使用Intune启用和配置BitLocker:一步一步的指南
在这篇文章中,我将向你展示如何使用Intune启用和配置BitLocker。您可以使用Microsoft Intune在运行Windows 10或Windows 11的设备上配置BitLocker驱动器加密。本手册介绍了如何使用Intune在Windows设备上部署BitLocker。
BitLocker Drive Encryption In Intune是一种数据保护功能,与操作系统集成,解决丢失,被盗或不适当退役的计算机的数据盗窃或暴露的威胁。
加密有助于保护设备上的数据,因此只有获得授权的人才能访问这些数据。BitLocker支持Windows 10和Windows 11操作系统。你也可以启用Bitlocker不带TPM.
Bitlocker加密可以在Windows 10和Windows 11设备上使用多种方法启用,例如组策略、配置管理器微软Intune。在独立的计算机上,可以这样做手动打开Bitlocker加密.
请注意:通过配置BitLocker策略,在设备上自动静默开启BitLocker功能。这意味着BitLocker可以在不向终端用户展示任何UI的情况下成功启用,即使终端用户不是设备上的本地管理员。您可以使用端点安全磁盘加密策略中的BitLocker配置文件,也可以使用设备配置策略中的端点保护模板。
BitLocker Intune前提条件
Intune的BitLocker在运行Windows 10和Windows 11的设备上可用。使用Intune启用Bitlocker需要以下先决条件:
- 您需要一个有效的Microsoft Endpoint Manager (Intune)许可证。
- 设备必须是Azure AD或混合Azure AD加入.
- 禁止使用McAfee disk encryption等第三方硬盘加密工具对设备进行加密。如果设备已经使用其他解决方案加密,在使用Intune部署BitLocker之前,您将需要完全解密这些解决方案。
- 终端设备必须有aTPM芯片1.2或更高版本(强烈推荐TPM 2.0)。
- BIOS必须设置为UEFI。
- 要在Intune中管理BitLocker,您的帐户必须具有适用的Intune基于角色的访问控制(RBAC)权限。
使用Intune配置和部署Bitlocker的方法
Intune允许您使用两种方法配置和部署BitLocker策略:
- 为BitLocker创建设备配置文件,并部署到设备上。
- 为BitLocker创建端点安全策略,配置并部署到设备上。
您可以使用上面的任何过程来创建您喜欢的策略类型。推荐的方法是创建一个端点安全策略,并使用Intune为Windows设备配置BitLocker。
使用Intune静默启用BitLocker所需的设置
根据您使用的策略类型,您可以使用Intune静默启用BitLocker:
- 端点安全磁盘加密策略:在BitLocker配置文件中进行如下配置:
- 隐藏第三方加密提示=是。
- 允许标准用户在自动驾驶期间启用加密=是。
- 需要创建密钥文件=阻止或允许。
- BitLocker设备配置策略:在Endpoint protection模板或自定义设置配置文件中配置以下设置:
- 其他磁盘加密警告=阻塞。
- 允许标准用户在Azure AD Join = Allow期间启用加密。
使用Intune启用和配置Bitlocker
我们现在来看看如何使用Intune来打开、设置和部署Bitlocker。这将在运行Windows 10或11的设备上配置BitLocker驱动器加密。使用Intune启用和配置Bitlocker的高级步骤如下:
- 使用Intune启用Bitlocker
- 在Intune中为Bitlocker创建配置文件
- 使用Intune配置Bitlocker Policy
- 监控Bitlocker加密状态
步骤1:在Intune中创建BitLocker Policy
在这一步中,我们将在Intune中为Bitlocker创建一个新的端点安全策略,步骤如下:
- 登录到Microsoft Endpoint Manager管理中心(Intune管理中心)。
- 导航到终端安全节点,在“管理”下,选择磁盘加密.
- 若要创建新策略,请选择创建政策.
在“创建配置文件”窗口中,选择以下选项:
- 平台: Windows 10及以上版本
- 配置文件:磁盘加密
点击创建.
在基础知识选项卡的创建概要文件页面,输入Bitlocker策略的名称和简要描述。例如,您可以指定以下详细信息:
- 的名字:通过Intune方式启用和配置Bitlocker。
- 描述:为BitLocker创建终端安全策略。
点击下一个.
步骤2:使用Intune配置Bitlocker
在这一步中,我将向您展示如何在Intune中配置Bitlocker策略设置。到达后,您可以配置几个设置BitLocker配置设置.我想指出的是,你不需要启用和配置每个BitLocker设置。根据业务的需要,必须对设置进行配置。但是,我将介绍使用Intune启用和配置BitLocker时可以遵循的最佳实践。
在Intune中配置BitLocker Base Settings
你在Bitlocker的配置设置选项卡上看到的第一组设置是基本设置。这些允许您配置静默启用和BitLocker的强制。我们将回顾每个设置,我会解释每个设置的目的,你应该启用或不启用。
- 对操作系统和固定数据驱动器启用全磁盘加密:选择是的.这将强制使用BitLocker。
- 要求存储卡加密(仅限移动设备):选择没有配置.当此设置设置为是的,移动设备将需要在存储卡上加密。当设置为未配置时,该设置将返回OS默认值,即不需要存储卡加密。此设置仅适用于Windows Mobile和Mobile Enterprise SKU设备。
- 隐藏第三方加密提示:选择是的.如果您在已经被第三方加密产品加密的系统上使用Intune启用BitLocker,可能会导致设备无法使用。强烈建议永远不要在安装或启用了第三方加密(如McAfee磁盘加密)的设备上启用BitLocker。当此设置设置为是的,此警告提示将被抑制。当设置为没有配置,该设置将返回默认值,即提醒用户注意第三方加密。
- 允许标准用户在自动驾驶期间启用加密:选择是的.当设置为是的在Azure Active Directory Join (AADJ)静默启用场景中,用户不需要是本地管理员才能使用Intune启用BitLocker。当设置为未配置时,该设置将保留为客户端默认值,即需要本地管理员访问才能启用BitLocker。
- 配置客户端驱动的恢复密码旋转:选择该选项"在Azure AD和hybrid连接的设备上启用旋转如果你把这个设置为没有配置,这意味着当客户端公开BitLocker恢复密钥时,客户端不会旋转BitLocker恢复密钥。将其设置为启用Azure ad连接设备的键旋转将允许AADJ设备的键旋转。将其设置为为Azure ad连接设备和hybrid连接设备启用的键旋转将允许AADJ或hybrid连接设备的键旋转。
在Intune中配置BitLocker固定驱动器设置
BitLocker固定驱动程序设置适用于设备可能拥有的其他内部磁盘。一个例子可以是主磁盘上的单独分区,也可以是安装在台式机或笔记本电脑上的单独的第二个磁盘。
让我们按顺序浏览每个固定驱动程序设置:
- BitLocker固定驱动器策略:用于控制加密方式和密码强度。该策略的值决定了BitLocker用于加密的密码的强度。
- 固定驱动器恢复:此设置控制在缺少所需的启动密钥信息时如何恢复bitlocker保护的固定数据驱动器。
- 恢复密钥文件创建:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用,则将在BitLocker初始化时生成一个48位的恢复密码,并将其发送到Azure AD。
- 配置BitLocker恢复包:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用,则将在BitLocker初始化时生成一个48位的恢复密码,并将其发送到Azure AD。
- 要求设备将恢复信息备份到Azure AD:如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用,则将在BitLocker初始化时生成一个48位的恢复密码,并将其发送到Azure AD。
- 恢复密码创建:将此设置为允许如果将BitLocker恢复信息保存到Azure Active Directory的策略设置为启用,将在BitLocker初始化时生成一个48位的恢复密码并将其发送到Azure AD。将此设置为需要如果策略“将BitLocker恢复信息保存到Azure Active Directory”设置为启用,将在BitLocker初始化时生成一个48位的恢复密码并将其发送到Azure AD。
- 在BitLocker设置期间隐藏恢复选项:将此设置为是的将阻止最终用户能够选择额外的恢复选项,如在BitLocker设置向导期间打印恢复密钥。将此设置为未配置将允许用户访问额外的恢复选项。
- 恢复后启用BitLocker存储信息:将此设置为是的, BitLocker恢复信息将保存到Active Directory Domain Services。
- 禁止使用基于证书的数据恢复代理(DRA):设置为“是”将阻止使用Data Recovery Agent (DRA)恢复启用BitLocker的驱动器。将此设置为“没有配置将允许使用DRA建立。设置DRA需要企业PKI和组策略对象来部署DRA代理和证书。
- 阻止对不受BitLocker保护的固定数据驱动器的写访问:当设置为时是的, Windows将不允许任何数据写入没有BitLocker保护的固定驱动器。如果一个固定的驱动器没有加密,用户需要在授予写访问权限之前完成该驱动器的BitLocker设置向导。将此设置为“没有配置将允许数据写入非加密的固定驱动器。
- 配置固定数据驱动器加密方式:选择AES 256bit XTS加密方法。此设置允许您为固定数据驱动器磁盘选择所需的加密方法。“XTS- AES 128位”为Windows默认加密方式,推荐使用。
配置BitLocker OS Drive Settings
在本节中,我们将介绍Intune中可用的BitLocker操作系统驱动器设置。
- BitLocker系统驱动器策略:选择配置.
- 需要启动认证:选择是的.
- 兼容TPM启动:选择要求.建议BitLocker配置TPM扣卡。
- 兼容TPM启动PIN:选择阻塞.如果您想使用Intune静默启用BitLocker,建议禁用PIN。
- 兼容的TPM启动键:选择阻塞.
- 兼容TPM启动密钥和PIN:选择阻塞.
- 在TPM不兼容的设备上禁用BitLocker:选择没有配置.
- 启用启动前恢复消息和url:使用此选项来声明是否需要自定义恢复消息或URL。
- 启动前恢复URL:可选,使用此选项来声明是否需要自定义恢复消息或URL。
- 系统驱动器恢复:控制bitlocker保护的操作系统驱动器在缺少所需启动密钥信息的情况下如何恢复。
- 用户创建恢复密钥:选择允许,允许管理员用户手动创建256位的恢复密钥文件。
- 配置BitLocker恢复包:选择密码及密码匙.
- 要求设备将恢复信息备份到Azure AD:选择是的.直到恢复密钥成功保存到Azure Active Directory, BitLocker才会完成启用。
- 恢复密码创建:选择要求.
- 在BitLocker设置期间隐藏恢复选项:选择是的.将此设置为Yes将阻止最终用户能够选择额外的恢复选项,例如在BitLocker设置向导期间打印恢复密钥。
- 恢复后启用BitLocker存储信息:选择是的.通过设置为“是”,BitLocker恢复信息将保存到Active Directory Domain Services。
- 禁止使用基于证书的数据恢复代理(DRA):选择没有配置.将此设置为“没有配置将允许使用DRA建立。
- 最小PIN长度: Intune开启Bitlocker时,需要TPM + PIN时,可配置最小启动PIN长度。
- 配置操作系统驱动器的加密方法:选择AES 256bit XTS.
配置BitLocker可移动驱动器设置
当您使用Intune启用和配置Bitlocker时,您可能还需要考虑可移动驱动器。在我之前的文章中,我向你展示过如何使用Intune阻止可移动存储.如果允许使用可移动设备,您可以配置以下BitLocker设置。
- BitLocker可移动驱动器策略:选择配置.
- 为可移动数据驱动器配置加密方法:选择AES 256bit XTS.
- 阻止对不受BitLocker保护的可移动数据驱动器的写访问:选择没有配置。
- 阻止对其他组织中配置的设备的写访问:选择没有配置.
步骤3:使用Intune部署BitLocker
在步骤1中,我们在Intune中创建了BitLocker策略,在步骤2中,我们配置了BitLocker策略设置。在这一步中,我们将通过将BitLocker策略分配给设备来部署它。
如果你的组织是第一次用Intune建立BitLocker,你可以用一个试点小组来测试它。如果实现成功,可以将BitLocker策略扩展到更大的设备组。
在范围(标签)页,选择“选择范围标记”打开“选择标记”窗格,为配置文件分配范围标记。选择下一个继续。
在作业页,选择将接收此概要文件的组。在“包含的组”部分下,单击添加组并选择要部署BitLocker策略的Azure AD组。选择下一个.
在回顾+创建页面,你会发现所有的BitLocker设置,你已经配置。完成后,选择创建.
在Intune中创建BitLocker策略后,该策略现在出现在“磁盘加密”下。当您为创建的概要文件选择策略类型时,新的概要文件将显示在列表中。在Intune中,可以为不同的设备组设置多个磁盘加密策略。
步骤4:在Intune中监控Bitlocker加密状态
使用Intune部署Bitlocker后,下一步是监控设备上的Bitlocker加密状态。你可以在Intune管理中心做。除此之外,还有一个Microsoft Intune加密报告,可以查看有关设备加密状态的详细信息,并找到管理设备恢复密钥的选项。
从下面的截图中,我们可以看到Bitlocker配置文件的分配在我们瞄准的几乎所有设备上都成功了。请注意,这是配置文件分配状态,而不是磁盘加密状态。
Microsoft Intune加密报告是了解设备加密状态并找到管理恢复密钥的方法的中心位置。可用的恢复键选项取决于您正在查看的设备类型。要找到报告,请登录到Microsoft Endpoint Manager管理中心。选择设备>监控,然后在“Configuration”下选择加密的报告.
嗨
谢谢分享!只是想确认最初通过配置文件加密的设备的行为,但现在计划通过端点安全重新配置磁盘加密。任何挑战吗?