Bitlocker磁盘加密策略Without TPM---Intune终结点管理

Posted 2021-12-24 XI合格的昵称IX

      接上篇，上篇文章提到过，如果客户端没有TPM芯片也是可以完成驱动器加密的，intune下发策略后无法实现无提示（静默）加密，需要根据提示手动完成驱动器加密，如果系统支持UEFI启动可以选择插入U盘，建议选择输入password，加密完成后，计算机重启进入系统前需要先输入bitlocker password，然后再输入系统登录password才能登录到系统内；

​

策略应用范围

A． 已加域，无TPM芯片设备

B．  未加域，无TPM芯片设备

策略应用后效果

客户端收到加密提示，用户需要根据向导完成加密，加密完成后，开机需要输入加密password及登录用户password；

Bitlocker Profile Without TPM配置

1.    登录到endpoint管理中心，终结点安全性—磁盘加密—创建策略

2.    选择平台和配置文件，如下图，点击创建

3.    输入名称“Bitlocker Profile Without TPM”，点击下一步

4.    开始配置设置，按需完成固定驱动器设置，基本设置，可移动驱动器设置，OS驱动器设置等相关bitlocker配置，这个策略是应用给无TPM芯片的设备，所以我的设置如下，供参考：

Bitlocker-固定驱动器设置

• l  如果设置了“驱动器恢复”，需要注意，要设置“恢复秘钥文件创建”为“允许”，否则无法开始加密；
• l  需要设备将恢复信息备份到AzureAD，此项选择“是”，则在恢复信息备份完成前不会开始加密；
• l  “阻止对不受bitlocker保护的固定数据驱动器的写入权限”，此项选择“是”，则未完成加密前除了OS分区，其他分区无法写入；

​

Bitlocker-基本设置

• l  隐藏有关第三方加密提示可以实现无提示（静默）加密，因为没有TPM芯片，必须通过交互完成加密，所以这里选择“未配置”；
• l  测试环境为azuread joined hybrid环境，配置了恢复password轮替；

​

Bitlocker-可移动驱动器设置

​

Bitlocker-OS驱动器设置

• l  如果策略应用给无TPM设备建议如下设置TPM相关配置
• l  兼容的TPM—允许
• l  兼容的TPM启动PIN—允许
• l  兼容的TPM启动秘钥—允许
• l  兼容的TPM启动秘钥和PIN—允许
• l  在TPM不兼容的设备上禁用Bitlocker—未配置

​

5.    配置作用于标签，如果有的话可以设置，没有的话默认，点击下一步

6.    指定应用范围，分配给组或者所有用户，这里的组为 安全组

​

7.    点击“创建”

客户端操作及效果

1.    策略下发后客户端桌面右下角会收到加密提示“需要加密”，如果未看到提示，则可以在桌面右下角“通知”中查看

2.    点击“需要加密”，进入bitlocker加密向导，勾选“我没有安装任何其他磁盘加密软件，请加密我的所有磁盘”，点击“是”

3.    等待向导检测电脑配置

4.    指定启动时解锁驱动器的方式，建议“输入password”

插入U盘：启动秘钥保存在U盘中，每次开机需要插入U盘启动，然后输入系统登录password

输入password：设置一个解锁password，每次开机需要输入解锁password后再输入系统登录password

5.    设置password，点击“下一页”

6.    上篇文章提到过，恢复秘钥可以保存在不同的位置，这里我们选择“保存到云域账户”，也就是保存到了用户的office365账户中。

7.    指定加密的空间，新电脑选择仅加密已用磁盘空间，速度较快，正在使用的电脑选择“加密整个驱动器”，可能用时较长，点击“下一页”

8.    点击“继续”，开始加密

9.    加密中，等待完成即可，可以最小化正常工作，系统可能卡顿，需要注意，加密过程中可以开机或重启，但不能断电及长按电源键强制关闭电脑

10.  加密完成后，如下图，驱动器都带了小锁

11.  重启电脑开始时需要先输入驱动器解锁秘钥