BitLocker-szabályzat kezelése Windows-eszközökhöz az Intune-nal

  • Cikk

Az Intune használatával konfigurálhatja a BitLocker meghajtótitkosítást a Windows 10/11-et futtató eszközökön.

A BitLocker a Windows 10/11-et futtató eszközökön érhető el. A BitLocker egyes beállításaihoz az eszköznek támogatott TPM-et kell megadnia.

A BitLocker felügyelt eszközökön való konfigurálásához használja az alábbi szabályzattípusok egyikét:

Tipp

Az Intune egy beépített titkosítási jelentést biztosít, amely részletesen bemutatja az eszközök titkosítási állapotát az összes felügyelt eszközön. Miután az Intune a BitLockerrel titkosít egy Windows-eszközt, a titkosítási jelentés megtekintésekor megtekintheti és kezelheti a BitLocker helyreállítási kulcsait.

A BitLocker fontos információihoz az eszközeiről is hozzáférhet, ahogyan az Microsoft Entra ID található.

Fontos

A BitLocker engedélyezése előtt ismerje meg és tervezze meg a szervezet igényeinek megfelelő helyreállítási lehetőségeket . További információért kezdje a BitLocker helyreállítási áttekintésével a Windows biztonsági dokumentációjában.

A BitLocker kezeléséhez szükséges engedélyek

A BitLocker Intune-beli kezeléséhez a fióknak rendelkeznie kell a megfelelő Szerepköralapú Hozzáférés-vezérlési (RBAC) engedélyekkel.

Az alábbiakban a Távoli feladatok kategória részét képező BitLocker-engedélyek és az engedélyt biztosító beépített RBAC-szerepkörök találhatók:

  • BitLocker-kulcsok elforgatása
    • Ügyfélszolgálati operátor

Szabályzat létrehozása és üzembe helyezése

A kívánt szabályzattípus létrehozásához használja az alábbi eljárások egyikét.

Végpontbiztonsági szabályzat létrehozása a BitLockerhez

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza a Végpontbiztonság>Lemeztitkosítás>Házirend létrehozása lehetőséget.

  3. Adja meg a következő beállításokat:

    1. Platform: Windows 10/11
    2. Profil: BitLocker

    A BitLocker-profil kiválasztása

  4. A Konfigurációs beállítások lapon konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően.

    Válassza a Tovább gombot.

  5. A Hatókör (Címkék) lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, hogy hatókörcímkéket rendeljen a profilhoz.

    A folytatáshoz válassza Tovább lehetőséget.

  6. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

  7. Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.

Eszközkonfigurációs profil létrehozása a BitLockerhez

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>konfigurációja> Lehetőséget A Szabályzatok lapon válassza a Létrehozás lehetőséget.

  3. Adja meg a következő beállításokat:

    1. Platform: Windows 10 és újabb verziók
    2. Profil típusa: Válassza a Sablonok>Végpontvédelem lehetőséget, majd válassza a Létrehozás lehetőséget.

    A BitLocker-profil kiválasztása

  4. A Konfigurációs beállítások lapon bontsa ki a Windows-titkosítás elemet.

    A Windows titkosítási beállításainak kiválasztása

  5. Konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően.

    Ha csendesen szeretné engedélyezni a BitLockert, olvassa el A BitLocker csendes engedélyezése eszközökön című cikket, amely további előfeltételeket és a használni kívánt beállításkonfigurációkat ismerteti.

  6. A folytatáshoz válassza Tovább lehetőséget.

  7. Végezze el a további beállítások konfigurálását, majd mentse a profilt.

A BitLocker kezelése

A következő témák segíthetnek bizonyos feladatok BitLocker-szabályzaton keresztüli kezelésében és a helyreállítási kulcsok kezelésében:

A BitLocker-házirendet fogadó eszközökkel kapcsolatos információk megtekintéséhez lásd: Lemeztitkosítás monitorozása.

A BitLocker csendes engedélyezése eszközökön

Beállíthatja, hogy a BitLocker automatikusan és csendesen titkosítsa az eszközöket anélkül, hogy felhasználói felületet ad a végfelhasználónak, még akkor is, ha ez a felhasználó nem helyi rendszergazda az eszközön.

A sikeres működéshez az eszközöknek meg kell felelniük az alábbi eszközfeltételeknek, meg kell kapniuk a BitLocker csendes engedélyezéséhez szükséges megfelelő beállításokat, és nem rendelkezhetnek olyan beállításokkal, amelyekhez TPM indítási PIN-kód vagy kulcs szükséges. Az indítási PIN-kód vagy kulcs használata nem kompatibilis a csendes titkosítással, mivel felhasználói beavatkozást igényel.

Eszköz előfeltételei

Az eszköznek meg kell felelnie a következő feltételeknek ahhoz, hogy jogosult legyen a BitLocker csendes engedélyezésére:

  • Ha a végfelhasználók rendszergazdaként jelentkeznek be az eszközökre, az eszköznek Windows 10 1803-as vagy újabb verzióját vagy Windows 11 kell futtatnia.
  • Ha a végfelhasználók Standard felhasználókként jelentkeznek be az eszközökre, az eszköznek Windows 10 1809-es vagy újabb verzióját vagy Windows 11 kell futtatnia.
  • Az eszköznek Microsoft Entra kell csatlakoznia, vagy hibrid csatlakoztatással kell Microsoft Entra.
  • Az eszköznek legalább TPM-et (platformmegbízhatósági modul) 1.2-t kell tartalmaznia.
  • A BIOS módnak csak natív UEFI-ra kell állítania.

A BitLocker csendes engedélyezéséhez szükséges beállítások

A BitLocker csendes engedélyezéséhez használt szabályzat típusától függően konfigurálja az alábbi beállításokat. Mindkét módszer Windows rendszerű eszközökön windowsos titkosítási CSP-n keresztül kezeli a BitLockert.

  • Végpontbiztonság Lemeztitkosítási szabályzat – Konfigurálja a következő beállításokat a BitLocker-profilban:

    • Eszköztitkosítás megkövetelése = Engedélyezve
    • Figyelmeztetés engedélyezése más lemeztitkosítás = eseténTiltva

    A csendes titkosítás engedélyezéséhez két BitLocker-beállítás szükséges.

    A két kötelező beállítás mellett fontolja meg a helyreállítási jelszó rotálásának konfigurálását is.

  • Eszközkonfiguráció Végpontvédelmi szabályzat – Konfigurálja a következő beállításokat az Endpoint Protection-sablonban vagy egy egyéni beállításprofilban :

    • Figyelmeztetés más lemeztitkosításra = Blokk.
    • Titkosítás engedélyezése a standard felhasználók számára Microsoft Entra csatlakozás = engedélyezése során
    • A helyreállítási kulcs = felhasználó által történő létrehozása256 bites helyreállítási kulcs engedélyezése vagy letiltása
    • Helyreállítási jelszó = felhasználó által történő létrehozása48 jegyű helyreállítási jelszó engedélyezése vagy megkövetelése

TPM indítási PIN-kódja vagy kulcsa

Az eszköz nem állítható be úgy, hogy indítási PIN-kódot vagy indítási kulcsot igényeljen.

Ha egy eszközön TPM-indítási PIN-kódra vagy indítási kulcsra van szükség, a BitLocker nem tud csendesen engedélyezni az eszközön, és ehelyett a végfelhasználó beavatkozását igényli. A TPM indítási PIN-kódjának vagy kulcsának konfigurálására szolgáló beállítások az endpoint protection sablonban és a BitLocker-szabályzatban is elérhetők. Alapértelmezés szerint ezek a szabályzatok nem konfigurálják ezeket a beállításokat.

Az egyes profiltípusokra vonatkozó beállítások a következők:

Végponti biztonsági lemeztitkosítási házirend – A TPM-beállítások csak a Felügyeleti sablonok kategória kibontása után jelennek meg, majd a Windows-összetevők BitLocker meghajtótitkosítás >> operációsrendszer-meghajtók szakasz További hitelesítés megkövetelése indításkor beállításánál engedélyezze a beállítást. Ha konfigurálva van, a következő TPM-beállítások érhetők el:

  • TPM-indítási kulcs és PIN-kód konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot és a PIN-kódot a TPM-hez

  • TPM indítási PIN-kód konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási PIN-kódot a TPM-hez

  • A TPM indításának konfigurálása – Ezt a TPM engedélyezése vagy A TPM megkövetelése beállítással konfigurálhatja

  • A TPM indítási kulcsának konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot a TPM-ben

Eszközkonfigurációs szabályzat – Az endpoint protection sablonban a következő beállítások találhatók a Windows Titkosítás kategóriájában:

  • Kompatibilis TPM-indítás – Konfigurálja a TPM engedélyezése vagy a TPM megkövetelése beállítással
  • Kompatibilis TPM indítási PIN-kód – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási PIN-kódot a TPM-hez
  • Kompatibilis TPM-indítási kulcs – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot a TPM-ben
  • Kompatibilis TPM-indítókulcs és PIN-kód – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot és a PIN-kódot a TPM-hez

Figyelmeztetés

Bár sem a végpontbiztonsági, sem az eszközkonfigurációs szabályzatok nem konfigurálják alapértelmezés szerint a TPM-beállításokat, a Végponthoz készült Microsoft Defender biztonsági alapkonfigurációjának egyes verziói alapértelmezés szerint a kompatibilis TPM indítási PIN-kódját és a kompatibilis TPM indítási kulcsot is konfigurálják. Ezek a konfigurációk blokkolhatják a BitLocker csendes engedélyezését.

Ha ezt az alapkonfigurációt olyan eszközökön helyezi üzembe, amelyeken csendesen engedélyezni szeretné a BitLockert, tekintse át az alapkonfigurációkat a lehetséges ütközések megtekintéséhez. Az ütközések eltávolításához konfigurálja újra az alapkonfigurációk beállításait az ütközés eltávolításához, vagy távolítsa el a megfelelő eszközöket az alapkonfigurációs példányok fogadásából, amelyek olyan TPM-beállításokat konfigurálnak, amelyek blokkolják a BitLocker csendes engedélyezését.

Teljes lemez és csak a felhasznált terület titkosítása

Három beállítás határozza meg, hogy az operációsrendszer-meghajtó csak a felhasznált terület titkosításával vagy teljes lemeztitkosítással legyen-e titkosítva:

Feltételezve, hogy a SystemDrivesEncryptionType nincs konfigurálva, a következő a várt viselkedés. Ha a csendes engedélyezés egy modern készenléti eszközön van konfigurálva, az operációs rendszer meghajtója csak a felhasznált terület titkosításával lesz titkosítva. Ha a csendes engedélyezés olyan eszközön van konfigurálva, amely nem alkalmas a modern készenlétre, az operációs rendszer meghajtója teljes lemeztitkosítással van titkosítva. Az eredmény ugyanaz, akár a BitLocker végpontvédelmi lemeztitkosítási szabályzatát , akár a BitLocker végpontvédelmi eszközkonfigurációs profilját használja. Ha más végponti állapotra van szükség, a titkosítás típusa a SystemDrivesEncryptionType beállításkatalógussal történő konfigurálásával szabályozható.

Annak ellenőrzéséhez, hogy a hardver alkalmas-e a modern készenléti üzemmódra, futtassa a következő parancsot egy parancssorból:

powercfg /a

Ha az eszköz támogatja a modern készenléti állapotot, azt mutatja, hogy a készenléti (S0 alacsony energiaigényű) hálózat csatlakoztatva van

Képernyőkép a parancssorról, amelyen a powercfg parancs kimenete látható, és rendelkezésre áll a Készenléti állapot S0.

Ha az eszköz nem támogatja a modern készenléti állapotot, például egy virtuális gépet, az azt mutatja, hogy a készenléti (S0 alacsony kihasználtságú) hálózati kapcsolat nem támogatott

Képernyőkép a parancssorról, amely a powercfg parancs kimenetét jeleníti meg, és a Készenléti állapot S0 nem érhető el.

A titkosítás típusának ellenőrzéséhez futtassa a következő parancsot egy rendszergazdai jogosultságú parancssorból:

manage-bde -status c:

A "Konvertálás állapota" mező a titkosítás típusát a Csak a felhasznált területtel titkosított vagy a Teljes mértékben titkosított értékként jeleníti meg.

Képernyőkép a felügyeleti parancssorról, amelyen a manage-bde kimenete látható, és a konvertálási állapot teljesen titkosított.

Képernyőkép a felügyeleti parancssorról, amelyen a manage-bde kimenete látható, és a konvertálási állapot a csak a használt terület titkosítását tükrözi.

Ha módosítani szeretné a lemeztitkosítás típusát a teljes lemeztitkosítás és a csak a felhasznált terület titkosítása között, használja a Meghajtótitkosítási típus kényszerítése az operációsrendszer-meghajtókon beállítást a beállításkatalógusban.

Képernyőkép az Intune beállításkatalógusáról, amelyen a Meghajtótitkosítási típus kényszerítése az operációsrendszer-meghajtókon beállítás és legördülő lista látható a teljes vagy csak a felhasznált terület titkosítási típusai közül való választáshoz.

Helyreállítási kulcsok részleteinek megtekintése

Az Intune hozzáférést biztosít a BitLocker Microsoft Entra paneljéhez, így a Windows 10/11-es eszközök BitLocker-kulcsazonosítóit és helyreállítási kulcsait a Microsoft Intune Felügyeleti központban tekintheti meg. A helyreállítási kulcsok megtekintésének támogatása a bérlőhöz csatlakoztatott eszközökre is kiterjedhet.

Ahhoz, hogy elérhető legyen, az eszköznek rendelkeznie kell a kulcsainak Microsoft Entra.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>Minden eszköz lehetőséget.

  3. Válasszon ki egy eszközt a listából, majd a Monitorozás területen válassza a Helyreállítási kulcsok lehetőséget.

  4. Kattintson a Helyreállítási kulcs megjelenítése elemre. Ha ezt választja, létrejön egy naplóbejegyzés a KeyManagement tevékenység alatt.

    Ha a kulcsok Microsoft Entra érhetők el, a következő információk érhetők el:

    • BitLocker-kulcsazonosító
    • BitLocker helyreállítási kulcs
    • Meghajtó típusa

    Ha a kulcsok nincsenek Microsoft Entra, az Intune a Nem található BitLocker kulcsot jeleníti meg az eszközhöz.

Megjegyzés:

A Microsoft Entra ID jelenleg eszközönként legfeljebb 200 BitLocker helyreállítási kulcsot támogat. Ha eléri ezt a korlátot, a csendes titkosítás meghiúsul a helyreállítási kulcsok sikertelen biztonsági mentése miatt, mielőtt elkezdené a titkosítást az eszközön.

A BitLockerre vonatkozó információk a BitLocker konfigurációs szolgáltatójának (CSP) használatával szerezhetők be. A BitLocker CSP Windows 10 1703-es és újabb, Windows 10 Pro 1809-es és újabb verzióiban, valamint Windows 11 támogatott.

A rendszergazdáknak adott engedéllyel kell rendelkezniük a Microsoft Entra ID az eszköz BitLocker helyreállítási kulcsainak megtekintéséhez: microsoft.directory/bitlockerKeys/key/read. Vannak olyan szerepkörök Microsoft Entra ID, amelyek ehhez az engedélyhez tartoznak, például a felhőeszköz-rendszergazda, a segélyszolgálat rendszergazdája stb. További információ arról, hogy mely Microsoft Entra szerepkörök rendelkeznek a megfelelő engedélyekkel: beépített szerepkörök Microsoft Entra.

Minden BitLocker helyreállítási kulcshoz való hozzáférés naplózásra kerül. További információ az auditnapló-bejegyzésekről: Azure Portal auditnaplók.

Megjegyzés:

Ha egy BitLocker által védett Microsoft Entra csatlakoztatott eszköz Intune-objektumát törli, a törlés intune-eszközszinkronizálást vált ki, és eltávolítja az operációsrendszer-kötet kulcsvédőit. A kulcsvédő eltávolítása felfüggesztve hagyja a BitLockert a köteten. Erre azért van szükség, mert Microsoft Entra csatlakoztatott eszközök BitLocker-helyreállítási információi a Microsoft Entra számítógép-objektumhoz vannak csatolva, és a törléssel előfordulhat, hogy a BitLocker helyreállítási eseményei nem állíthatók helyre.

Bérlőhöz csatlakoztatott eszközök helyreállítási kulcsainak megtekintése

Amikor konfigurálta a bérlő csatolási forgatókönyvét, Microsoft Intune megjelenítheti a bérlőhöz csatlakoztatott eszközök helyreállítási kulcsának adatait.

  • A bérlőhöz csatlakoztatott eszközök helyreállítási kulcsainak megjelenítésének támogatásához a Configuration Manager helyeknek a 2107-es vagy újabb verziót kell futtatniuk. A 2107-et futtató webhelyek esetében telepítenie kell egy kumulatív frissítést Microsoft Entra csatlakoztatott eszközök támogatásához: Lásd: KB11121541.

  • A helyreállítási kulcsok megtekintéséhez az Intune-fióknak rendelkeznie kell a BitLocker-kulcsok megtekintéséhez szükséges Intune RBAC-engedélyekkel, és társítva kell lennie egy olyan helyszíni felhasználóval, amely rendelkezik a gyűjteményszerepkör Configuration Manager vonatkozó engedélyekkel, olvasási engedéllyel > BitLocker helyreállítási kulcs olvasása engedéllyel. További információ: Szerepköralapú felügyelet konfigurálása Configuration Manager.

BitLocker helyreállítási kulcsok elforgatása

Az Intune eszközműveletével távolról elforgathatja az 1909-es vagy újabb Windows 10 verziót futtató eszközök BitLocker helyreállítási kulcsát, és Windows 11.

Előfeltételek

A BitLocker helyreállítási kulcs rotálásának támogatásához az eszközöknek meg kell felelniük a következő előfeltételeknek:

  • Az eszközöknek Windows 10 1909-es vagy újabb verzióját kell futtatniuk, vagy Windows 11

  • Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakoztatott eszközöknek támogatniuk kell a kulcsrotálást a BitLocker-szabályzatkonfiguráción keresztül:

    • Ügyfélalapú helyreállítási jelszóváltás a Microsoft Entra csatlakoztatott eszközökön történő forgatás engedélyezéséhez vagy a Microsoft Entra ID és Microsoft Entra csatlakoztatott hibrid csatlakoztatott eszközökön történő rotálás engedélyezéséhez
    • A BitLocker helyreállítási adatainak mentése a Microsoft Entra IDengedélyezve állapotba
    • A Helyreállítási adatok tárolása a Microsoft Entra ID-ben, mielőtt a BitLockertkötelezőre engedélyeznénk

A BitLocker üzemelő példányaival és követelményeivel kapcsolatos információkért tekintse meg a BitLocker üzembehelyezési összehasonlítási diagramot.

A BitLocker helyreállítási kulcsának elforgatása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>Minden eszköz lehetőséget.

  3. A felügyelt eszközök listájában válasszon ki egy eszközt, majd válassza a BitLocker kulcsrotálási eszköz távoli műveletét. Ha ez a lehetőség elérhető, de nem látható, válassza a három pontot (...), majd a BitLocker kulcsrotálást.

  4. Az eszköz Áttekintés lapján válassza a BitLocker kulcsrotálást. Ha nem látja ezt a lehetőséget, válassza a három pontot (...) a további beállítások megjelenítéséhez, majd válassza a BitLocker kulcsrotálási eszköz távoli műveletét.

    Válassza a három pontot a további lehetőségek megtekintéséhez

Következő lépések