Azure Managed Service Column ＜Azure運用コラム＞BitLockerをIntuneで管理するメリットとは？設定の手順や運用上の注意点を解説

BitLockerのデバイス保護をIntuneで管理する方法、暗号化におけるTPMとBitLockerの関係、回復キーの扱いなどのポイントを紹介

リモートワークの普及により、組織のリソースにアクセスするデバイスは様々な場所に散在しており、これらのデバイスのセキュリティ向上と管理が以前にも増して重要視されています。

BitLocker　はデバイスからのデータ流出や盗難時の脅威に対処する有効な手段であり、 Intune との統合でリモートに存在するデバイスも含めた組織全体の管理が容易になります。

本記事では BitLocker を用いたデバイス保護を Intune で管理するメリット、その設定手順や運用上のポイントを解説します。

1. BitLockerをIntuneで管理する

BitLocker と Intune それぞれの機能や役割、 BitLocker を Intune で管理するメリットを紹介します。

BitLockerとは

BitLocker は Windows に搭載されているセキュリティ機能です。ファイルを暗号化して特定のユーザーのみがアクセスできるよう制限や、ディスク全体の暗号化で PC からディスクが抜き取られた場合でもデータを安全に保ちます。

デバイスに搭載されるハードウェア部品であるトラステッド・プラットフォーム・モジュール（ TPM ）と共に BitLocker を使用すると、以下のような保護機能の強化がなされます。

• 不正なブートやデバイス改ざんからの保護
• パスワード間違いによるロックアウト

Intuneとは

Intune は、オフィス外へ持ち出すデバイスも含めた組織全体の PC やモバイルデバイスのセキュリティやコンプライアンス面での管理を容易にするクラウドベースの管理ツールです。

BitLockerをIntuneで管理するメリット

BitLocker は単体利用が可能ですが、 Intune と組み合わせると運用上のメリットが得られます。

導入作業の簡素化

Intune を用いて BitLocker を設定すると、デバイス個々で作業することなく複数のデバイスに一括して暗号化を導入できます。

管理作業の効率化

Intune が備える Web ベースの管理画面で全ての管理対象デバイスの暗号化状態を容易に把握できるため、管理作業が効率化されます。

回復キーにまつわる課題の解決

BitLocker による暗号化では、回復キーと呼ばれる暗号化を解除する情報が自動作成されます。

この回復キーは Windows の起動トラブルが発生した場合や、パスワード間違いによるロックアウト解除で必要です。

図版出典：Microsoft公式サイト

利用者が個別に回復キーを管理する運用では回復キーの紛失や取り違えなどのトラブルが起きがちです。回復キーを紛失すると暗号化を解くことが不可能となり、二度とデータにアクセスできなくなることが起こりえます。

Intune を用いると、組織全体の大量の回復キーを容易、かつ安全に管理可能です。

2. BitLockerとIntuneの設定方法

BitLocker と Intune を設定するにあたっての前提条件と設定の手順を解説します。

設定にあたっての前提条件

管理に用いるアカウントには、ヘルプデスクオペレーターやエンドポイントセキュリティ管理者など Intune ロールベースのアクセス制御の割り当てが必要です。

また、ユーザーの操作によらない自動的かつサイレントなデバイス暗号化のために、デバイスが下記条件を満たしていることが必要です。

• TPM 1.2 以上を搭載
• BIOS モードが UEFI である
• Windows 11、あるいは Windows 10 バージョン 1809以降
• Microsoft Entra に登録済み

IntuneとBitLockerの設定手順

設定手順の例として、エンドポイントセキュリティポリシー作成による Windows デバイス上での BitLocker ドライブ暗号化を紹介します。

• 適切なアカウントで Intune 管理センターにサインインします。
• メニューから [ エンドポイントセキュリティ ] > [ ディスク暗号化 ] > [ ポリシーの作成 ] の順にクリックします。
• プラットフォームに Windows 10/11 、プロファイルに BitLocker を選択します。
• [ 構成設定 ] タブでは、ニーズに合わせて BitLocker を構成しましょう。
• [ スコープタグ ] タブの中の [ スコープタグを選択 ] で、プロファイルにスコープタグを割り当てます。
• [ 割り当て ] タブで設定を適用するデバイスのグループを選択します。
• [ 確認および作成 ] タブで [ 作成 ] をクリックで完了です。

3. BitLockerのポリシー設定

管理者は Intune のポリシー設定によりデバイスのセキュリティ設定を管理します。ポリシー設定は重要な項目ですので、ここでより詳細に解説します。

エンドポイントセキュリティポリシーの一種である「ディスク暗号化ポリシー」は、 BitLocker に関連する設定に重点が置かれており、これを用いることでディスク暗号化設定を簡単に設定・管理できます。

デバイス構成に「エンドポイント保護プロファイル」を使用してデバイス設定を構成することもできますが、ディスク暗号化とは関係のないカテゴリの設定も含まれており、設定のタスクが複雑になります。

サイレントでの暗号化に必要な「ディスク暗号化ポリシー」の設定項目は以下です。

• 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する：はい
• サードパーティの暗号化に関するプロンプトを非表示にする：はい
• 互換性のある TPM スタートアップ キー：ブロック
• 互換性のある TPM スタートアップ PIN：ブロック
• 互換性のある TPM スタートアップ キーと PIN：ブロック

※参考：「ディスク暗号化ポリシー」で構成できる設定項目の詳細

「ディスク暗号化ポリシー」は、ポリシーのコピーを作成するための重複がサポートされています。コピーを利用すれば、組織内の別グループに若干異なる設定を施したい場合などでポリシー全体を手動で再作成する必要がなく、効率的にポリシー作成ができます。

4. BitLockerとIntuneの運用上の注意点

BitLocker を Intune 上で運用する際に起こりうる問題と解決策を紹介します。

TPM が見つからない、あるいは準備ができていない

イベントログに「互換性のある TPM セキュリティデバイスがこのコンピュータで見つかりません」と表示される、あるいは Intune の暗号化レポートに「TPM が BitLocker の準備ができていない」と表示される場合は、自動暗号化がされていません。

該当コンピュータ上の BIOS 設定で TPM が無効にされていないか確認しましょう。

ポリシーに合致しない暗号化

Intune の暗号化レポートに「暗号化方式が BitLocker ポリシーと合致しない」と表示される場合、暗号化はされているもののデバイスはエラー状態にあります。

ユーザーが手動で既にデバイスを暗号化している場合に起こりうるエラーですので、手動で暗号化を解除した後に再度 Intune 上で BitLocker ポリシーを適用しましょう。

デバイスの Intune オブジェクト削除

BitLocker によって保護されたデバイスの Intune オブジェクトを削除すると、デバイス上の BitLocker が中断状態になってしまいます。

BitLocker を機能させるには Intune オブジェクトを再登録します。 Intune でそのデバイスを管理しないのであれば、デバイス上で個別に BitLocker の設定を行ってもよいでしょう。

回復キーの保存上限

Microsoft Entra ではデバイスあたりの回復キー数に 200 の上限があります。上限に達すると回復キーをバックアップできないためサイレント暗号化が失敗します。

回復キーの確認は Intune 管理センターにて [ デバイス ] > [ すべてのデバイス ] > 対象デバイスを選択し [ 回復キー ] > [ 回復キーの表示 ] で可能です。

5. まとめ

ここまで Intune と BitLocker によるデバイス保護のメリット、設定の手順や運用上起こりうる問題点を解説しました。

Intune を用いて BitLocker を管理することでリモート勤務の従業員が持つデバイスを含めた組織全体のデバイスの保護と管理が容易となり、組織のセキュリティ強度が大きく向上します。

導入にあたっては、 BitLocker および Intune の利用に多くの知見を持つプロフェッショナルに相談するとよいでしょう。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： BitLocker Intune

• 

  Microsoftが提供しているEMSとは？クラウド上で統合的なセキュリティ対策を実現する方法を解説

• 

  デバイスの一括管理を実現する、Intuneの機能一覧と活用方法をわかりやすく解説！