Intune の 構成プロファイル による Windows 暗号化 の展開 -BitLocker自動化編-

Intune を利用することで、Windows 10デバイスに対し、BitLockerを強制的に有効化することができます。これは多くのシステム管理者にとって非常に魅力のある機能です。ユーザーが自発的に暗号化するのではなく、管理者の意図した形で暗号化をするための設定を紹介します。なお、今回は、Azure AD Join における設定となる点に注意ください。 前提条件・セキュアブートが有効となっていること・TPM が 搭載されており、利用可能であること 1. Microsoft Endpoint Manager admin center を開き、「デバイス」を確認します。 2. 「ポリシー」カテゴリから、「構成プロファイル」 を選択します。 3. 「構成プロファイル」画面から、「プロファイルの追加」 を選択します。 4. 「プロファイルの作成」ブレードの、「名前」を入力します。 5. 「プロファイルの作成」ブレードの、「プラットフォーム」 から「Windows 10 以降」を選択します。 6.「プロファイルの種類」から「Endpoint Protection」を選択します。 7. 「Endpoint Protection」ブレードの、「Windows 暗号化」を選択します。 8.「Windows 暗号化」ブレードの「Windows の設定」カテゴリを設定します。 デバイスの暗号化 を 「必要」に変更します。 9.「Windows 暗号化」ブレードの「BitLocker の基本設定」カテゴリを設定します。 「他のディスクの暗号化に対する警告」を 「ブロック」に変更します。 「Azure AD 参加中の暗号化の有効化を標準ユーザーに許可する」を「許可」に変更します。 この設定は、管理者権限を持たないユーザー権限(Azure AD Join)であってもBitLockerを有効化を行うために必要です。 10.「Windows 暗号化」ブレードの「BitLocker OS ドライブの設定」カテゴリを設定します。 […]