Intune でのエンドポイント セキュリティのディスク暗号化ポリシー設定

  • [アーティクル]

エンドポイント セキュリティ ポリシーの一部として Intune のエンドポイント セキュリティ ノードの ディスク暗号化 ポリシーのプロファイルで構成できる設定を表示 します

適用対象:

  • macOS
  • Windows 10 または 11

サポートされているプラットフォームとプロファイル:

  • macOS:
    • プロファイル: FileVault
  • Windows 10以降:
    • プロファイル: BitLocker

FileVault

暗号化

FileVault を有効にする

  • 未構成 (既定値)

  • はい - macOS 10.13 以降を実行するデバイスで FileVault で XTS-AES 128 を使用して完全ディスク暗号化を有効にします。 FileVault は、ユーザーがデバイスのサインオフ時に有効になります。

    [はい] に設定すると、FileVault の追加設定を構成できます。

    • 回復キーの種類個人用キー 回復キーは、デバイス用に作成されます。 個人用キーに対して次の設定を構成します。

      • 個人用回復キーのローテーション
        デバイスの個人用回復キーをローテーションする頻度を指定します。 既定値の [未構成] または 1 ~ 12 か月の値を選択できます。
      • 個人用回復キーのエスクローの場所の説明
        個人用回復キーを取得する方法を説明する短いメッセージをユーザーに指定します。 パスワードを忘れた場合に個人用回復キーの入力を求められたら、サインイン画面にこのメッセージが表示されます。

    • バイパスが許可された回数
      ユーザーがサインインするために FileVault が必要になる前に、ユーザーが FileVault を有効にするためのプロンプトを無視できる回数を設定します。

      • 未構成 (既定値) - 次のサインインが許可される前に、デバイスでの暗号化が必要です。
      • 1 ~ 10 - ユーザーがデバイスで暗号化を要求する前に、1 ~ 10 回のプロンプトを無視できるようにします。
      • 制限なし、常にプロンプト - ユーザーは FileVault を有効にするように求められますが、暗号化は必須ではありません。

    • サインアウトするまで遅延を許可する

      • 未構成 (既定値)
      • はい - ユーザーがサインアウトするまで、FileVault を有効にするプロンプトを延期します。

    • サインアウト時にプロンプトを無効にする
      サインアウト時に FileVault を有効にするよう要求するユーザーに対してプロンプトを表示しないようにします。[無効] に設定すると、サインアウト時のプロンプトが無効になり、代わりにサインイン時にユーザーにメッセージが表示されます。

      • 未構成 (既定値)
      • はい - サインアウト時に表示される FileVault を有効にするプロンプトを無効にします。

    • 回復キーを非表示にする
      暗号化中に macOS デバイスのユーザーから個人用回復キーを非表示にします。 ディスクが暗号化された後、ユーザーは任意のデバイスを使用して、Intune ポータル サイト Web サイト、またはサポートされているプラットフォーム上のポータル サイト アプリを介して個人用回復キーを表示できます。

      • 未構成 (既定値)
      • はい - デバイスの暗号化中に個人用回復キーを非表示にします。

BitLocker

注:

この記事では、エンドポイント セキュリティ ディスク暗号化ポリシーのWindows 10以降のプラットフォームについて、2023 年 6 月 19 日より前に作成された BitLocker プロファイルで見つけることができる設定について詳しく説明します。 2023 年 6 月 19 日に、Windows 10 以降のプロファイルが更新され、設定カタログに記載されている新しい設定形式が使用されました。 この変更により、古いプロファイルの新しいバージョンを作成できなくなり、開発されなくなります。 古いプロファイルの新しいインスタンスを作成することはできなくなりましたが、以前に作成したそのプロファイルのインスタンスを引き続き編集して使用できます。

新しい設定形式を使用するプロファイルの場合、Intune は名前で各設定の一覧を保持しなくなりました。 代わりに、各設定の名前、その構成オプション、およびMicrosoft Intune管理センターに表示される説明テキストは、設定の権限のあるコンテンツから直接取得されます。 そのコンテンツは、適切なコンテキストでの設定の使用に関する詳細情報を提供できます。 設定情報テキストを表示する場合は、その 詳細情報 リンクを使用してそのコンテンツを開くことができます。

Windows プロファイルの次の設定の詳細は、非推奨のプロファイルに適用されます。

BitLocker – 基本設定

  • OS と固定データ ドライブの完全ディスク暗号化を有効にする
    CSP: BitLocker - RequireDeviceEncryption

    このポリシーが適用される前にドライブが暗号化されていた場合、追加のアクションは実行されません。 暗号化方法とオプションがこのポリシーと一致する場合、構成は成功を返す必要があります。 インプレース BitLocker 構成オプションがこのポリシーと一致しない場合、構成でエラーが返される可能性があります。

    このポリシーを既に暗号化されているディスクに適用するには、ドライブの暗号化を解除し、MDM ポリシーを再適用します。 Windows の既定では、BitLocker ドライブの暗号化は必要ありません。 ただし、Microsoft Entra参加と Microsoft アカウント (MSA) の登録/ログインの自動暗号化では、XTS-AES 128 ビット暗号化で BitLocker を有効にできます。

    • 未構成 (既定値) - BitLocker の適用は行われません。
    • はい - BitLocker の使用を強制します。

  • ストレージ カードの暗号化を要求する (モバイルのみ)
    CSP: BitLocker - RequireStorageCardEncryption

    この設定は、Windows Mobile および Mobile Enterprise SKU デバイスにのみ適用されます。

    • 未構成 (既定値) - この設定は OS の既定値に戻ります。これはストレージカード暗号化を必要としません。
    • はい - モバイル デバイスでは、ストレージ カードの暗号化が必要です。

    注:

    Windows 10 MobileWindows Phone 8.1 のサポートは、2020 年 8 月に終了しました。

  • サード パーティの暗号化に関するプロンプトを非表示にする
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    サードパーティの暗号化製品によって既に暗号化されているシステムで BitLocker が有効になっている場合、デバイスが使用できなくなる可能性があります。 データ損失が発生する可能性があり、Windows を再インストールする必要がある場合があります。 サード パーティの暗号化がインストールまたは有効になっているデバイスで BitLocker を無効にすることを強くお勧めします。

    既定では、BitLocker セットアップ ウィザードは、サード パーティの暗号化が実施されていないことを確認するようにユーザーに求めます。

    • [未構成 ] (既定値) – BitLocker セットアップ ウィザードに警告が表示され、サード パーティの暗号化が存在しないことを確認するようにユーザーに求められます。
    • はい - BitLocker セットアップ ウィザードのプロンプトをユーザーから非表示にします。

    BitLocker サイレント 有効化機能が必要な場合は、必要なプロンプトがサイレント 有効化ワークフローを中断するため、サード パーティの暗号化警告を非表示にする必要があります。

    [はい] に設定すると、次の設定を構成できます。

    • 標準ユーザーが Autopilot 中に暗号化を有効にすることを許可する
      CSP: BitLocker - AllowStandardUserEncryption

      • 未構成 (既定値) – この設定はクライアントの既定値のままです。これは、BitLocker を有効にするためにローカル管理者アクセスを必要とすることです。
      • はい - Microsoft Entra参加のサイレント 有効化シナリオでは、ユーザーが BitLocker を有効にするためにローカル管理者である必要はありません。

      非サイレント有効化と Autopilot シナリオの場合、BitLocker セットアップ ウィザードを完了するには、ユーザーがローカル管理者である必要があります。

  • クライアント駆動型の回復パスワードローテーションを構成する
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    職場アカウントの追加 (AWA、正式に Workplace Joined) デバイスは、キーローテーションではサポートされていません。

    • 未構成 (既定値) – クライアントは BitLocker 回復キーをローテーションしません。
    • Disabled
    • 参加済みデバイスのMicrosoft Entra
    • ハイブリッド参加済みデバイスのMicrosoft Entra

BitLocker - 固定ドライブ設定

  • BitLocker 固定ドライブ ポリシー
    CSP: BitLocker - EncryptionMethodByDriveType

    • 固定ドライブの回復
      CSP: BitLocker - FixedDrivesRecoveryOptions

      必要なスタートアップ キー情報がない場合に BitLocker で保護された固定データ ドライブを回復する方法を制御します。

      • 未構成 (既定値) - データ復旧エージェント (DRA) を含む既定の回復オプションがサポートされています。 エンド ユーザーは回復オプションを指定でき、回復情報はMicrosoft Entraにバックアップされません。
      • 構成 – アクセスを有効にして、さまざまなドライブ回復手法を構成します。

      [ 構成] に設定すると、次の設定を使用できます。

      • 回復キーのユーザー作成

        • ブロック (既定値)
        • 必須
        • 許可

      • BitLocker 回復パッケージを構成する

        • パスワードとキー (既定値) - 管理者とユーザーが保護されたドライブのロックを解除するために使用する BitLocker 回復パスワードと、Active Directory のデータ復旧のために管理者が使用する回復キー パッケージの両方を含めます。
        • パスワードのみ - 必要に応じて回復キー パッケージにアクセスできない場合があります。

      • 回復情報をMicrosoft Entraにバックアップするデバイスを要求する

        • 未構成 (既定値) - Microsoft Entra ID への回復キーのバックアップが失敗した場合でも、BitLocker の有効化が完了します。 これにより、回復情報が外部に格納されない可能性があります。
        • はい - 回復キーがMicrosoft Entraに正常に保存されるまで、BitLocker は有効化を完了しません。

      • 回復パスワードのユーザー作成

        • ブロック (既定値)
        • 必須
        • 許可

      • BitLocker のセットアップ中に回復オプションを非表示にする

        • 未構成 (既定値) - 追加の回復オプションへのアクセスをユーザーに許可します。
        • [はい ] - BitLocker セットアップ ウィザード中に回復キーを印刷するなど、エンド ユーザーが追加の回復オプションを選択できないようにします。

      • 回復情報の保存後に BitLocker を有効にする

        • 未構成 (既定値)
        • [はい] - これを [はい] に設定すると、BitLocker 回復情報がActive Directory Domain Servicesに保存されます。

      • 証明書ベースのデータ復旧エージェント (DRA) の使用をブロックする

        • 未構成 (既定値) - DRA の使用を設定できるようにします。 DRA を設定するには、DRA エージェントと証明書を展開するためにエンタープライズ PKI と グループ ポリシー オブジェクトが必要です。
        • はい - Data Recovery Agent (DRA) を使用して BitLocker 対応ドライブを回復する機能をブロックします。

    • BitLocker によって保護されていない固定データ ドライブへの書き込みアクセスをブロックする
      CSP: BitLocker - FixedDrivesRequireEncryption
      この設定は、 BitLocker 固定ドライブ ポリシー[構成] に設定されている場合に使用できます。

      • 未構成 (既定値) - 暗号化されていない固定ドライブにデータを書き込むことができます。
      • はい - Windows では、BitLocker で保護されていない固定ドライブにデータを書き込むことが許可されません。 固定ドライブが暗号化されていない場合、ユーザーは書き込みアクセス権が付与される前に、ドライブの BitLocker セットアップ ウィザードを完了する必要があります。

    • 固定データ ドライブの暗号化方法を構成する
      CSP: BitLocker - EncryptionMethodByDriveType

      固定データ ドライブ ディスクの暗号化方法と暗号強度を構成します。 XTS- AES 128 ビット は、Windows の既定の暗号化方法であり、推奨される値です。

      • 未構成 (既定値)
      • AES 128 ビット CBC
      • AES 256 ビット CBC
      • AES 128 ビット XTS
      • AES 256 ビット XTS

BitLocker - OS ドライブの設定

  • BitLocker システム ドライブ ポリシー
    CSP: BitLocker - EncryptionMethodByDriveType

    • 構成 (既定値)
    • 未構成

    [構成] に設定すると、次の設定を構成できます。

    • スタートアップ認証が必要
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • 未構成 (既定値)
      • はい - トラステッド プラットフォーム モジュール (TPM) またはスタートアップ PIN 要件の使用など、システムの起動時に追加の認証要件を構成します。

      [はい] に設定すると、次の設定を構成できます。

      • 互換性のある TPM の起動
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        BitLocker には TPM を必要とすることをお勧めします。 この設定は、最初に BitLocker を有効にした場合にのみ適用され、BitLocker が既に有効になっている場合は影響しません。

        • ブロック (既定値) - BitLocker は TPM を使用しません。
        • 必須 - BitLocker では、TPM が存在し、使用可能な場合にのみ有効になります。
        • 許可 - 存在する場合、BitLocker は TPM を使用します。

      • 互換性のある TPM スタートアップ PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • ブロック (既定値) - PIN の使用をブロックします。
        • 必須 - BitLocker を有効にするには、PIN と TPM が存在する必要があります。
        • 許可 - BitLocker は TPM が存在する場合に使用し、スタートアップ PIN をユーザーが構成できるようにします。

        サイレント 有効化シナリオの場合は、これを [ブロック] に設定する必要があります。 ユーザー操作が必要な場合、サイレント 有効化シナリオ (Autopilot を含む) は成功しません。

      • 互換性のある TPM スタートアップ キー
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • ブロック (既定値) - スタートアップ キーの使用をブロックします。
        • 必須 - BitLocker を有効にするには、スタートアップ キーと TPM が存在する必要があります。
        • 許可 - TPM が存在する場合、BitLocker は TPM を使用し、スタートアップ キー (USB ドライブなど) が存在してドライブのロックを解除できるようにします。

        サイレント 有効化シナリオの場合は、これを [ブロック] に設定する必要があります。 ユーザー操作が必要な場合、サイレント 有効化シナリオ (Autopilot を含む) は成功しません。

      • 互換性のある TPM スタートアップ キーと PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • ブロック (既定値) - スタートアップ キーと PIN の組み合わせの使用をブロックします。
        • 必須 - BitLocker にスタートアップ キーと PIN が存在して有効にする必要があります。
        • 許可 - Tpm が存在し、スタートアップ キーが許可されている場合は、BitLocker によって TPM が使用されます) と PIN の組み合わせ。

        サイレント 有効化シナリオの場合は、これを [ブロック] に設定する必要があります。 ユーザー操作が必要な場合、サイレント 有効化シナリオ (Autopilot を含む) は成功しません。

      • TPM に互換性がないデバイスで BitLocker を無効にする
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        TPM が存在しない場合、BitLocker には起動時にパスワードまたは USB ドライブが必要です。

        この設定は、最初に BitLocker を有効にした場合にのみ適用され、BitLocker が既に有効になっている場合は影響しません。

        • 未構成 (既定値)
        • はい - 互換性のある TPM チップなしで BitLocker が構成されないようにブロックします。

      • プリブート回復メッセージと URL を有効にする
        CSP: BitLocker - SystemDrivesRecoveryMessage構成

        • 未構成 (既定値) – 既定の BitLocker の起動前回復情報を使用します。
        • はい – カスタムの起動前回復メッセージと URL の構成を有効にして、ユーザーが回復パスワードを見つける方法を理解するのに役立ちます。 起動前のメッセージと URL は、ユーザーが PC から回復モードでロックアウトされたときに表示されます。

        [はい] に設定すると、次の設定を構成できます。

        • プリブート回復メッセージ
          カスタムの起動前回復メッセージを指定します。

        • プリブート回復 URL
          カスタムの起動前回復 URL を指定します。

      • システム ドライブの回復
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • 未構成 (既定値)
        • [構成] - 追加設定の構成を有効にします。

        [ 構成] に設定すると、次の設定を使用できます。

        • 回復キーのユーザー作成

          • ブロック (既定値)
          • 必須
          • 許可

        • BitLocker 回復パッケージを構成する

          • パスワードとキー (既定値) - 管理者とユーザーが保護されたドライブのロックを解除するために使用する BitLocker 回復パスワードと、管理者がデータ復旧のために使用する回復キー パッケージの両方を Active Directory に含めます。
          • パスワードのみ - 必要に応じて回復キー パッケージにアクセスできない場合があります。

        • 回復情報をMicrosoft Entraにバックアップするデバイスを要求する

          • 未構成 (既定値) - Microsoft Entra ID への回復キーのバックアップが失敗した場合でも、BitLocker の有効化が完了します。 これにより、回復情報が外部に格納されない可能性があります。
          • はい - 回復キーがMicrosoft Entraに正常に保存されるまで、BitLocker は有効化を完了しません。

        • 回復パスワードのユーザー作成

          • ブロック (既定値)
          • 必須
          • 許可

        • BitLocker のセットアップ中に回復オプションを非表示にする

          • 未構成 (既定値) - 追加の回復オプションへのアクセスをユーザーに許可します。
          • [はい ] - BitLocker セットアップ ウィザード中に回復キーを印刷するなど、エンド ユーザーが追加の回復オプションを選択できないようにします。

        • 回復情報の保存後に BitLocker を有効にする

          • 未構成 (既定値)
          • [はい] - これを [はい] に設定すると、BitLocker 回復情報がActive Directory Domain Servicesに保存されます。

        • 証明書ベースのデータ復旧エージェント (DRA) の使用をブロックする

          • 未構成 (既定値) - DRA の使用を設定できるようにします。 DRA を設定するには、DRA エージェントと証明書を展開するためにエンタープライズ PKI と グループ ポリシー オブジェクトが必要です。
          • はい - Data Recovery Agent (DRA) を使用して BitLocker 対応ドライブを回復する機能をブロックします。

      • [PIN の最小の長さ]
        CSP: BitLocker - SystemDrivesMinimumPINLength

        BitLocker の有効化中に TPM + PIN が必要な場合の最小スタートアップ PIN 長を指定します。 PIN の長さは 4 桁から 20 桁にする必要があります。

        この設定を構成しない場合、ユーザーは任意の長さのスタートアップ PIN (4 桁から 20 桁) を構成できます

        この設定は、最初に BitLocker を有効にした場合にのみ適用され、BitLocker が既に有効になっている場合は影響しません。

    • オペレーティング システム ドライブの暗号化方法を構成する
      CSP: BitLocker - EncryptionMethodByDriveType

      OS ドライブの暗号化方法と暗号強度を構成します。 XTS- AES 128 ビット は、Windows の既定の暗号化方法であり、推奨される値です。

      • 未構成 (既定値)
      • AES 128 ビット CBC
      • AES 256 ビット CBC
      • AES 128 ビット XTS
      • AES 256 ビット XTS

BitLocker - リムーバブル ドライブの設定

  • BitLocker リムーバブル ドライブ ポリシー
    CSP: BitLocker - EncryptionMethodByDriveType

    • 未構成 (既定値)
    • 構成

    [構成] に設定すると、次の設定を構成できます。

    • リムーバブル データ ドライブの暗号化方法を構成する
      CSP: BitLocker - EncryptionMethodByDriveType

      リムーバブル データ ドライブ ディスクに必要な暗号化方法を選択します。

      • 未構成 (既定値)
      • AES 128 ビット CBC
      • AES 256 ビット CBC
      • AES 128 ビット XTS
      • AES 256 ビット XTS

    • BitLocker によって保護されていないリムーバブル データ ドライブへの書き込みアクセスをブロックする
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未構成 (既定値) - 暗号化されていないリムーバブル ドライブにデータを書き込むことができます。
      • はい - Windows では、BitLocker で保護されていないリムーバブル ドライブにデータを書き込むことが許可されていません。 挿入されたリムーバブル ドライブが暗号化されていない場合、ユーザーはドライブへの書き込みアクセスを許可する前に BitLocker セットアップ ウィザードを完了する必要があります。

    • 別のorganizationで構成されたデバイスへの書き込みアクセスをブロックする
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未構成 (既定値) - BitLocker で暗号化されたドライブを使用できます。
      • はい - organizationが所有するコンピューターで暗号化されていない限り、リムーバブル ドライブへの書き込みアクセスをブロックします。

次の手順

ディスク暗号化のエンドポイント セキュリティ ポリシー