BitLocker CSP

警告

預先發行的產品在正式發行前可能會大幅度修改,本文提供有關該產品的一些資訊。 Microsoft 對此處提供的資訊,不做任何明確或隱含的瑕疵擔保。

BitLocker 設定服務提供者 (CSP) 是由企業用來管理電腦和裝置的加密。 此 CSP 是在 Windows 10 版本1703中新增的。 從 Windows 10 版本1809開始, Windows 10 專業版也支援它。

注意

只有在開始加密時, 才會強制執行設定。 在設定變更時不會重新開機加密。
您必須將所有設定全部傳送到單一 SyncML, 才能生效。

除了 RequireDeviceEncryption 和 RequireStorageCardEncryption 之外, 任何設定的 [取得] 作業, 都會傳回管理員所設定的設定。

針對 RequireDeviceEncryption 和 RequireStorageCardEncryption, 取得作業會將強制執行的實際狀態傳回給管理員, 例如, 如果需要 TPM 保護, 且需要加密。 如果裝置已啟用 BitLocker 但有密碼保護器, 則報告的狀態為0。 RequireDeviceEncryption 上的 [取得] 操作不會確認已強制執行最小 PIN 長度 (SystemDrivesMinimumPINLength)。

下列圖表以樹狀格式顯示 BitLocker 配置服務提供者。

bitlocker csp

./Device/Vendor/MSFT/BitLocker

定義 BitLocker 配置服務提供者的根節點。

RequireStorageCardEncryption

允許系統管理員在裝置上要求儲存卡加密。 此原則只對行動 SKU 有效。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark cross mark cross mark cross mark cross mark check mark check mark

資料類型為整數。 此節點的範例值, 以啟用此原則: 1。 停用此原則將不會關閉儲存空間卡上的加密功能, 但系統不會再提示使用者將它開啟。

  • 0 (預設值) –儲存卡片不需要加密。
  • 1–需要加密儲存空間卡。

停用此原則將不會關閉系統卡上的加密功能, 但系統不會再提示使用者將它開啟。

如果您想要停用此原則, 請使用下列 SyncML:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
                </Item>
        </Replace>
    </SyncBody>
</SyncML>

資料類型為整數。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

RequireDeviceEncryption

允許系統管理員使用 BitLocker\Device 加密來開啟加密。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark check mark check mark

資料類型為整數。 此節點的範例值, 以啟用此原則: 1。 停用此原則將不會關閉系統卡上的加密功能, 但系統不會再提示使用者將它開啟。

如果您想要停用此原則, 請使用下列 SyncML:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>        

資料類型為整數。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

EncryptionMethodByDriveType

可讓您針對每種不同的磁片磁碟機類型設定預設的 encrytion 方法: 操作系統磁碟機、固定資料磁碟機, 以及可移動資料硬碟。 [隱藏]、[系統] 和 [恢復] 分區會從加密中略過。 這個設定是 Bitlocker 群組原則"的直接對應, 選擇磁片磁碟機加密方法與密碼強度 (Windows 10 [版本 1511] 及更新版本")。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 選擇磁片磁碟機加密方法與密碼長度 (Windows 10 (版本 1511) 及更新版本)
  • GP 名稱: EncryptionMethodWithXts_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您設定 BitLocker 磁碟機加密所使用的演算法與密碼強度。 當您開啟 BitLocker 時, 就會套用此設定。 如果已加密磁片磁碟機, 或正在進行加密, 變更加密方法沒有作用。

如果您啟用這項設定, 您將可以個別設定固定資料磁碟機、作業系統磁片磁碟機及可移動資料磁碟機的加密演算法和金鑰密碼強度。 對於固定與操作系統磁碟機, 建議您使用 XTS-AES 演算法。 如果您使用的是抽取式磁碟磁碟機, 如果您的裝置將用於未執行 Windows 10 版本1511的其他裝置, 您就應該使用 AES-CBC 128 位或 AES-CBC 256 位。

如果您停用或不設定此原則設定, BitLocker 將會使用 XTS 的預設加密方法: AES 128 位或任何設定腳本指定的加密方法。

此節點的範例值若要啟用此原則並設定加密方法, 請執行下列動作:

 <enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

EncryptionMethodWithXtsOsDropDown_Name = 選取作業系統磁片磁碟機的加密方法

EncryptionMethodWithXtsFdvDropDown_Name = 針對固定資料磁碟機選取加密方法。

EncryptionMethodWithXtsRdvDropDown_Name = 選取 [可移動資料磁碟機] 的加密方法。

'xx' 的可能值為:

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

注意

當您啟用 EncryptionMethodByDriveType 時, 您必須為三個磁片磁碟機 (作業系統、固定資料和可移除資料) 指定值, 否則會失敗 (500 傳回狀態)。 例如, 如果您只為 OS 和抽取式磁碟磁碟機設定 encrytion 方法, 就會收到500傳回狀態。

如果您想要停用此原則, 請使用下列 SyncML:

                          <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

SystemDrivesRequireStartupAuthentication

此設定是 Bitlocker 群組原則"的直接對應, 在啟動"時需要額外的驗證。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 啟動時需要額外驗證
  • GP 名稱: ConfigureAdvancedStartup_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/作業系統磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您設定在每次電腦啟動時, BitLocker 是否需要進行額外驗證, 以及您使用的是不是受信任的平臺模組 (TPM) 的 BitLocker。 當您開啟 BitLocker 時, 就會套用此設定。

注意

啟動時只能有一個額外的驗證選項, 否則就會發生錯誤。

如果您想要在沒有 TPM 的電腦上使用 BitLocker, 請設定"ConfigureNonTPMStartupKeyUsage_Name"資料。 在此模式中, 啟動需要密碼或 USB 磁片磁碟機。 使用啟動金鑰時, 用來加密磁片磁碟機的金鑰資訊會儲存在 USB 磁片磁碟機上, 並建立 USB 金鑰。 插入 USB 金鑰之後, 就會驗證對磁碟機的存取權, 而且可存取硬碟。 如果 USB 金鑰遺失或無法使用, 或者您忘記了密碼, 您必須使用其中一個 BitLocker 復原選項來存取磁片磁碟機。

在有相容的 TPM 的電腦上, 啟動時可以使用四種類型的驗證方法, 為加密資料提供額外的保護。 當電腦啟動時, 它只能使用 TPM 進行驗證, 也可能需要插入包含啟動金鑰的 USB 快閃記憶體磁片磁碟機、6位數到20位數的個人識別碼 (PIN), 或兩者皆需。

注意

在 Windows 10 版本1703版本 B 中, 您可以使用最小4位數的 PIN。 SystemDrivesMinimumPINLength 原則必須設定為允許 Pin 少於6位數。

如果您啟用此原則設定, 使用者可以在 BitLocker 安裝程式嚮導中設定 [高級啟動] 選項。

如果您停用或不設定此設定, 使用者就只能使用 TPM 設定電腦上的基本選項。

注意

如果您想要使用啟動 PIN 和 USB 快閃記憶體磁片磁碟機, 您必須使用命令列工具 manage-bde (而不是 BitLocker 磁片磁碟機加密設定向導) 來設定 BitLocker 設定。

若要啟用此原則, 此節點的範例值為:

<enabled/><data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/><data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/><data id="ConfigurePINUsageDropDown_Name" value="yy"/><data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/><data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

資料識別碼:

  • ConfigureNonTPMStartupKeyUsage_Name = 允許沒有相容的 TPM 的 BitLocker (在 USB 快閃記憶體磁片磁碟機上需要密碼或啟動金鑰)。
  • ConfigureTPMStartupKeyUsageDropDown_Name = (適用于使用 TPM 的電腦) 設定 TPM 啟動金鑰。
  • ConfigurePINUsageDropDown_Name = (適用于使用 TPM 的電腦) 設定 TPM 啟動 PIN 碼。
  • ConfigureTPMPINKeyUsageDropDown_Name = (適用于使用 TPM 的電腦) 設定 TPM 啟動金鑰和 PIN。
  • ConfigureTPMUsageDropDown_Name = (適用于使用 TPM 的電腦) 設定 TPM 啟動。

'xx' 的可能值為:

  • true = 明確允許
  • false = 原則未設定

'yy 的可能值' 如下:

  • 2 = 選用
  • 1 = 必要
  • 0 = 不允許

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

SystemDrivesMinimumPINLength

此設定是 Bitlocker 群組原則"的直接對應, 可設定啟動"的最小 PIN 長度。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱:設定啟動的最小 PIN 長度
  • GP 名稱: MinimumPINLength_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/作業系統磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您設定受信任的平臺模組 (TPM) 啟動 PIN 的最小長度。 當您開啟 BitLocker 時, 就會套用此設定。 啟動 PIN 必須具有最小長度6位數, 且最大長度為20位數。

注意

在 Windows 10 版本1703版本 B 中, 您可以使用最小 PIN 長度 (4 位數)。

在 TPM 2.0 中, 如果將 [最小 PIN 長度] 設定為6位數以下, Windows 將會在 PIN 變更時, 嘗試將 TPM 封鎖期間更新為大於預設值。 如果成功, Windows 只會在復原 TPM 時將 TPM 封鎖期間重設回預設值。 這不適用於 TPM 1.2。

如果您啟用這項設定, 您可以要求設定啟動 PIN 時要使用的位數最少數。

如果您停用或不設定此設定, 使用者可以設定6到20位數之間任何長度的啟動 PIN。

若要啟用此原則, 此節點的範例值為:

<enabled/><data id="MinPINLength" value="xx"/>

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

SystemDrivesRecoveryMessage

此設定是 Bitlocker 群組原則"的直接對應, 可設定預先啟動的復原訊息和 URL" (PrebootRecoveryInfo_Name)。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 設定預先啟動的恢復訊息和 URL
  • GP 名稱: PrebootRecoveryInfo_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/作業系統磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您設定整個復原訊息, 或取代操作系統磁碟機已鎖定時, 在預啟動金鑰恢復畫面上顯示的現有 URL。

如果您將此值設定"為" 1 (使用預設的復原訊息和 url), 預設的 BITLOCKER 復原訊息和 url 就會顯示在預啟動金鑰復原畫面中。 如果您先前已設定自訂的復原訊息或 URL, 且想要還原為預設訊息, 您必須讓原則保持啟用, 並將"值" 1 設定為 1 (使用預設的復原訊息和 URL)。

如果您將值設為"2" (使用自訂復原訊息), 您在 [ "RecoveryMessage_Input"資料] 欄位中設定的訊息將會顯示在 [預啟動金鑰復原] 畫面中。 如果有可用的復原 URL, 請將其包含在郵件中。

如果您將此值設定"為" 3 (使用自訂的復原 URL), 您在 [ "RecoveryUrl_Input"資料] 欄位中輸入的 url 將會取代預設的復原訊息中的預設 URL, 這會顯示在 [預啟動金鑰復原] 畫面中。

若要啟用此原則, 此節點的範例值為:

<enabled/><data id="PrebootRecoveryInfoDropDown_Name" value="xx"/><data id="RecoveryMessage_Input" value="yy"/><data id="RecoveryUrl_Input" value="zz"/>

'xx' 的可能值為:

  • 0 = 空白
  • 1 = 使用預設的復原訊息和 URL (在這種情況下, 您不需要為 "RecoveryMessage_Input" 或 "RecoveryUrl_Input" 指定值)。
  • 2 = 已設定自訂復原訊息。
  • 3 = 已設定自訂復原 URL。
  • "yy" = 最大長度900的字串。
  • "zz" = 最大長度500的字串。

注意

當您啟用 SystemDrivesRecoveryMessage 時, 您必須指定所有三個設定的值 (預啟動恢復畫面、復原訊息及復原 URL), 否則會失敗 (500 傳回狀態)。 例如, 如果您只指定郵件和 URL 的值, 您會收到500傳回狀態。

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                        <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

注意

在預引導中不支援所有的字元和語言。 強烈建議您測試您在 [預啟動] 恢復畫面上正確顯示自訂訊息或 URL 所使用的字元。

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

SystemDrivesRecoveryOptions

這個設定是 Bitlocker 群組原則"的直接對應, 可選擇受 bitlocker 保護的操作系統磁碟機如何復原" (OSRecoveryUsage_Name)。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 選擇可如何復原受 BitLocker 保護的操作系統磁碟機
  • GP 名稱: OSRecoveryUsage_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/作業系統磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您控制在缺少所需的啟動金鑰資訊時, 受 BitLocker 保護的操作系統磁碟機復原的方式。 當您開啟 BitLocker 時, 就會套用此設定。

"OSAllowDRA_Name" (允許使用憑證的資料復原代理程式) 資料欄位是用來指定資料復原代理程式是否可與受 BitLocker 保護的作業系統磁片磁碟機搭配使用。 在您可以使用資料復原代理程式之前, 必須先從群組原則管理主控台或本機組策略編輯器中的公開金鑰原則專案新增。 如需新增資料修復代理程式的詳細資訊, 請參閱 Microsoft TechNet 上的 BitLocker 磁片磁碟機加密部署指南。

在"OSRecoveryPasswordUsageDropDown_Name"和"OSRecoveryKeyUsageDropDown_Name" (設定 BitLocker 復原資訊的使用者儲存) 中, 設定是否允許或不允許使用者產生 48-數位復原密碼或256位的復原金鑰。

設定"OSHideRecoveryPage_Name" (從 BitLocker 設定向導省略復原選項), 避免使用者在開啟磁片磁碟機上的 BitLocker 時, 指定損毀修復選項。 這表示當您開啟 BitLocker 時, 您將無法指定要使用的復原選項, 而是由原則設定決定該磁碟機的 BitLocker 復原選項。

設定"OSActiveDirectoryBackup_Name" (將 BitLocker 復原資訊儲存至 Active Directory 網域服務), 以選擇要儲存在 AD DS 中的作業系統磁片磁碟機的 BitLocker 復原資訊 (OSActiveDirectoryBackupDropDown_Name). 如果您設定"1" (備份復原密碼及金鑰套件), 則會將 BitLocker 恢復密碼和金鑰套件儲存在 AD DS 中。 儲存金鑰套件支援從物理上損毀的磁片磁碟機復原資料。 如果您設定"2" (僅限備份復原密碼), 只會將恢復密碼儲存在 AD DS 中。

設定"OSRequireActiveDirectoryBackup_Name" (除非電腦已連線, 否則請不要啟用 bitlocker, 直到恢復資訊儲存在 AD DS 中的作業系統磁片磁碟機) 資料欄位中。如果您想要防止使用者啟用 bitlocker (除非電腦已連接)網域, 並將 BitLocker 復原資訊備份到 AD DS。

> [!Note]
>如果"OSRequireActiveDirectoryBackup_Name" (不啟用 BitLocker, 直到將復原資訊儲存在適用于操作系統磁碟機的 AD DS 中) 資料欄位已設定之後, 系統會自動產生復原密碼。

如果您啟用此設定, 您可以控制使用者可從 BitLocker 保護的操作系統磁碟機復原資料的方法。

如果此設定為 [已停用] 或 [未設定], 則支援 BitLocker 恢復的預設復原選項。 根據預設, 可使用 DRA, 使用者可以指定復原選項, 包括復原密碼和復原金鑰, 以及不會將復原資訊備份到 AD DS。

若要啟用此原則, 此節點的範例值為:

<enabled/><data id="OSAllowDRA_Name" value="xx"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/><data id="OSHideRecoveryPage_Name" value="xx"/><data id="OSActiveDirectoryBackup_Name" value="xx"/><data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/><data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 原則未設定

'yy 的可能值' 如下:

  • 2 = 允許
  • 1 = 必要
  • 0 = 不允許

'zz' 的可能值為:

  • 2 = 只儲存恢復密碼
  • 1 = 儲存恢復密碼及金鑰套件

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

FixedDrivesRecoveryOptions

這個設定是 Bitlocker 群組原則"的直接對應, 可選擇受 bitlocker 保護的固定磁片磁碟機如何復原" ()。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 選擇受 BitLocker 保護的固定磁片磁碟機的復原方式
  • GP 名稱: FDVRecoveryUsage_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/固定磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定可讓您控制受 BitLocker 保護的固定資料磁碟機在缺少所需認證時的復原方式。 當您開啟 BitLocker 時, 就會套用此設定。

"FDVAllowDRA_Name" (允許資料復原代理程式) 資料欄位是用來指定資料復原代理程式是否可與受 BitLocker 保護的固定資料磁碟機搭配使用。 在您可以使用資料復原代理程式之前, 必須先從群組原則管理主控台或本機組策略編輯器中的公開金鑰原則專案新增。 如需新增資料修復代理程式的詳細資訊, 請參閱 Microsoft TechNet 上的 BitLocker 磁片磁碟機加密部署指南。

在"FDVRecoveryPasswordUsageDropDown_Name" (設定 BitLocker 復原資訊的使用者儲存) 中, 設定是否允許或不允許使用者產生48位數的恢復密碼或256位的復原金鑰。

設定"FDVHideRecoveryPage_Name" (從 BitLocker 設定向導省略復原選項), 避免使用者在開啟磁片磁碟機上的 BitLocker 時, 指定損毀修復選項。 這表示當您開啟 BitLocker 時, 您將無法指定要使用的復原選項, 而是由原則設定決定該磁碟機的 BitLocker 復原選項。

設定"FDVActiveDirectoryBackup_Name" (將 BitLocker 復原資訊儲存至 Active Directory 網域服務), 以啟用將復原金鑰儲存到 AD。

設定"FDVRequireActiveDirectoryBackup_Name" (在針對固定資料磁碟機的 AD DS 中儲存復原資訊前, 不要啟用 bitlocker) 資料欄位如果您想要防止使用者啟用 bitlocker, 除非電腦已連線至網域和將 BitLocker 復原資訊備份到 AD DS 的作業就會成功。

將"FDVActiveDirectoryBackupDropDown_Name" (將 BitLocker 復原資訊的儲存空間設定為 ad ds), 選擇要儲存在 ad DS 中以進行固定資料磁碟機的 BitLocker 復原資訊。 如果您選取"1" (備份恢復密碼及金鑰套件), 則會將 BitLocker 復原密碼和金鑰套件儲存在 AD DS 中。 儲存金鑰套件支援從物理上損毀的磁片磁碟機復原資料。 如果您選取"2" (僅限備份復原密碼), 只會將恢復密碼儲存在 AD DS 中。

> [!Note]
>如果"FDVRequireActiveDirectoryBackup_Name" (在針對固定資料磁碟機將 [恢復資訊] 儲存在 AD DS 中之前, 不啟用 BitLocker), 系統會自動產生恢復密碼。

如果您啟用這項設定, 您可以控制使用者可用來從受 BitLocker 保護的固定資料磁碟機復原資料的方法。

如果未設定或停用此設定, 則支援 BitLocker 恢復的預設復原選項。 根據預設, 可使用 DRA, 使用者可以指定復原選項, 包括復原密碼和復原金鑰, 以及不會將復原資訊備份到 AD DS。

若要啟用此原則, 此節點的範例值為:

<enabled/><data id="FDVAllowDRA_Name" value="xx"/><data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/><data id="FDVHideRecoveryPage_Name" value="xx"/><data id="FDVActiveDirectoryBackup_Name" value="xx"/><data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/><data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 原則未設定

'yy 的可能值' 如下:

  • 2 = 允許
  • 1 = 必要
  • 0 = 不允許

'zz' 的可能值為:

  • 2 = 只儲存恢復密碼
  • 1 = 儲存恢復密碼及金鑰套件

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

FixedDrivesRequireEncryption

此設定是 Bitlocker 群組原則"的直接對應, 可拒絕不受 Bitlocker" (FDVDenyWriteAccess_Name) 保護的固定磁片磁碟機寫入存取。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 拒絕在未受 BitLocker 保護的固定磁片磁碟機上寫入存取權
  • GP 名稱: FDVDenyWriteAccess_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/固定磁片磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定會判斷固定資料磁碟機是否需要 BitLocker 保護, 才能在電腦上寫入。

如果您啟用這項設定, 所有未受 BitLocker 保護的固定資料磁碟機都會以唯讀方式裝載。 如果磁碟機受 BitLocker 保護, 系統會使用讀取和寫入存取權掛載它。

若要啟用此原則, 此節點的範例值為:

<enabled/>

如果您停用或不設定此設定, 電腦上所有固定的資料磁碟機都會以讀取和寫入存取權掛載。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

資料類型為 [字串]。 支援的操作為 [新增]、[取得]、[取代] 和 [刪除]。

RemovableDrivesRequireEncryption

此設定是 Bitlocker 群組原則"的直接對應, 可拒絕不受 Bitlocker" (RDVDenyWriteAccess_Name) 保護的抽取式磁碟磁碟機寫入存取。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

ADMX 資訊:

  • GP 英文名稱: 拒絕不受 BitLocker 保護的抽取式磁碟磁碟機寫入存取權
  • GP 名稱: RDVDenyWriteAccess_Name
  • GP 路徑: Windows 元件/Bitlocker 磁片磁碟機加密/抽取式磁碟磁碟機
  • GP ADMX 檔案名: VolumeEncryption admx

提示

如需啟用 ADMX 支援的原則的逐步指南, 請參閱在 MDM 中啟用 admx 支援的原則。 如需其他資訊, 請參閱瞭解 ADMX 支援的原則

此設定會設定電腦能否將資料寫入可移除的資料磁片磁碟機所需的 BitLocker 保護。

如果您啟用此設定, 所有未受 BitLocker 保護的可移動資料磁碟機都會以唯讀方式裝載。 如果磁碟機受 BitLocker 保護, 系統會使用讀取和寫入存取權掛載它。

如果設定"了" [RDVCrossOrg (拒絕寫入其他組織中設定的裝置)] 選項, 則只有具備符合電腦's 身分識別欄位之識別欄位的磁碟機才會被提供寫入存取權。 存取可移除的資料磁碟機時, 系統會檢查是否有有效的身分識別欄位與允許的身分識別欄位。 這些欄位是由"提供組織"群組原則設定的唯一識別碼所定義。

如果您停用或不設定此原則設定, 電腦上所有的可移動資料磁碟機都會以讀取和寫入存取權掛載。

> [!Note]
>此原則設定可由 [使用者配置 \ 管理 Templates\System\Removable 儲存空間存取] 下的群組原則設定所取代。 如果已"啟用 [抽取式磁碟: 拒絕"寫入存取權組原則設定], 此原則設定將會被忽略。

若要啟用此原則, 此節點的範例值為:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

'xx' 的可能值為:

  • true = 明確允許
  • false = 原則未設定

停用原則可讓系統選擇預設行為。 如果您想要停用此原則, 請使用下列 SyncML:

                         <Replace>
                         <CmdID>$CmdID$</CmdID>
                           <Item>
                             <Target>
                                 <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
                             </Target>
                             <Meta>
                                 <Format xmlns="syncml:metinf">chr</Format>
                             </Meta>
                             <Data>&lt;disabled/&gt;</Data>
                           </Item>
                         </Replace>

AllowWarningForOtherDiskEncryption

當 RequireDeviceEncryption 原則也設定為1時, 允許系統管理員針對目標使用者電腦上的其他磁片加密停用警告提示。

重要

從 Windows 10 版本1803開始, 只能針對 Azure Active Directory 加入的裝置設定值0。 當 RequireDeviceEncryption 設定為1且 AllowWarningForOtherDiskEncryption 設定為0時, Windows 會嘗試以無提示方式啟用BitLocker

警告

當您在有協力廠商加密的裝置上啟用 BitLocker 時, 可能會導致裝置無法使用, 而且需要您重新安裝 Windows。

家用版 專業版 商業 企業版 教育版 行動裝置版 行動裝置企業版
cross mark check mark check mark check mark check mark cross mark cross mark

下列清單顯示支援的值:

  • 0–停用警告提示。 從 Windows 10 版本1803開始, 只能針對 Azure Active Directory 加入的裝置設定值0。 Windows 將會嘗試以無訊息的方式啟用值為0的 BitLocker。
  • 1 (預設值)-允許警告提示。
<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        </Meta>
        <Data>0</Data>
    </Item>
</Replace>

注意

當您停用警告提示時, OS 磁碟機的復原金鑰會備份到使用者的 Azure Active Directory 帳戶。 當您允許出現警告提示時, 收到提示的使用者可以選取要備份 OS 磁碟機的復原金鑰的位置。

已依下列順序選取固定資料磁碟機的備份端點:

  1. 使用者的 Windows Server Active Directory 網域服務帳戶。
  2. 使用者的 Azure Active Directory 帳戶。
  3. 使用者個人 OneDrive (僅限 MDM/MAM)。

加密將會等到這三個位置中的其中一個成功備份為止。

AllowStandardUserEncryption
可讓系統管理員強制執行「RequireDeviceEncryption」原則, 以取得在目前登入的使用者不是系統管理員/標準使用者 Azure AD 帳戶時, 推入原則的情況。

注意

只有 Azure AD 帳戶才支援此原則。

"AllowStandardUserEncryption" 原則受限於 "AllowWarningForOtherDiskEncryption" 原則設定為 "0", 亦即強制執行無聲式加密。

如果未設定 "AllowWarningForOtherDiskEncryption", 或設定為 "1", 則如果標準使用者是系統中目前登入的使用者, "RequireDeviceEncryption" 原則就不會嘗試加密磁片磁碟機。

此原則的預期值為:

  • 1 = "RequireDeviceEncryption" 原則會嘗試在所有固定磁片磁碟機上啟用加密, 即使目前登入的使用者是標準使用者也一樣。
  • 0 = 此為未設定原則時的預設值。 如果目前已登入的使用者是標準使用者, 則「RequireDeviceEncryption」原則將不會嘗試在任何磁片磁碟機上啟用加密。

如果您想要停用此原則, 請使用下列 SyncML:

 <Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

SyncML 範例

下列範例是用來顯示正確的格式, 不應做為建議。

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->    
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsOsDropDown_Name&quot; value=&quot;4&quot;/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsFdvDropDown_Name&quot; value=&quot;7&quot;/&gt;
            &lt;data id=&quot;EncryptionMethodWithXtsRdvDropDown_Name&quot; value=&quot;4&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;ConfigureNonTPMStartupKeyUsage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMStartupKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigurePINUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMPINKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;ConfigureTPMUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;MinPINLength&quot; value=&quot;6&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;RecoveryMessage_Input&quot; value=&quot;blablablabla&quot;/&gt;
            &lt;data id=&quot;PrebootRecoveryInfoDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;RecoveryUrl_Input&quot; value=&quot;blablabla&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;OSAllowDRA_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSRecoveryPasswordUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSRecoveryKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSHideRecoveryPage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;OSActiveDirectoryBackupDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;OSRequireActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;FDVAllowDRA_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVRecoveryPasswordUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVRecoveryKeyUsageDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVHideRecoveryPage_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
            &lt;data id=&quot;FDVActiveDirectoryBackupDropDown_Name&quot; value=&quot;2&quot;/&gt;
            &lt;data id=&quot;FDVRequireActiveDirectoryBackup_Name&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            &lt;enabled/&gt;
            &lt;data id=&quot;RDVCrossOrg&quot; value=&quot;true&quot;/&gt;
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>