TPM 非搭載のデバイスを BitLocker で保護する
前回の記事 [Intune で BitLocker を自動で有効化する] で Intune により BitLocker を自動有効化する方法を紹介しました。自動的に有効化するための前提条件として TPM 2.0 搭載という点が含まれていましたが、TPM 非搭載やバージョンが古いデバイスでも BitLocker 自体の利用は可能です。今回は TPM 未搭載のデバイスで BitLocker を設定する方法についてご紹介します。
TPM 未搭載のデバイスで BitLocker を有効化するためにはグループ ポリシーの変更が必要です。
変更が必要なポリシー
グループ ポリシー エディターを開いて、変更が必要なポリシーを確認してみましょう。
[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティングシステムのドライブ] – [スタートアップ時に追加の認証を要求する] を開き、
[互換性のある TPM が装備されていない BitLocker を許可する] を有効にする必要があります。
グループ ポリシーの展開
グループ ポリシーは手動でも設定変更可能ですが、操作にはローカル管理者権限が必要ですし、1台1台設定を行うのは大変です。Intune を利用すれば、AAD に参加しているデバイスに対してグループ ポリシーの設定を展開可能です。
Intune は Microsoft 365 Business Premium、E3、E5 や EMS E3 および E5 に含まれています。また Office 365 を契約されている場合は、EMS もしくは、Intune を追加契約することで利用できます。
- Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) を開き、[デバイス] – [Windows] をクリックします。
- [構成プロファイル] を開き、[プロファイルの作成] に進みます。
- 以下を選択し、[作成] をクリックします。
・ プラットフォーム : Windows 10 以降
・ プロファイルの種類 : テンプレート
・ テンプレート名 : 管理用テンプレート
- 名前や説明を入力し、[次へ]
- [コンピューターの構成] – [Windows コンポーネント] – [BitLocker ドライブ暗号化] – [オペレーティング システムのドライブ] – [スタートアップ時に追加の認証を要求する] に対して、設定を行い、[次へ] をクリックします。
・ [状態] : 有効を選択する
・ [互換性のある TPM が装備されていない BitLocker を許可する] : チェック オン
- ポリシーを適用するグループを指定し、[次へ] → [作成] をクリックします。
※ BitLocker 自動有効化の設定を行っている デバイスに割り当てると、正しく自動有効化の設定が展開されない可能性があるので注意してください。
作成した BitLocker の構成プロファイルは、設定した対象先に自動的に展開されます。
※ 展開されるまでに数時間かかる場合があります。
TPM 非搭載デバイスで BitLocker を利用する際の注意点
ポリシー変更後、BitLocker の有効化はコントロールパネルで操作して行いますが、BitLocker の有効化は、デバイスのローカル管理者権限アカウントでのみ行えます。
また TPM 未搭載のデバイスでは、デバイス起動や再起動のたびに暗号化解除画面が表示され、暗号化解除パスワードを入力する必要がある点も注意ください。(暗号化解除パスワードは BitLocker を有効化する際に指定します)。
関連コース
- CI505-H Microsoft 365 運用管理
Microsoft 365 の運用管理に必要な知識と設定すべき項目を理解いただけます。アカウントやデバイス管理に不可欠な Entra ID の基礎知識をはじめ、Exchange Online、Microsoft Teams、SharePoint Online、OneDrive for Business など各サービスにおいて実施すべき設定と推奨設定、理解しておきたい仕組みなど、運用管理に必要な内容を基本から実務レベルまで解説。 - CI509-H Microsoft 365 デバイス運用管理
IT 担当者を対象に、安全なモバイルワークを実現する第一歩である Microsoft 365 でのデバイスの管理や運用手法について解説。デバイスの安全性を高めるために Microsoft Entra ID や Microsoft Intune により、OS のバージョン管理、利用可能とするアプリの許可、接続するネットワークの制限、デバイスの盗難や紛失、退職者のデバイスを正しく管理する方法などを解説します。iPhone を使用した実習を行い、モバイル デバイスの管理方法について実際の挙動を確認しながら、さまざまな機能を理解。 - CI506-H Microsoft 365 運用管理 – 情報保護編
Microsoft Defender、Microsoft Purview、Microsoft Entra ID を活用したセキュリティおよびコンプライアンス対策に加え、注目を集める Microsoft 365 Copilot の運用管理など、Microsoft 365 全体の情報保護に関する機能・利用シーン・運用のポイントを具体的に解説。 - CI508-H Microsoft 365 PowerShell による管理効率化
Microsoft 365 に対する運用管理で PowerShell を利用するための基本や Exchange Online、SharePoint Online、Microsoft Teams を設定するための便利なコマンドライン、設定を自動化するためのスクリプトの作成方法など、PowerShell による Microsoft 365 管理の基本から必須スキルまでを、運用管理に活用できるサンプルを用いて解説。