最近完結した「はじめてのIntune」連載シリーズでは、Windows Server 2025で非推奨になった「Windows Server Update Services（WSUS）」の、Windowsクライアント更新管理の代替ソリューションとしてIntuneを検証してきました。Intuneの機能はOSやアプリの更新管理だけではありません。これとは別の重要な機能に、デバイスとデータのセキュリティ保護があります。

会社所有/個人所有デバイスのセキュリティ保護

　Intuneは、Windowsだけでなく、iOSやAndroid、macOS、Linuxを含む、デスクトップPC、モバイルPC、スマートフォン、タブレットなど、マルチOS、マルチプラットフォームに対応した管理サービスです。その重要な機能の1つが、会社所有デバイスおよび個人所有デバイス（BYOD）、およびそのエンドポイントで扱う企業データのセキュリティ保護です。Intuneを使用すると、セキュリティ設定を含むポリシーをデバイスに割り当て、望ましい設定を展開したり、コンプライアンス対応を評価したりできます。また、デバイスやユーザー（Entra ID）の状態によってアクセスを制御する「条件付きアクセス」により、企業のリソースやサービス（Microsoft365サービス、メール、その他のSaaSアプリ）へのアクセスを許可/禁止することができます。

　社外に持ち出されるデバイスの大きなセキュリティリスクの1つは、デバイスの紛失や盗難です。デバイスが第三者の手に渡ると、そのデバイス内のデータから機密データが情報漏えいするかもしれません。あるいは、保存されたVPN（仮想プライベートネットワーク）の接続情報をそのまま使って、企業のリソースにリモートアクセスされ、データ漏えいやセキュリティ攻撃を受ける危険があります。

　Intuneで管理されているデバイスは、リモートから「ワイプ」することができ、デバイスの盗難や紛失時にリモートからリセット（工場出荷時の状態に戻す）したり、会社のデータや設定を削除したりすることができます。デバイスに対して利用可能なリモートアクションはプラットフォームにより異なりますが、Intuneは大部分のプラットフォーム（Linuxを除く）のワイプに対応しています。詳細については、以下のドキュメントで確認してください。

ワイプ、インベントリからの削除、デバイス登録の手動解除を使用し、デバイスを削除する｜Microsoft Intune（Microsoft Learn）

Windowsデバイスのリモートワイプをデモ

　Windowsデバイスを盗難または紛失したことを想定して、リモートワイプ操作を実行してみました。ワイプ操作は、選択したオプションによりデバイス側の動作（ワイプ後の状態）が異なります。実行可能な2つのオプションの両方を試してみました。なお、Windowsデバイス側の現在の状態（電源のオン/オフ）や、Windowsバージョンにより挙動は異なるかもしれません。今回は実行中でオンライン（インターネット接続あり）の、Windows 11 Enterpriseバージョン24H2を実行するWindowsデバイスに対してワイプ操作を実行してみました。

　最初に、Windowsデバイスに対して「ワイプ」操作を開始し、「デバイスをワイプしますが、登録状態および関連付けられたユーザーアカウントを保持します」オプションを選択してワイプを実行してみました（画面1）。

画面1　「デバイスをワイプしますが、登録状態および関連付けられたユーザーアカウントを保持します」オプションを選択してワイプを実行

　Windowsデバイス側（Hyper-V VMを使用しています）では、PCのリセット（初期状態に戻す）の処理が始まり（画面2）、その後、Windows 11が起動しました。Windows 11にはEntra IDのユーザーと同名のローカルユーザーが存在し、同じパスワード（だったと記憶しています）でサインインすることができました。ただし、サインインしたのはローカルPCであり、アプリや個人データ、設定はすべて削除または出荷時の設定に戻っていました。dsreccmd /statusで確認してみると、Entra ID参加状態は外れていました。また、Intune側にデバイスの情報やEntra IDは残っていました（デバイスについては削除しました）。ワイプのオプションで説明されている“登録状態の保持”とはIntune側に残るインベントリ情報、“関連付けられたユーザーアカウント”とはローカルユーザーのことだと思います。ワイプ操作（次に行うワイプ操作でも）により、Entra IDがテナントから削除されることはありません。

画面2　実行中であったWindowsデバイスでは、PCのリセットの処理が自動的にスタート

画面3　Entra IDのアカウントと同じ名前のユーザー（ただし、ローカルユーザー）でログインできたが、会社のリソースにはアクセスできる状態にはない

　次に、もう1つのオプション「デバイスをワイプして、デバイスの電源が切れてもワイプを続行します...」で試してみました（画面4）。

画面4　「デバイスをワイプして、デバイスの電源が切れてもワイプを続行します...」オプションを選択してワイプを実行

　しばらくしてWindowsデバイス側を確認してみると、Windowsが正常に起動しないときに表示されるWindows回復環境（WinRE）のオプション画面が表示されていました（画面5）。ワイプオプションの説明で“一部のWindows 10移行のデバイスが再起動しなくなる可能性”について触れられていましたが、該当したようです。そうでない場合は、プリインストールPCを購入して最初に電源を入れた時と同じような状態（初期セットアップ画面）になるのだと思います。

画面5　Windowsが正常に起動しなくなったらしく、WinREのオプション画面が表示された

　WinREのコマンドプロンプトを開き、DISKPARTコマンドを実行してパーティションを確認してみると、C:ドライブのファイルシステムが「RAW」と表示されました。この状態は、ファイルシステムが認識されていないことを示しています。

画面6　C:ドライブのファイルシステムが認識不能に

　このWindowsデバイスのC:ドライブは、BitLockerドライブ暗号化で保護されていました。BitLockerでロックされていることが、ファイルシステムが認識されない理由に関係しているか分かりません。しかし、通常、BitLockerでロックされたドライブから起動しようとして、ロックの解除に失敗したなら、「BitLocker回復」画面を表示して、回復キーの入力を求められるはずです。WinREでコマンドプロントを開いた時も同様に回復キーの入力を求められます。つまり、ワイプ操作の結果、C:ドライブはBitLockerでロックされたドライブ（パーティション）とも認識されなくなったということです。

参考:
vol.32　BitLockerのススメ、非暗号化ドライブは無防備過ぎる

　BitLockerドライブ暗号化の影響がどうであれ、元々は暗号化されていたドライブパーティションです。そのため、たとえ物理的にディスク（HDD、SSD、NVMe）を取り出して解析ツールで解析したとしても、C:ドライブのパーティションから有意なデータを得ることはできないでしょう。BitLockerドライブ暗号化で保護しておけば、より一層安心だということです。

画面7　リモートワイプしたデバイスのC:ドライブはBitLockerドライブ暗号化で保護されていた

はじめてのIntune｜...｜目次｜おまけ