Intune 暗号化レポートを使用した BitLocker のトラブルシューティング
Microsoft Intune には、すべてのマネージド デバイスの暗号化状態の詳細を示す組み込みの暗号化レポートが用意されています。 Intune 暗号化レポートは、暗号化エラーのトラブルシューティングに役立つ開始点です。 このレポートを使用すると、BitLocker 暗号化エラーを特定して分離し、Windows デバイスのトラステッド プラットフォーム モジュール (TPM) の状態と暗号化の状態を確認できます。
この記事では、Intune 暗号化レポートを使用して BitLocker の暗号化のトラブルシューティングを行う方法について説明します。 その他のトラブルシューティング ガイダンスについては、「 クライアント側からの BitLocker ポリシーのトラブルシューティングを参照してください。
Note
このトラブルシューティング方法と暗号化レポートで使用できるエラーの詳細を最大限に活用するには、BitLocker ポリシーを構成する必要があります。 現在デバイス構成ポリシーを使用している場合は、ポリシーの移行を検討してください。 詳細については、「 Intune を使用した Windows デバイスの BitLocker ポリシーの管理 および Intune のエンドポイント セキュリティの Disk 暗号化ポリシー設定を参照してください。
暗号化の前提条件
既定では、BitLocker セットアップ ウィザードは、暗号化を有効にするようにユーザーに求めます。 デバイスで BitLocker をサイレント モードで有効にする BitLocker ポリシーを構成することもできます。 このセクションでは、各方法のさまざまな前提条件について説明します。
Note
自動暗号化は、サイレント暗号化と同じではありません。 自動暗号化は、最新のスタンバイまたはハードウェア セキュリティ テスト インターフェイス (HSTI) に準拠しているデバイスの Windows Out-of-the-Box Experience (OOBE) モード中に実行されます。 サイレント暗号化では、Intune は BitLocker 構成サービス プロバイダー (CSP) 設定によるユーザー操作を抑制します。
ユーザー対応暗号化の前提条件:
- ハード ディスクは、NTFS でフォーマットされたオペレーティング システム ドライブと、UEFI の場合は FAT32、BIOS の場合は NTFS としてフォーマットされた 350 MB 以上のシステム ドライブにパーティション分割する必要があります。
- デバイスは、Microsoft Entra ハイブリッド参加、Microsoft Entra 登録、または Microsoft Entra 参加を使用して Intune に登録する必要があります。
- トラステッド プラットフォーム モジュール (TPM) チップは必要ありませんが、セキュリティを強化するために推奨されます。
BitLocker silent 暗号化の前提条件:
- ロックを解除する必要がある TPM チップ (バージョン 1.2 または 2.0)。
- Windows Recovery Environment (WinRE) を有効にする必要があります。
- ハード ディスクは NTFS でフォーマットされたオペレーティング システム ドライブにパーティション分割する必要があり、少なくとも 350 MB のシステム ドライブは、Unified Extensible Firmware Interface (UEFI) と BIOS 用 NTFS の FAT32 としてフォーマットする必要があります。 TPM バージョン 2.0 デバイスには UEFI BIOS が必要です。 (セキュア ブートは必要ありませんが、セキュリティが強化されます)。
- Intune に登録されたデバイスは、Microsoft Azure ハイブリッド サービスまたは Microsoft Entra ID に接続されています。
暗号化の状態とエラーの特定
Intune に登録されている Windows 10 デバイスでの BitLocker 暗号化エラーは、次のいずれかのカテゴリに分類されます。
- デバイスのハードウェアまたはソフトウェアが BitLocker を有効にするための前提条件を満たしていません。
- Intune BitLocker ポリシーが正しく構成されていないと、グループ ポリシー オブジェクト (GPO) の競合が発生します。
- デバイスは既に暗号化されており、暗号化方法がポリシー設定と一致しません。
デバイス暗号化エラーのカテゴリを特定するには、Microsoft Intune 管理センターにサインインしDevices>Monitor>Encryption レポートを選択。 レポートには、登録されているデバイスの一覧が表示され、デバイスが暗号化されているか、暗号化する準備ができているか、TPM チップがあるかどうかを示します。
Note
Windows 10 デバイスに 準備ができていない 状態が表示された場合でも、暗号化がサポートされている可能性があります。 Ready状態の場合、Windows 10 デバイスで TPM がアクティブになっている必要があります。 TPM デバイスは暗号化をサポートするために必要ありませんが、セキュリティを強化するために強くお勧めします。
上記の例は、TPM バージョン 1.2 のデバイスが正常に暗号化されたことを示しています。 さらに、暗号化の準備ができていない 2 つのデバイスと、暗号化の準備はできてもまだ暗号化されていない TPM 2.0 デバイスが 1 つ表示されます。
一般的な障害シナリオ
次のセクションでは、暗号化レポートの詳細を使用して診断できる一般的なエラー シナリオについて説明します。
シナリオ 1 - デバイスが暗号化の準備ができておらず、暗号化されていない
暗号化されていないデバイスをクリックすると、Intune に状態の概要が表示されます。 次の例では、デバイスを対象とする複数のプロファイルがあります。エンドポイント保護ポリシー、Mac オペレーティング システム ポリシー (このデバイスには適用できません)、Microsoft Defender Advanced Threat Protection (ATP) ベースラインです。
暗号化の状態について説明します。
[状態の詳細] の下のメッセージは、デバイスから BitLocker CSP 状態ノードによって返されるコードです。 OS ボリュームが暗号化されていないため、暗号化状態はエラー状態です。 さらに、BitLocker ポリシーには、デバイスが満たしていない TPM の要件があります。
メッセージは、TPM が存在せず、ポリシーに必要なため、デバイスが暗号化されていないことを意味します。
シナリオ 2 – デバイスの準備は完了しているが暗号化されていない
この例では、TPM 2.0 デバイスが暗号化されていないことを示します。
暗号化の状態について説明します。
このデバイスには、サイレント暗号化ではなくユーザー操作用に構成された BitLocker ポリシーがあります。 ユーザーが暗号化プロセスを開始または完了していないため (ユーザーは通知メッセージを受け取ります)、ドライブは暗号化されません。
シナリオ 3 - デバイスの準備ができていないので、サイレント で暗号化しない
暗号化ポリシーがユーザーの操作を抑制し、サイレントで暗号化するように構成されており、暗号化レポート Encryption 対応性 状態が 適用できない または 準備ができていない場合は、TPM が BitLocker の準備ができていない可能性があります。
デバイスの状態の詳細によって、次の原因が明らかになります。
暗号化の状態について説明します。
デバイスで TPM の準備ができていない場合は、ファームウェアで無効になっているか、クリアまたはリセットする必要がある可能性があります。 影響を受けるデバイスのコマンド ラインから TPM 管理コンソール (TPM.msc) を実行すると、TPM の状態を理解して解決するのに役立ちます。
シナリオ 4 – デバイスの準備は完了しているが、サイレントで暗号化されていない
サイレント暗号化を対象とするデバイスの準備が整っているが、まだ暗号化されていないのには、いくつかの理由があります。
暗号化の状態について説明します。
1 つの説明として、デバイスで WinRE が有効になっていないことが前提条件です。 管理者として reagentc.exe/info コマンドを使用して、デバイス上の WinRE の状態を検証できます。
WinRE が無効になっている場合は、管理者として reagentc.exe/info コマンドを実行して WinRE を有効にします。
WinRE が正しく構成されていない場合、 Status の詳細 ページに次のメッセージが表示されます。
デバイスにログインしたユーザーには管理者権限がありません。
もう 1 つの理由は、管理者権限です。 BitLocker ポリシーが管理者権限を持たないユーザーをターゲットにしており、Autopilot 中に暗号化を有効にする標準ユーザーが有効になっていない場合は、次の暗号化状態の詳細が表示されます。
暗号化の状態について説明します。
Autopilot 中に暗号化を有効にする標準ユーザーを Yes に設定して、Microsoft Entra 参加済みデバイスのこの問題を解決します。
シナリオ 5 – デバイスがエラー状態にあるが暗号化されている
この一般的なシナリオでは、Intune ポリシーが XTS-AES 128 ビット暗号化用に構成されていて、ターゲット デバイスが XTS-AES 256 ビット暗号化 (またはその逆) を使用して暗号化されている場合、次に示すエラーが表示されます。
暗号化の状態について説明します。
これは、別の方法を使用して既に暗号化されているデバイス (ユーザーが手動で、Microsoft BitLocker Administration and Monitoring (MBAM) を使用して)、または登録前に Microsoft Configuration Manager によって暗号化されている場合に発生します。
これを修正するには、手動または Windows PowerShell を使用してデバイスを復号化します。 次に、Intune BitLocker ポリシーで、次回ポリシーに到達した時点でデバイスをもう一度暗号化します。
シナリオ 6 – デバイスは暗号化されていますが、プロファイルの状態がエラーです
場合によっては、デバイスは暗号化された状態で表示されますが、プロファイル状態の概要にエラー状態があります。
暗号化の状態について説明します。
これは通常、デバイスが別の方法で (場合によっては手動で) 暗号化されている場合に発生します。 設定は現在のポリシーと一致しますが、Intune は暗号化を開始していません。