如何使用Intune设置目录部署Bitlocker

在本文中,我将演示如何使用Intune Settings Catalog部署Bitlocker。您可以使用设置目录在Intune中配置Bitlocker,它提供了更灵活的配置选择。

磁盘加密是一种与操作系统集成的数据保护功能,可解决丢失、被盗或不当停用计算机导致数据被盗或暴露的威胁。当与a一起使用时,它提供最大的保护可信平台模块(TPM)版本1.2或者后来的版本。

BitLocker可以在Windows 10和Windows 11设备上使用以下三种方法之一配置:

PatchMyPC HorizontalAD
补丁我的PC赞助广告
  • 端点保护配置文件
  • 端点安全磁盘加密配置文件
  • 设置目录配置文件

端点保护和端点安全磁盘加密配置文件使用BitLocker配置服务提供商(CSP)来配置pc和设备的加密,而设置目录配置文件使用BitLocker CSP和ADMX支持设置的组合。

微软建议在选择最适合您组织需求的配置方法时,使用端点保护配置文件部署Bitlocker。如果您需要更多的设置灵活性和替代方案,设置目录概要文件是一个可行的替代方案。

请参阅如何使用的指南使用端点安全磁盘加密配置文件启用和配置Bitlocker。在本文中,我将演示如何通过Intune设置目录在Windows 10和11设备上配置和部署BitLocker。

通过Intune设置目录部署Bitlocker的先决条件

适用于Intune的BitLocker适用于运行Windows 10和Windows 11的设备。使用Intune启用Bitlocker需要具备以下先决条件:

  1. 您需要一个有效的Microsoft Intune许可证。
  2. 设备必须是Azure AD或混合Azure AD加入
  3. 禁止使用第三方提供的磁盘加密软件(如McAfee disk encryption)对设备进行加密。华体会体育系列当使用Intune部署BitLocker时,您必须完全解密任何已经使用其他技术加密的设备。
  4. 终端设备必须有1.2或更高版本的TPM芯片(强烈推荐使用TPM 2.0)。
  5. BIOS必须设置为UEFI。
  6. 要在Intune中管理BitLocker,您的帐户必须具有适用的Intune基于角色的访问控制(RBAC)权限。

其他Bitlocker设置可在Intune设置目录

以下附加的Bitlocker设置在tune设置目录中可用,而在其他两个策略(端点安全和设备配置配置文件)中不可用。

  • 允许与InstantGo或HSTI兼容的设备选择退出预启动PIN
  • 允许启动时增强pin
  • 启用BitLocker认证,要求在平板电脑上进行预引导键盘输入
  • 在操作系统驱动器上强制驱动器加密类型
  • 选择加密类型:(设备)

使用Intune设置目录部署Bitlocker

使用以下步骤使用Settings Catalog配置和部署Bitlocker:

  • 登录到微软Intune管理中心
  • 导航到设备>Windows设备>配置概要文件
  • 选择+创建配置文件并为配置文件类型的平台和设置目录选择Windows 10及以上版本,然后选择创建
在Intune中为Bitlocker部署创建配置文件
在Intune中为Bitlocker部署创建配置文件

将概要文件命名为基础知识标签创建概要文件窗格。添加关于概要文件的简短描述。点击下一个

在Intune中为Bitlocker部署创建配置文件
在Intune中为Bitlocker部署创建配置文件

配置设置选项卡上,选择+添加设置

Intune设置目录
Intune设置目录

类型”磁盘加密,以查找配置Bitlocker的所有相关设置。的Intune设置目录允许您灵活选择将哪些BitLocker设置添加到策略中。

您可以在Intune中为Bitlocker配置五类或五组设置:

  1. Bitlocker硬盘加密
  2. 固定数据驱动器
  3. 操作系统驱动器
  4. 可移动数据驱动器
  5. 驱动器加密设置

驱动器加密设置

BitLocker类别启用静默加密和恢复密码轮换设置。静默加密将在设备上启用BitLocker,而无需用户进行交互。此配置的重要限制是,由于用户不需要交互,因此不会提示他们输入启动PIN。

请注意:您不必选择所有设置,只需配置您的组织所需的设置。出于演示的目的,我将把它们全部添加进去。

完成类别选择后,使用X按钮关闭设置选择器窗格,并返回到配置选项卡。

使用Intune设置目录部署Bitlocker
使用Intune设置目录部署Bitlocker

Bitlocker设置可配置如下内容:

  • 允许警告其他磁盘加密
  • 配置恢复密码轮换
  • 可移动驱动器被排除在加密之外
  • 要求设备加密
配置Bitlocker设置|使用Intune设置目录部署Bitlocker
配置Bitlocker设置|使用Intune设置目录部署Bitlocker

Bitlocker驱动器加密设置

从“设置”目录中,展开“管理模板”类别,以查看从BitLocker驱动器加密开始的设置选项。在这里可以设置加密方法和密码强度。在下面的例子中,我选择了XTS-AES 256位用于固定数据驱动器和操作系统驱动器,以及AES-CBC 128位(默认)可移动数据驱动器。

为了说明,我启用了唯一标识符,但是我还没有填充它们。请注意,在管理模板之外,BitLocker CSP不支持唯一id的设置。

Bitlocker驱动器加密设置|使用Intune设置目录部署Bitlocker
Bitlocker驱动器加密设置|使用Intune设置目录部署Bitlocker

设置目录中的Bitlocker操作系统驱动器

当您使用Intune Settings Catalog配置和部署Bitlocker时,您将获得以下其他两种方法无法提供的附加设置。

  • 允许与InstantGo或HSTI兼容的设备选择退出预启动PIN
  • 允许启动时增强pin
  • 启用BitLocker认证,要求在平板电脑上进行预引导键盘输入
  • 在操作系统驱动器上强制驱动器加密类型
  • 选择加密类型:(设备)
打开操作系统驱动器的Bitlocker设置
打开操作系统驱动器的Bitlocker设置

Bitlocker固定数据驱动器在Intune设置目录

“配置固定数据驱动器”的设置与终端安全设置类似,但“强制固定数据驱动器加密类型”和“选择加密类型(设备)”的设置不同。这些设置允许管理员指定BitLocker是只加密已使用的空间还是加密整个驱动器。

Bitlocker固定数据驱动器在Intune设置目录
Bitlocker固定数据驱动器在Intune设置目录

通过Intune设置目录配置可移动数据驱动器

对于可移动驱动器,您会发现大多数设置类似于端点保护策略。但是,您需要考虑允许用户在可移动数据驱动器(设备)上暂停和解密BitLocker保护以及在可移动数据驱动器设置上强制驱动器加密类型的要求。

下面的屏幕截图显示了通过Intune Settings目录的可移动数据驱动器的配置。

配置可移动数据驱动器|部署Bitlocker使用Intune设置目录
配置可移动数据驱动器|部署Bitlocker使用Intune设置目录

一旦你通过Intune设置目录配置了所有的Bitlocker设置,单击下一个。在“分配”选项卡上,添加要部署Bitlocker设置的Azure AD组。点击下一个

使用Intune设置目录部署Bitlocker
使用Intune设置目录部署Bitlocker

审查+创建页面,你会发现你已经配置的所有BitLocker设置。完成后,选择创建

通过Intune部署BitLocker策略后,该策略现在出现在配置文件列表下。还会出现一条通知,确认策略已创建。

使用Intune设置目录部署Bitlocker
使用Intune设置目录部署Bitlocker

使用Intune设置目录部署Bitlocker后,下一步是监视设备上的Bitlocker加密状态。你可以这样做财富管理中心。除此之外,还有一个Microsoft Intune加密报告,可以查看有关设备加密状态的详细信息,并找到管理设备恢复密钥的选项。

微软Intune加密报告是了解设备加密状态和找到管理恢复密钥方法的中心。可用的恢复键选项取决于您正在查看的设备类型。

要查找报告,请登录到Microsoft Endpoint Manager管理中心。选择设备>监控,然后在Configuration下选择加密的报告

留言回复

您的电子邮件地址将不会被公布。必填项被标记*