Windows 10 1909 新機能
数日前に新しいWindows 10の機能更新プログラム「1909」が公開されました。
新しい機能はあまり無いようなのですが、1つ気になった機能として、「Microsoft BitLocker key rolling」がありましたので、早速検証してみました。
「Microsoft BitLocker key rolling」とはBitlockerの回復キーのローテーション(変更)になります。
実はMBAMに搭載されていた機能で、MBAMで管理されているクライアントは、回復キーを利用すると別の回復キーに変更される仕組みがありました。
※通常は変更するまで変わらない。
1909になり、IntuneやMDMで管理している端末であれば回復キーのローテーションができるようになったようです。
さっそくIntuneのポータル等を確認してみると、デバイスの情報ページに「Bitlocker回復キーの交換」というメニューが追加されていました。
(1903のデバイスではグレーアウトされていました)
というわけで、まずはクライアント側でBitlockerを有効化し、回復キーをAzureADにアップロードするように構成します。
※設定は割愛します。
暗号化したクライアントとAzureADにアップロードされた回復キーが同じであることを確認します。
続いて、Webポータルから「Bitlocker回復キーの交換」をクリックすると、交換しますか?と聞かれますので、「はい」をクリックします。
実行すると「保留中…」と表示されます。
この状態でしばらく待つか、同期をかけると状態が「完了」に変更されます。
ここでもう一度、クライアントとAzureADにアップロードされた回復キーを確認すると、回復キーが変更されています。
「Bitlocker回復キーの交換」をクリックした際に表示された画面に記載されているとおり、古い回復キーは削除され、新しい回復キーのみが表示されています。
検証した限りではクライアントの再起動も不要でしたので、回復キーが漏洩した場合には強制的に変更することができるようになります。
※あまり使いどころが無い気がしますが。
上記手順は管理者側から強制的に回復キーを変更する場合に使用しますが、Intuneの構成プロファイルの「Endpoint Protection」内にある「Windows 暗号化」のメニューの中に「クライアント主動の回復パスワードのローテーション」が追加されています。
こちらを設定すると先ほどのWebポータル経由ではなく、クライアント側で回復キーを使用した場合に回復キーがローテーションされます。
※この機能がMBAMで利用できた機能ですね。
この機能を利用することで、「回復キーを手書きでメモし、回復キーを何度も使いまわす」ようなことができなくなります。
Windows 10 1909自体は目立った新機能はありませんが、Bitlockerを使う場合には回復キーの漏洩というリスクがどうしても出てきますので、今回ご紹介した機能を利用することでそのリスクが軽減できるかなとも思われます。