こんにちは！市川 です！
デバイスの紛失や盗難時の対策として、デバイスのセキュリティをどのように強化するかが大きな課題となっています。そこで、BitLocker キーの交換を行うことで、第三者がデータにアクセスするリスクを大幅に減らせるのではないかと考え、今回試してみました！BitLocker キーの交換は、デバイスのデータ保護を強化するための重要なステップです。
この記事では、BitLocker キーの交換方法と結果、さらにうまく交換がされなかったときの対処法についても共有します。ぜひセキュリティを強化していきましょう！

---

目次

• 1．なぜBitLocker キーを交換するの？
• 2．キーの交換手順
• 3．ポリシー作成が必要だった！２つのポリシー追加手順
• 4．キーの交換をデバイスで確認

１．なぜBitLocker キーを交換するの？

1．BitLockerの回復キーが長期間同じままであると、セキュリティリスクが高まります。特に、回復キーが漏洩した場合、悪意のある第三者がデバイスにアクセスできるリスクが生じます。
このため、定期的なキーの交換はセキュリティ強化のため重要です。Intuneを使用して、リモートから効率的にキーを交換し、セキュリティを強化できます。

２．キーの交換手順

1．Microsoft365を開き、「管理」をクリックします。

2．「エンドポイントマネージャー」をクリックします。

3．Intune管理センターが開いたら、「デバイス」をクリックします。
「Windows」をクリックしてIntuneに登録しているWindowsデバイスを表示させます。

4．BitLockerキーの交換を行うデバイスをクリックします。

5．「…」をクリックして「BitLockerキーの交換」をクリックします。

6．「古いキーは自動的に削除されます。」と注意喚起が表示されるので、「はい」をクリックします。

7．BitLockerキーの交換が開始されました。BitLockerキーの交換の状態が「保留」となっています。

8．「回復キー」をクリックします。

9．現在の回復キーを確認します。「回復キーの表示」をクリックします。
回復キーのコピーができますので必要に応じてコピーをしてください。

10．しばらくするとBitLockerキーの交換の状態が「完了」に変わります。

11．「回復キー」をクリックします。「回復キーの表示」をクリックして回復キーを確認します。しかし更新されていないことが判明しました…

3．ポリシー作成が必要だった！２つのポリシー追加手順

◆2つのポリシーを作成していきます。

【1．デバイス構成プロファイル】

1．Intune管理センターより、「デバイス」をクリックします。

2．「構成」をクリックします。

3．「作成」をクリックし、「新しいポリシー」をクリックします。

4．「プラットフォーム」のプルダウンを展開して、「Windows 10 以降」を選択します。「プロファイルの種類」のプルダウンを展開して、「テンプレート」を選択します。

5．「テンプレート名」に「Endpoint Protection」を選択し、「作成」をクリックします。

6．任意の名前を入力し、「次へ」をクリックします。

7．「Windows 暗号化」のタブを展開します。

8．下記の項目を設定します。
―――――――――――――――――――
Windows の設定
［デバイスの暗号化］必要
BitLockerの基本設定
［他のディスクの暗号化に対する警告］ブロック
［Microsoft Entra 参加中に暗号化を有効にすることを標準ユーザーに許可する］許可
―――――――――――――――――――

3-9．下記の項目を設定します。
―――――――――――――――――――
BitLocker OS ドライブの設定

［起動時の追加認証］必要
［OS ドライブの回復］有効にする
［BitLocker 回復情報を Microsoft Entra ID に保存する］有効にする
―――――――――――――――――――

10．下記の項目を設定し、「次へ」をクリックします。
―――――――――――――――――――
BitLocker OS ドライブの設定

［クライアント主導の回復パスワードのローテーション］Microsoft Entra に参加しているデバイスでキーのローテーションが有効になっています
［BitLocker を有効にする前に、回復情報をMicrosoft Entra ID に保存する］必要
―――――――――――――――――――

3-11．「グループを追加」をクリックし、グループを割り当てます。

12．割り当てるグループにチェックを入れ、「選択」をクリックします。

13．「次へ」をクリックします。

14．「次へ」をクリックします。

15．設定内容を確認し、「作成」をクリックします。

16．プロファイルが作成されました。

【2．ディスクの暗号化プロファイル】

17．Intune管理センターより、「エンドポイント セキュリティ」をクリックします。

18．「ディスクの暗号化」をクリックし、「ポリシーの作成」をクリックします。

19．「プラットフォーム」のプルダウンを展開して、「Windows」を選択します。「プロファイル」のプルダウンを展開して「BitLocker」を選択します。

20．「作成」をクリックします。

21．任意の名前を入力し、「次へ」をクリックします。

22．「BitLoker」のタブを展開します。

23.下記の項目を設定します。
―――――――――――――――――――
［デバイスの暗号化を必須にする］有効
［他のディスク暗号化の警告を許可する］無効
―――――――――――――――――――

24．「次へ」をクリックします。

25．「次へ」をクリックします。

26．割り当てる「グループ名」を検索して選択し、「次へ」をクリックします。

27．設定内容を確認し、「保存」をクリックします。

28．割り当て、またポリシーの作成が完了しました。

４．キーの交換をデバイスで確認

1．Intune管理センターより「デバイス」をクリックし、「Windows」をクリックします。

2． BitLockerキーの交換を行ったデバイスを選択します。

3．「BitLocker キーの交換」の状態が「完了」になっていることが確認できました。

4．「回復キー」をクリックして「回復キーの表示」をクリックします。

5．回復キーが新しくなっていることが確認できました。

6．管理者アカウントで確認してみます。 「スタート」ボタンをクリックして「設定」をクリックします。

7．「プライバシーとセキュリティ」をクリックし、「デバイスの暗号化」をクリックします。

8．「BitLocker ドライブ暗号化」をクリックします。

9．「回復キーのバックアップ」をクリックします。

10．「回復キーを印刷する」をクリックします。

11．「印刷」をクリックします。

12．印刷結果を保存する「保存先」を選択、「任意のファイル名」を入力し、「保存」をクリックします。

13．保存した印刷結果のPDFドキュメントを開くと、このように表示され、回復キーが確認できました。

14．ユーザーアカウントから確認してみます。
Microsoft 365の「アカウントマネージャー」より、「アカウントを表示」をクリックします。

15．「デバイス」をクリックします。

16．BitLockerキーの交換を実施したデバイスのタブを展開して「BitLockerキーの表示」をクリックします。

17．「回復キーを表示する」をクリックします。

18．回復キーが更新されていることが確認できます。

 

その他お困りごとも動画で解説！