Intune で BitLocker を自動で有効化する
外出やテレワークなどにより会社のデバイスを持ち出して利用するシーンが増えています。デバイスを社外でも利用できることで場所にとらわれずに仕事ができる点はメリットといえますが、一方で盗難や紛失により保存されているデータが抜き取られ情報が漏洩してしまうリスクへの対応がより重要となります。
ユーザー認証の管理、セキュリティ対策ソフトの導入といった対策も必要ですが、端末の盗難や紛失が原因となる情報漏えい対策としてはディスクの暗号化が有効です。
Windows 10 では BitLocker が利用できます。BitLocker を有効化することでディスクが暗号化され、復号化のためのキーがなければディスクの中身を読み取ることができなくなります。デバイスの紛失時や盗難にあった時にも情報が抜き取られてしまうことを防げます。
BitLocker の有効化は Windows のコントロールパネルから行えますが、暗号化にはデバイスのローカル管理者権限が必要であることや、操作が多いことより、ユーザーが行う作業としては負担が大きいといえます。
そこで利用したいのが Intune です。
Intune を用いて対象デバイスに BitLocker を有効にする設定を展開することで、対象のデバイスにおいて自動でディスクの暗号化が行われます。ユーザーへの作業依頼も不要となり、管理者の負担軽減も図れます。
Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。
① BitLocker を自動で有効化するための前提条件
BitLocker を自動で有効化するには、デバイスが前提条件を満たしている必要があります。
- Windows 10 のバージョンが 1803 以降であること
- Windows 10 のエディションが Pro、Enterprise、Education であること
- デバイスは Azure AD に参加しているか、Hybrid Azure AD に参加していること
- デバイスに TPM (トラステッド プラットフォーム モジュール) 2.0 が搭載されていること
- BIOS モードが UEFI モードであること
- インターネットに接続されていること
TPM の搭載やバージョンの確認
TPM 未搭載 (もしくはバージョンが 2.0 未満) のデバイスでも BitLocker 自体は利用できますが、自動的に有効化を行うためには TPM 搭載が前提です。TPM 搭載の有無やバージョンの確認は各デバイスから行えます。また Intune に登録されているデバイスはIntune 画面での確認も可能です。
デバイスでの確認方法
デバイスで確認する場合は、ローカル管理者権限アカウントが必要です。
- [ファイル名を指定して実行] から「tpm.msc」を開きます。
- TPM のバージョンが確認できます。
非搭載の場合
Intune での確認方法
Intune に登録されているデバイスは、デバイス上だけでなく Intune 画面で TPM の搭載有無やバージョンの確認が行えます。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows] をクリックします。
- デバイス名を選択します。
- [ハードウェア] をクリックし、TPM を確認します。TPM が未搭載の場合は、空白です。
② 構成プロファイルの作成
BitLocker を自動で有効化するよう構成プロファイルを作成します。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows] をクリックします。
- [構成プロファイル] をクリックします。
- [プロファイルの作成] をクリックします。
- 以下を選択し、[次へ] をクリックします。
・ プラットフォーム : Windows 10 以降
・ プロファイルの種類 : テンプレート
・ テンプレート名 : Endpoint Protection
- 名前と説明を指定し、[次へ] をクリックします。
- [Windows 暗号化] を展開し、必要な設定を行い、[次へ] をクリックします
画面は OS がインストールされているドライブを自動的に暗号化を行う設定例です。暗号化の強度やデバイス起動時のキーの入力の有無など設定は、組織のセキュリティ ルールに合わせて行ってください。 - 設定を割り当てるグループを指定し、[次へ] → [作成] をクリックします。
※ Windows 10 以外のデバイスは対象外です。 - 設定の適用先や除外先のルールを指定して作成を行います。
→ OS のエディションやバージョンを指定して割り当てる条件や割り当てない条件を指定可能
③ 構成プロファイルの展開後
作成した BitLocker の構成プロファイルは、設定した対象に自動的に展開されます (展開されるまでに数時間かかる場合があります)。展開された Windows 10 デバイスでは自動的にBitLocker の有効化が行われます。BitLocker の有効化は、バックグラウンドで行われるため、デバイス利用者の画面には何も表示されません。
IT 管理者が BitLocker の有効化状態を確認するには、[Windows のデバイス] 画面で [暗号化] 列を表示します。
Microsoft 365 管理者向けコース
- CI520-O 今からはじめる Azure AD 基礎
Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。 - CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。 - CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。 - CI532-H EMS で実現するクラウド IT インフラ管理
企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。 - CI535-H Microsoft 365 を利用したインシデント対応
Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。 - CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。
オンライン コースも提供中!