TPM 非搭載のデバイスを BitLocker で保護する

前回の記事 [Intune で BitLocker を自動で有効化する] で Intune により BitLocker を自動有効化する方法を紹介しました。自動的に有効化するための前提条件として TPM 2.0 搭載という点が含まれていましたが、TPM 非搭載やバージョンが古いデバイスでも BitLocker 自体の利用は可能です。今回は TPM 未搭載のデバイスで BitLocker を設定する方法についてご紹介します。

TPM 未搭載のデバイスで BitLocker を有効化するためにはグループ ポリシーの変更が必要です。

変更が必要なポリシー

グループ ポリシー エディターを開いて、変更が必要なポリシーを確認してみましょう。

[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティングシステムのドライブ] – [スタートアップ時に追加の認証を要求する] を開き、

[互換性のある TPM が装備されていない BitLocker を許可する] を有効にする必要があります。

グループ ポリシーの展開

グループ ポリシーは手動でも設定変更可能ですが、操作にはローカル管理者権限が必要ですし、1台1台設定を行うのは大変です。Intune を利用すれば、AAD に参加しているデバイスに対してグループ ポリシーの設定を展開可能です。

Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。

1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows]  をクリックします。
2. [構成プロファイル] を開き、[プロファイルの作成] に進みます。
3. 以下を選択し、[作成] をクリックします。
   ・ プラットフォーム     ： Windows 10 以降
   ・ プロファイルの種類 ： テンプレート
   ・ テンプレート名        ： 管理用テンプレート
   
4. 名前や説明を入力し、[次へ]
5. [コンピューターの構成] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティング システムのドライブ] – [スタートアップ時に追加の認証を要求する] に対して、設定を行い、[次へ] をクリックします。
   ・ [状態] ： 有効を選択する
   ・ [互換性のある TPM が装備されていない BitLocker を許可する] ： チェック オン
   
6. ポリシーを適用するグループを指定し、[次へ]  → [作成] をクリックします。
   ※ BitLocker 自動有効化の設定を行っている デバイスに割り当てると、正しく自動有効化の設定が展開されない可能性があるので注意してください。

作成した BitLocker の構成プロファイルは、設定した対象先に自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。

TPM 非搭載デバイスで BitLocker を利用する際の注意点

ポリシー変更後、BitLocker の有効化はコントロールパネルで操作して行いますが、BitLocker の有効化は、デバイスのローカル管理者権限アカウントでのみ行えます。

また TPM 未搭載のデバイスでは、デバイス起動や再起動のたびに暗号化解除画面が表示され、暗号化解除パスワードを入力する必要がある点も注意ください。(暗号化解除パスワードは BitLocker を有効化する際に指定します)。