New-CMBMSOSDEncryptionPolicy
Erstellen Sie eine Richtlinie, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.
Syntax
New-CMBMSOSDEncryptionPolicy
[-PolicyState <State>]
[-RequireTpm]
[-MinimumPinLength <UInt32>]
[-Protector <TpmProtector>]
[-DisableWildcardHandling]
[-ForceWildcardHandling]
[<CommonParameters>]
Beschreibung
Verwenden Sie dieses Cmdlet, um eine Richtlinie zu erstellen, um zu verwalten, ob das Betriebssystemlaufwerk mit BitLocker verschlüsselt werden soll.
Wenn Sie BitLocker auf einem Computer ohne Trusted Platform Module (TPM) verwenden möchten, verwenden Sie nicht den Parameter -RequireTpm . In diesem Modus erfordert BitLocker beim Starten des Geräts ein Kennwort. Wenn Sie das Kennwort vergessen haben, verwenden Sie eine BitLocker-Wiederherstellungsoption, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM kann BitLocker zwei Authentifizierungsmethoden verwenden, wenn das Gerät gestartet wird. Dieses Verhalten bietet zusätzlichen Schutz für verschlüsselte Daten. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden oder die Eingabe einer persönlichen Identifikationsnummer (PIN) erfordern.
Tipp
Wenn Sie Geräte mit TPM - und PIN-Schutz aktivieren, sollten Sie aus Sicherheitsgründen die folgenden Gruppenrichtlinieneinstellungen in den Einstellungen für denEnergiesparmodus derSystemenergieverwaltung>> deaktivieren:
Standbyzustände zulassen (S1-S3) im Ruhezustand (netzgeschützt)
Standbyzustände (S1-S3) im Ruhezustand zulassen (im Akkubetrieb)
Beispiele
Beispiel 1: Erstellen einer neuen Richtlinie, die TPM mit PIN erfordert
In diesem Beispiel wird eine neue Richtlinie erstellt, die mit den folgenden Attributen aktiviert ist:
- Erfordert ein TPM
- Anfordern einer PIN mit dem TPM
- Die PIN muss mindestens 16 Nummern umfassen.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin
Beispiel 2: Erstellen einer neuen Richtlinie nur für TPM
In diesem Beispiel wird eine neue Richtlinie erstellt, die aktiviert ist und nur ein TPM erfordert.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly
Parameter
-DisableWildcardHandling
Dieser Parameter behandelt Wildcardzeichen als Literalzeichenwerte. Sie können es nicht mit ForceWildcardHandling kombinieren.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ForceWildcardHandling
Dieser Parameter verarbeitet Wildcardzeichen und kann zu unerwartetem Verhalten führen (nicht empfohlen). Sie können es nicht mit DisableWildcardHandling kombinieren.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-MinimumPinLength
Wenn Sie eine PIN benötigen, ist dieser Wert die kürzeste Länge, die der Benutzer angeben kann. Der Benutzer gibt diese PIN ein, wenn der Computer gestartet wird, um das Laufwerk zu entsperren. Standardmäßig ist 4
die minimale PIN-Länge . Legen Sie einen Wert von auf 4
fest 20
.
Type: | UInt32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-PolicyState
Verwenden Sie diesen Parameter, um die Richtlinie zu konfigurieren.
Enabled
: Wenn Sie diese Richtlinie aktivieren, muss der Benutzer das Betriebssystemlaufwerk unter BitLocker-Schutz setzen und das Laufwerk verschlüsseln.Disabled
: Wenn Sie diese Richtlinie deaktivieren, kann der Benutzer das Betriebssystemlaufwerk nicht unter BitLocker-Schutz setzen. Wenn Sie diese Richtlinie anwenden, nachdem das Betriebssystemlaufwerk verschlüsselt wurde, entschlüsselt BitLocker das Laufwerk.NotConfigured
: Wenn Sie diese Richtlinie nicht konfigurieren, ist BitLocker auf dem Betriebssystemlaufwerk nicht erforderlich.
Type: | State |
Accepted values: | Enabled, Disabled, NotConfigured |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Protector
Verwenden Sie diesen Parameter, um eine Schutzvorrichtung für das Betriebssystemlaufwerk anzugeben:
TpmOnly
: Verwenden Sie das TPM nur als Schutzvorrichtung.TpmAndPin
: Verwenden einer PIN mit dem TPM
Type: | TpmProtector |
Accepted values: | TpmOnly, TpmAndPin |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-RequireTpm
Fügen Sie diesen Parameter hinzu, um die Richtlinie so zu konfigurieren, dass das Gerät über ein kompatibles TPM verfügt.
Type: | SwitchParameter |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Eingaben
None
Ausgaben
Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject
Ähnliche Themen
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für