していること
  • デバイスに TPM (トラステッド プラットフォーム モジュール) 2.0 が搭載されていること
  • BIOS モードが UEFI モードであること
  • インターネットに接続されていること

TPM の搭載やバージョンの確認

TPM 未搭載 (もしくはバージョンが 2.0 未満) のデバイスでも BitLocker 自体は利用できますが、自動的に有効化を行うためには TPM 搭載が前提です。TPM 搭載の有無やバージョンの確認は各デバイスから行えます。また Intune に登録されているデバイスはIntune 画面での確認も可能です。

デバイスでの確認方法

デバイスで確認する場合は、ローカル管理者権限アカウントが必要です。

  1. [ファイル名を指定して実行] から「tpm.msc」を開きます。
  2. TPM のバージョンが確認できます。

    非搭載の場合

Intune での確認方法

Intune に登録されているデバイスは、デバイス上だけでなく Intune 画面で TPM の搭載有無やバージョンの確認が行えます。

  1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows]  をクリックします。
  2. デバイス名を選択します。
  3. [ハードウェア] をクリックし、TPM を確認します。TPM が未搭載の場合は、空白です。

② 構成プロファイルの作成

BitLocker を自動で有効化するよう構成プロファイルを作成します。

  1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows]  をクリックします。
  2. [構成プロファイル] をクリックします。
  3. [プロファイルの作成] をクリックします。
  4. 以下を選択し、[次へ] をクリックします。
    ・ プラットフォーム     : Windows 10 以降
    ・ プロファイルの種類 : テンプレート
    ・ テンプレート名        : Endpoint Protection
  5. 名前と説明を指定し、[次へ] をクリックします。
  6. [Windows 暗号化] を展開し、必要な設定を行い、[次へ] をクリックします
    画面は OS がインストールされているドライブを自動的に暗号化を行う設定例です。暗号化の強度やデバイス起動時のキーの入力の有無など設定は、組織のセキュリティ ルールに合わせて行ってください。
  7. 設定を割り当てるグループを指定し、[次へ]  → [作成] をクリックします。

    ※ Windows 10 以外のデバイスは対象外です。
  8. 設定の適用先や除外先のルールを指定して作成を行います。
    → OS のエディションやバージョンを指定して割り当てる条件や割り当てない条件を指定可能

③ 構成プロファイルの展開後

作成した BitLocker の構成プロファイルは、設定した対象に自動的に展開されます (展開されるまでに数時間かかる場合があります)。展開された Windows 10 デバイスでは自動的にBitLocker の有効化が行われます。BitLocker の有効化は、バックグラウンドで行われるため、デバイス利用者の画面には何も表示されません。

IT 管理者が BitLocker の有効化状態を確認するには、[Windows のデバイス] 画面で [暗号化] 列を表示します。

関連コース

  • CI505-H Microsoft 365 運用管理
    Microsoft 365 の運用管理において必要となる知識を習得し、行うべき設定項目を理解いただけます。アカウントやデバイス管理の必須となる Azure AD に対する必須知識から、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business などの各サービスに対して行うべき設定、推奨される設定、理解しておきたいしくみなど、運用管理に必要となる内容を基本から、運用にもとめられるレベルまで解説します。また入退社や人事異動への対応方法、監査ログや検疫といったセキュリティ・コンプライアンス対策のために行うべきこともあわせてご紹介します。
  • CI509-H Microsoft 365 デバイス運用管理
    IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説します。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。本コースでは iPhone を使用した実習を行うため、モバイルデバイスの管理方法について、動作を確認しながらさまざまな機能をご理解いただけます。
  • CI507-H Microsoft 365 情報保護とコンプライアンス
    Microsoft 365 の管理者を対象に、ファイルやメール、チームといった Microsoft 365 内の情報を保護するために必要な基本知識や利用すべき機能、および利用方法を解説します。
  • CI508-H Microsoft 365 PowerShell による管理効率化
    Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルを運用管理で利用できるサンプルをもちいて解説します。また、今後利用が推奨される Microsoft Graph PowerShell SDK の利用方法もあわせて解説します。

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する