MBAM 2.5 群組原則需求規劃

使用下列資訊來判斷 BitLocker 保護裝置的類型，您可以用來管理您企業中) 用戶端電腦Microsoft BitLocker 管理與監視 (MBAM。

MBAM 支援的 BitLocker 保護裝置類型

MBAM 支援下列類型的 BitLocker 保護裝置。

磁片磁碟機或磁片區類型	支援的 BitLocker 保護工具
作業系統磁片區	信賴平台模組 (TPM) TPM + PIN TPM + USB 金鑰 – 只有在安裝 MBAM 之前加密作業系統磁片區時才支援 TPM + PIN + USB 金鑰 - 只有在安裝 MBAM 之前作業系統磁片區加密時才支援 密碼- 僅支援 Windows To Go 裝置、固定資料磁片磁碟機，以及Windows 8、Windows 8.1和Windows 10沒有 TPM 的裝置 數值密碼 - 自動套用為磁片區加密的一部分，除了 Windows 7 上的 FIPS 模式以外，不需要設定 資料復原代理程式 (DRA)
固定資料磁片磁碟機	密碼 自動解除鎖定 數值密碼 - 自動套用為磁片區加密的一部分，除了 Windows 7 上的 FIPS 模式以外，不需要設定 資料復原代理程式 (DRA)
卸載式磁片磁碟機	密碼 自動解除鎖定 數值密碼 - 自動套用為磁片區加密的一部分，不需要設定 資料復原代理程式 (DRA)

支援 Used Space Encryption BitLocker 原則

在 MBAM 2.5 SP1 中，如果您透過 BitLocker 群組原則啟用 Used Space Encryption，MBAM 用戶端會接受它。

此群組原則設定稱為在作業系統磁片磁碟機上強制執行磁片磁碟機加密類型，位於下列 GPO 節點：電腦> 設定系統管理模> 板Windows 元件>BitLocker 磁片磁碟機加密>作業系統磁片磁碟機。 如果您啟用此原則，並選取加密類型作為 [僅使用空間加密]，則 MBAM 會遵守原則，而 BitLocker 只會加密磁片區上使用的磁碟空間。

如何取得 MBAM 群組原則範本並編輯設定

當您準備好要設定 MBAM 群組原則設定時，請執行下列動作：

要遵循的步驟	取得指示的位置
從 MDOP 群組原則 範本複製 MBAM群組原則範本，並將其安裝在能夠執行 群組原則 Management Console (GPMC) 或進階 群組原則 管理 (AGPM) 的電腦上。	複製 MBAM 2.5 群組原則範本
設定您想要在企業中使用的群組原則設定。	編輯 MBAM 2.5 群組原則設定

MBAM 群組原則設定的描述

MDOP MBAM (BitLocker Management) GPO 節點包含四個全域原則設定和四個子 GPO 節點：用戶端管理、固定磁片磁碟機、作業系統磁片磁碟機和卸載式磁片磁碟機。 下列各節說明並建議 MBAM 群組原則設定的設定。

重要

請勿變更BitLocker 磁片磁碟機加密節點中的群組原則設定，否則 MBAM 將無法正常運作。 當您在 MDOP MBAM (BitLocker Management ) 節點中設定設定時，MBAM 會自動為您設定此節點中的設定。

全域群組原則定義

本節說明下列 GPO 節點上的 MBAM 全域群組原則定義：電腦>> 設定原則系統管理模> 板Windows 元件>MDOP MBAM (BitLocker 管理) 。

原則名稱	概觀和建議的群組原則設定
選擇磁片磁碟機加密方法和加密強度	建議的設定： 已啟用 將此原則設定為使用特定加密方法和加密強度。 未設定此原則時，BitLocker 會使用預設加密方法：AES 128 位與 Diffuser。 注意 BitLocker 電腦合規性報告發生問題，導致加密強度顯示「未知」，即使您使用預設值也一樣。 若要解決此問題，請務必啟用此設定，並設定加密強度的值。 AES 128 位與 Diffuser – 僅適用于 Windows 7 適用于 Windows 8、Windows 8.1、Windows 10 和 Windows 11 的 AES 128
防止重新開機時覆寫記憶體	建議的設定： 未設定 設定此原則可改善重新開機效能，而不會在重新開機時覆寫記憶體中的 BitLocker 秘密。 未設定此原則時，電腦重新開機時，會從記憶體中移除 BitLocker 秘密。
驗證智慧卡憑證使用規則	建議的設定： 未設定 設定此原則以使用智慧卡憑證型 BitLocker 保護。 未設定此原則時，會使用預設物件識別碼 1.3.6.1.4.1.311.67.1.1 來指定憑證。
為您的組織提供唯一識別碼	建議的設定： 未設定 將此原則設定為使用憑證型資料復原代理程式或 BitLocker To Go 讀取器。 未設定此原則時，不會使用 [ 識別 ] 欄位。 如果您的公司需要更高的安全性度量，您可以設定 [識別] 欄位，以確保所有 USB 裝置都已設定此欄位，且它們符合此群組原則設定。

用戶端管理群組原則定義

本節說明下列 GPO 節點上 MBAM 的用戶端管理原則定義：電腦>> 設定原則系統管理模> 板Windows 元件>MDOP MBAM (BitLocker 管理) >用戶端管理。

您可以針對獨立和System Center Configuration Manager整合拓撲設定相同的群組原則設定，但其中一個例外：如果您使用 Configuration Manager，請停用 [設定MBAM 服務 > MBAM 狀態報表服務端點] 設定Configuration Manager 整合拓撲，如下表所示。

原則名稱	概觀和建議的群組原則設定
設定 MBAM 服務	建議的設定： 已啟用 MBAM 復原和硬體服務端點。 使用此設定來啟用 MBAM 用戶端 BitLocker 加密管理。 輸入類似下列範例的端點位置：HTTP (s) ：//< MBAM Administration and Monitoring Server Name >：< Web 服務系結至 >/MBAMRecoveryAndHardwareService/CoreService.svc 的埠。 選取要儲存的 BitLocker 修復資訊。 此原則設定可讓您設定金鑰復原服務來備份 BitLocker 復原資訊。 它也可讓您設定狀態報表服務來收集報表。 此原則提供系統管理方法來復原由 BitLocker 加密的資料，以避免因為缺少金鑰資訊而遺失資料。 狀態報表和金鑰復原活動會自動以無訊息方式傳送至設定的報表伺服器位置。 如果您未設定此原則設定，或是停用此原則設定，則不會儲存金鑰修復資訊，而且狀態報表和金鑰復原活動不會回報給伺服器。 當此設定設定為 [修復密碼] 和 [金鑰套件] 時，修復密碼和金鑰套件會自動以無訊息方式備份至設定的金鑰復原伺服器位置。 以分鐘為單位輸入用戶端檢查狀態頻率。 此原則設定可管理用戶端檢查用戶端電腦上 BitLocker 保護原則和狀態的頻率。 此原則也會管理用戶端合規性狀態儲存至伺服器的頻率。 用戶端會檢查用戶端電腦上的 BitLocker 保護原則和狀態，並以設定的頻率備份用戶端修復金鑰。 根據貴公司針對檢查電腦合規性狀態的頻率以及備份用戶端修復金鑰的頻率所設定的需求，設定此頻率。 MBAM 狀態報表服務端點： 針對獨立拓撲中的 MBAM：您必須設定此設定以啟用 MBAM 用戶端 BitLocker 加密管理。 輸入類似下列範例的端點位置： HTTP (s) ：//< MBAM Administration and Monitoring Server Name >：< Web 服務系結至 >/MBAMComplianceStatusService/StatusReportingService.svc 的埠 針對 Configuration Manager 整合拓撲中的 MBAM：停用此設定。
設定使用者豁免原則	建議的設定： 未設定 此原則設定可讓您設定網站位址、電子郵件地址或電話號碼，以指示使用者要求豁免 BitLocker 加密。 如果您啟用此原則設定並提供網站位址、電子郵件地址或電話號碼，使用者會看到對話方塊，其中包含如何申請 BitLocker 保護豁免的指示。 如需為使用者啟用 BitLocker 加密豁免的詳細資訊，請參閱 如何管理使用者 BitLocker 加密豁免。 如果您停用或未設定此原則設定，則不會向使用者顯示豁免要求指示。 注意 使用者豁免是由每位使用者管理，而不是每部電腦。 如果多位使用者登入同一部電腦，且任何一位使用者未豁免，則會加密電腦。
設定客戶經驗改進計畫	建議的設定： 已啟用 此原則設定可讓您設定 MBAM 使用者如何加入客戶經驗改進計畫。 此程式會收集電腦硬體的相關資訊，以及使用者如何在不中斷其工作的情況下使用 MBAM。 此資訊可協助Microsoft識別要改善的 MBAM 功能。 Microsoft不會使用此資訊來識別或連絡 MBAM 使用者。 如果您啟用此原則設定，使用者可以加入客戶經驗改進計畫。 如果您停用此原則設定，使用者就無法加入客戶經驗改進計畫。 如果您未設定此原則設定，使用者可以加入宣告客戶經驗改進計畫。
提供安全性原則連結的 URL	建議的設定： 已啟用 使用此原則設定來指定將使用者顯示為名為「公司安全性原則」連結的 URL。連結會指向貴公司的內部安全性原則，並為使用者提供加密需求的相關資訊。 當 MBAM 提示使用者加密磁片磁碟機時，就會出現連結。 如果啟用此原則設定，您可以設定安全性原則連結的 URL。 如果停用或未設定此原則設定，則不會向使用者顯示 [安全性原則] 連結。

固定磁片磁碟機群組原則定義

本節說明下列 GPO 節點Microsoft BitLocker 管理和監視的固定磁片磁碟機原則定義：電腦> 設定原則> Windows元件> 系統管理模> 板MDOP MBAM (BitLocker 管理) >固定磁片磁碟機。

原則名稱	概觀和建議的群組原則設定
固定資料磁片磁碟機加密設定	建議的設定： 已啟用 此原則設定可讓您管理固定資料磁片磁碟機是否必須加密。 如果需要加密作業系統磁片區，請按一下 [ 啟用自動解除鎖定固定資料磁片磁碟機]。 當您啟用此原則時，除非您啟用或要求使用固定資料磁片磁碟機的自動解除鎖定，否則不得停用設定 固定資料磁片磁碟機的密碼使用 原則。 如果您必須針對固定資料磁片磁碟機使用自動解除鎖定，您必須設定要加密的作業系統磁片區。 如果啟用此原則設定，使用者必須將所有固定資料磁片磁碟機置於 BitLocker 保護之下，然後資料磁片磁碟機就會加密。 如果您未設定此原則設定，使用者就不需要將固定資料磁片磁碟機置於 BitLocker 保護之下。 如果您在固定資料磁片磁碟機加密之後套用此原則，MBAM 代理程式會解密加密的固定資料磁片磁碟機。 如果您停用此原則設定，使用者就無法將其固定資料磁片磁碟機置於 BitLocker 保護之下。
拒絕寫入存取不受 BitLocker 保護的固定式磁碟機	建議的設定： 未設定 此原則設定可決定電腦上固定資料磁片磁碟機是否需要 BitLocker 保護。 當您開啟 BitLocker 時，會套用此原則設定。 未設定原則時，電腦上的所有固定資料磁片磁碟機都會掛接讀取/寫入權限。
允許從舊版 Windows 存取受 BitLocker 保護的固定磁片磁碟機	建議的設定： 未設定 啟用此原則，以便在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定及檢視具有 FAT 檔案系統的固定磁片磁碟機。 啟用或未設定原則時，可以解除鎖定使用 FAT 檔案系統格式化的固定磁片磁碟機，而且可以在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上檢視其內容。 這些作業系統具有受 BitLocker 保護之磁片磁碟機的唯讀許可權。 停用原則時，無法解除鎖定以 FAT 檔案系統格式化的固定磁片磁碟機，且其內容無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或具有 SP2 的 Windows XP 的電腦上檢視。
設定固定磁片磁碟機的密碼使用	建議的設定： 未設定 使用此原則來指定是否需要密碼才能解除鎖定受 BitLocker 保護的固定資料磁片磁碟機。 如果您啟用此原則設定，使用者可以設定符合您所定義需求的密碼。 BitLocker 可讓使用者使用磁片磁碟機上可用的任何保護裝置來解除鎖定磁片磁碟機。 當您開啟 BitLocker 時，不會在解除鎖定磁片區時強制執行這些設定。 如果您停用此原則設定，則不允許使用者使用密碼。 未設定原則時，預設設定會支援密碼，其中不包含密碼複雜性需求，而且只需要八個字元。 若要提高安全性，請啟用此原則，然後選取 [ 需要固定資料磁片磁碟機的密碼]，按一下 [ 需要密碼複雜度]，然後設定您想要的 密碼長度下限 。 如果您停用此原則設定，則不允許使用者使用密碼。 如果您未設定此原則設定，則預設設定支援密碼，其中不包含密碼複雜性需求，而且只需要八個字元。
選擇如何復原受 BitLocker 保護的固定磁片磁碟機	建議的設定： 未設定 設定此原則以啟用 BitLocker 資料復原代理程式，或將 BitLocker 復原資訊儲存Active Directory 網域服務 (AD DS) 。 未設定原則時，會允許 BitLocker 資料復原代理程式，且復原資訊不會備份至 AD DS。 MBAM 不需要將復原資訊備份至 AD DS。
加密原則強制執行設定	建議的設定： 已啟用 使用此原則設定來設定固定資料磁片磁碟機在強制遵守 MBAM 原則之前，可能保持不相容的天數。 使用者無法延後必要的動作，或在寬限期之後要求豁免。 當固定資料磁片磁碟機判斷為不符合規範時，就會開始寬限期。 不過，在作業系統磁片磁碟機符合規範之前，不會強制執行固定資料磁片磁碟機原則。 如果寬限期到期，且固定資料磁片磁碟機仍然不符合規範，使用者就無法選擇延後或要求豁免。 如果加密程式需要使用者輸入，則會出現對話方塊，讓使用者在提供必要資訊之前無法關閉。 在設定固定磁片磁碟機的不符合規範寬限期天數中輸入0，以強制加密程式在作業系統磁片磁碟機的寬限期到期之後立即開始。 如果您停用或未設定此設定，則不會強制使用者遵守 MBAM 原則。 如果不需要使用者互動即可新增保護裝置，則加密會在寬限期到期後於背景開始。

作業系統磁片磁碟機群組原則定義

本節說明下列 GPO 節點Microsoft BitLocker 管理和監視的作業系統磁片磁碟機原則定義：電腦> 設定原則> 系統管理模> 板Windows 元件>MDOP MBAM (BitLocker 管理) >作業系統磁片磁碟機。

原則名稱	概觀和建議的群組原則設定
作業系統磁片磁碟機加密設定	建議的設定： 已啟用 此原則設定可讓您管理作業系統磁片磁碟機是否必須加密。 為了提高安全性，當您使用 TPM + PIN 保護裝置啟用系統>電源管理>睡眠設定時，請考慮停用下列原則設定： 允許在睡眠 (插入時 (S1-S3) 待命狀態) 在電池) 上睡眠 (時，允許 S1-S3 () 待命狀態 如果您執行Microsoft Windows 8或更新版本，而且想要在沒有 TPM 的電腦上使用 BitLocker，請選取 [允許不含相容 TPM 的 BitLocker] 核取方塊。 在此模式中，啟動需要密碼。 如果您忘記密碼，就必須使用其中一個 BitLocker 復原選項來存取磁片磁碟機。 在具有相容 TPM 的電腦上，兩種驗證方法可以在啟動時用來為加密資料提供額外的保護。 當電腦啟動時，它只能使用 TPM 進行驗證，也可以要求輸入個人識別碼 (PIN) 。 如果啟用此原則設定，使用者必須將作業系統磁片磁碟機置於 BitLocker 保護之下，然後磁片磁碟機就會加密。 如果您停用此原則，使用者就無法將作業系統磁片磁碟機置於 BitLocker 保護之下。 如果您在作業系統磁片磁碟機加密之後套用此原則，磁片磁碟機就會解密。 如果您未設定此原則，作業系統磁片磁碟機就不需要置於 BitLocker 保護之下。
允許增強型 PIN 以啟動	建議的設定： 未設定 使用此原則設定來設定是否搭配 BitLocker 使用增強型啟動 PIN。 增強的啟動 PIN 允許使用字元，包括大寫和小寫字母、符號、數位和空格。 當您開啟 BitLocker 時，會套用此原則設定。 如果您啟用此原則設定，所有新的 BitLocker 啟動 PIN 集都會讓終端使用者建立增強的 PIN。 不過，並非所有電腦都可以在開機前環境中支援增強的 PIN。 強烈建議系統管理員在啟用此功能之前，先評估其系統是否與這項功能相容。 選取 [ 需要僅限 ASCII 的 PIN ] 核取方塊，以協助增強型 PIN 與電腦更相容，以限制可在開機前環境中輸入的字元類型或數目。 如果您停用或未設定此原則設定，則不會使用增強型 PIN。
選擇如何復原受 BitLocker 保護的作業系統磁片磁碟機	建議的設定： 未設定 設定此原則以啟用 BitLocker 資料復原代理程式，或將 BitLocker 復原資訊儲存Active Directory 網域服務 (AD DS) 。 未設定此原則時，會允許資料復原代理程式，且復原資訊不會備份至 AD DS。 MBAM 作業不需要將復原資訊備份至 AD DS。
設定作業系統磁片磁碟機的密碼使用	建議的設定： 未設定 使用此原則設定來設定密碼的條件約束，這些密碼是用來解除鎖定受 BitLocker 保護的作業系統磁片磁碟機。 如果作業系統磁片磁碟機上允許非 TPM 保護裝置，您可以布建密碼、強制執行密碼的複雜性需求，以及設定密碼的最小長度。 若要讓複雜性需求設定生效，您也必須啟用電腦設定 Windows 設定 > 安全 > 性設定帳戶 > 原則密碼原則中的 > [密碼必須符合複雜性需求] 群組原則設定。 注意 當您開啟 BitLocker 時，不會在解除鎖定磁片區時強制執行這些設定。 BitLocker 可讓您使用磁片磁碟機上可用的任何保護裝置來解除鎖定磁片磁碟機。 如果您啟用此原則設定，使用者可以設定符合您所定義需求的密碼。 若要強制執行密碼的複雜性需求，請按一下 [ 需要密碼複雜度]。
設定 BIOS 型韌體設定的 TPM 平臺驗證設定檔	建議的設定： 未設定 此原則設定可讓您設定電腦信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果電腦沒有相容的 TPM，或 BitLocker 已使用 TPM 保護開啟，則不適用此原則設定。 重要 此群組原則設定僅適用于具有 BIOS 設定的電腦，或啟用相容性服務模組 (CSM) 的 UEFI 韌體電腦。 使用原生 UEFI 韌體設定的電腦會將不同的值儲存到平臺設定暫存器 (PCR) 。 使用 [設定原生 UEFI 韌體組態的 TPM 平臺驗證設定檔] 群組原則設定，為使用原生 UEFI 韌體的電腦設定 TPM PCR 設定檔。 如果您在開啟 BitLocker 之前啟用此原則設定，可以在解除鎖定對 BitLocker 加密作業系統磁片磁碟機的存取之前，設定 TPM 驗證的開機元件。 如果其中任何一個元件在 BitLocker 保護生效時變更，TPM 不會釋出加密金鑰來解除鎖定磁片磁碟機，而電腦會改為顯示 BitLocker Recovery 主控台，並要求您提供修復密碼或修復金鑰來解除鎖定磁片磁碟機。 如果您停用或未設定此原則設定，BitLocker 會使用安裝腳本所指定的預設平臺驗證設定檔或平臺驗證設定檔。
設定 TPM 平臺驗證設定檔	建議的設定： 未設定 此原則設定可讓您設定電腦信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果電腦沒有相容的 TPM，或 BitLocker 已使用 TPM 保護開啟，則不適用此原則設定。 如果您在開啟 BitLocker 之前啟用此原則設定，可以在解除鎖定對 BitLocker 加密作業系統磁片磁碟機的存取之前，設定 TPM 驗證的開機元件。 如果其中任何一個元件在 BitLocker 保護生效時變更，TPM 不會釋出加密金鑰來解除鎖定磁片磁碟機，而電腦會改為顯示 BitLocker Recovery 主控台，並要求您提供修復密碼或修復金鑰來解除鎖定磁片磁碟機。 如果您停用或未設定此原則設定，BitLocker 會使用安裝腳本所指定的預設平臺驗證設定檔或平臺驗證設定檔。
設定原生 UEFI 韌體組態的 TPM 平臺驗證設定檔	建議的設定： 未設定 此原則設定可讓您設定電腦信賴平臺模組 (TPM) 安全性硬體如何保護 BitLocker 加密金鑰。 如果電腦沒有相容的 TPM，或 BitLocker 已使用 TPM 保護開啟，則不適用此原則設定。 重要 此群組原則設定僅適用于具有原生 UEFI 韌體組態的電腦。 如果您在開啟 BitLocker 之前啟用此原則設定，您可以先設定 TPM 驗證的開機元件，再解除鎖定對 BitLocker 加密作業系統磁片磁碟機的存取。 如果其中任何一個元件在 BitLocker 保護生效時變更，TPM 不會釋出加密金鑰來解除鎖定磁片磁碟機，而電腦會改為顯示 BitLocker Recovery 主控台，並要求您提供修復密碼或修復金鑰來解除鎖定磁片磁碟機。 如果您停用或未設定此原則設定，BitLocker 會使用安裝腳本所指定的預設平臺驗證設定檔或平臺驗證設定檔。
在 BitLocker 復原之後重設平臺驗證資料	建議的設定： 未設定 使用此原則設定來控制在 BitLocker 復原之後啟動 Windows 時，是否重新整理平臺驗證資料。 如果啟用此原則設定，則在 BitLocker 復原之後啟動 Windows 時，會重新整理平臺驗證資料。 如果您停用此原則設定，當 Windows 在 BitLocker 復原之後啟動時，不會重新整理平臺驗證資料。 如果您未設定此原則設定，當 Windows 在 BitLocker 復原之後啟動時，就會重新整理平臺驗證資料。
使用增強型開機設定資料驗證設定檔	建議的設定： 未設定 此原則設定可讓您選擇特定開機設定資料 (BCD) 設定，以在平臺驗證期間進行驗證。 如果啟用此原則設定，您可以新增其他設定、移除預設設定或兩者。 如果您停用此原則設定，電腦會還原為 BCD 設定檔，類似于 Windows 7 所使用的預設 BCD 設定檔。 如果您未設定此原則設定，電腦會驗證預設的 Windows BCD 設定。 注意 當 BitLocker 針對平臺和開機設定資料使用安全開機 (BCD) 完整性驗證時，如「允許安全開機進行完整性驗證」原則所定義，則會忽略「使用增強的開機設定資料驗證設定檔」原則。 控制開機偵錯 (0x16000010) 的設定一律會經過驗證，如果包含在提供的欄位中，則不會有任何作用。
加密原則強制執行設定	建議的設定： 已啟用 使用此原則設定來設定使用者可以延遲遵守其作業系統磁片磁碟機之 MBAM 原則的天數。 第一次偵測到作業系統不符合規範時，即會開始寬限期。 在此寬限期到期之後，使用者無法延後必要的動作或要求豁免。 如果加密程式需要使用者輸入，則會出現對話方塊，讓使用者在提供必要資訊之前無法關閉。 如果您停用或未設定此設定，則不會強制使用者遵守 MBAM 原則。 如果不需要使用者互動即可新增保護裝置，則加密會在寬限期到期後於背景開始。
設定開機前復原訊息和 URL	建議的設定： 未設定 啟用此原則設定以設定自訂修復訊息，或指定 URL，然後在 OS 磁片磁碟機鎖定時顯示在開機前的 BitLocker 修復畫面上。 此設定僅適用于執行Windows 11和Windows 10的用戶端電腦。 啟用此原則時，您可以針對開機前復原訊息選取下列其中一個選項： 使用自訂修復訊息：選取此選項可在開機前 BitLocker 復原畫面中包含自訂訊息。 在 [ 自訂修復訊息] 選項 框中，輸入您想要顯示的訊息。 如果您也想要指定復原 URL，請將它納入為自訂復原訊息的一部分。 使用自訂復原 URL：選取此選項以取代開機前 BitLocker 復原畫面中顯示的預設 URL。 在 [ 自訂復原 URL] 選項 框中，輸入您想要顯示的 URL。 使用預設修復訊息和 URL：選取此選項可在開機前 BitLocker 復原畫面中顯示預設的 BitLocker 修復訊息和 URL。 如果您先前已設定自訂修復訊息或 URL，而且想要還原為預設訊息，則必須啟用此原則，然後選取 [ 使用預設復原訊息和 URL] 選項。 注意 開機前不支援所有字元和語言。 建議您測試用於自訂訊息或 URL 的字元是否正確出現在開機前 BitLocker 復原畫面上。

卸載式磁片磁碟機群組原則定義

本節說明下列 GPO 節點Microsoft BitLocker 管理與監視的卸載式磁片磁碟機群組原則定義：電腦> 設定原則> 管理模> 板Windows 元件>MDOP MBAM (BitLocker 管理) >卸載式磁片磁碟機。

原則名稱	概觀和建議的群組原則設定
控制卸載式磁片磁碟機上的 BitLocker 使用	建議的設定： 已啟用 此原則可控制在抽取式資料磁片磁碟機上使用 BitLocker。 按一下 [允許使用者在抽取式資料磁片磁碟機上套用 BitLocker 保護 ]，以允許使用者在卸載式資料磁片磁碟機上執行 BitLocker 安裝精靈。 按一下 [ 允許使用者在卸載式資料磁片磁碟機上暫停及解密 BitLocker ]，讓使用者能夠從磁片磁碟機移除 BitLocker 磁片磁碟機加密，或在執行維護時暫停加密。 當啟用此原則，而且您按一下 [ 允許使用者在抽取式資料磁片磁碟機上套用 BitLocker 保護] 時，MBAM 用戶端會將卸載式磁片磁碟機的復原資訊儲存至 MBAM 金鑰修復伺服器，並允許使用者在遺失密碼時復原磁片磁碟機。
拒絕寫入存取不受 BitLocker 保護的抽取式磁碟機	建議的設定： 未設定 啟用此原則，只允許對受 BitLocker 保護的磁片磁碟機進行寫入權限。 啟用此原則時，電腦上的所有抽取式資料磁片磁碟機都需要加密，才能允許寫入權限。
允許從舊版 Windows 存取受 BitLocker 保護的卸載式磁片磁碟機	建議的設定： 未設定 啟用此原則可讓具有 FAT 檔案系統的固定磁片磁碟機在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上解除鎖定和檢視。 未設定此原則時，使用 FAT 檔案系統格式化的卸載式磁片磁碟機可以在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或具有 SP2 的 Windows XP 的電腦上解除鎖定，並可檢視其內容。 這些作業系統具有受 BitLocker 保護之磁片磁碟機的唯讀許可權。 停用原則時，無法解除鎖定以 FAT 檔案系統格式化的卸載式磁片磁碟機，而且無法在執行 Windows Server 2008、Windows Vista、Windows XP SP3 或 Windows XP SP2 的電腦上檢視其內容。
設定抽取式資料磁片磁碟機的密碼使用	建議的設定： 未設定 啟用此原則以在抽取式資料磁片磁碟機上設定密碼保護。 未設定此原則時，預設設定會支援密碼，其中不包含密碼複雜性需求，而且只需要八個字元。 若要提高安全性，您可以啟用此原則，然後選取 [ 需要卸載式資料磁片磁碟機的密碼]，按一下 [ 需要密碼複雜度]，然後設定慣用 的最小密碼長度。
選擇如何復原受 BitLocker 保護的卸載式磁片磁碟機	建議的設定： 未設定 設定此原則以啟用 BitLocker 資料復原代理程式，或將 BitLocker 復原資訊儲存Active Directory 網域服務 (AD DS) 。 當設定為 [未設定]時，會允許資料復原代理程式，且復原資訊不會備份至 AD DS。 MBAM 作業不需要將復原資訊備份至 AD DS。

相關文章

MBAM 2.5 的環境準備

MBAM 2.5 部署必要條件

有 MBAM 的建議嗎？

針對 MBAM 問題，請使用 MBAM TechNet 論壇。