使用 Intune 管理 Windows 设备的 BitLocker 策略
使用 Intune 在运行 Windows 10/11 的设备上配置 BitLocker 磁盘加密。
运行 Windows 10/11 或更高版本的设备可以使用 BitLocker。 某些 BitLocker 设置要求设备具有受支持的 TPM。
使用以下策略类型之一在受管理设备上配置 BitLocker
适用于 BitLocker 的终结点安全磁盘加密策略。 终结点安全中的 BitLocker 配置文件是专用于配置 BitLocker 的一组集中设置。
查看磁盘加密策略中的 BitLocker 配置文件中可用的 BitLocker 设置。
用于 BitLocker 终结点保护的设备配置文件。 BitLocker 设置是 Windows 10/11 终结点保护的可用设置类别之一。
查看 BitLocker 设置,这些设置可用于 来自设备配置策略的终结点保护配置文件中的 BitLocker。
提示
Intune 提供内置的加密报告,其中提供了有关所有受管理设备中的设备加密状态的详细信息。 在 Intune 使用 BitLocker 加密 Windows 设备之后,你可在查看加密报告时查看和管理 BitLocker 恢复密钥。
还可以从设备访问 BitLocker 的重要信息,如 Microsoft Entra ID 中所示。
重要
在启用 BitLocker 之前,请先了解并规划满足组织需求的 恢复选项 。 有关详细信息,请从 Windows 安全文档中的 BitLocker 恢复概述 开始。
用于管理 BitLocker 的权限
若要在 Intune 中管理 BitLocker,你的帐户必须具有适用的 Intune 基于角色的访问控制 (RBAC) 权限。
下面是 BitLocker 权限(“远程任务”类别的一部分)和授予权限的内置 RBAC 角色:
- 轮换 BitLocker 密钥
- 技术支持操作员
创建和部署策略
使用以下过程之一创建所需的策略类型。
为 BitLocker 创建终结点安全策略
选择“终结点安全”>“磁盘加密”>“创建策略”。
设置下列选项:
- 平台:Windows 10/11
- 配置文件:BitLocker
在“配置设置”页上,根据业务需求配置 BitLocker 设置。
选择 下一步。
在“作用域标记”页上,选择“选择作用域标记”打开“选择标记”窗格,将作用域标记分配给配置文件。
选择“下一步”以继续。
在“分配”页上,选择将接收此配置文件的组。 有关分配配置文件的详细信息,请参阅“分配用户和设备配置文件”。
选择 下一步。
完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。
为 BitLocker 创建设备配置文件
选择“ 设备>配置> ”,在“ 策略 ”选项卡上,选择“ 创建”。
设置下列选项:
- 平台:Windows 10及更高版本
- 配置文件类型:选择 “模板>终结点保护”,然后选择“ 创建”。
在“配置设置”页上,展开“Windows 加密”。
根据业务需求配置 BitLocker 设置。
如果要以无提示方式启用 BitLocker,请参阅本文中的以无提示的方式在设备上启用 BitLocker,了解其他先决条件以及必须使用的特定设置配置。
选择“下一步”以继续。
完成其他设置配置,然后保存配置文件。
管理 BitLocker
以下主题可帮助你通过 BitLocker 策略管理特定任务,以及管理恢复密钥:
若要查看有关接收 BitLocker 策略的设备的信息,请参阅监视磁盘加密。
以无提示的方式在设备上启用 BitLocker
可以将 BitLocker 策略配置为自动和无提示地加密设备,而无需向最终用户显示任何 UI,即使该用户不是设备上的本地管理员也是如此。
若要成功,设备必须满足以下 设备先决条件,接收以静默方式启用 BitLocker 的适用设置,并且不得具有需要使用 TPM 启动 PIN 或密钥的设置。 使用启动 PIN 或密钥与无提示加密不兼容,因为它需要用户交互。
设备先决条件
设备必须满足以下条件才能以无提示的方式启用 BitLocker:
- 如果最终用户以管理员角色登录设备,则设备必须运行 Windows 10 版本 1803 或更高版本,或 Windows 11。
- 如果最终用户以标准用户登录设备,则设备必须运行 Windows 10 版本 1809 或更高版本或 Windows 11。
- 设备必须Microsoft Entra联接或Microsoft Entra混合联接。
- 设备必须包含不低于 TPM(受信任的平台模块)1.2 的版本。
- BIOS 模式必须设置为“仅限本机 UEFI”。
以静默方式启用 BitLocker 所需的设置
根据静默方式启用 BitLocker 的策略类型,配置以下设置。 这两种方法都通过 Windows 设备上的 Windows 加密 CSP 管理 BitLocker。
终结点安全 磁盘加密 策略 - 在 BitLocker 配置文件中配置以下设置:
- 要求设备加密 = 启用
- 允许对其他磁盘加密 = 发出警告禁用
除了两个必需的设置外,还请考虑使用 配置恢复密码轮换。
设备配置 终结点保护 策略 - 在 Endpoint Protection 模板或 自定义设置 配置文件中配置以下设置:
- 其他磁盘加密的警告 = 阻止。
- 允许标准用户在加入Microsoft Entra = 期间启用加密允许
- 用户创建恢复密钥 = 允许或不允许 256 位恢复密钥
- 用户创建恢复密码 = 允许或需要 48 位恢复密码
TPM 启动 PIN 或密钥
设备 不得设置为需要 启动 PIN 或启动密钥。
当设备上需要 TPM 启动 PIN 或启动密钥时,BitLocker 无法在设备上以无提示方式启用,而是需要最终用户的交互。 用于配置 TPM 启动 PIN 或密钥的设置在终结点保护模板和 BitLocker 策略中均可用。 默认情况下,这些策略不会配置这些设置。
以下是每种配置文件类型的相关设置:
终结点安全磁盘加密策略 - 只有在展开“ 管理模板” 类别,然后在 “Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 ”部分将“ 启动时需要其他身份验证 ”设置为 “已启用”后,TPM 设置才可见。 配置后,以下 TPM 设置可用:
配置 TPM 启动密钥和 PIN - 将此项配置为 不允许使用 TPM 的启动密钥和 PIN
配置 TPM 启动 PIN - 将此配置为 “不允许使用 TPM 启动 PIN”
配置 TPM 启动 - 将其配置为 “允许 TPM” 或 “需要 TPM”
配置 TPM 启动密钥 - 将此配置为“不允许使用 TPM 启动密钥”
设备配置策略 - 在终结点保护模板中,你会在 Windows 加密 类别中找到以下设置:
- 兼容的 TPM 启动 - 将其配置为 允许 TPM 或 需要 TPM
- 兼容的 TPM 启动 PIN - 将其配置为 不允许使用 TPM 启动 PIN
- 兼容的 TPM 启动密钥 - 将其配置为 不允许使用 TPM 启动密钥
- 兼容的 TPM 启动密钥和 PIN - 将其配置为 不允许使用 TPM 启动密钥和 PIN
警告
尽管默认情况下终结点安全策略或设备配置策略都未配置 TPM 设置,但某些版本的 Microsoft Defender for Endpoint 安全基线将默认同时配置兼容的 TPM 启动 PIN 和兼容的 TPM 启动密钥。 这些配置可能会阻止 BitLocker 的静默启用。
如果向要以静默方式启用 BitLocker 的设备部署此基线,请查看基线配置,了解可能的冲突。 若要消除冲突,请重新配置基线中的设置以删除冲突,或者删除适用设备以接收配置阻止 BitLocker 静默启用的 TPM 设置的基线实例。
完整磁盘与仅已用空间加密
三个设置确定是仅加密已使用空间还是完全磁盘加密来加密 OS 驱动器:
- 设备的硬件是否支持 新式待机 功能
- 是否已为 BitLocker 配置无提示启用
- (“其他磁盘加密的警告”= 阻止或“隐藏有关第三方加密的提示”= 是)
- SystemDrivesEncryptionType 的配置
- (在操作系统驱动器上强制实施驱动器加密类型)
假设尚未配置 SystemDrivesEncryptionType,以下是预期行为。 在新式待机设备上配置无提示启用时,将使用仅使用空间加密对 OS 驱动器进行加密。 在无法进行新式待机的设备上配置无提示启用时,将使用完整磁盘加密对 OS 驱动器进行加密。 无论使用的是 BitLocker 的 Endpoint Security 磁盘加密策略还是用于 BitLocker终结点保护的设备配置文件,结果都是相同的。 如果需要不同的最终状态,则可以通过使用设置目录配置 SystemDrivesEncryptionType 来控制加密类型。
要验证硬件是否支持新式待机,请从命令提示符运行以下命令:
powercfg /a
如果设备支持新式待机,则表明备用 (S0 低功耗空闲) 网络连接可用
如果设备不支持新式待机(例如虚拟机),则表明不支持备用 (S0 低功率空闲) 网络连接
要验证加密类型,请从提升的(管理员)命令提示符运行以下命令:
manage-bde -status c:
“转换状态”字段将加密类型反映为“仅已用空间加密”或“完全加密”。
若要更改完整磁盘加密和仅使用空间加密之间的磁盘加密类型,请使用设置目录中的“对操作系统驱动器强制实施驱动器加密类型”设置。
查看有关恢复密钥的详细信息
Intune 提供对 BitLocker 的“Microsoft Entra”边栏选项卡的访问权限,以便你可以从 Microsoft Intune 管理中心内查看 Windows 10/11 设备的 BitLocker 密钥 ID 和恢复密钥。 支持查看恢复密钥还可以扩展到租户附加设备。
设备必须托管其密钥才能访问Microsoft Entra。
选择“设备”>“所有设备”。
选择列表中的设备,然后在“监视”下,选择“恢复密钥”。
点击“显示恢复密钥”。 选择此选项会在“KeyManagement”活动下生成审核日志条目。
当密钥在 Microsoft Entra 中可用时,以下信息可用:
- BitLocker 密钥 ID
- BitLocker 恢复密钥
- 驱动器类型
当密钥不在Microsoft Entra中时,Intune 将显示“找不到此设备的 BitLocker 密钥”。
注意
目前,Microsoft Entra ID支持每个设备最多 200 个 BitLocker 恢复密钥。 如果达到此限制,在设备上开始加密之前,无提示加密将由于恢复密钥备份失败而失败。
使用 BitLocker 配置服务提供程序 (CSP) 获取 BitLocker 的信息。 Windows 10 版本 1703 及更高版本、Windows 10 专业版版本 1809 及更高版本和 Windows 11 支持 BitLocker CSP。
IT 管理员需要在 Microsoft Entra ID 内具有特定权限才能查看设备 BitLocker 恢复密钥:microsoft.directory/bitlockerKeys/key/read。 此权限附带Microsoft Entra ID中存在一些角色,包括云设备管理员、支持人员管理员等。有关哪些Microsoft Entra角色具有哪些权限的详细信息,请参阅Microsoft Entra内置角色。
审核所有 BitLocker 恢复密钥访问。 有关审核日志条目的更多信息,请参阅 Azure 门户审核日志。
注意
如果删除受 BitLocker 保护的已加入Microsoft Entra设备的 Intune 对象,则删除会触发 Intune 设备同步并删除操作系统卷的密钥保护程序。 删除密钥保护程序会使 BitLocker 在该卷上处于暂停状态。 这是必要的,因为已加入Microsoft Entra设备的 BitLocker 恢复信息附加到Microsoft Entra计算机对象,删除它可能会使你无法从 BitLocker 恢复事件中恢复。
查看租户附加设备的恢复密钥
配置租户附加方案后,Microsoft Intune可以显示租户附加设备的恢复密钥数据。
若要支持显示租户附加设备的恢复密钥,配置服务器站点必须运行版本 2107 或更高版本。 对于运行 2107 的站点,必须安装更新汇总以支持Microsoft Entra已加入的设备:请参阅 KB11121541。
若要查看恢复密钥,Intune 帐户必须具有 Intune RBAC 权限才能查看 BitLocker 密钥,并且必须与具有集合角色Configuration Manager相关权限的本地用户关联,并且具有读取权限>读取 BitLocker 恢复密钥权限。 有关详细信息,请参阅为 Configuration Manager 配置基于角色的管理。
BitLocker 恢复密码轮转
可以使用 Intune 设备操作远程轮转运行 Windows 10 版本 1909 或更高版本以及 Windows 11 的设备的 BitLocker 恢复密码。
先决条件
设备必须满足以下先决条件才支持 BitLocker 恢复密码轮转:
设备必须运行 Windows 10 版本 1909 或更高版本或 Windows 11
Microsoft Entra联接和Microsoft Entra混合联接的设备必须通过 BitLocker 策略配置启用密钥轮换支持:
- 客户端驱动的恢复密码轮换:在已加入Microsoft Entra的设备上启用轮换,或在已加入Microsoft Entra ID和Microsoft Entra已加入混合联接的设备上启用轮换
- 将 BitLocker 恢复信息保存到Microsoft Entra ID为“已启用”
- 将恢复信息存储在 Microsoft Entra ID 中,然后再将 BitLocker 设置为必需
有关 BitLocker 部署和要求的信息,请参阅 BitLocker 部署比较图。
BitLocker 恢复密码轮转
选择“设备”>“所有设备”。
在管理的设备列表中,选择一个设备,然后选择 BitLocker 密钥轮换 设备远程操作。 如果此选项应可用但不可见,请选择省略号 (...) ,然后选择 BitLocker 密钥轮换。
在设备的“概述”页面上,选择“BitLocker 密钥轮换”。 如果此选项未显示,请选择省略号 (…) 以显示更多选项,然后选择“BitLocker 密钥轮换”设备远程操作。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈