Šifrování zařízení s Windows pomocí nástroje BitLocker pomocí nástroje Intune

Pomocí Microsoft Intune můžete nakonfigurovat šifrování nástrojem BitLocker na zařízeních se systémem Windows a šifrování osobních dat (PDE) na zařízeních se systémem Windows 11 verze 22H2 nebo novější. Tento článek se zabývá standardním šifrováním nástrojem BitLocker i bezobslužné šifrování nástrojem BitLocker.

Důležité

14. října 2025 Windows 10 dosáhla konce podpory a nebude dostávat aktualizace pro kvalitu a funkce. Windows 10 je v Intune povolená verze. Zařízení s touto verzí se stále můžou zaregistrovat do Intune a používat oprávněné funkce, ale funkce nebudou zaručené a můžou se lišit.

Tip

Některá nastavení bitlockeru vyžadují, aby zařízení měl podporovaný čip TPM.

Scénáře šifrování nástrojem BitLocker

Intune podporuje dva primární přístupy k šifrování nástrojem BitLocker:

• Standardní šifrování nástrojem BitLocker – Uživatelům se můžou zobrazit výzvy a můžou s procesem šifrování pracovat. Poskytuje flexibilitu pro výběr typu šifrování a správu obnovovacích klíčů zaměřených na uživatele.

• Bezobslužné šifrování nástrojem BitLocker – automatické šifrování bez zásahu uživatele nebo administrativních oprávnění vyžadovaných na zařízení. Ideální pro organizace, které chtějí zajistit šifrování všech spravovaných zařízení bez závislosti na akci koncového uživatele.

Tip

Intune poskytuje integrovanou sestavu šifrování, která obsahuje podrobnosti o stavu šifrování zařízení na všech spravovaných zařízeních. Po Intune zašifrování zařízení s Windows pomocí nástroje BitLocker můžete při zobrazení sestavy šifrování zobrazit a spravovat obnovovací klíče nástroje BitLocker.

Požadavky

Licencování a edice Windows

V případě edic Windows, které podporují správu nástrojem BitLocker, najdete v dokumentaci k Windows informace o edicích a licenčních požadavcích systému Windows .

Řízení přístupu na základě role

Pokud chcete spravovat Nástroj BitLocker v Intune, musí být účtu přiřazena Intune role řízení přístupu na základě role (RBAC), která zahrnuje oprávnění Ke vzdáleným úlohám s právem Otočit klíče bitlockeru (Preview) nastaveným na Ano.

Toto oprávnění můžete přidat k vlastním rolím RBAC nebo použít některou z následujících předdefinovaných rolí RBAC:

• Operátor technické podpory
• Správce zabezpečení koncových bodů

Plánování obnovení

Než povolíte Nástroj BitLocker, seznamte se s možnostmi obnovení, které vyhovují potřebám vaší organizace, a naplánujte je. Další informace najdete v tématu Přehled obnovení nástroje BitLocker v dokumentaci k zabezpečení Windows.

Typy zásad pro šifrování nástrojem BitLocker

Ke konfiguraci šifrování nástrojem BitLocker vyberte z následujících typů zásad Intune:

Zásady zabezpečení koncového bodu (doporučeno)

Zabezpečení > koncových bodů Zásady šifrování disků poskytují cílenou konfiguraci nástroje BitLocker specifickou pro zabezpečení:

• Profil nástroje BitLocker – vyhrazená nastavení pro konfiguraci šifrování nástrojem BitLocker. Další informace najdete v tématu o zprostředkovateli CSP nástroje BitLocker.
• Profil šifrování osobních dat – Nakonfigurujte pde pro šifrování na úrovni souborů, které funguje společně s BitLockerem kvůli vrstvenému zabezpečení. Další informace najdete v tématu PDE CSP.

Zásady konfigurace zařízení

Konfigurace > zařízení Profil ochrany koncových bodů zahrnuje nastavení nástroje BitLocker jako součást širší konfigurace ochrany koncových bodů. Dostupná nastavení najdete v nástroji BitLocker v profilech ochrany koncových bodů.

Poznámka

Omezení katalogu nastavení: Katalog nastavení neobsahuje nezbytné ovládací prvky ověřování tpm při spuštění, které jsou potřeba pro spolehlivé tiché povolení BitLockeru. Používejte zásady zabezpečení koncových bodů nebo konfigurace zařízení pro scénáře BitLockeru.

Konfigurace standardního šifrování nástrojem BitLocker

Standardní šifrování nástrojem BitLocker umožňuje interakci uživatelů a poskytuje flexibilitu pro konfiguraci šifrování.

Vytvoření zásad zabezpečení koncového bodu

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Šifrovánídisků> zabezpečení >koncového boduVytvořit zásadu.

3. Nastavte následující možnosti:

   • Platforma: Windows
   • Profil: Zvolte Nástroj BitLocker nebo Šifrování osobních dat.

   

4. Na stránce Nastavení konfigurace nakonfigurujte nastavení nástroje BitLocker tak, aby vyhovovalo vašim obchodním potřebám:

   • Nakonfigurujte metody šifrování pro operační systém, pevné a vyměnitelné jednotky.
   • Nastavte možnosti obnovení (požadavky na heslo a klíč).
   • Podle potřeby nakonfigurujte ověřování při spuštění čipem TPM.

   Vyberte Další.

5. Na stránce Obor (značky) zvolte Vybrat značky oboru a otevřete podokno Vybrat značky a přiřaďte značky oboru k profilu.

   Pokračujte výběrem možnosti Další.

6. Na stránce Přiřazení vyberte skupiny, které obdrží tento profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Vyberte Další.

7. Až budete na stránce Zkontrolovat a vytvořit hotovi, zvolte Vytvořit. Nový profil se zobrazí v seznamu, když vyberete typ zásady pro profil, který jste vytvořili.

Vytvoření zásad konfigurace zařízení

Tip

Následující postup nakonfiguruje Nástroj BitLocker prostřednictvím šablony konfigurace zařízení pro službu Endpoint Protection. Pokud chcete nakonfigurovat šifrování osobních dat, použijte katalog nastavení konfigurace zařízení a kategorii PDE .

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení> Spravovatkonfiguraci>zařízení> Na kartě Zásady vyberte Vytvořit.

3. Nastavte následující možnosti:

   • Platforma: Windows 10 a novější
   • Typ profilu: Vyberte Šablony>Endpoint Protection a pak vyberte Vytvořit.

   

4. Na stránce Nastavení konfigurace rozbalte položku Windows Encryption a nakonfigurujte nastavení nástroje BitLocker tak, aby vyhovovalo vašim obchodním potřebám.

   

   Pokud chcete nástroj BitLocker povolit bezobslužně, přečtěte si téma Konfigurace tichého šifrování nástrojem BitLocker v tomto článku, kde najdete další požadavky a konkrétní konfigurace nastavení, které musíte použít.

5. Pokračujte výběrem možnosti Další.

6. Dokončete konfiguraci dalších nastavení podle potřeby vaší organizace.

7. Dokončete proces vytváření zásad tím, že je přiřadíte příslušným skupinám zařízení a profil uložíte.

Konfigurace tichého šifrování nástrojem BitLocker

Bezobslužné šifrování nástrojem BitLocker automaticky šifruje zařízení bez zásahu uživatele a poskytuje bezproblémové prostředí pro šifrování spravovaných prostředí.

Předpoklady pro tiché šifrování

Požadavky na zařízení

Zařízení musí splňovat následující podmínky pro povolení tichého bitlockeru:

• Operační systém:

  • Pokud se koncoví uživatelé přihlásí jako správci: Windows 10 verze 1803 nebo novější nebo Windows 11
  • Pokud se koncoví uživatelé přihlásí jako standardní uživatelé: Windows 10 verze 1809 nebo novější nebo Windows 11

• Konfigurace zařízení:

  • Microsoft Entra připojené nebo Microsoft Entra hybridně připojené
  • TPM (Trusted Platform Module) 1.2 nebo novější
  • Nativní režim UEFI BIOS
  • Zabezpečené spouštění povoleno
  • Prostředí Windows Recovery Environment (WinRE) nakonfigurované a dostupné

Poznámka

Pokud je bitLocker zapnutý bezobslužně, systém automaticky používá úplné šifrování disku na nemoderních pohotovostních zařízeních a na moderních pohotovostních zařízeních využívá pouze šifrování místa . Typ šifrování závisí na možnostech hardwaru a nedá se přizpůsobit pro scénáře tichého šifrování.

Další informace o moderním pohotovostním režimu najdete v tématu Co je moderní pohotovostní režim v dokumentaci k hardwaru Windows.

Důležité

Před nasazením bezobslužných zásad nástroje BitLocker proveďte důkladné posouzení vašeho prostředí:

• Identifikace existujícího šifrovacího softwaru – Pomocí inventáře zařízení nebo nástrojů pro zjišťování identifikujte zařízení s šifrováním třetích stran (McAfee, Symantec, Check Point atd.).
• Plánování strategie migrace – Vyvíjejte postupy pro bezpečné odebrání existujícího šifrování před nasazením nástroje BitLocker.
• Testování v pilotních skupinách – Před širokým nasazením ověřte tiché chování nástroje BitLocker na reprezentativních zařízeních.
• Příprava postupů vrácení zpět – Připravte plány obnovení a vrácení zpět v případě konfliktů šifrování.

Bezobslužné zásady BitLockeru obcházejí upozornění uživatelů na existující šifrování, takže posouzení před nasazením je důležité, aby nedošlo ke ztrátě dat.

Požadovaná nastavení pro tiché šifrování

V závislosti na zvoleném typu zásad nakonfigurujte následující nastavení:

Zásady zabezpečení koncového bodu pro tichý BitLocker

Pro zásady šifrování disků zabezpečení koncového bodu nakonfigurujte v profilu nástroje BitLocker tato nastavení:

• Vyžadovat šifrování = zařízeníZpřístupněný

• Povolit upozornění pro jiné šifrování = diskuInvalidní

  

Upozornění

Nastavení možnosti Povolit upozornění pro jiné šifrování disku na Zakázáno znamená, že BitLocker pokračuje v šifrování i v případě, že je zjištěn jiný software pro šifrování disků. To může vést k:

• Ztráta dat z konfliktních metod šifrování
• Nestabilita systému a selhání spouštění
• Složité scénáře obnovení s několika vrstvami šifrování

Před nasazením bezobslužných zásad nástroje BitLocker se ujistěte, že ve vašem prostředí není nainstalovaný šifrovací software jiného výrobce. Zvažte použití sestav inventáře zařízení k identifikaci zařízení s existujícím šifrovacím softwarem.

Důležité

Po nastavení Povolit upozornění pro jiné šifrování disku na Zakázáno bude k dispozici další nastavení:

• Povolit standardní šifrování = uživatelůZpřístupněný

Toto nastavení je povinné, pokud zařízení používají standardní uživatelé (uživatelé bez oprávnění správce). Umožňuje, aby zásady RequireDeviceEncryption fungovaly i v případě, že je aktuálně přihlášený uživatel standardním uživatelem.

Kromě požadovaných nastavení zvažte konfiguraci Konfigurace obměna hesel pro obnovení , abyste umožnili automatickou obměnu hesel pro obnovení.

Zásady konfigurace zařízení pro bezobslužný BitLocker

V části Zásady ochrany koncového bodu konfigurace zařízení nakonfigurujte v šabloně Endpoint Protection tato nastavení:

• Upozornění pro jiné šifrování = diskuBlokovat
• Povolit standardním uživatelům šifrování během Microsoft Entra připojení = Povolit
• Vytvoření obnovovacího klíče = uživatelemPovolit nebo Nepovolit 256bitový obnovovací klíč
• Vytvoření hesla = pro obnovení uživatelemPovolit nebo vyžadovat 48místné heslo pro obnovení

Upozornění

Nastavení Upozornění pro jiné šifrování disku na Blokovat potlačí upozornění o existujícím šifrovacím softwaru a umožní nástroji BitLocker pokračovat automaticky. Tím se vytvoří stejná rizika jako u zásad zabezpečení koncových bodů. Před nasazením ověřte, že vaše prostředí nemá šifrování třetích stran.

Ověřování při spuštění čipu TPM pro tiché šifrování

Aby nástroj BitLocker fungoval bezobslužně, zařízení nesmí vyžadovat spouštěcí PIN kód nebo spouštěcí klíč TPM, protože vyžadují interakci uživatele.

Konfigurace nastavení ČIPU TPM

Nakonfigurujte nastavení ověřování při spuštění čipu TPM, aby se zabránilo interakci uživatele:

Zásady zabezpečení koncového bodu – V profilu Nástroje BitLocker v části Jednotky operačního systému nejprve nastavte Vyžadovat další ověřování při spuštění na Povoleno. Po povolení budou k dispozici následující nastavení TPM:

• Konfigurace spouštěcího PIN kódu = TPMNepovolit spouštěcí PIN kód s čipem TPM
• Konfigurace spouštěcího klíče = TPMNepovolit spouštěcí klíč s čipem TPM
• Konfigurace spouštěcího klíče a PIN kódu = TPMNepovolit spouštěcí klíč a PIN kód s čipem TPM
• Konfigurace spuštění čipu = TPMPovolení čipu TPM nebo vyžadování čipu TPM

Zásady konfigurace zařízení – v šabloně ochrany koncového bodu v části Šifrování Windows:

• Kompatibilní spuštění čipu = TPMPovolení čipu TPM nebo vyžadování čipu TPM
• Kompatibilní spouštěcí PIN kód TPM = Nepovolit spouštěcí PIN kód s čipem TPM
• Kompatibilní spouštěcí klíč = TPMNepovolit spouštěcí klíč s čipem TPM
• Kompatibilní spouštěcí klíč a PIN kód = TPMNepovolit spouštěcí klíč a PIN kód s čipem TPM

Upozornění

Sledujte zásady, které umožňují použití spouštěcího PIN kódu nebo klíče TPM. Například standardní hodnoty zabezpečení pro Microsoft Defender můžou ve výchozím nastavení povolit spouštěcí PIN kód a klíč čipu TPM, což blokuje tiché povolení. Zkontrolujte konflikty ve standardních konfiguracích a podle potřeby překonfigurujte nebo vylučte zařízení.

Chování typu šifrování

Typ šifrování (plný disk vs. využité místo) je určen následujícími podrobnostmi:

1. Hardwarové možnosti – určuje, jestli zařízení podporuje moderní pohotovostní režim.
2. Konfigurace tichého šifrování – určuje, jestli je nakonfigurované bezobslužné povolení.
3. Nastavení SystemDrivesEncryptionType – pokud je explicitně nakonfigurované.

Výchozí chování

Pokud není nakonfigurovaný SystemDrivesEncryptionType:

• Moderní pohotovostní zařízení s tichým šifrováním = Šifrování pouze využitým místem
• Nemodeční pohotovostní zařízení s tichým šifrováním = šifrování celého disku.
• Standardní (bezobslužné) šifrování = Uživatel může zvolit nebo definovat zásady.

Ověření možností zařízení

Pokud chcete zkontrolovat, jestli zařízení podporuje moderní pohotovostní režim, spusťte příkaz z příkazového řádku:

powercfg /a

Moderní úsporný režim: Ukazuje, že je k dispozici úsporný režim (S0 Low Power Nečinný) Síť připojená . Nepodporuje moderní úsporný režim: Ukazuje , že úsporný režim (S0 Low Power Nečinný) Není podporováno připojení k síti .

Ověření typu šifrování

Pokud chcete zkontrolovat aktuální typ šifrování, spusťte příkaz z příkazového řádku se zvýšenými oprávněními:

manage-bde -status c:

Pole Stav převodu zobrazuje buď šifrované využité místo , nebo plně šifrované.

Informace o zařízeních, která přijímají zásady nástroje BitLocker, najdete v tématu Monitorování šifrování disku.

Řízení typu šifrování pomocí katalogu nastavení

Pokud chcete změnit typ šifrování disku mezi šifrováním celého disku a šifrováním pouze využitého místa, použijte nastavení Vynutit typ šifrování jednotky na jednotkách operačního systému v Katalogu nastavení:

1. Vytvoření zásad katalogu nastavení
2. Přejděte do části Součásti> systému Windows, součásti nástroje BitLocker Drive Encryption>– jednotky operačního systému.
3. Vyberte a nastavte Vynutit typ šifrování jednotek na jednotkách operačního systému na Povoleno a přidejte Vyberte typ šifrování: (Zařízení). Pak nakonfigurujte možnost Vyberte typ šifrování: (Zařízení) na úplné šifrování nebo šifrování pouze využitého místa.

Šifrování osobních dat (PDE)

Šifrování osobních dat (PDE) poskytuje šifrování na úrovni souborů, které doplňuje Nástroj BitLocker:

Šifrování osobních dat se od nástroje BitLocker liší tím, že místo celých svazků a disků šifruje soubory. PDE se vyskytuje kromě jiných metod šifrování, jako je BitLocker. Na rozdíl od BitLockeru, který vydává šifrovací klíče dat při spuštění, pde neuvolní šifrovací klíče dat, dokud se uživatel nepřihlásí pomocí Windows Hello pro firmy.

• PDE šifruje soubory místo celých svazků a disků.
• Funguje společně s BitLockerem pro vícevrstvé zabezpečení – PDE není náhradou za BitLocker.
• K uvolnění šifrovacích klíčů vyžaduje přihlášení Windows Hello pro firmy.
• K dispozici Windows 11 22H2 nebo novější.

Další informace najdete v tématu PDE CSP.

Pokud chcete nakonfigurovat PDE, použijte jednu z těchto:

• Zásady zabezpečení koncového bodu s profilem Šifrování osobních dat .
• Katalog nastavení s kategorií PDE .

Monitorování a správa nástroje BitLocker

Zobrazení stavu šifrování

1. V Centru pro správu Microsoft Intune vyberteSestava šifrovánímonitorování>zařízení>.

2. Zkontrolujte stav šifrování zařízení, která přijala zásady nástroje BitLocker.

3. Přístup k obnovovacím klíčům nástroje BitLocker a informacím o dodržování předpisů zařízením

Správa obnovovacích klíčů

Zobrazení obnovovacích klíčů pro zařízení spravovaná Intune

Intune poskytuje přístup k uzlu Microsoft Entra nástroje BitLocker, takže můžete zobrazit ID klíčů a obnovovací klíče nástroje BitLocker pro zařízení s Windows v Centru pro správu Microsoft Intune.

Zobrazení obnovovacích klíčů:

1. Přihlaste se k Centru pro správu Microsoft 365.
2. Vyberte Zařízení>Všechna zařízení.
3. V seznamu vyberte zařízení a pak v části Monitorování vyberte Obnovovací klíče.
4. Vyberte Zobrazit obnovovací klíč. Tím se vygeneruje položka protokolu auditu v rámci aktivity KeyManagement.

Pokud jsou klíče dostupné v Microsoft Entra ID, zobrazí se následující informace:

• ID klíče nástroje BitLocker
• Obnovovací klíč nástroje BitLocker
• Typ jednotky

Pokud klíče nejsou v Microsoft Entra ID, zobrazí se Intune pro toto zařízení nebyl nalezen žádný klíč nástroje BitLocker.

Poznámka

Microsoft Entra ID podporuje maximálně 200 obnovovacích klíčů nástroje BitLocker na zařízení. Pokud dosáhnete tohoto limitu, tiché šifrování selže kvůli selhání zálohování obnovovacích klíčů před spuštěním šifrování na zařízení.

Požadovaná oprávnění: Správci IT potřebují microsoft.directory/bitlockerKeys/key/read oprávnění v rámci Microsoft Entra ID k zobrazení obnovovacích klíčů bitlockeru zařízení. Toto oprávnění je součástí těchto Microsoft Entra rolí:

• Správce cloudových zařízení
• Správce helpdesku
• Globální správce

Další informace o Microsoft Entra oprávněních rolí najdete v tématu Microsoft Entra předdefinovaných rolí.

Protokolování auditu: Auditují se všechny přístupy k obnovovacím klíčům nástroje BitLocker. Další informace najdete v tématu Azure Portal protokoly auditu.

Důležité

Pokud odstraníte Intune objekt pro Microsoft Entra připojené zařízení chráněné bitlockerem, aktivuje odstranění synchronizaci Intune zařízení a odebere ochranu klíčů pro svazek operačního systému. BitLocker tak zůstane na tomto svazku pozastavený.

Zobrazení obnovovacích klíčů pro zařízení připojená k tenantovi

Při použití scénáře připojení tenanta může Microsoft Intune zobrazit data obnovovacího klíče pro zařízení připojená k tenantovi.

Požadavky:

• Configuration Manager weby musí používat verzi 2107 nebo novější.
• Pro weby se systémem 2107 nainstalujte kumulativní aktualizaci KB11121541 pro podporu zařízení připojených k Microsoft Entra
• Váš účet Intune musí mít oprávnění Intune RBAC, aby mohl zobrazit klíče nástroje BitLocker.
• Musí být přidružená k místnímu uživateli s rolí kolekce Configuration Manager a oprávněním ke čtení obnovovacího klíče nástroje BitLocker.

Další informace najdete v tématu Konfigurace správy na základě rolí pro Configuration Manager.

Obměna obnovovacích klíčů nástroje BitLocker

Pomocí akce Intune zařízení můžete vzdáleně otočit obnovovací klíč nástroje BitLocker zařízení, které běží Windows 10 verzi 1909 nebo novější a Windows 11.

Požadavky na obměnu klíčů:

• Zařízení musí používat Windows 10 verze 1909 nebo novější nebo Windows 11

• Microsoft Entra připojených a hybridně připojených zařízeních musí mít povolenou obměnu klíčů prostřednictvím zásad nástroje BitLocker:

  • Obměně = hesla pro obnovení řízená klientemPovolení rotace na zařízeních připojených k Microsoft Entra nebo Povolení rotace na zařízeních připojených k Microsoft Entra ID a hybridně připojených zařízeních
  • Uložení informací o obnovení nástroje BitLocker do Microsoft Entra ID = Enabled
  • Uložení informací o obnovení v Microsoft Entra ID před povolením BitLockeru = – Povinné

Postup obměna obnovovacího klíče nástroje BitLocker:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>Všechna zařízení.

3. V seznamu vyberte zařízení.

4. Vyberte vzdálenou akci obměně klíčů nástroje BitLocker . Pokud není vidět, vyberte tři tečky (...) a pak vyberte Obměně klíčů nástroje BitLocker.

   

Další informace o nasazeních a požadavcích nástroje BitLocker najdete v grafu porovnání nasazení nástroje BitLocker.

Samoobslužné obnovení

Aby koncoví uživatelé mohli získat obnovovací klíče bez volání helpdesku, Intune umožňuje samoobslužné scénáře prostřednictvím aplikace Portál společnosti a dalších metod.

Možnosti samoobslužného přístupu:

• Portál společnosti aplikace: Uživatelé mají přístup k obnovovacím klíčům nástroje BitLocker prostřednictvím aplikace Portál společnosti.
• Portál Můj účet: K dispozici na account.microsoft.com pro zařízení připojená k Microsoft Entra
• Microsoft Entra ID: Přímý přístup k zařízením připojeným k Microsoft Entra

Řízení správy pro samoobslužný přístup:

1. Přepínač v rámci celého tenanta: Určuje, jestli uživatelé bez oprávnění správce můžou k obnovení klíčů Nástroje BitLocker použít samoobslužné služby:

   • Výchozí: Ne (umožňuje všem uživatelům obnovit klíče)
   • Ano: Uživatelům, kteří nejsou správci, zabrání zobrazování klíčů nástroje BitLocker pro jejich vlastní zařízení.
   • Konfigurace v Microsoft Entra nastavení zařízení

2. Integrace podmíněného přístupu: Pomocí zásad podmíněného přístupu vyžadovat pro přístup k obnovovacímu klíči nástroje BitLocker kompatibilní zařízení:

   • Nastavení vyžadování vyhovujícího zařízení v zásadách podmíněného přístupu
   • Nevyhovující zařízení nemají přístup k obnovovacím klíčům nástroje BitLocker
   • Obnovovací klíče nástroje BitLocker se považují za podnikové prostředky, na které se vztahuje podmíněný přístup.

3. Protokolování auditu pro samoobslužné služby: Protokolují se všechny přístupy k obnovovacím klíčům uživatelů:

   • Přihlášení Microsoft Entra protokoly auditu v kategorii Správa klíčů
   • Typ aktivity: Čtení klíče nástroje BitLocker
   • Zahrnuje hlavní název uživatele a ID klíče.
   • Další informace najdete v tématu Microsoft Entra protokoly auditu.

Řešení problémů

Běžné problémy s tichým bitlockerem

Problém: BitLocker vyžaduje interakci uživatele i přes bezobslužnou konfiguraci.

• Řešení: Ověřte, že není povolený spouštěcí PIN kód TPM nebo nastavení klíče. Zkontrolujte konfliktní zásady standardních hodnot zabezpečení.

Problém: Zařízení nesplňují požadavky na bezobslužné povolení

• Řešení: Ověřte, že zařízení splňují všechny požadavky na zařízení, včetně verze čipu TPM, režimu UEFI a stavu připojení Microsoft Entra.

Problém: BitLockeru se nedaří bezobslužné šifrování

• Řešení: V protokolech událostí Windows zkontrolujte chyby související s BitLockerem. Ověřte, že je povolené zabezpečené spouštění a správně nakonfigurované prostředí WinRE.

Problém: Konflikty zásad brání tichému povolení

• Řešení: Pomocí detekce konfliktů zásad v Intune identifikujte konfliktní nastavení mezi zásadami.

Řešení potíží s obnovovacím klíčem

V případě tichého povolení nástroje BitLocker se obnovovací klíče při šifrování automaticky zálohují na Microsoft Entra ID. Ověřit:

1. Zařízení jsou úspěšně Microsoft Entra připojená (vyžaduje se pro automatické zálohování).
2. Procesu automatického zálohování nebrání žádné konflikty zásad.
3. Escrow obnovovacího klíče funguje prostřednictvím sestavy šifrování.

Další kroky

• Správa zásad FileVault pro zařízení s macOS
• Monitorování šifrování disku
• Řešení potíží se zásadami nástroje BitLocker
• Známé problémy se zásadami nástroje BitLocker
• Graf porovnání nasazení nástroje BitLocker
• Správa BitLockeru pro podniky v dokumentaci k zabezpečení Windows
• Přehled šifrování osobních dat
• Samoobslužné scénáře pro koncové uživatele prostřednictvím aplikace Portál společnosti