Windows Autopilot デバイスの BitLocker 暗号化アルゴリズムの設定

BitLocker は、モダン スタンバイをサポートするか、ハードウェア セキュリティ テスト可能性仕様 (HSTI) を満たすデバイスの既定のエクスペリエンス (OOBE) 中に内部ドライブを自動的に暗号化します。 既定では、BitLocker では自動暗号化のためにのみ XTS-AES 128 ビットの使用済み領域が使用されます。

Windows Autopilot では、自動暗号化が開始される前に BitLocker 暗号化設定を適用するように構成できます。 この構成により、既定の暗号化アルゴリズムまたは種類が自動的に適用されないようにします。 暗号化後にこれらの設定を受け取るデバイスは、暗号化アルゴリズムを変更する前に暗号化を解除する必要があります。

暗号化アルゴリズム

BitLocker は、BitLocker が最初に有効になったときに、指定された BitLocker 暗号化アルゴリズムを使用します。 Windows Autopilot 中、 登録状態ページのデバイスセットアップ部分の後に BitLocker が有効になります。 次の暗号化アルゴリズムを使用できます。

• AES-CBC 128 ビット。
• AES-CBC 256 ビット。
• XTS-AES 128 ビット (既定値)。
• XTS-AES 256 ビット。

使用する推奨される暗号化アルゴリズムの詳細については、「 BitLocker 構成サービス プロバイダー (CSP)」を参照してください。

ディスク全体の暗号化または使用領域のみの暗号化

暗号化には、フル ディスクと使用済み領域のみの 2 種類があります。 サイレント 有効化とモダン スタンバイのハードウェア サポートの構成によって、使用される暗号化の種類が自動的に決まります。 使用される暗号化の種類は、 SystemDrivesEncryptionType 設定を構成することで適用できます。 暗号化アルゴリズムと同様に、BitLocker は BitLocker が最初に有効になったときに暗号化の種類を使用します。 予想される暗号化の種類の動作の詳細については、「 BitLocker ポリシーの管理」を参照してください。

Windows Autopilot デバイスの BitLocker ポリシーを構成する

Windows Autopilot デバイスで自動暗号化が行われる前に、目的の BitLocker 暗号化アルゴリズムと暗号化の両方が設定されていることを確認するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。

2. [ホーム] 画面で、左側のウィンドウで [エンドポイント セキュリティ] を選択します。

3. エンドポイント セキュリティ |[概要] 画面で、[管理] を展開し、[ディスク暗号化] を選択します。

4. エンドポイント セキュリティ |ディスク暗号化画面。 [ + ポリシーの作成] を選択します。

5. 開 いた [プロファイルの作成 ] ページで、次の手順を実行します。

   1. [ プラットフォーム] で、[Windows] を選択 します。

   2. [ プロファイル] で、[ BitLocker] を選択します。

   3. [作成] ボタンを選択します。

6. [ポリシーの作成] 画面の [基本] ページで、[名前] とオプションの [説明] を入力し、[次へ] ボタンを選択します。

7. [ 構成設定 ] ページで、[ 暗号化方法 ] と [暗号] や [ 暗号化の種類 ] の設定など、必要に応じてさまざまな BitLocker 設定を構成します。

   • 暗号化方法と暗号

     1. [BitLocker ドライブ暗号化] セクションを展開します。

     2. [ ドライブ暗号化方法と暗号強度の選択] で、[ 有効] を選択します。

     3. ドライブの種類 (固定データ ドライブ、オペレーティング システム ドライブ、リムーバブル データ ドライブ) ごとに、ドロップダウン メニューから目的の暗号化方法と暗号を選択します。 各型の既定値は XTS-AES 128 ビットです。

   • 暗号化の種類

     1. [ オペレーティング システム ドライブ ] セクションを展開します。

     2. [ オペレーティング システム ドライブにドライブ暗号化の種類を適用する] で、[ 有効] を選択します。

     3. [ ドライブ暗号化の種類の選択] で、ドロップダウン メニューから目的の暗号化の種類 ( [完全暗号化 ] または [ 使用済み領域のみ暗号化]) を選択します。 既定値は [ユーザーの選択を許可する] です。

   すべての BitLocker 設定が必要に応じて構成されたら、[ 次へ ] ボタンを選択します。

8. [ スコープ タグ ] ページで、[ 次へ ] ボタンを選択します。

   注:

   スコープ タグ は省略可能です。 カスタム スコープ タグを指定する必要がある場合は、このページで指定します。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

9. [ 割り当て] ページ で、グループ名で検索... 検索ボックスを使用して、Windows Autopilot デバイス グループを検索して追加します。 Windows Autopilot デバイス グループが追加され、[ グループ] に一覧表示されたら、[ ターゲットの種類] が [含める] に設定されていることを確認し、[ 次へ ] ボタンを選択します。 ポリシーの割り当ての詳細については、「Microsoft Intuneでのポリシーの割り当て」を参照してください。

   重要

   この手順で選択した Windows Autopilot デバイス グループが、ユーザー グループではなくデバイス グループであることを確認します。

10. [ 確認と作成 ] ページで、設定を確認して必要に応じて構成されていることを確認し、[ 保存 ] ボタンを選択します。

11. Windows Autopilot デバイスの 登録状態ページ (ESP) を構成して割り当てます。 ESP が有効になっていない場合、暗号化が開始される前に BitLocker ポリシーは適用されません。 詳細については、次のいずれかの記事を参照してください。

    • [Windows Autopilot 登録の状態] ページ。
    • ユーザー主導のMicrosoft Entra参加: 登録状態ページ (ESP) を構成して割り当てます。
    • ユーザードリブン Microsoft Entra ハイブリッド参加: 登録状態ページ (ESP) を構成して割り当てます。
    • 事前プロビジョニングMicrosoft Entra参加: 登録状態ページ (ESP) を構成して割り当てます。
    • ハイブリッド参加Microsoft Entra事前プロビジョニング: 登録状態ページ (ESP) を構成して割り当てます。
    • 自己展開モード: 登録状態ページ (ESP) を構成して割り当てます。

関連コンテンツ

• BitLocker の概要。
• Intuneを使用して Windows デバイスの BitLocker ポリシーを管理します。