Zarządzanie zasadami funkcji BitLocker dla urządzeń z systemem Windows za pomocą usługi Intune

Za pomocą usługi Intune skonfiguruj szyfrowanie dysków funkcji BitLocker na urządzeniach z systemem Windows 10/11.

Funkcja BitLocker jest dostępna na urządzeniach z systemem Windows 10/11. Niektóre ustawienia funkcji BitLocker wymagają, aby urządzenie miało obsługiwany moduł TPM.

Użyj jednego z następujących typów zasad, aby skonfigurować funkcję BitLocker na zarządzanych urządzeniach:

• Zasady szyfrowania dysków zabezpieczeń punktu końcowego dla funkcji BitLocker. Profil funkcji BitLocker w zabezpieczeniach punktu końcowego to skoncentrowana grupa ustawień, która jest przeznaczona do konfigurowania funkcji BitLocker.

  Wyświetl ustawienia funkcji BitLocker dostępne w profilach funkcji BitLocker z poziomu zasad szyfrowania dysków.

• Profil konfiguracji urządzenia do ochrony punktu końcowego dla funkcji BitLocker. Ustawienia funkcji BitLocker są jedną z dostępnych kategorii ustawień dla ochrony punktu końcowego Windows 10/11.

  Wyświetl ustawienia funkcji BitLocker dostępne dla funkcji BitLocker w profilach ochrony punktu końcowego z poziomu zasad konfiguracji urządzenia.

Porada

Usługa Intune udostępnia wbudowany raport szyfrowania , który przedstawia szczegółowe informacje o stanie szyfrowania urządzeń na wszystkich zarządzanych urządzeniach. Gdy usługa Intune szyfruje urządzenie z systemem Windows za pomocą funkcji BitLocker, możesz wyświetlać klucze odzyskiwania funkcji BitLocker i zarządzać nimi podczas wyświetlania raportu szyfrowania.

Dostęp do ważnych informacji dotyczących funkcji BitLocker można również uzyskać z urządzeń, jak pokazano w Tożsamość Microsoft Entra.

Ważna

Przed włączeniem funkcji BitLocker zapoznaj się z opcjami odzyskiwania i zaplanuj je, które spełniają wymagania organizacji. Aby uzyskać więcej informacji, zacznij od przeglądu odzyskiwania funkcji BitLocker w dokumentacji zabezpieczeń systemu Windows.

Uprawnienia do zarządzania funkcją BitLocker

Aby zarządzać funkcją BitLocker w usłudze Intune, twoje konto musi mieć odpowiednie uprawnienia kontroli dostępu na podstawie ról (RBAC) usługi Intune.

Poniżej przedstawiono uprawnienia funkcji BitLocker, które są częścią kategorii Zadania zdalne, oraz wbudowane role RBAC, które udzielają uprawnień:

• Obracanie kluczy funkcji BitLocker
  • Operator pomocy technicznej

Tworzenie i wdrażanie zasad

Użyj jednej z poniższych procedur, aby utworzyć preferowany typ zasad.

Tworzenie zasad zabezpieczeń punktu końcowego dla funkcji BitLocker

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

3. Ustaw następujące opcje:

   1. Platforma: Windows 10/11
   2. Profil: Funkcja BitLocker

   

4. Na stronie Ustawienia konfiguracji skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi.

   Wybierz pozycję Dalej.

5. Na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi, aby przypisać tagi zakresu do profilu.

   Wybierz przycisk Dalej, aby kontynuować.

6. Na stronie Przypisania wybierz grupy, które otrzymają ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

7. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Tworzenie profilu konfiguracji urządzenia dla funkcji BitLocker

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęKonfiguracja>urządzeń> Na karcie Zasady wybierz pozycję Utwórz.

3. Ustaw następujące opcje:

   1. Platforma: Windows 10 i nowsze
   2. Typ profilu: wybierz pozycję Szablony>Ochrona punktu końcowego, a następnie wybierz pozycję Utwórz.

   

4. Na stronie Ustawienia konfiguracji rozwiń węzeł Szyfrowanie systemu Windows.

   

5. Skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi.

   Jeśli chcesz włączyć funkcję BitLocker w trybie dyskretnym, zobacz Dyskretne włączanie funkcji BitLocker na urządzeniach, w tym artykule opisano dodatkowe wymagania wstępne i konkretne konfiguracje ustawień, których należy użyć.

6. Wybierz przycisk Dalej, aby kontynuować.

7. Wykonaj konfigurację dodatkowych ustawień, a następnie zapisz profil.

Zarządzanie funkcją BitLocker

Następujące tematy mogą pomóc w zarządzaniu określonymi zadaniami za pomocą zasad funkcji BitLocker i zarządzaniu kluczami odzyskiwania:

• Dyskretne włączanie funkcji BitLocker na urządzeniach
• Szyfrowanie tylko pełnego dysku a miejsca używanego
• Wyświetlanie szczegółów kluczy odzyskiwania
• Wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy
• Obracanie kluczy odzyskiwania funkcji BitLocker

Aby wyświetlić informacje o urządzeniach, które odbierają zasady funkcji BitLocker, zobacz Monitorowanie szyfrowania dysków.

Dyskretne włączanie funkcji BitLocker na urządzeniach

Można skonfigurować zasady funkcji BitLocker do automatycznego i dyskretnego szyfrowania urządzenia bez przedstawiania żadnego interfejsu użytkownika użytkownikowi końcowemu, nawet jeśli ten użytkownik nie jest administratorem lokalnym na urządzeniu.

Aby można było odnieść sukces, urządzenia muszą spełniać następujące wymagania wstępne dotyczące urządzeń, otrzymywać odpowiednie ustawienia umożliwiające dyskretne włączanie funkcji BitLocker i nie mogą mieć ustawień, które wymagają użycia numeru PIN lub klucza uruchamiania modułu TPM. Użycie początkowego numeru PIN lub klucza jest niezgodne z szyfrowaniem dyskretnym, ponieważ wymaga interakcji z użytkownikiem.

Wymagania wstępne dotyczące urządzeń

Aby można było włączyć funkcję BitLocker w trybie dyskretnym, urządzenie musi spełniać następujące warunki:

• Jeśli użytkownicy końcowi logują się do urządzeń jako administratorzy, urządzenie musi działać Windows 10 wersji 1803 lub nowszej lub Windows 11.
• Jeśli użytkownicy końcowi logują się do urządzeń jako użytkownicy standardowi, urządzenie musi działać Windows 10 wersji 1809 lub nowszej lub Windows 11.
• Urządzenie musi być Microsoft Entra przyłączone lub Microsoft Entra przyłączone hybrydowo.
• Urządzenie musi zawierać co najmniej moduł TPM (Trusted Platform Module) 1.2.
• Tryb BIOS musi być ustawiony tylko natywny interfejs UEFI.

Wymagane ustawienia do dyskretnego włączania funkcji BitLocker

W zależności od typu zasad używanych do dyskretnego włączania funkcji BitLocker skonfiguruj następujące ustawienia. Obie metody zarządzają funkcją BitLocker za pośrednictwem dostawców CSP szyfrowania systemu Windows na urządzeniach z systemem Windows.

• Zasady szyfrowania dysków zabezpieczeń punktu końcowego — skonfiguruj następujące ustawienia w profilu funkcji BitLocker:

  • Wymagaj szyfrowania = urządzeniaWłączone
  • Zezwalaj na ostrzeżenie dotyczące innego szyfrowania dysków = Wyłączone

  

  Oprócz dwóch wymaganych ustawień rozważ użycie opcji Konfiguruj rotację haseł odzyskiwania.

• Zasady ochrony punktu końcowego konfiguracji urządzenia — skonfiguruj następujące ustawienia w szablonie programu Endpoint Protection lub profilu ustawień niestandardowych :

  • Ostrzeżenie dotyczące innego szyfrowania = dyskuBlokuj.
  • Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania = Microsoft EntraZezwalaj
  • Tworzenie klucza = odzyskiwania przez użytkownikaZezwalaj lub nie zezwalaj na 256-bitowy klucz odzyskiwania
  • Tworzenie hasła = odzyskiwania przez użytkownikaZezwalanie na 48-cyfrowe hasło odzyskiwania lub wymaganie go

Numer PIN lub klucz uruchamiania modułu TPM

Nie można ustawić urządzenia tak, aby wymagało numeru PIN uruchamiania ani klucza uruchamiania.

Jeśli na urządzeniu jest wymagany numer PIN lub klucz uruchamiania modułu TPM, funkcja BitLocker nie może włączyć dyskretnie na urządzeniu i zamiast tego wymaga interakcji z użytkownikiem końcowym. Ustawienia umożliwiające skonfigurowanie numeru PIN lub klucza uruchamiania modułu TPM są dostępne zarówno w szablonie ochrony punktu końcowego, jak i w zasadach funkcji BitLocker. Domyślnie te zasady nie konfigurują tych ustawień.

Poniżej przedstawiono odpowiednie ustawienia dla każdego typu profilu:

Zasady szyfrowania dysków zabezpieczeń punktu końcowego — ustawienia modułu TPM są widoczne tylko po rozwinięciem kategorii Szablony administracyjne, a następnie w sekcji Dyski systemu operacyjnego szyfrowania > dysków funkcji BitLocker składników > systemu Windows ustaw opcję Wymagaj dodatkowego uwierzytelniania podczas uruchamiania na wartość Włączone. Po skonfigurowaniu dostępne są następujące ustawienia modułu TPM:

• Konfigurowanie klucza startowego modułu TPM i numeru PIN — skonfiguruj go jako Nie zezwalaj na klucz uruchamiania i numer PIN przy użyciu modułu TPM

• Konfigurowanie numeru PIN uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM

• Konfigurowanie uruchamiania modułu TPM — skonfiguruj to jako zezwalanie na moduł TPM lub Wymagaj modułu TPM

• Konfigurowanie klucza uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na klucz uruchamiania przy użyciu modułu TPM

Zasady konfiguracji urządzeń — w szablonie ochrony punktu końcowego znajdują się następujące ustawienia w kategorii Szyfrowanie systemu Windows :

• Uruchamianie zgodnego modułu TPM — skonfiguruj to jako zezwalanie na moduł TPM lub Wymagaj modułu TPM
• Zgodny numer PIN uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
• Zgodny klucz uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie klucza przy użyciu modułu TPM
• Zgodny klucz startowy modułu TPM i numer PIN — skonfiguruj go jako Nie zezwalaj na uruchamianie klucza i numeru PIN przy użyciu modułu TPM

Ostrzeżenie

Chociaż zasady zabezpieczeń punktu końcowego lub konfiguracji urządzenia domyślnie nie konfigurują ustawień modułu TPM, niektóre wersje punktu odniesienia zabezpieczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender domyślnie skonfigurują zarówno zgodny numer PIN uruchamiania modułu TPM, jak i zgodny klucz uruchamiania modułu TPM. Te konfiguracje mogą blokować dyskretne włączanie funkcji BitLocker.

Jeśli wdrożysz ten punkt odniesienia na urządzeniach, na których chcesz włączyć funkcję BitLocker w trybie dyskretnym, przejrzyj konfiguracje punktu odniesienia pod kątem możliwych konfliktów. Aby usunąć konflikty, skonfiguruj ponownie ustawienia w punktach odniesienia, aby usunąć konflikt, lub usuń odpowiednie urządzenia z odbierania wystąpień punktu odniesienia, które konfigurują ustawienia modułu TPM, które blokują dyskretne włączanie funkcji BitLocker.

Szyfrowanie tylko pełnego dysku a miejsca używanego

Trzy ustawienia określają, czy dysk systemu operacyjnego zostanie zaszyfrowany przez szyfrowanie tylko używanego miejsca, czy za pomocą pełnego szyfrowania dysku:

• Czy sprzęt urządzenia jest nowoczesnym rozwiązaniem w trybie rezerwowym
• Czy włączono funkcję dyskretną dla funkcji BitLocker
  • ("Ostrzeżenie dla innego szyfrowania dysku" = Blokuj lub "Ukryj monit o szyfrowanie innych firm" = Tak)
• Konfiguracja elementu SystemDrivesEncryptionType
  • (Wymuszanie typu szyfrowania dysku na dyskach systemu operacyjnego)

Zakładając, że systemDrivesEncryptionType nie został skonfigurowany, poniżej przedstawiono oczekiwane zachowanie. Gdy włączanie dyskretne jest skonfigurowane na nowoczesnym urządzeniu rezerwowym, dysk systemu operacyjnego jest szyfrowany przy użyciu szyfrowania tylko używanego miejsca. Gdy włączanie dyskretne jest skonfigurowane na urządzeniu, które nie jest w stanie nowoczesnej rezerwy, dysk systemu operacyjnego jest szyfrowany przy użyciu pełnego szyfrowania dysku. Wynik jest taki sam, niezależnie od tego, czy używasz zasad szyfrowania dysków zabezpieczeń punktu końcowego dla funkcji BitLocker , czy profilu konfiguracji urządzenia na potrzeby ochrony punktu końcowego dla funkcji BitLocker. Jeśli jest wymagany inny stan końcowy, typ szyfrowania można kontrolować, konfigurując systemDrivesEncryptionType przy użyciu wykazu ustawień.

Aby sprawdzić, czy sprzęt jest nowoczesny w stanie wstrzymania, uruchom następujące polecenie w wierszu polecenia:

powercfg /a

Jeśli urządzenie obsługuje nowoczesną rezerwę, oznacza to, że jest dostępna sieć w trybie wstrzymania (S0 Low Power Idle)

Jeśli urządzenie nie obsługuje nowoczesnej rezerwy, na przykład maszyny wirtualnej, oznacza to, że połączenie sieciowe w trybie wstrzymania (S0 Low Power Idle) nie jest obsługiwane

Aby sprawdzić typ szyfrowania, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień (administrator):

manage-bde -status c:

Pole "Stan konwersji" odzwierciedla typ szyfrowania jako zaszyfrowany lub w pełni zaszyfrowany tylko użyte miejsce.

Aby zmienić typ szyfrowania dysku między pełnym szyfrowaniem dysku i używanym szyfrowaniem tylko miejsca, użyj ustawienia "Wymuszaj typ szyfrowania dysku na dyskach systemu operacyjnego w katalogu ustawień.

Wyświetlanie szczegółów kluczy odzyskiwania

Usługa Intune zapewnia dostęp do bloku Microsoft Entra funkcji BitLocker, dzięki czemu można wyświetlać identyfikatory kluczy funkcji BitLocker i klucze odzyskiwania dla urządzeń Windows 10/11 z poziomu centrum administracyjnego Microsoft Intune. Obsługa wyświetlania kluczy odzyskiwania może również obejmować urządzenia dołączone do dzierżawy.

Aby urządzenie było dostępne, musi mieć swój klucz, aby Microsoft Entra.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

3. Wybierz urządzenie z listy, a następnie w obszarze Monitor wybierz pozycję Klucze odzyskiwania.

4. Naciśnij pozycję Pokaż klucz odzyskiwania. Wybranie tej opcji spowoduje wygenerowanie wpisu dziennika inspekcji w obszarze działania "KeyManagement".

   Gdy klucze są dostępne w Microsoft Entra, dostępne są następujące informacje:

   • Identyfikator klucza funkcji BitLocker
   • Klucz odzyskiwania funkcji BitLocker
   • Typ dysku

   Jeśli klucze nie znajdują się w Microsoft Entra, w usłudze Intune nie znaleziono klucza funkcji BitLocker dla tego urządzenia.

Uwaga

Obecnie Tożsamość Microsoft Entra obsługuje maksymalnie 200 kluczy odzyskiwania funkcji BitLocker na urządzenie. Jeśli osiągniesz ten limit, szyfrowanie dyskretne zakończy się niepowodzeniem z powodu niepowodzenia tworzenia kopii zapasowej kluczy odzyskiwania przed rozpoczęciem szyfrowania na urządzeniu.

Informacje dotyczące funkcji BitLocker są uzyskiwane przy użyciu dostawcy usług konfiguracji funkcji BitLocker . Dostawca CSP funkcji BitLocker jest obsługiwany w Windows 10 wersji 1703 lub nowszej, Windows 10 Pro wersji 1809 i nowszych oraz Windows 11.

Administratorzy IT muszą mieć określone uprawnienia w ramach Tożsamość Microsoft Entra, aby móc wyświetlać klucze odzyskiwania funkcji BitLocker urządzenia: microsoft.directory/bitlockerKeys/key/read. Istnieją pewne role w Tożsamość Microsoft Entra, które mają to uprawnienie, w tym administrator urządzeń w chmurze, administrator pomocy technicznej itp. Aby uzyskać więcej informacji na temat Microsoft Entra ról, które mają uprawnienia, zobacz Microsoft Entra role wbudowane.

Wszystkie dostępy do klucza odzyskiwania funkcji BitLocker są poddawane inspekcji. Aby uzyskać więcej informacji na temat wpisów dziennika inspekcji, zobacz Azure Portal dzienników inspekcji.

Uwaga

Jeśli usuniesz obiekt usługi Intune dla urządzenia przyłączanego Microsoft Entra chronionego przez funkcję BitLocker, usunięcie spowoduje wyzwolenie synchronizacji urządzenia usługi Intune i usunięcie funkcji ochrony klucza dla woluminu systemu operacyjnego. Usunięcie ochrony klucza powoduje, że funkcja BitLocker jest w stanie wstrzymania na tym woluminie. Jest to konieczne, ponieważ informacje o odzyskiwaniu funkcji BitLocker dla urządzeń przyłączonych Microsoft Entra są dołączone do obiektu komputera Microsoft Entra i usunięcie go może spowodować, że nie będzie można odzyskać sprawności po zdarzeniu odzyskiwania funkcji BitLocker.

Wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy

Po skonfigurowaniu scenariusza dołączania dzierżawy Microsoft Intune może wyświetlać dane klucza odzyskiwania dla urządzeń dołączonych do dzierżawy.

• Aby obsługiwać wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy, witryny Configuration Manager muszą działać w wersji 2107 lub nowszej. W przypadku witryn z systemem 2107 należy zainstalować pakiet zbiorczy aktualizacji, aby obsługiwać urządzenia przyłączone Microsoft Entra: Zobacz KB11121541.

• Aby wyświetlić klucze odzyskiwania, konto usługi Intune musi mieć uprawnienia RBAC usługi Intune do wyświetlania kluczy funkcji BitLocker i musi być skojarzone z użytkownikiem lokalnym, który ma powiązane uprawnienia do Configuration Manager roli kolekcji, z uprawnieniem odczytu > klucza odzyskiwania funkcji BitLocker odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach dla Configuration Manager.

Obracanie kluczy odzyskiwania funkcji BitLocker

Akcja urządzenia usługi Intune umożliwia zdalne obracanie klucza odzyskiwania funkcji BitLocker urządzenia z systemem Windows 10 wersji 1909 lub nowszej oraz Windows 11.

Wymagania wstępne

Urządzenia muszą spełniać następujące wymagania wstępne, aby obsługiwać rotację klucza odzyskiwania funkcji BitLocker:

• Urządzenia muszą działać Windows 10 wersji 1909 lub nowszej lub Windows 11

• Microsoft Entra przyłączonych i Microsoft Entra urządzeń przyłączonych hybrydowo musi mieć włączoną obsługę rotacji kluczy za pośrednictwem konfiguracji zasad funkcji BitLocker:

  • Rotacja haseł odzyskiwania oparta na klienciew celu włączenia rotacji na urządzeniach przyłączonych Microsoft Entra lub Włączanie rotacji na urządzeniach przyłączonych hybrydowo Tożsamość Microsoft Entra i Microsoft Entra
  • Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra do opcji Włączone
  • Przechowywanie informacji odzyskiwania w Tożsamość Microsoft Entra przed włączeniem funkcji BitLocker na wartość Wymagane

Aby uzyskać informacje o wdrożeniach i wymaganiach funkcji BitLocker, zobacz wykres porównawczy wdrażania funkcji BitLocker.

Aby obrócić klucz odzyskiwania funkcji BitLocker

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

3. Na liście zarządzanych urządzeń wybierz urządzenie, a następnie wybierz zdalną akcję urządzenia rotacji kluczy funkcji BitLocker . Jeśli ta opcja powinna być dostępna, ale nie jest widoczna, wybierz wielokropek (...), a następnie rotację kluczy funkcji BitLocker.

4. Na stronie Przegląd urządzenia wybierz rotację kluczy funkcji BitLocker. Jeśli nie widzisz tej opcji, wybierz wielokropek (...), aby wyświetlić dodatkowe opcje, a następnie wybierz zdalną akcję urządzenia rotacji kluczy funkcji BitLocker .

   

Następne kroki

• Zarządzanie zasadami programu FileVault
• Monitorowanie szyfrowania dysków
• Rozwiązywanie problemów z zasadami funkcji BitLocker
• Znane problemy dotyczące wymuszania zasad funkcji BitLocker w usłudze Intune
• Zarządzanie funkcją BitLocker dla przedsiębiorstw w dokumentacji zabezpieczeń systemu Windows