Bitlocker磁盘加密策略Without TPM---Intune终结点管理

Posted XI合格的昵称IX

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Bitlocker磁盘加密策略Without TPM---Intune终结点管理相关的知识,希望对你有一定的参考价值。

      接上篇,上篇文章提到过,如果客户端没有TPM芯片也是可以完成驱动器加密的,intune下发策略后无法实现无提示(静默)加密,需要根据提示手动完成驱动器加密,如果系统支持UEFI启动可以选择插入U盘,建议选择输入password,加密完成后,计算机重启进入系统前需要先输入bitlocker password,然后再输入系统登录password才能登录到系统内;

Bitlocker磁盘加密策略Without

策略应用范围

A. 已加域,无TPM芯片设备

B.  未加域,无TPM芯片设备

策略应用后效果

客户端收到加密提示,用户需要根据向导完成加密,加密完成后,开机需要输入加密password及登录用户password;

Bitlocker磁盘加密策略Without

Bitlocker Profile Without TPM配置

1.    登录到endpoint管理中心,终结点安全性—磁盘加密—创建策略

Bitlocker磁盘加密策略Without

2.    选择平台和配置文件,如下图,点击创建

Bitlocker磁盘加密策略Without

3.    输入名称“Bitlocker Profile Without TPM”,点击下一步

Bitlocker磁盘加密策略Without

4.    开始配置设置,按需完成固定驱动器设置,基本设置,可移动驱动器设置,OS驱动器设置等相关bitlocker配置,这个策略是应用给无TPM芯片的设备,所以我的设置如下,供参考:

Bitlocker-固定驱动器设置

  • 如果设置了“驱动器恢复”,需要注意,要设置“恢复秘钥文件创建”为“允许”,否则无法开始加密;
  • 需要设备将恢复信息备份到AzureAD,此项选择“是”,则在恢复信息备份完成前不会开始加密;
  • “阻止对不受bitlocker保护的固定数据驱动器的写入权限”,此项选择“是”,则未完成加密前除了OS分区,其他分区无法写入;

Bitlocker磁盘加密策略Without

Bitlocker-基本设置

  • 隐藏有关第三方加密提示可以实现无提示(静默)加密,因为没有TPM芯片,必须通过交互完成加密,所以这里选择“未配置”;
  • 测试环境为azuread joined hybrid环境,配置了恢复password轮替;

Bitlocker磁盘加密策略Without

Bitlocker-可移动驱动器设置

Bitlocker磁盘加密策略Without

Bitlocker-OS驱动器设置

  • 如果策略应用给无TPM设备建议如下设置TPM相关配置
  • 兼容的TPM—允许
  • 兼容的TPM启动PIN—允许
  • 兼容的TPM启动秘钥—允许
  • 兼容的TPM启动秘钥和PIN—允许
  • 在TPM不兼容的设备上禁用Bitlocker—未配置

Bitlocker磁盘加密策略Without

5.    配置作用于标签,如果有的话可以设置,没有的话默认,点击下一步

Bitlocker磁盘加密策略Without

6.    指定应用范围,分配给组或者所有用户,这里的组为 安全组

Bitlocker磁盘加密策略Without

7.    点击“创建”

客户端操作及效果

1.    策略下发后客户端桌面右下角会收到加密提示“需要加密”,如果未看到提示,则可以在桌面右下角“通知”中查看

Bitlocker磁盘加密策略Without

Bitlocker磁盘加密策略Without

2.    点击“需要加密”,进入bitlocker加密向导,勾选“我没有安装任何其他磁盘加密软件,请加密我的所有磁盘”,点击“是”

Bitlocker磁盘加密策略Without

3.    等待向导检测电脑配置

Bitlocker磁盘加密策略Without

4.    指定启动时解锁驱动器的方式,建议“输入password”

插入U盘:启动秘钥保存在U盘中,每次开机需要插入U盘启动,然后输入系统登录password

输入password:设置一个解锁password,每次开机需要输入解锁password后再输入系统登录password

Bitlocker磁盘加密策略Without

5.    设置password,点击“下一页”

Bitlocker磁盘加密策略Without

6.    上篇文章提到过,恢复秘钥可以保存在不同的位置,这里我们选择“保存到云域账户”,也就是保存到了用户的office365账户中。

Bitlocker磁盘加密策略Without

7.    指定加密的空间,新电脑选择仅加密已用磁盘空间,速度较快,正在使用的电脑选择“加密整个驱动器”,可能用时较长,点击“下一页”

Bitlocker磁盘加密策略Without

8.    点击“继续”,开始加密

Bitlocker磁盘加密策略Without

9.    加密中,等待完成即可,可以最小化正常工作,系统可能卡顿,需要注意,加密过程中可以开机或重启,但不能断电及长按电源键强制关闭电脑

Bitlocker磁盘加密策略Without

10.  加密完成后,如下图,驱动器都带了小锁

Bitlocker磁盘加密策略Without

11.  重启电脑开始时需要先输入驱动器解锁秘钥

Bitlocker磁盘加密策略Without


以上是关于Bitlocker磁盘加密策略Without TPM---Intune终结点管理的主要内容,如果未能解决你的问题,请参考以下文章

Windows系统中如何使用BitLocker加密磁盘

Windows系统中如何使用BitLocker加密磁盘

Windows上VHD + BitLocker 实现文件夹加密

经验之谈-慎用windows的bitlocker功能来加密磁盘!

使用Windows BitLocker进行安全磁盘加密

小小知识点——利用电脑自带的BitLocker对磁盘加密