如何使用Intune设置目录部署Bitlocker
在本文中,我将演示如何使用Intune Settings Catalog部署Bitlocker。您可以使用设置目录在Intune中配置Bitlocker,它提供了更灵活的配置选择。
磁盘加密是一种与操作系统集成的数据保护功能,可解决丢失、被盗或不当停用计算机导致数据被盗或暴露的威胁。当与a一起使用时,它提供最大的保护可信平台模块(TPM)版本1.2或者后来的版本。
BitLocker可以在Windows 10和Windows 11设备上使用以下三种方法之一配置:
- 端点保护配置文件
- 端点安全磁盘加密配置文件
- 设置目录配置文件
端点保护和端点安全磁盘加密配置文件使用BitLocker配置服务提供商(CSP)来配置pc和设备的加密,而设置目录配置文件使用BitLocker CSP和ADMX支持设置的组合。
微软建议在选择最适合您组织需求的配置方法时,使用端点保护配置文件部署Bitlocker。如果您需要更多的设置灵活性和替代方案,设置目录概要文件是一个可行的替代方案。
请参阅如何使用的指南使用端点安全磁盘加密配置文件启用和配置Bitlocker。在本文中,我将演示如何通过Intune设置目录在Windows 10和11设备上配置和部署BitLocker。
通过Intune设置目录部署Bitlocker的先决条件
适用于Intune的BitLocker适用于运行Windows 10和Windows 11的设备。使用Intune启用Bitlocker需要具备以下先决条件:
- 您需要一个有效的Microsoft Intune许可证。
- 设备必须是Azure AD或混合Azure AD加入。
- 禁止使用第三方提供的磁盘加密软件(如McAfee disk encryption)对设备进行加密。华体会体育系列当使用Intune部署BitLocker时,您必须完全解密任何已经使用其他技术加密的设备。
- 终端设备必须有1.2或更高版本的TPM芯片(强烈推荐使用TPM 2.0)。
- BIOS必须设置为UEFI。
- 要在Intune中管理BitLocker,您的帐户必须具有适用的Intune基于角色的访问控制(RBAC)权限。
其他Bitlocker设置可在Intune设置目录
以下附加的Bitlocker设置在tune设置目录中可用,而在其他两个策略(端点安全和设备配置配置文件)中不可用。
- 允许与InstantGo或HSTI兼容的设备选择退出预启动PIN
- 允许启动时增强pin
- 启用BitLocker认证,要求在平板电脑上进行预引导键盘输入
- 在操作系统驱动器上强制驱动器加密类型
- 选择加密类型:(设备)
使用Intune设置目录部署Bitlocker
使用以下步骤使用Settings Catalog配置和部署Bitlocker:
- 登录到微软Intune管理中心。
- 导航到设备>Windows设备>配置概要文件。
- 选择+创建配置文件并为配置文件类型的平台和设置目录选择Windows 10及以上版本,然后选择创建。
将概要文件命名为基础知识标签创建概要文件窗格。添加关于概要文件的简短描述。点击下一个。
在配置设置选项卡上,选择+添加设置。
类型”磁盘加密,以查找配置Bitlocker的所有相关设置。的Intune设置目录允许您灵活选择将哪些BitLocker设置添加到策略中。
您可以在Intune中为Bitlocker配置五类或五组设置:
- Bitlocker硬盘加密
- 固定数据驱动器
- 操作系统驱动器
- 可移动数据驱动器
- 驱动器加密设置
驱动器加密设置
BitLocker类别启用静默加密和恢复密码轮换设置。静默加密将在设备上启用BitLocker,而无需用户进行交互。此配置的重要限制是,由于用户不需要交互,因此不会提示他们输入启动PIN。
请注意:您不必选择所有设置,只需配置您的组织所需的设置。出于演示的目的,我将把它们全部添加进去。
完成类别选择后,使用X按钮关闭设置选择器窗格,并返回到配置选项卡。
Bitlocker设置可配置如下内容:
- 允许警告其他磁盘加密
- 配置恢复密码轮换
- 可移动驱动器被排除在加密之外
- 要求设备加密
Bitlocker驱动器加密设置
从“设置”目录中,展开“管理模板”类别,以查看从BitLocker驱动器加密开始的设置选项。在这里可以设置加密方法和密码强度。在下面的例子中,我选择了XTS-AES 256位用于固定数据驱动器和操作系统驱动器,以及AES-CBC 128位(默认)可移动数据驱动器。
为了说明,我启用了唯一标识符,但是我还没有填充它们。请注意,在管理模板之外,BitLocker CSP不支持唯一id的设置。
设置目录中的Bitlocker操作系统驱动器
当您使用Intune Settings Catalog配置和部署Bitlocker时,您将获得以下其他两种方法无法提供的附加设置。
- 允许与InstantGo或HSTI兼容的设备选择退出预启动PIN
- 允许启动时增强pin
- 启用BitLocker认证,要求在平板电脑上进行预引导键盘输入
- 在操作系统驱动器上强制驱动器加密类型
- 选择加密类型:(设备)
Bitlocker固定数据驱动器在Intune设置目录
“配置固定数据驱动器”的设置与终端安全设置类似,但“强制固定数据驱动器加密类型”和“选择加密类型(设备)”的设置不同。这些设置允许管理员指定BitLocker是只加密已使用的空间还是加密整个驱动器。
通过Intune设置目录配置可移动数据驱动器
对于可移动驱动器,您会发现大多数设置类似于端点保护策略。但是,您需要考虑允许用户在可移动数据驱动器(设备)上暂停和解密BitLocker保护以及在可移动数据驱动器设置上强制驱动器加密类型的要求。
下面的屏幕截图显示了通过Intune Settings目录的可移动数据驱动器的配置。
一旦你通过Intune设置目录配置了所有的Bitlocker设置,单击下一个。在“分配”选项卡上,添加要部署Bitlocker设置的Azure AD组。点击下一个。
在审查+创建页面,你会发现你已经配置的所有BitLocker设置。完成后,选择创建。
通过Intune部署BitLocker策略后,该策略现在出现在配置文件列表下。还会出现一条通知,确认策略已创建。
使用Intune设置目录部署Bitlocker后,下一步是监视设备上的Bitlocker加密状态。你可以这样做财富管理中心。除此之外,还有一个Microsoft Intune加密报告,可以查看有关设备加密状态的详细信息,并找到管理设备恢复密钥的选项。
微软Intune加密报告是了解设备加密状态和找到管理恢复密钥方法的中心。可用的恢复键选项取决于您正在查看的设备类型。
要查找报告,请登录到Microsoft Endpoint Manager管理中心。选择设备>监控,然后在Configuration下选择加密的报告。