Intune のエンドポイント セキュリティのディスク暗号化ポリシー
エンドポイント セキュリティ ディスク暗号化プロファイルは、FileVault、BitLocker、個人データ暗号化 (Windows の場合) など、デバイスの組み込み暗号化方法に関連する設定のみに重点を置いています。 この焦点により、セキュリティ管理者は、関連のない設定のホストを移動することなく、ディスク暗号化設定を簡単に管理できます。
デバイス構成に Endpoint Protection プロファイルを使用して同じデバイス設定を構成できますが、デバイス構成プロファイルには他のカテゴリの設定が含まれます。 これらの他の設定はディスク暗号化とは無関係であり、ディスク暗号化のみを構成するタスクを複雑にする可能性があります。
Microsoft Intune管理センターの [エンドポイント セキュリティ] ノードの [管理] で、ディスク暗号化のエンドポイント セキュリティ ポリシーを見つけます。
ディスク暗号化ポリシーの前提条件
- macOS - macOS 10.13 以降
- Windows - Windows 10
- Windows - Windows 11
役割ベースのアクセス制御 (RBAC)
ディスク暗号化ポリシーを管理するための適切なレベルのアクセス許可と権限Intune割り当てる方法については、「Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。
ディスク暗号化プロファイル
macOS プロファイル:
FileVault - FileVault は、macOS デバイスに組み込みのフル ディスク暗号化を提供します。
macOS の FileVault 設定 を管理します。
FileVault プロファイルを作成するには、「 macOS で FileVault ディスク暗号化を使用する」を参照してください。
Windows プロファイル:
BitLocker - BitLocker ドライブ暗号化は、オペレーティング システムと統合され、紛失、盗難、または不適切に使用停止されたコンピューターからのデータの盗難や露出の脅威に対処するデータ保護機能です。
注:
2023 年 6 月 19 日から、Windows 用 BitLocker プロファイルが更新され、設定カタログに記載されている設定形式が使用されました。 新しいプロファイル形式には、以前のプロファイルと同じ設定が含まれています。 この変更により、古いプロファイルの新しいバージョンを作成できなくなります。 古いプロファイルの既存のインスタンスは、引き続き使用および編集できます。
新しいプロファイル形式では、プロファイルで見つかった設定の専用リストは発行されなくなりました。 代わりに、設定の情報を表示するときに UI の [詳細情報 ] リンクを使用して、Windows ドキュメントで BitLocker CSP を開きます。ここで、設定は完全に詳しく説明されています。
2023 年 6 月 19 日より前に作成された元の BitLocker プロファイルの設定の一覧については、Intune ドキュメントの BitLocker 設定を参照してください。
個人データ暗号化 - 個人用データ暗号化 (PDE) はフォルダー レベルでデータを暗号化し、バージョン 22H2 以降Windows 11実行するデバイスで使用できます。 PDE は、ボリュームとディスク全体ではなくファイルを暗号化するという点で BitLocker とは異なります。 PDE は、BitLocker などの他の暗号化方法に加えて発生します。 起動時にデータ暗号化キーを解放する BitLocker とは異なり、ユーザーが Windows Hello for Business を使用してサインインするまで、PDE はデータ暗号化キーを解放しません。 PDE は PDE CSP を使用します。
前提条件、関連する要件、推奨事項など、PDE の詳細については、Windows セキュリティ ドキュメントの次の記事を参照してください。
BitLocker または個人用データ暗号化プロファイルを作成するには、「 Windows でディスク暗号化を使用する」を参照してください。
デバイスの暗号化を管理する
デバイス ディスクを暗号化するポリシーを展開した後、暗号化の管理については、次の記事を参照してください。