【Intune】iOSのパスコードポリシーを設定して情報漏えいを防ごう!
taisuke_0608
Intune Lab
【Intune】WindowsのBitLockerの一括設定する方法
taisuke_0608
BitLockerについて調べてるんだね。いい着眼点だよ
はい。ディスクの暗号化ですよね?でも、Intuneでどう設定するのかまではよく分かってなくて…
なるほど、基本は知っていても、実際の設定方法になると難しく感じるかもしれないね
それって何ですか?詳しく教えてください!
じゃあ、一緒に順番に確認していこうか。手順を覚えれば難しくないし、現場での実践にもすぐ活かせるようになるよ
この記事の目次
1. 設定内容とその効果
設定の概要
- BitLockerは、Windows端末のドライブを暗号化することで、紛失や盗難時の情報漏洩を防ぐセキュリティ機能です。
- Intuneを使えば、ポリシーを一括で配信・管理できるため、手動設定よりも楽に、統一した運用が可能になります。
設定しないことで発生するリスクとは?
- PCを紛失・盗難された場合、ディスクの中のデータがそのまま読めてしまう
- 会社の機密情報や個人情報が漏えいすれば、信用問題や法的トラブルにも
- 情シス担当として「なぜ暗号化してなかった?」と問われるリスクも
設定することで得られる効果とは?
- 端末紛失・盗難時も、ディスクの内容を保護
- IntuneでBitLockerの状態(有効/無効)を一元管理
- 回復キーが自動でクラウドに保存されるため、万一のトラブルにも対応可能
2. 必要な前提条件と準備
設定を始める前に、以下の準備をしておきましょう。
必要な前提条件
- IntuneにWindowsデバイスが登録済み
- 対象端末がBitLockerに対応(Pro/EnterpriseエディションのWindows 10/11)
- 管理者アカウントでの作業権限
準備しておくこと
- 対象ユーザーやグループの洗い出し
- 回復キーの保存先(Entra ID)の確認
- デバイスのセキュリティチップ(TPM)が有効か確認
3. ポリシーの作成手順
1. Microsoft Intuneにサインイン
https://endpoint.microsoft.com
2. デバイス構成プロファイルを作成
- 「デバイス」→「構成プロファイル」→「作成」
- プラットフォーム:「Windows 10 および以降」
- プロファイルの種類:「テンプレート」→「Endpoint protection」
3. BitLocker設定を構成
- 「Windows Encryption」セクションを開く
- 以下の設定を有効にする:
- BitLocker を有効にする:はい
- OS ドライブの暗号化:自動
- スタートアップPIN:不要(自動展開向け)
- 回復キーのバックアップ:Entra IDに保存
4. 対象ユーザー/グループを割り当て
- 作成したプロファイルを、部署やグループ単位で割り当てます。
4. 動作確認
設定が完了したら、以下の手順で正しく動作しているか確認します。
- Intuneポータルの「デバイス」画面で、BitLockerが有効になっているか確認
- 対象PCで、[コントロールパネル]→[BitLockerの管理]を開く
- 回復キーがEntra IDに保存されているか確認(Intuneポータルでも確認可)
5. よくあるトラブルと対処法
| トラブル内容 | 原因 | 対処法 |
|---|---|---|
| BitLockerが有効にならない | TPMが無効 | BIOS/UEFIでTPMを有効にする |
| 回復キーが保存されていない | ポリシーの設定ミス | Entra IDへの保存が「はい」になっているか確認 |
| 設定が適用されない | タイミングの問題 | デバイスを再起動・ポリシー同期を手動で実施 |
6. まとめ
- BitLockerのIntune管理は、セキュリティ強化の第一歩
- ポリシーで一括適用すれば、端末ごとの設定漏れを防げる
- 回復キー管理までしっかり設計すれば、トラブル時の対応力もアップ
ABOUT ME
社内SE歴7年、Intuneは「やりたくないのに気づけば詳しくなってしまった」タイプです。日本語の情報が少なくて苦労した分、皆さんにはもっと楽してほしい!そんな思いでこのブログを書いています。