Windows デバイスには、Proエディション以上で利用出来る「BitLocker」というディスク暗号化機能があります。
「BitLocker」の暗号化を解除するためには「回復キー」が必要ですが、この「回復キー」を紙に書いて保管しておくことはセキュリティ上望ましくないので、下記の通り Entra ID に保存するのがおすすめです。
Entra IDに保存したBitLockerの回復キーを参照するためには「ヘルプデスク管理者」などの役割が必要です。
しかし、ユーザーへ必要以上に権限を付与したくない場合、カスタムロールを作成するのがおすすめです。
なお、カスタムロールを利用するにはEntra ID Premiumが必要です。
1.カスタムロールの作成
1.Entra管理センターを開き、「ID」-「役割と管理者」-「役割と管理者」をクリックします。
2.「新しいカスタムロール」をクリックします。
3.任意の名前を指定し、下記の通り設定し、「次へ」をクリックします。
- ベースラインのアクセス許可:最初から始める
4.下記の値を検索し、表示された項目にチェックを入れ、「次へ」をクリックします。
microsoft.directory/bitlockerKeys/key/read
5.「作成」をクリックします。
2.カスタムロールの割り当て
1.Entra管理センターで割り当て対象のユーザーを選択し、「割り当てられたロール」-「割り当ての追加」をクリックします。
2.作成したカスタムロールを指定し、「次へ」をクリックします。
3.「割り当ての種類」と「理由の入力」に任意の値を設定し、「割り当て」をクリックします。
- 対象:ロールを使用する資格を割り当て
- アクティブ:ロールをアクティブ化して割り当て
「対象」からアクティブ化するためにはPIM等での承認が必要になります。
これで割り当てたユーザーが BitLockerの回復キーを参照することが出来ます。
コメント