はじめに
Intune で BitLocker を適用する方法は、以下の公開情報に 2 種類 紹介されています。
- BitLocker 向けの "エンドポイント セキュリティ" ディスク暗号化ポリシー
- BitLocker のエンドポイント保護の "デバイス構成プロファイル" ← こちらを採用
公開情報より、抜粋
当記事では、上記のうち Bitlocker のエンドポイント保護のデバイス構成プロファイル(赤枠)の方を採用しています。
こちらを選んだ理由ですが、BitLocker 向けのエンドポイント セキュリティ ディスク暗号化ポリシー の方は、設定項目が 英語 のままで、この先 応用する際に 設定に迷うだろうな・・と感じたからです。
前提
公開情報から、以下の ① と ② から 読み取れた設定を、Intune 管理センター から構成しています。
構成した結果は、Autopilot や Intune で展開して BitLocker 暗号化された事を検証してあります。
① BitLocker のサイレント モードを有効にするために必要な設定
https://learn.microsoft.com/ja-jp/mem/intune/protect/encrypt-devices#required-settings-to-silently-enable-bitlocker
② TPM スタートアップ PIN またはキー
スタートアップ PIN またはスタートアップ キー を必要とするようにデバイスを設定しないでください 。
https://learn.microsoft.com/ja-jp/mem/intune/protect/encrypt-devices#tpm-startup-pin-or-key
公開情報以外でも いくつかの 同様な設定を行った結果を公開している方々のサイトを確認して、認識に齟齬が無いかなど 確認しています。
BitLocker 暗号化 設定手順
この手順では、あらかじめ "BitLockerグループ" というデバイスグループを作成しておき、BitLocker で暗号化させたいデバイスを グループのメンバー として登録された状態を想定しています。
- Intune 管理センター にサインインし、左ペイン「デバイス」から「構成プロファイル」を選び、「+作成」をクリック。
プラットフォームでは「Windows 10 以降」を選び、プロファイルの種類は「テンプレート」を選択し、「Endpoint Protection」を選択した後に、「作成」を押します。
参考
Endpoint Protection の 右側の緑丸 にマウスをポイントすると、以下の説明が表示されます。
2.「基本」タブでは、ポリシーの名称(任意)を入力して「次へ」を押します。
3.「構成設定」タブでは、「Windows 暗号化」を開いて、下図の赤枠の箇所を 必須で選択して、「次へ」を押してください。
| 項目 | 選択肢 |
|---|---|
| デバイスの暗号化 | 必要 |
| 他のディスクの暗号化に対する警告 | ブロック |
| Microsoft Entra 参加中に暗号化を有効にすることを標準ユーザーに許可する | 許可 |
| 起動時の追加認証 | 必要 |
| 互換性のある TPM スタートアップ | TPM を許可する |
| 互換性のある TPM スタートアップ PIN | TPM でスタートアップ PIN を許可しない |
| 互換性のある TPM スタートアップ キー | TPM でスタートアップ キー を許可しない |
| 互換性のある TPM スタートアップ キーと PIN | TPM でスタートアップ キーと PIN を許可しない |
| OS ドライブの回復 | 有効にする |
| ユーザーによる回復パスワードの作成 | 48 桁の回復パスワードを許可する |
| ユーザーによる回復キーの作成 | 256 ビットの回復キーを許可する |
4.「割り当て」タブでは、あらかじめ用意しておいた「BitLockerデバイス」というグループを選択して、「次へ」を押します。
※ここでは、環境に合わせて 任意のデバイスグループを指定してください。
5.「適用性ルール」タブでは、特に指定はありません。「次へ」を押します。
6.「確認および作成」タブで、設定項目を確認したのちに、「作成」ボタンを押します。
7.通知欄に、以下のように表示されれば OK です。
8.プロファイルが作成されると、一覧には 以下のように表示されます。
9.ポリシーが同期されると、クライアントデバイス の 管理対象領域 の ポリシー欄 に BitLocker が追加されます(赤枠)
追加されない時は、緑枠 の 同期 を押して結果の反映を待ってください。
10.ポリシーが適用されると、そのあとは 特に再起動なども不要で、速やかに BitLocker の暗号化が開始されているように見えています。
暗号化 実施前後の ステータス
BitLocker の暗号化が開始される前 (Before) と 後 (After) のステータスの比較を示します。参考にしてみてください。
manage-bde -status コマンド
Before
暗号化を実行中です。12.8%。保護はオフです。
After
完全に暗号化されています。100%。保護はオンです。
BitLocker ドライブ暗号化
Before
C: BitLocker が暗号化中です
After
C: BitLocker が有効です
Intune 管理センター:ハードウェアのステータス(暗号化)
Before
暗号化=いいえ
After
暗号化=はい
BitLocker 暗号化レポート
左ペインの「デバイス」から「モニター」を選択します。
「暗号化レポート」から、各デバイスの 暗号化 状態を一覧で確認できます。
公開情報:Intune でデバイスの暗号化を監視する
BitLocker 回復キー の確認
回復キーも 管理ポータル から確認できます。
回復キーを参照したい デバイス を選択してから、
左ペインの「回復キー」を選択すると、回復キー を確認できます。
公開情報:回復キーの詳細を表示する
https://learn.microsoft.com/ja-jp/mem/intune/protect/encrypt-devices#view-details-for-recovery-keys