💻

IntuneでBitlockerのPINを設定する

2020/09/28に公開

はじめに

WindowsデバイスはBitlocker(ディスク暗号化)はスタートアップPIN(起動前認証)を設定するとデバイスをよりセキュアに保つことができます。MicrosoftのMDM製品であるIntuneでBitlocker PINを設定する場合、少し癖があるので紹介します。

構成プロファイルの設定

以下、構成プロファイルは以下の設定をします。

デバイス > Windows > 構成プロファイル > Endpoint Protection
 Windows暗号化 
  Windowsの設定 配下
   デバイスの暗号化:必要

設定例

BitLocker OS ドライブの設定
 起動時の追加認証:必要
 互換性のあるTPMスタートアップ:TPMを許可しない
 互換性のあるTPMスタートアップPIN:TPMでスタートアップを許可する
 互換性のあるTPMスタートアップキー:TPMでスタートアップキーを許可しない
 互換性のあるTPMスタートアップキーとPIN:TPMでスタートアップキーとPINを許可しない

設定例

ここでポイントになるのはBitlockerPINを 「必須」 としたい場合、「TPMでスタートアップキーを要求する」に設定したくなりますが、「要求する」 には設定せず 「許可する」 と設定するのが正しい設定です。「要求する」に設定してもPINは設定できるようにはなりません。非常にわかりづらいですが、Intuneのマニュアルにも以下のように記載があります。

BitLocker ポリシーでは、スタートアップ PIN またはスタートアップ キーの使用は必要ありません。 TPM スタートアップ PIN またはスタートアップ キーが "必須" である場合、BitLocker をサイレント モードで有効にできず、エンド ユーザーとの対話が必要です。 この要件を満たすには、同じポリシーの次の 3 つの BitLocker OS ドライブ設定を行います。

  • [互換性のある TPM スタートアップ PIN] を "TPM でスタートアップ PIN を要求する" に設定しないでください
  • [互換性のある TPM スタートアップ キー] を "TPM でスタートアップ キーを要求する" に設定しないでください
  • [互換性のある TPM スタートアップ キーと PIN] を "TPM でスタートアップ キーと PIN を要求する" に設定しないでください

基本的にはこれだけです。あとは必要に応じて他のパラメータ(回復キーの保存先等)を設定して、割り当てグループを設定して保存しましょう。

動作確認

実際のデバイスの挙動は

  • Bitlockerが無効の状態のデバイス
  • Bitlockerがアクティブ化の待機中のデバイス

で少し異なります。それぞれ見ていきましょう。
(最近のWindowsPCの多くは後者の状態が工場出荷状態となっています)

Bitlockerが無効のデバイス

Bitlockerが既に無効の状態のデバイスに対して、上記の構成プロファイルを割り当てた場合、Bitlockerの有効化を手動で有効化するようにポップアップで要求されます。

その後有効化の設定と同時にPINの設定に進みます。

Bitlockerがアクティブ化の待機中のデバイス

Bitlockerがアクティブ化の待機中のデバイスに対して、上記の構成プロファイルを割り当てた場合、Bitlocker自体の有効化は自動的に設定されますが、PINの設定はユーザ操作に委ねられます。ユーザはBitlocker設定画面を開き、「スタートアップ時にドライブのロックを解除する方法の変更」からPINを設定する必要があります。


デバイスがスレートデバイスの場合

なお、タブレットPCのようなキーボードが付属していないWindowsデバイスや一部のSurfaceデバイスはデバイスの種類が「スレート」デバイスという扱いになり、この場合は上記の設定だけではBitlocker PINを設定することはできません。その場合は以下のPowerShellをIntuneから投げ込んでレジストリを書き換えましょう。

OSEnablePrebootInputProtectorsOnSlates.ps1
New-ItemProperty -Path 'HKLM:Software\Policies\Microsoft\FVE' -Name 'OSEnablePrebootInputProtectorsOnSlates' -Value 1

Intuneの設定

デバイス > スクリプト > 追加 > Windows(Powershell)
 基本:任意の名前を設定
 スクリプト設定
  スクリプトの場所:OSEnablePrebootInputProtectorsOnSlates.ps1 を選択
  このスクリプトをログオンしたユーザーの資格情報を使用して実行する:はい
  スクリプト署名チェックを強制:いいえ
   64 ビットの PowerShell ホストでスクリプトを実行する:いいえ
任意の割り当てグループを設定して、保存

設定例

これでスレートデバイスもBitlocker PINが設定できるようになります。

Discussion