借助Intune无感知开启Bitlocker
希望使用 Intune 部署 BitLocker,但不知道从哪里开始?这是人们最开始使用 Intune 时最常见的问题之一。在本博客中,你将了解有关使用 Intune 管理 BitLocker 的所有信息,包括建议的设置、BitLocker CSP 在客户端上的工作方式,以及从现有解决方案迁移时的提示。
先决条件
- Intune 账户许可
- 设备已经加入Azure AD或者设备为混合Azure AD设备
- 设备未进行加密或已经解密
- 设备必须具有版本 1.2 或更高版本的 TPM 芯片(强烈建议使用 TPM 2.0)
- BIOS 必须设置为 UEFI
- 如果最终用户以管理员角色登录设备,则设备必须运行 Windows 10 版本 1803 或更高版本或 Windows 11
- 如果最终用户以标准用户登录设备,则设备必须运行 Windows 10 版本 1809 或更高版本或Windows 11
配置流程
多年来,在 Intune 控制台中配置 BitLocker 的位置发生了变化。如今,微软已将所有与“安全”相关的项目移至“端点安全”部分。虽然你仍然可以在设置目录下或通过自定义 URI 配置 BitLocker,但最佳做法是在终结点安全性下设置所有内容。
1,终结点安全性>磁盘加密>创建策略
2,在“平台”下,选择“Windows 10 及更高版本> BitLocker”
3,配置项
3.1 基本设置
此部分是配置 BitLocker 的无提示启用和强制实施的位置。第一个设置“为操作系统和固定数据驱动器启用全磁盘加密”是“强制”打开 BitLocker 的内容。设置“隐藏有关第三方加密的提示”是在后台静默启用它而不会提示最终用户的原因,默加密是一种不需要最终用户干预的自动化方法。此外,如果管理员使用 BitLocker 密钥,则可以设置自动轮换这些密钥。
3.2 固定驱动器设置
固定驱动器设置适用于设备可能具有的其他内部磁盘。这可以是主磁盘上的单独分区,也可以是台式计算机上安装的第二个磁盘。这是设置变得稍微复杂的地方。
建议进行设置,以便它使用最高加密方法 (AES-XTS 256) 强制实施 BitLocker,需要设置恢复密码(人们也将其称为恢复“密钥”),并将密钥备份到 AAD。
对于恢复密钥文件的创建,请将其设置为“允许”。它是静默启用所必需的,并允许管理员在需要时手动创建恢复密钥文件。
建议恢复密码创建和“要求设备将恢复信息备份到 Azure AD”都设置为“必需”。这将确保设备始终创建恢复密码并将其保存到 Azure 中。
3.3 操作系统驱动器设置
由于 BitLocker 加密已满磁盘,因此需要解密密钥。保存此解密密钥的最安全方法是在受信任的平台模块 (TPM) 中 ,可以安全地保存机密并具有控制功能,以防止暴力攻击等事情窃取它们。使用 TPM 解密的另一个优点是它允许自动(静默)加密设备,因为如果我们要求用户提供密钥或密码,则会提示中断它们。因此,建议仅将加密部署到具有 TPM 的设备,并通过将“必需启动身份验证”设置为“是”并将“兼容的 TPM 启动”设置为“必需”来控制这一点。
3.4 可移动驱动器设置
注释:此项为必须项,Intune的逻辑为:
所有驱动器类型的加密方法设置必须具有加密类型,或者所有驱动器类型都必须未配置
4,分配使用
效果展示
*