IntuneでBitlockerのPINを設定する
はじめに
WindowsデバイスはBitlocker(ディスク暗号化)はスタートアップPIN(起動前認証)を設定するとデバイスをよりセキュアに保つことができます。MicrosoftのMDM製品であるIntuneでBitlocker PINを設定する場合、少し癖があるので紹介します。
構成プロファイルの設定
以下、構成プロファイルは以下の設定をします。
デバイス > Windows > 構成プロファイル > Endpoint Protection
Windows暗号化
Windowsの設定 配下
デバイスの暗号化:必要
設定例
BitLocker OS ドライブの設定
起動時の追加認証:必要
互換性のあるTPMスタートアップ:TPMを許可しない
互換性のあるTPMスタートアップPIN:TPMでスタートアップを許可する
互換性のあるTPMスタートアップキー:TPMでスタートアップキーを許可しない
互換性のあるTPMスタートアップキーとPIN:TPMでスタートアップキーとPINを許可しない
設定例
ここでポイントになるのはBitlockerPINを 「必須」 としたい場合、「TPMでスタートアップキーを要求する」に設定したくなりますが、「要求する」 には設定せず 「許可する」 と設定するのが正しい設定です。「要求する」に設定してもPINは設定できるようにはなりません。非常にわかりづらいですが、Intuneのマニュアルにも以下のように記載があります。
BitLocker ポリシーでは、スタートアップ PIN またはスタートアップ キーの使用は必要ありません。 TPM スタートアップ PIN またはスタートアップ キーが "必須" である場合、BitLocker をサイレント モードで有効にできず、エンド ユーザーとの対話が必要です。 この要件を満たすには、同じポリシーの次の 3 つの BitLocker OS ドライブ設定を行います。
- [互換性のある TPM スタートアップ PIN] を "TPM でスタートアップ PIN を要求する" に設定しないでください
- [互換性のある TPM スタートアップ キー] を "TPM でスタートアップ キーを要求する" に設定しないでください
- [互換性のある TPM スタートアップ キーと PIN] を "TPM でスタートアップ キーと PIN を要求する" に設定しないでください
基本的にはこれだけです。あとは必要に応じて他のパラメータ(回復キーの保存先等)を設定して、割り当てグループを設定して保存しましょう。
動作確認
実際のデバイスの挙動は
- Bitlockerが無効の状態のデバイス
- Bitlockerがアクティブ化の待機中のデバイス
で少し異なります。それぞれ見ていきましょう。
(最近のWindowsPCの多くは後者の状態が工場出荷状態となっています)
Bitlockerが無効のデバイス
Bitlockerが既に無効の状態のデバイスに対して、上記の構成プロファイルを割り当てた場合、Bitlockerの有効化を手動で有効化するようにポップアップで要求されます。
その後有効化の設定と同時にPINの設定に進みます。
Bitlockerがアクティブ化の待機中のデバイス
Bitlockerがアクティブ化の待機中のデバイスに対して、上記の構成プロファイルを割り当てた場合、Bitlocker自体の有効化は自動的に設定されますが、PINの設定はユーザ操作に委ねられます。ユーザはBitlocker設定画面を開き、「スタートアップ時にドライブのロックを解除する方法の変更」からPINを設定する必要があります。
デバイスがスレートデバイスの場合
なお、タブレットPCのようなキーボードが付属していないWindowsデバイスや一部のSurfaceデバイスはデバイスの種類が「スレート」デバイスという扱いになり、この場合は上記の設定だけではBitlocker PINを設定することはできません。その場合は以下のPowerShellをIntuneから投げ込んでレジストリを書き換えましょう。
OSEnablePrebootInputProtectorsOnSlates.ps1
New-ItemProperty -Path 'HKLM:Software\Policies\Microsoft\FVE' -Name 'OSEnablePrebootInputProtectorsOnSlates' -Value 1
Intuneの設定
デバイス > スクリプト > 追加 > Windows(Powershell)
基本:任意の名前を設定
スクリプト設定
スクリプトの場所:OSEnablePrebootInputProtectorsOnSlates.ps1 を選択
このスクリプトをログオンしたユーザーの資格情報を使用して実行する:はい
スクリプト署名チェックを強制:いいえ
64 ビットの PowerShell ホストでスクリプトを実行する:いいえ
任意の割り当てグループを設定して、保存
設定例
これでスレートデバイスもBitlocker PINが設定できるようになります。
Discussion