使用Intune启用和配置BitLocker:一步一步的指南

在这篇文章中，我将向你展示如何使用Intune启用和配置BitLocker。您可以使用Microsoft Intune在运行Windows 10或Windows 11的设备上配置BitLocker驱动器加密。本手册介绍了如何使用Intune在Windows设备上部署BitLocker。

BitLocker Drive Encryption In Intune是一种数据保护功能，与操作系统集成，解决丢失，被盗或不适当退役的计算机的数据盗窃或暴露的威胁。

加密有助于保护设备上的数据，因此只有获得授权的人才能访问这些数据。BitLocker支持Windows 10和Windows 11操作系统。你也可以启用Bitlocker不带TPM．

Bitlocker加密可以在Windows 10和Windows 11设备上使用多种方法启用，例如组策略、配置管理器微软Intune。在独立的计算机上，可以这样做手动打开Bitlocker加密．

请注意:通过配置BitLocker策略，在设备上自动静默开启BitLocker功能。这意味着BitLocker可以在不向终端用户展示任何UI的情况下成功启用，即使终端用户不是设备上的本地管理员。您可以使用端点安全磁盘加密策略中的BitLocker配置文件，也可以使用设备配置策略中的端点保护模板。

BitLocker Intune前提条件

Intune的BitLocker在运行Windows 10和Windows 11的设备上可用。使用Intune启用Bitlocker需要以下先决条件:

您需要一个有效的Microsoft Endpoint Manager (Intune)许可证。
设备必须是Azure AD或混合Azure AD加入．
禁止使用McAfee disk encryption等第三方硬盘加密工具对设备进行加密。如果设备已经使用其他解决方案加密，在使用Intune部署BitLocker之前，您将需要完全解密这些解决方案。
终端设备必须有aTPM芯片1.2或更高版本(强烈推荐TPM 2.0)。
BIOS必须设置为UEFI。
要在Intune中管理BitLocker，您的帐户必须具有适用的Intune基于角色的访问控制(RBAC)权限。

使用Intune配置和部署Bitlocker的方法

Intune允许您使用两种方法配置和部署BitLocker策略:

为BitLocker创建设备配置文件，并部署到设备上。
为BitLocker创建端点安全策略，配置并部署到设备上。

您可以使用上面的任何过程来创建您喜欢的策略类型。推荐的方法是创建一个端点安全策略，并使用Intune为Windows设备配置BitLocker。

使用Intune静默启用BitLocker所需的设置

根据您使用的策略类型，您可以使用Intune静默启用BitLocker:

端点安全磁盘加密策略:在BitLocker配置文件中进行如下配置:
- 隐藏第三方加密提示=是。
- 允许标准用户在自动驾驶期间启用加密=是。
- 需要创建密钥文件=阻止或允许。
BitLocker设备配置策略:在Endpoint protection模板或自定义设置配置文件中配置以下设置:
- 其他磁盘加密警告=阻塞。
- 允许标准用户在Azure AD Join = Allow期间启用加密。

使用Intune启用和配置Bitlocker

我们现在来看看如何使用Intune来打开、设置和部署Bitlocker。这将在运行Windows 10或11的设备上配置BitLocker驱动器加密。使用Intune启用和配置Bitlocker的高级步骤如下:

使用Intune启用Bitlocker
在Intune中为Bitlocker创建配置文件
使用Intune配置Bitlocker Policy
监控Bitlocker加密状态

步骤1:在Intune中创建BitLocker Policy

在这一步中，我们将在Intune中为Bitlocker创建一个新的端点安全策略，步骤如下:

登录到Microsoft Endpoint Manager管理中心(Intune管理中心)。
导航到终端安全节点，在“管理”下，选择磁盘加密．
若要创建新策略，请选择创建政策．

在Intune中创建BitLocker配置文件|通过Intune启用和配置BitLocker

在“创建配置文件”窗口中，选择以下选项:

平台: Windows 10及以上版本
配置文件:磁盘加密

点击创建．

在基础知识选项卡的创建概要文件页面，输入Bitlocker策略的名称和简要描述。例如，您可以指定以下详细信息:

的名字:通过Intune方式启用和配置Bitlocker。
描述:为BitLocker创建终端安全策略。

点击下一个．

步骤2:使用Intune配置Bitlocker

在这一步中，我将向您展示如何在Intune中配置Bitlocker策略设置。到达后，您可以配置几个设置BitLocker配置设置．我想指出的是，你不需要启用和配置每个BitLocker设置。根据业务的需要，必须对设置进行配置。但是，我将介绍使用Intune启用和配置BitLocker时可以遵循的最佳实践。

在Intune中配置BitLocker Base Settings

你在Bitlocker的配置设置选项卡上看到的第一组设置是基本设置。这些允许您配置静默启用和BitLocker的强制。我们将回顾每个设置，我会解释每个设置的目的，你应该启用或不启用。

对操作系统和固定数据驱动器启用全磁盘加密:选择是的．这将强制使用BitLocker。
要求存储卡加密(仅限移动设备):选择没有配置．当此设置设置为是的，移动设备将需要在存储卡上加密。当设置为未配置时，该设置将返回OS默认值，即不需要存储卡加密。此设置仅适用于Windows Mobile和Mobile Enterprise SKU设备。
隐藏第三方加密提示:选择是的．如果您在已经被第三方加密产品加密的系统上使用Intune启用BitLocker，可能会导致设备无法使用。强烈建议永远不要在安装或启用了第三方加密(如McAfee磁盘加密)的设备上启用BitLocker。当此设置设置为是的，此警告提示将被抑制。当设置为没有配置，该设置将返回默认值，即提醒用户注意第三方加密。
允许标准用户在自动驾驶期间启用加密:选择是的．当设置为是的在Azure Active Directory Join (AADJ)静默启用场景中，用户不需要是本地管理员才能使用Intune启用BitLocker。当设置为未配置时，该设置将保留为客户端默认值，即需要本地管理员访问才能启用BitLocker。
配置客户端驱动的恢复密码旋转:选择该选项"在Azure AD和hybrid连接的设备上启用旋转如果你把这个设置为没有配置，这意味着当客户端公开BitLocker恢复密钥时，客户端不会旋转BitLocker恢复密钥。将其设置为启用Azure ad连接设备的键旋转将允许AADJ设备的键旋转。将其设置为为Azure ad连接设备和hybrid连接设备启用的键旋转将允许AADJ或hybrid连接设备的键旋转。

在Intune中配置BitLocker固定驱动器设置

BitLocker固定驱动程序设置适用于设备可能拥有的其他内部磁盘。一个例子可以是主磁盘上的单独分区，也可以是安装在台式机或笔记本电脑上的单独的第二个磁盘。

让我们按顺序浏览每个固定驱动程序设置:

BitLocker固定驱动器策略:用于控制加密方式和密码强度。该策略的值决定了BitLocker用于加密的密码的强度。
固定驱动器恢复:此设置控制在缺少所需的启动密钥信息时如何恢复bitlocker保护的固定数据驱动器。
恢复密钥文件创建:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用，则将在BitLocker初始化时生成一个48位的恢复密码，并将其发送到Azure AD。
配置BitLocker恢复包:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用，则将在BitLocker初始化时生成一个48位的恢复密码，并将其发送到Azure AD。
要求设备将恢复信息备份到Azure AD:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用，则将在BitLocker初始化时生成一个48位的恢复密码，并将其发送到Azure AD。
恢复密码创建:将此设置为允许如果将BitLocker恢复信息保存到Azure Active Directory的策略设置为启用，将在BitLocker初始化时生成一个48位的恢复密码并将其发送到Azure AD。将此设置为需要如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用，将在BitLocker初始化时生成一个48位的恢复密码并将其发送到Azure AD。
在BitLocker设置期间隐藏恢复选项:将此设置为是的将阻止最终用户能够选择额外的恢复选项，如在BitLocker设置向导期间打印恢复密钥。将此设置为未配置将允许用户访问额外的恢复选项。
恢复后启用BitLocker存储信息:将此设置为是的， BitLocker恢复信息将保存到Active Directory Domain Services。
禁止使用基于证书的数据恢复代理(DRA):设置为“是”将阻止使用Data Recovery Agent (DRA)恢复启用BitLocker的驱动器。将此设置为“没有配置将允许使用DRA建立。设置DRA需要企业PKI和组策略对象来部署DRA代理和证书。
阻止对不受BitLocker保护的固定数据驱动器的写访问:当设置为时是的， Windows将不允许任何数据写入没有BitLocker保护的固定驱动器。如果一个固定的驱动器没有加密，用户需要在授予写访问权限之前完成该驱动器的BitLocker设置向导。将此设置为“没有配置将允许数据写入非加密的固定驱动器。
配置固定数据驱动器加密方式:选择AES 256bit XTS加密方法。此设置允许您为固定数据驱动器磁盘选择所需的加密方法。“XTS- AES 128位”为Windows默认加密方式，推荐使用。

配置BitLocker OS Drive Settings

在本节中，我们将介绍Intune中可用的BitLocker操作系统驱动器设置。

BitLocker系统驱动器策略:选择配置．
需要启动认证:选择是的．
兼容TPM启动:选择要求．建议BitLocker配置TPM扣卡。
兼容TPM启动PIN:选择阻塞．如果您想使用Intune静默启用BitLocker，建议禁用PIN。
兼容的TPM启动键:选择阻塞．
兼容TPM启动密钥和PIN:选择阻塞．
在TPM不兼容的设备上禁用BitLocker:选择没有配置．
启用启动前恢复消息和url:使用此选项来声明是否需要自定义恢复消息或URL。
启动前恢复URL:可选，使用此选项来声明是否需要自定义恢复消息或URL。

配置BitLocker操作系统驱动器设置|通过Intune启用和配置BitLocker

系统驱动器恢复:控制bitlocker保护的操作系统驱动器在缺少所需启动密钥信息的情况下如何恢复。
用户创建恢复密钥:选择允许，允许管理员用户手动创建256位的恢复密钥文件。
配置BitLocker恢复包:选择密码及密码匙．
要求设备将恢复信息备份到Azure AD:选择是的．直到恢复密钥成功保存到Azure Active Directory, BitLocker才会完成启用。
恢复密码创建:选择要求．
在BitLocker设置期间隐藏恢复选项:选择是的．将此设置为Yes将阻止最终用户能够选择额外的恢复选项，例如在BitLocker设置向导期间打印恢复密钥。
恢复后启用BitLocker存储信息:选择是的．通过设置为“是”，BitLocker恢复信息将保存到Active Directory Domain Services。
禁止使用基于证书的数据恢复代理(DRA):选择没有配置．将此设置为“没有配置将允许使用DRA建立。
最小PIN长度: Intune开启Bitlocker时，需要TPM + PIN时，可配置最小启动PIN长度。
配置操作系统驱动器的加密方法:选择AES 256bit XTS．