Bitlocker磁盘加密策略Without TPM---Intune终结点管理
Posted XI合格的昵称IX
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Bitlocker磁盘加密策略Without TPM---Intune终结点管理相关的知识,希望对你有一定的参考价值。
接上篇,上篇文章提到过,如果客户端没有TPM芯片也是可以完成驱动器加密的,intune下发策略后无法实现无提示(静默)加密,需要根据提示手动完成驱动器加密,如果系统支持UEFI启动可以选择插入U盘,建议选择输入password,加密完成后,计算机重启进入系统前需要先输入bitlocker password,然后再输入系统登录password才能登录到系统内;
策略应用范围
A. 已加域,无TPM芯片设备
B. 未加域,无TPM芯片设备
策略应用后效果
客户端收到加密提示,用户需要根据向导完成加密,加密完成后,开机需要输入加密password及登录用户password;
Bitlocker Profile Without TPM配置
1. 登录到endpoint管理中心,终结点安全性—磁盘加密—创建策略
2. 选择平台和配置文件,如下图,点击创建
3. 输入名称“Bitlocker Profile Without TPM”,点击下一步
4. 开始配置设置,按需完成固定驱动器设置,基本设置,可移动驱动器设置,OS驱动器设置等相关bitlocker配置,这个策略是应用给无TPM芯片的设备,所以我的设置如下,供参考:
Bitlocker-固定驱动器设置
- l 如果设置了“驱动器恢复”,需要注意,要设置“恢复秘钥文件创建”为“允许”,否则无法开始加密;
- l 需要设备将恢复信息备份到AzureAD,此项选择“是”,则在恢复信息备份完成前不会开始加密;
- l “阻止对不受bitlocker保护的固定数据驱动器的写入权限”,此项选择“是”,则未完成加密前除了OS分区,其他分区无法写入;
Bitlocker-基本设置
- l 隐藏有关第三方加密提示可以实现无提示(静默)加密,因为没有TPM芯片,必须通过交互完成加密,所以这里选择“未配置”;
- l 测试环境为azuread joined hybrid环境,配置了恢复password轮替;
Bitlocker-可移动驱动器设置
Bitlocker-OS驱动器设置
- l 如果策略应用给无TPM设备建议如下设置TPM相关配置
- l 兼容的TPM—允许
- l 兼容的TPM启动PIN—允许
- l 兼容的TPM启动秘钥—允许
- l 兼容的TPM启动秘钥和PIN—允许
- l 在TPM不兼容的设备上禁用Bitlocker—未配置
5. 配置作用于标签,如果有的话可以设置,没有的话默认,点击下一步
6. 指定应用范围,分配给组或者所有用户,这里的组为 安全组
7. 点击“创建”
客户端操作及效果
1. 策略下发后客户端桌面右下角会收到加密提示“需要加密”,如果未看到提示,则可以在桌面右下角“通知”中查看
2. 点击“需要加密”,进入bitlocker加密向导,勾选“我没有安装任何其他磁盘加密软件,请加密我的所有磁盘”,点击“是”
3. 等待向导检测电脑配置
4. 指定启动时解锁驱动器的方式,建议“输入password”
插入U盘:启动秘钥保存在U盘中,每次开机需要插入U盘启动,然后输入系统登录password
输入password:设置一个解锁password,每次开机需要输入解锁password后再输入系统登录password
5. 设置password,点击“下一页”
6. 上篇文章提到过,恢复秘钥可以保存在不同的位置,这里我们选择“保存到云域账户”,也就是保存到了用户的office365账户中。
7. 指定加密的空间,新电脑选择仅加密已用磁盘空间,速度较快,正在使用的电脑选择“加密整个驱动器”,可能用时较长,点击“下一页”
8. 点击“继续”,开始加密
9. 加密中,等待完成即可,可以最小化正常工作,系统可能卡顿,需要注意,加密过程中可以开机或重启,但不能断电及长按电源键强制关闭电脑
10. 加密完成后,如下图,驱动器都带了小锁
11. 重启电脑开始时需要先输入驱动器解锁秘钥
以上是关于Bitlocker磁盘加密策略Without TPM---Intune终结点管理的主要内容,如果未能解决你的问题,请参考以下文章
Windows上VHD + BitLocker 实现文件夹加密