Intune を使用して Windows デバイスの BitLocker ポリシーを管理する

Intune を使用して、Windows 10/11 を実行するデバイスで BitLocker ドライブ暗号化を構成します。

BitLocker は、Windows 10/11 以降を実行しているデバイスで使用できます。 BitLocker の一部の設定では、デバイスにサポートされている TPM が必要です。

次の種類のポリシーのいずれかを使用して、マネージド デバイスで BitLocker を構成します。

ヒント

Intune では、すべてのマネージド デバイスにわたって、デバイスの暗号化ステータスに関する詳細を表示する、組み込みの暗号化レポートが用意されています。 Intune で BitLocker を使用して Windows デバイスを暗号化すると、暗号化レポートを表示したときに、BitLocker 回復キーを表示して管理できます。

Azure Active Directory (Azure AD) で見られるように、お使いのデバイスから BitLocker の重要な情報にアクセスすることもできます。

BitLocker を管理するためのアクセス許可

Intune で BitLocker を管理するには、アカウントに適切な Intune ロールベースのアクセス制御 (RBAC) アクセス許可を与える必要があります。

リモート タスク カテゴリとアクセス許可を付与する組み込み RBAC ロールに含まれる、BitLocker アクセス許可を以下に示します。

  • BitLocker キーの交換
    • ヘルプ デスク オペレーター

ポリシーの作成と展開

次のいずれかの手順に従って、目的のポリシーの種類を作成します。

BitLocker のエンドポイント セキュリティ ポリシーを作成する

  1. Microsoft エンドポイント マネージャー管理センター

  2. [エンドポイント セキュリティ] > [ディスク 暗号化] > [ポリシーの作成] を選択します。

  3. 次のオプションを設定します。

    1. プラットフォーム: Windows 10/11
    2. プロファイル: BitLocker

    BitLocker プロファイルの選択

  4. [構成設定] ページで、ビジネス ニーズに合わせて BitLocker の設定を構成します。

    [次へ] を選択します。

  5. [スコープ (タグ)] タブで [スコープ タグを選択] を選択し、[タグを選択する] ウィンドウを開いて、プロファイルにスコープ タグを割り当てます。

    [次へ] を選んで続行します。

  6. [割り当て] ページで、このプロファイルを受け取るグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  7. [確認および作成] ページで、完了したら、[作成] を選択します。 作成したプロファイルのポリシーの種類を選択すると、新しいプロファイルが一覧に表示されます。

BitLocker 用のデバイス構成プロファイルを作成する

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [構成プロファイル] > [プロファイルの作成] の順に選択します。

  3. 次のオプションを設定します。

    1. プラットフォーム: Windows 10/11
    2. プロファイルの種類: Endpoint protection

    BitLocker プロファイルを選択する

  4. [構成設定] ページで、[Windows 暗号化] を展開します。

    Windows 暗号化設定を選択する

  5. ビジネス ニーズに合わせて BitLocker の設定を構成します。

    BitLocker をサイレント モードで有効にする場合は、この記事の「デバイスで BitLocker をサイレント モードで有効にする」を参照してください。他の前提条件と使用する必要のある設定構成について説明します。

  6. [次へ] を選んで続行します。

  7. 追加設定の構成を完了したら、プロファイルを保存します。

BitLocker の管理

BitLocker ポリシーを受信するデバイスに関する情報を表示するには、ディスク暗号化の監視に関する記事を参照してください。

デバイスで BitLocker をサイレント モードで有効にする

デバイスで BitLocker をサイレント モードで自動的に有効化できるよう、BitLocker ポリシーを構成できます。 つまり、ユーザーがデバイスのローカル管理者でない場合でも、エンド ユーザーに UI を表示せずに BitLocker が正常に有効化されます。 エンドポイント セキュリティのディスク暗号化ポリシーの BitLocker プロファイル、またはデバイス構成ポリシーのエンドポイント保護テンプレートのいずれかを使用できます。

デバイスが以下の前提条件を満たし、BitLocker をサイレント モードで該当する設定を受け取り、TPM スタートアップ PIN またはキーの設定に互換性がないことが必要です。

デバイスの前提条件

BitLocker をサイレント モードで有効にするには、デバイスが次の条件を満たしている必要があります。

  • エンド ユーザーがデバイスに管理者としてサインインする場合、デバイスで Windows 10 バージョン 1803 以降または Windows 11 が実行されている必要があります。
  • エンド ユーザーがデバイスに標準ユーザーとしてサインインする場合、デバイスで Windows 10 バージョン 1809 以降または Windows 11 が実行されている必要があります。
  • デバイスは Azure AD に参加しているか、Hybrid Azure AD に参加している必要があります。
  • デバイスには TPM (トラステッド プラットフォーム モジュール) 1.2 以上が含まれる必要があります。
  • BIOS モードはネイティブ UEFI 以外に設定しません。

BitLocker のサイレント モードを有効にするために必要な設定

BitLocker のサイレント モードを有効にするために使用するポリシーの種類に応じて、次の設定を構成します。

エンドポイント セキュリティ ディスク暗号化ポリシー - BitLocker プロファイルで次の設定を構成します。

  • サードパーティの暗号化に関するプロンプトを非表示にする = "はい"
  • Autopilot 使用中の暗号化の有効化を標準ユーザーに許可する = "はい"

デバイス構成ポリシー - エンドポイント保護 テンプレートまたは カスタム設定 プロファイルで次の設定を構成します。

  • 他のディスク暗号化に対する警告 = "ブロック"。
  • Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する = "許可"

ヒント

以下の 2 つのポリシーの種類の設定ラベルとオプションはそれぞれ異なりますが、どちらも Windows デバイスの BitLocker を管理する Windows 暗号化 CSP に同じ構成を適用します。

ディスク全体の暗号化と使用領域のみの暗号化

OS ドライブが使用領域のみを使用して暗号化されるか、ディスク全体の暗号化を使用するかは、次の 3 つの設定によって決まります。

  • デバイスのハードウェアがモダン スタンバイ対応かどうか
  • BitLocker に対してサイレント モードの有効化が構成されているかどうか
    • ('その他のディスク暗号化に対する警告' = ブロックまたは 'サードパーティの暗号化に関するプロンプトを非表示にする' = はい)
  • SystemDrivesEncryptionType の構成
    • (オペレーティング システム ドライブにドライブ暗号化の種類を適用)

SystemDrivesEncryptionType が構成されていないと想定した場合、予期される動作は次のとおりです。 最新のスタンバイ デバイスでサイレント モードの有効化が構成されている場合、OS ドライブは使用領域のみの暗号化を使用して暗号化されます。 モダン スタンバイ対応ではないデバイスでサイレント モードの有効化が構成されている場合、OS ドライブはディスク全体の暗号化を使用して暗号化されます。 BitLocker 向けのエンドポイント セキュリティ ディスク暗号化ポリシーおよび BitLocker のエンドポイント保護のデバイス構成プロファイルのどちらを使用する場合でも、結果は同じです。 別の終了状態にする必要がある場合は、以下に示すように、設定カタログを使用して SystemDrivesEncryptionType を構成して、暗号化の種類を制御できます。

ハードウェアがモダン スタンバイ対応であるかどうかを確認するには、コマンド プロンプトから次のコマンドを実行します。

powercfg /a

デバイスがモダン スタンバイをサポートしている場合、スタンバイ (S0 低電力アイドル) ネットワーク接続が使用可能であることが表示されます。

スタンバイ状態 S0 が使用可能な powercfg コマンドの出力を表示するコマンド プロンプトのスクリーンショット。

デバイスが仮想マシンなどのモダン スタンバイをサポートしていない場合、スタンバイ (S0 低電力アイドル) ネットワーク接続がサポートされていないことが表示されます。

スタンバイ状態 S0 を使用できない powercfg コマンドの出力を表示するコマンド プロンプトのスクリーンショット。

暗号化の種類を確認するには、管理者特権の (管理者) コマンド プロンプトから次のコマンドを実行します。

manage-bde -status c:

[変換の状態] フィールドには、暗号化の種類が反映され、[使用領域のみの暗号化] または [全体を暗号化済み] と表示されます。

全体の暗号化を反映した変換の状態と manage-bde の出力を示す管理コマンド プロンプトのスクリーンショット。

使用領域のみの暗号化を反映した変換の状態と manage-bde の出力を示す管理コマンド プロンプトのスクリーンショット。

ディスクの暗号化の種類をディスク全体の暗号化と使用領域のみの暗号化の間で変更するには、設定カタログ内の [オペレーティング システム ドライブにドライブ暗号化の種類を適用] 設定を利用します。

[オペレーティング システム ドライブにドライブ暗号化の種類を適用] 設定と、完全な暗号化または使用領域のみの暗号化の種類を選択するためのドロップダウン リストを表示する Intune 設定カタログのスクリーンショット。

TPM スタートアップ PIN またはキー

デバイスでは、スタートアップ PIN またはスタートアップ キーの使用は 必要ありません

TPM スタートアップ PIN またはスタートアップ キーがデバイスで必要な場合、BitLocker のサイレント モードをデバイスで有効にできず、代わりにエンド ユーザーからの操作が必要になります。 TPM スタートアップ PIN またはキーを構成する設定は、エンドポイント保護テンプレートと BitLocker ポリシーの両方で利用できます。 既定では、これらのポリシーではこれらの設定は構成されません。

各プロファイルの種類に関連する設定を次に示します。

エンドポイント セキュリティ ディスク暗号化ポリシー - BitLocker プロファイルでは、[BitLocker システム ドライブ ポリシー][構成する] に設定し、[スタートアップ認証が必要です][はい] に設定すると、BitLocker - OS ドライブ設定 カテゴリーに以下の設定があります。

  • [互換性のある TPM スタートアップ] - これを "許可" または "必須" に構成します
  • [互換性のある TPM スタートアップ PIN] - これを "ブロック" に構成します
  • [互換性のある TPM スタートアップ キー] - これを "ブロック" に構成します
  • [互換性のある TPM スタートアップ キーと PIN] - これを "ブロック" に構成します

デバイス構成ポリシー - エンドポイント保護テンプレートでは、Windows 暗号化 カテゴリーに以下の設定があります。

  • [互換性のある TPM スタートアップ] - これを "TPM を許可する" または "TPM が必須" に構成します
  • 互換性のある TPM スタートアップ PIN - これを [TPM を使用してスタートアップ PIN を許可しない] に構成します
  • 互換性のある TPM スタートアップ キー - これを [TPM を使用してスタートアップ キーを許可しない] に構成します
  • 互換性のある TPM スタートアップ キーと PIN - これを [TPM を使用してスタートアップ キーと PINを許可しない] に構成します

警告

エンドポイント セキュリティ ポリシーとデバイス構成ポリシーのどちらも TPM 設定を既定では構成しませんが、Microsoft Defender for Endpoint 版セキュリティ ベースラインの一部のバージョンでは、互換性のある TPM スタートアップ PIN互換性のある TPM スタートアップ キー の両方が既定で構成されます。これらの構成では、BitLocker のサイレント モードの有効化がブロックされる場合があります。

BitLocker をサイレント モードで有効にするデバイスにこのベースラインを展開する場合は、競合の可能性があるベースライン構成を確認してください。 競合を削除するには、ベースラインの設定を再構成して競合を削除するか、BitLocker のサイレント モードの有効化をブロックする TPM 設定を構成するベースライン インスタンスを受信する対象のデバイスを削除します。

回復キーの詳細を表示する

Intune では BitLocker 用の Azure AD ブレードにアクセスできます。これにより、Microsoft エンドポイント マネージャー 管理センター内から、ご利用の Windows 10/11 デバイス用の BitLocker キー ID および回復キーを確認できます。回復キーの表示のためのサポートで[テナントに接続されているデバイスに対する拡張](#view-recovery-keys-for-tenant-attached devices)を行うこともできます。

アクセスできるようになるには、デバイスのキーが Azure AD にエスクローされている必要があります。

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [すべてのデバイス] の順に選択します。

  3. 一覧からデバイスを選択して、[監視] 下にある [回復キー] を選択します。

  4. [回復キーの表示] をクリックします。これを選択すると、"KeyManagement" アクティビティの下に監査ログ エントリが生成されます。

    キーが Azure AD で利用できる場合は、次の情報を入手できます。

    • BitLocker キー ID
    • BitLocker 回復キー
    • ドライブの種類

    キーが Azure AD 内に存在していない場合、Intune によって "このデバイスの BitLocker キーが見つかりません" が表示されます。

注意

現在のところ、Azure AD では、デバイスあたり最大 200 個の BitLocker 回復キーをサポートしています。 この上限に達した場合、デバイスで暗号化を始める前に回復キーをバックアップできないため、サイレント暗号化に失敗します。

BitLocker の情報については、BitLocker 構成サービス プロバイダー (CSP) に関するページを参照してください。 BitLocker CSP は、Windows 10 の場合、バージョン 1703 以降で、Windows 10 Pro の場合、バージョン 1809 以降または Windows 11 でサポートされています。

IT 管理者がデバイス BitLocker 回復キーを見るには Azure Active Directory 内のアクセス許可 microsoft.directory/bitlockerKeys/key/read を与える必要があります Azure AD には、クラウド デバイス管理者、ヘルプデスク管理者など、このアクセス許可が付与されるいくつかのロールがあります。どの Azure AD ロールがどのアクセス許可を持つのかの詳細については、「Azure AD ロールの説明」を参照してください。

BitLocker 回復キーのアクセスはすべて監査されます。 監査ログ エントリの詳細については、Azure portal の監査ログに関する記事を参照してください。

注意

BitLocker で保護されている Azure AD 参加済みデバイスの Azure AD オブジェクトを削除すると、次回デバイスが Azure AD と同期するときに、オペレーティング システム ボリュームのキー保護機能が削除されます。 キー保護機能を削除すると、BitLocker はそのボリューム上で中断状態になります。 これは、Azure AD 参加しているデバイスの BitLocker 回復情報が Azure AD コンピューター オブジェクトに接続されており、それを削除すると BitLocker 回復イベントから回復できなくなる可能性があるので必要です。

テナントに接続されたデバイスでの回復キー表示

テナント接続シナリオを構成すると、Microsoft エンドポイント マネージャーはテナントに接続されたデバイスの回復キー データを表示できるようになります。

  • テナントに接続されたデバイスの回復キーの表示をサポートするには、構成マネージャー サイトでバージョン 2107 以降を実行している必要があります。 2107 を実行しているサイトの場合、Azure AD に参加しているデバイスをサポートするため更新プログラムのロールアップをインストールする必要があります。KB11121541 を参照してください。

  • 回復キーを表示するには、Intune アカウントに BitLocker キーを表示するための Intune RBAC アクセス許可が必要です。また、コレクション ロールの構成マネージャー で関連するオンプレミスのアクセス許可を持つオンプレミス ユーザーに、関連付けられている必要があり、BitLocker 回復キーの読み取りアクセス許可が付与されている必要があります。詳細については、「Configuration Manager の役割ベースの管理を構成する」を参照してください。

BitLocker 回復キーを交換する

Intune デバイス アクションを使用することで、Windows 10 バージョン 1909 以降または Windows 11 を実行するデバイスの BitLocker 回復キーをリモートで交換できます。

前提条件

BitLocker 回復キーの交換をサポートするには、デバイスで次の前提条件を満たしている必要があります。

  • デバイスで Windows 10 バージョン 1909 以降または Windows 11 を実行している必要があります。

  • Azure AD 参加デバイスと Hybrid 参加デバイスでは、BitLocker ポリシーの構成を使用してキーの交換のサポートを有効にしておく必要があります。

    • [クライアント主導の回復パスワードのローテーション][Azure AD 参加済みデバイスでローテーションを有効にする] または [Azure AD およびハイブリッド参加済みデバイスでローテーションを有効にする]
    • [BitLocker 回復情報を Azure Active Directory に保存][有効]
    • [BitLocker を有効にする前に Azure Active Directory で回復情報を保存][必須]

BitLocker の展開と要件の詳細については、BitLocker 展開の比較表に関する記事を参照してください。

BitLocker 回復キーを交換するには

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [すべてのデバイス] の順に選択します。

  3. 管理するデバイスの一覧で、デバイスを選択して、[詳細] を選択し、[BitLocker キーの交換] デバイス リモート アクションを選択します。

  4. デバイスの [概要] ページで、[BitLocker キーの交換] を選択します。 このオプションが表示されない場合は、省略記号 (...) を選択して他のオプションを表示し、[BitLocker キーの交換] デバイス リモート アクションを選択します。

    省略記号を選択してその他のオプションを表示

次の手順