Microsoft 365

TPM 非搭載のデバイスを BitLocker で保護する

  • 2021.04.16

前回の記事 [Intune で BitLocker を自動で有効化する] で Intune により BitLocker を自動有効化する方法を紹介しました。自動的に有効化するための前提条件として TPM 2.0 搭載という点が含まれていましたが、TPM 非搭載やバージョンが古いデバイスでも BitLocker 自体の利用は可能です。今回は TPM 未搭載のデバイスで BitLocker を設定する方法についてご紹介します。

TPM 未搭載のデバイスで BitLocker を有効化するためにはグループ ポリシーの変更が必要です。

変更が必要なポリシー

グループ ポリシー エディターを開いて、変更が必要なポリシーを確認してみましょう。

[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティングシステムのドライブ] – [スタートアップ時に追加の認証を要求する] を開き、

[互換性のある TPM が装備されていない BitLocker を許可する] を有効にする必要があります。

グループ ポリシーの展開

グループ ポリシーは手動でも設定変更可能ですが、操作にはローカル管理者権限が必要ですし、1台1台設定を行うのは大変です。Intune を利用すれば、AAD に参加しているデバイスに対してグループ ポリシーの設定を展開可能です。

Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。

  1. Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows]  をクリックします。
  2. [構成プロファイル] を開き、[プロファイルの作成] に進みます。
  3. 以下を選択し、[作成] をクリックします。
    ・ プラットフォーム     : Windows 10 以降
    ・ プロファイルの種類 : テンプレート
    ・ テンプレート名        : 管理用テンプレート
  4. 名前や説明を入力し、[次へ]
  5. [コンピューターの構成] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティング システムのドライブ] – [スタートアップ時に追加の認証を要求する] に対して、設定を行い、[次へ] をクリックします。
    ・ [状態] : 有効を選択する
    ・ [互換性のある TPM が装備されていない BitLocker を許可する] : チェック オン
  6. ポリシーを適用するグループを指定し、[次へ]  → [作成] をクリックします。
    ※ BitLocker 自動有効化の設定を行っている デバイスに割り当てると、正しく自動有効化の設定が展開されない可能性があるので注意してください。

作成した BitLocker の構成プロファイルは、設定した対象先に自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。

TPM 非搭載デバイスで BitLocker を利用する際の注意点

ポリシー変更後、BitLocker の有効化はコントロールパネルで操作して行いますが、BitLocker の有効化は、デバイスのローカル管理者権限アカウントでのみ行えます。

また TPM 未搭載のデバイスでは、デバイス起動や再起動のたびに暗号化解除画面が表示され、暗号化解除パスワードを入力する必要がある点も注意ください。(暗号化解除パスワードは BitLocker を有効化する際に指定します)。

Microsoft 365 管理者向けコース

  • CI520-O 今からはじめる Azure AD 基礎
    Microsoft 365、Microsoft Azure では、ユーザーの管理や認証を行うしくみとして Azure AD が採用されています。本コースでは Azure AD の基礎を理解し、組織のセキュリティ向上につながる設定や運用を行っていただくことをめざします。Azure AD を「何となく使っているけれど一度基本からしっかり理解を深めたい」という方や、これから Microsoft 365 の管理者になる AD をそもそも知らない方などにおすすめのコースです。
  • CI531-H シナリオベースで理解する Microsoft 365 セキュリティ機能
    Microsoft 365 で利用できるセキュリティ機能と、それぞれが何のために利用するものかシナリオベースで解説します。 “どんな” 機能が利用できて、”何に” 対するセキュリティ対策になり、利用するためにはどのような設定が必要かを整理します。
  • CI525-H Office 365 とクラウドサービスの認証ベストプラクティス (Azure AD 編)
    Microsoft 365 をはじめとするクラウドサービスへのユーザー認証の設計と実装について学習します。Azure AD では、SAML、OpenID Connect、OAuth2.0 など、様々なID 連携プロトコルを利用して 365 だけでなく、SaaS や PaaS などのクラウドサービスにシングルサインオンするために必要な実装やシングルサインオン環境を実現するために必要な知識を習得します。
  • CI532-H EMS で実現するクラウド IT インフラ管理
    企業でのデバイス管理や展開をおこなう方を対象に、EMS を利用した “モダンマネージメント” を実践していただこうと考えています。豊富な実習を通してクラウドベースでの IT インフラ管理へ移行する方法を習得し、管理の考え方もクラウドベースにシフトしていきましょう。
  • CI535-H Microsoft 365 を利用したインシデント対応
    Microsoft 365 E5 を利用している企業を対象に、サイバー攻撃の検知や対応を具体的に行う方法について解説し、インシデント対応プロセスをどのように進めていくべきかについてベストプラクティスを探っていきます。
  • CI510-H 管理者のための Microsoft Teams – 活用シナリオ理解と管理手法
    IT 管理者向けに Microsoft Teams 活用のためのシナリオや、必要となる管理知識を解説します。Teams の導入/展開にあたり、理解しておかないといけない運用管理の手法や注意事項をご理解いただけます。

オンライン コースも提供中!

お問い合わせ

イルミネート・ジャパンが提供するトレーニングやサービスに関するご相談など、
お気軽にご連絡ください。

担当者に相談する