Intune を使用してデバイスを管理するための機能の1つとして、デバイスのコンプライアンス ポリシーが提供されています。
Intune では、最低限の OS バージョン や BitLockerによる暗号化が行われているかなど、デバイスが組織の規定に準拠しているか(コンプライアンス準拠)といった規則を作成できます。
条件付きアクセスと連携させる際に、コンプライアンス準拠 ステータスに応じたアクセス保護を行うことができます。
今回は、コンプライアンスポリシーの作成の手順を紹介します。
1. Microsoft Endpoint Manager admin center を開き、「デバイス」を選択します。
2.「ポリシー」カテゴリから、「コンプライアンスポリシー」を選択します。
3.「コンプライアンス ポリシー」画面から、「ポリシーの作成」を選択します。
4.「ポリシーの作成」画面から、「名前」を入力します。
5.「ポリシーの作成」画面から、 「プラットフォーム」 を「Windows 10 以降」入力します。
6.「Windows 10 コンプライアンス ポリシー」ブレードから、 「デバイスの正常性」 を選択します。
7.「デバイスの正常性」ブレードから、「BitLockerが必要」項目を「必要」に変更し、「OK」を選択します。
8.「Windows 10 コンプライアンス ポリシー」ブレードから、 「システム セキュリティ」 を選択します。
9.「システム セキュリティ」 ブレードから、以下の項目を「必要」に変更し、「OK」を選択します。
「トラステッド プラットフォーム モジュール」
「デバイス上のデータ ストレージの暗号化」
10.「Windows 10 コンプライアンス ポリシー」ブレードの「OK」を選択します。
11.「ポリシーの作成」ブレードの「コンプライアンス非対応に対するアクション」を選択します。
12.「アクション」ブレードの「デバイスに非準拠のマークを付ける」を選択します。
デフォルトでは、即時にコンプライアンス違反となる「0」となっています。
単位は日数なので、通常は、1日程度の遅延を許容すると良いと思います。
条件付きアクセスを使う際に、コンプライアンス違反の場合ブロックするトリガーとして利用されます。
13. 「アクション」ブレードの「追加」を選択し、アクションを追加を確認する。
現在追加可能なアクションは、ユーザーへのメール通知と、リモートロックになります。
通常は、メール通知の追加を行うと良いと思います。
14.「アクション」ブレードの「作成」を選択します。
15.作成された「デバイス コンプライアンスポリシー」が展開可能となります。
16.「デバイス コンプライアンスポリシー」の「管理」カテゴリーの「割り当て」を選択します。
17.「割り当て先」の割り当てグループを選択します。
18.「含めるグループを選択」から割り当てグループを選択後、「選択」を行います。
19.「必要」タブの含めるグループを選択に対象のグループが追加されたことを確認し、「保存」を選択します。
20.ポリシーの割り当て済みステータスが「はい」であることを確認します。
21. 割り当てられたデバイス上には、トースターメッセージで通知が行われます。
22. ユーザーは、デバイスの暗号化ウィザードから処理を選択することができます。
以上が、デバイスコンプライアンスポリシーによる BitLocker ポリシーの配信設定になります。
