BitLocker-szabályzat kezelése Windows-eszközökhöz az Intune-nal
Az Intune használatával konfigurálhatja a BitLocker meghajtótitkosítást a Windows 10/11-et futtató eszközökön.
A BitLocker a Windows 10/11-et futtató eszközökön érhető el. A BitLocker egyes beállításaihoz az eszköznek támogatott TPM-et kell megadnia.
A BitLocker felügyelt eszközökön való konfigurálásához használja az alábbi szabályzattípusok egyikét:
Végponti biztonsági lemeztitkosítási szabályzat a BitLockerhez. A Végpontbiztonságban a BitLocker-profil a BitLocker konfigurálására szolgáló beállítások koncentrált csoportja.
Tekintse meg a BitLocker-profilokban elérhető BitLocker-beállításokat a lemeztitkosítási szabályzatból.
Eszközkonfigurációs profil a BitLocker végpontvédelmi szolgáltatásához. A BitLocker-beállítások az Windows 10/11 végpontvédelem egyik elérhető beállításkategóriái.
Tekintse meg a BitLockerhez elérhető BitLocker-beállításokat az eszközkonfigurációs szabályzat végpontvédelmi profiljaiban.
Tipp
Az Intune egy beépített titkosítási jelentést biztosít, amely részletesen bemutatja az eszközök titkosítási állapotát az összes felügyelt eszközön. Miután az Intune a BitLockerrel titkosít egy Windows-eszközt, a titkosítási jelentés megtekintésekor megtekintheti és kezelheti a BitLocker helyreállítási kulcsait.
A BitLocker fontos információihoz az eszközeiről is hozzáférhet, ahogyan az Microsoft Entra ID található.
Fontos
A BitLocker engedélyezése előtt ismerje meg és tervezze meg a szervezet igényeinek megfelelő helyreállítási lehetőségeket . További információért kezdje a BitLocker helyreállítási áttekintésével a Windows biztonsági dokumentációjában.
A BitLocker kezeléséhez szükséges engedélyek
A BitLocker Intune-beli kezeléséhez a fióknak rendelkeznie kell a megfelelő Szerepköralapú Hozzáférés-vezérlési (RBAC) engedélyekkel.
Az alábbiakban a Távoli feladatok kategória részét képező BitLocker-engedélyek és az engedélyt biztosító beépített RBAC-szerepkörök találhatók:
- BitLocker-kulcsok elforgatása
- Ügyfélszolgálati operátor
Szabályzat létrehozása és üzembe helyezése
A kívánt szabályzattípus létrehozásához használja az alábbi eljárások egyikét.
Végpontbiztonsági szabályzat létrehozása a BitLockerhez
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza a Végpontbiztonság>Lemeztitkosítás>Házirend létrehozása lehetőséget.
Adja meg a következő beállításokat:
- Platform: Windows 10/11
- Profil: BitLocker
A Konfigurációs beállítások lapon konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően.
Válassza a Tovább gombot.
A Hatókör (Címkék) lapon válassza a Hatókörcímkék kiválasztása lehetőséget a Címkék kiválasztása panel megnyitásához, hogy hatókörcímkéket rendeljen a profilhoz.
A folytatáshoz válassza Tovább lehetőséget.
A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyek megkapják ezt a profilt. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.
Válassza a Tovább gombot.
Ha végzett, a Felülvizsgálat + létrehozás lapon válassza a Létrehozás elemet. Az új profil megjelenik a listában, amikor kiválasztja a szabályzattípust a létrehozott profil számára.
Eszközkonfigurációs profil létrehozása a BitLockerhez
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>konfigurációja> Lehetőséget A Szabályzatok lapon válassza a Létrehozás lehetőséget.
Adja meg a következő beállításokat:
- Platform: Windows 10 és újabb verziók
- Profil típusa: Válassza a Sablonok>Végpontvédelem lehetőséget, majd válassza a Létrehozás lehetőséget.
A Konfigurációs beállítások lapon bontsa ki a Windows-titkosítás elemet.
Konfigurálja a BitLocker beállításait az üzleti igényeinek megfelelően.
Ha csendesen szeretné engedélyezni a BitLockert, olvassa el A BitLocker csendes engedélyezése eszközökön című cikket, amely további előfeltételeket és a használni kívánt beállításkonfigurációkat ismerteti.
A folytatáshoz válassza Tovább lehetőséget.
Végezze el a további beállítások konfigurálását, majd mentse a profilt.
A BitLocker kezelése
A következő témák segíthetnek bizonyos feladatok BitLocker-szabályzaton keresztüli kezelésében és a helyreállítási kulcsok kezelésében:
- A BitLocker csendes engedélyezése eszközökön
- Teljes lemez és csak a felhasznált terület titkosítása
- Helyreállítási kulcsok részleteinek megtekintése
- Bérlőhöz csatlakoztatott eszközök helyreállítási kulcsainak megtekintése
- BitLocker helyreállítási kulcsok elforgatása
A BitLocker-házirendet fogadó eszközökkel kapcsolatos információk megtekintéséhez lásd: Lemeztitkosítás monitorozása.
A BitLocker csendes engedélyezése eszközökön
Beállíthatja, hogy a BitLocker automatikusan és csendesen titkosítsa az eszközöket anélkül, hogy felhasználói felületet ad a végfelhasználónak, még akkor is, ha ez a felhasználó nem helyi rendszergazda az eszközön.
A sikeres működéshez az eszközöknek meg kell felelniük az alábbi eszközfeltételeknek, meg kell kapniuk a BitLocker csendes engedélyezéséhez szükséges megfelelő beállításokat, és nem rendelkezhetnek olyan beállításokkal, amelyekhez TPM indítási PIN-kód vagy kulcs szükséges. Az indítási PIN-kód vagy kulcs használata nem kompatibilis a csendes titkosítással, mivel felhasználói beavatkozást igényel.
Eszköz előfeltételei
Az eszköznek meg kell felelnie a következő feltételeknek ahhoz, hogy jogosult legyen a BitLocker csendes engedélyezésére:
- Ha a végfelhasználók rendszergazdaként jelentkeznek be az eszközökre, az eszköznek Windows 10 1803-as vagy újabb verzióját vagy Windows 11 kell futtatnia.
- Ha a végfelhasználók Standard felhasználókként jelentkeznek be az eszközökre, az eszköznek Windows 10 1809-es vagy újabb verzióját vagy Windows 11 kell futtatnia.
- Az eszköznek Microsoft Entra kell csatlakoznia, vagy hibrid csatlakoztatással kell Microsoft Entra.
- Az eszköznek legalább TPM-et (platformmegbízhatósági modul) 1.2-t kell tartalmaznia.
- A BIOS módnak csak natív UEFI-ra kell állítania.
A BitLocker csendes engedélyezéséhez szükséges beállítások
A BitLocker csendes engedélyezéséhez használt szabályzat típusától függően konfigurálja az alábbi beállításokat. Mindkét módszer Windows rendszerű eszközökön windowsos titkosítási CSP-n keresztül kezeli a BitLockert.
Végpontbiztonság Lemeztitkosítási szabályzat – Konfigurálja a következő beállításokat a BitLocker-profilban:
- Eszköztitkosítás megkövetelése = Engedélyezve
- Figyelmeztetés engedélyezése más lemeztitkosítás = eseténTiltva
A két kötelező beállítás mellett fontolja meg a helyreállítási jelszó rotálásának konfigurálását is.
Eszközkonfiguráció Végpontvédelmi szabályzat – Konfigurálja a következő beállításokat az Endpoint Protection-sablonban vagy egy egyéni beállításprofilban :
- Figyelmeztetés más lemeztitkosításra = Blokk.
- Titkosítás engedélyezése a standard felhasználók számára Microsoft Entra csatlakozás = engedélyezése során
- A helyreállítási kulcs = felhasználó által történő létrehozása256 bites helyreállítási kulcs engedélyezése vagy letiltása
- Helyreállítási jelszó = felhasználó által történő létrehozása48 jegyű helyreállítási jelszó engedélyezése vagy megkövetelése
TPM indítási PIN-kódja vagy kulcsa
Az eszköz nem állítható be úgy, hogy indítási PIN-kódot vagy indítási kulcsot igényeljen.
Ha egy eszközön TPM-indítási PIN-kódra vagy indítási kulcsra van szükség, a BitLocker nem tud csendesen engedélyezni az eszközön, és ehelyett a végfelhasználó beavatkozását igényli. A TPM indítási PIN-kódjának vagy kulcsának konfigurálására szolgáló beállítások az endpoint protection sablonban és a BitLocker-szabályzatban is elérhetők. Alapértelmezés szerint ezek a szabályzatok nem konfigurálják ezeket a beállításokat.
Az egyes profiltípusokra vonatkozó beállítások a következők:
Végponti biztonsági lemeztitkosítási házirend – A TPM-beállítások csak a Felügyeleti sablonok kategória kibontása után jelennek meg, majd a Windows-összetevők BitLocker meghajtótitkosítás >> operációsrendszer-meghajtók szakasz További hitelesítés megkövetelése indításkor beállításánál engedélyezze a beállítást. Ha konfigurálva van, a következő TPM-beállítások érhetők el:
TPM-indítási kulcs és PIN-kód konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot és a PIN-kódot a TPM-hez
TPM indítási PIN-kód konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási PIN-kódot a TPM-hez
A TPM indításának konfigurálása – Ezt a TPM engedélyezése vagy A TPM megkövetelése beállítással konfigurálhatja
A TPM indítási kulcsának konfigurálása – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot a TPM-ben
Eszközkonfigurációs szabályzat – Az endpoint protection sablonban a következő beállítások találhatók a Windows Titkosítás kategóriájában:
- Kompatibilis TPM-indítás – Konfigurálja a TPM engedélyezése vagy a TPM megkövetelése beállítással
- Kompatibilis TPM indítási PIN-kód – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási PIN-kódot a TPM-hez
- Kompatibilis TPM-indítási kulcs – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot a TPM-ben
- Kompatibilis TPM-indítókulcs és PIN-kód – Konfigurálja ezt úgy, hogy ne engedélyezze az indítási kulcsot és a PIN-kódot a TPM-hez
Figyelmeztetés
Bár sem a végpontbiztonsági, sem az eszközkonfigurációs szabályzatok nem konfigurálják alapértelmezés szerint a TPM-beállításokat, a Végponthoz készült Microsoft Defender biztonsági alapkonfigurációjának egyes verziói alapértelmezés szerint a kompatibilis TPM indítási PIN-kódját és a kompatibilis TPM indítási kulcsot is konfigurálják. Ezek a konfigurációk blokkolhatják a BitLocker csendes engedélyezését.
Ha ezt az alapkonfigurációt olyan eszközökön helyezi üzembe, amelyeken csendesen engedélyezni szeretné a BitLockert, tekintse át az alapkonfigurációkat a lehetséges ütközések megtekintéséhez. Az ütközések eltávolításához konfigurálja újra az alapkonfigurációk beállításait az ütközés eltávolításához, vagy távolítsa el a megfelelő eszközöket az alapkonfigurációs példányok fogadásából, amelyek olyan TPM-beállításokat konfigurálnak, amelyek blokkolják a BitLocker csendes engedélyezését.
Teljes lemez és csak a felhasznált terület titkosítása
Három beállítás határozza meg, hogy az operációsrendszer-meghajtó csak a felhasznált terület titkosításával vagy teljes lemeztitkosítással legyen-e titkosítva:
- Az eszköz hardvere alkalmas-e a modern készenléti üzemmódra
- Konfigurálva lett-e a csendes engedélyezés a BitLockerhez
- ('Warning for other disk encryption' = Block or 'Hide prompt about third-party encryption' = Yes)
- A SystemDrivesEncryptionType konfigurációja
- (Meghajtótitkosítási típus kényszerítése operációsrendszer-meghajtókon)
Feltételezve, hogy a SystemDrivesEncryptionType nincs konfigurálva, a következő a várt viselkedés. Ha a csendes engedélyezés egy modern készenléti eszközön van konfigurálva, az operációs rendszer meghajtója csak a felhasznált terület titkosításával lesz titkosítva. Ha a csendes engedélyezés olyan eszközön van konfigurálva, amely nem alkalmas a modern készenlétre, az operációs rendszer meghajtója teljes lemeztitkosítással van titkosítva. Az eredmény ugyanaz, akár a BitLocker végpontvédelmi lemeztitkosítási szabályzatát , akár a BitLocker végpontvédelmi eszközkonfigurációs profilját használja. Ha más végponti állapotra van szükség, a titkosítás típusa a SystemDrivesEncryptionType beállításkatalógussal történő konfigurálásával szabályozható.
Annak ellenőrzéséhez, hogy a hardver alkalmas-e a modern készenléti üzemmódra, futtassa a következő parancsot egy parancssorból:
powercfg /a
Ha az eszköz támogatja a modern készenléti állapotot, azt mutatja, hogy a készenléti (S0 alacsony energiaigényű) hálózat csatlakoztatva van
Ha az eszköz nem támogatja a modern készenléti állapotot, például egy virtuális gépet, az azt mutatja, hogy a készenléti (S0 alacsony kihasználtságú) hálózati kapcsolat nem támogatott
A titkosítás típusának ellenőrzéséhez futtassa a következő parancsot egy rendszergazdai jogosultságú parancssorból:
manage-bde -status c:
A "Konvertálás állapota" mező a titkosítás típusát a Csak a felhasznált területtel titkosított vagy a Teljes mértékben titkosított értékként jeleníti meg.
Ha módosítani szeretné a lemeztitkosítás típusát a teljes lemeztitkosítás és a csak a felhasznált terület titkosítása között, használja a Meghajtótitkosítási típus kényszerítése az operációsrendszer-meghajtókon beállítást a beállításkatalógusban.
Helyreállítási kulcsok részleteinek megtekintése
Az Intune hozzáférést biztosít a BitLocker Microsoft Entra paneljéhez, így a Windows 10/11-es eszközök BitLocker-kulcsazonosítóit és helyreállítási kulcsait a Microsoft Intune Felügyeleti központban tekintheti meg. A helyreállítási kulcsok megtekintésének támogatása a bérlőhöz csatlakoztatott eszközökre is kiterjedhet.
Ahhoz, hogy elérhető legyen, az eszköznek rendelkeznie kell a kulcsainak Microsoft Entra.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>Minden eszköz lehetőséget.
Válasszon ki egy eszközt a listából, majd a Monitorozás területen válassza a Helyreállítási kulcsok lehetőséget.
Kattintson a Helyreállítási kulcs megjelenítése elemre. Ha ezt választja, létrejön egy naplóbejegyzés a KeyManagement tevékenység alatt.
Ha a kulcsok Microsoft Entra érhetők el, a következő információk érhetők el:
- BitLocker-kulcsazonosító
- BitLocker helyreállítási kulcs
- Meghajtó típusa
Ha a kulcsok nincsenek Microsoft Entra, az Intune a Nem található BitLocker kulcsot jeleníti meg az eszközhöz.
Megjegyzés:
A Microsoft Entra ID jelenleg eszközönként legfeljebb 200 BitLocker helyreállítási kulcsot támogat. Ha eléri ezt a korlátot, a csendes titkosítás meghiúsul a helyreállítási kulcsok sikertelen biztonsági mentése miatt, mielőtt elkezdené a titkosítást az eszközön.
A BitLockerre vonatkozó információk a BitLocker konfigurációs szolgáltatójának (CSP) használatával szerezhetők be. A BitLocker CSP Windows 10 1703-es és újabb, Windows 10 Pro 1809-es és újabb verzióiban, valamint Windows 11 támogatott.
A rendszergazdáknak adott engedéllyel kell rendelkezniük a Microsoft Entra ID az eszköz BitLocker helyreállítási kulcsainak megtekintéséhez: microsoft.directory/bitlockerKeys/key/read
. Vannak olyan szerepkörök Microsoft Entra ID, amelyek ehhez az engedélyhez tartoznak, például a felhőeszköz-rendszergazda, a segélyszolgálat rendszergazdája stb. További információ arról, hogy mely Microsoft Entra szerepkörök rendelkeznek a megfelelő engedélyekkel: beépített szerepkörök Microsoft Entra.
Minden BitLocker helyreállítási kulcshoz való hozzáférés naplózásra kerül. További információ az auditnapló-bejegyzésekről: Azure Portal auditnaplók.
Megjegyzés:
Ha egy BitLocker által védett Microsoft Entra csatlakoztatott eszköz Intune-objektumát törli, a törlés intune-eszközszinkronizálást vált ki, és eltávolítja az operációsrendszer-kötet kulcsvédőit. A kulcsvédő eltávolítása felfüggesztve hagyja a BitLockert a köteten. Erre azért van szükség, mert Microsoft Entra csatlakoztatott eszközök BitLocker-helyreállítási információi a Microsoft Entra számítógép-objektumhoz vannak csatolva, és a törléssel előfordulhat, hogy a BitLocker helyreállítási eseményei nem állíthatók helyre.
Bérlőhöz csatlakoztatott eszközök helyreállítási kulcsainak megtekintése
Amikor konfigurálta a bérlő csatolási forgatókönyvét, Microsoft Intune megjelenítheti a bérlőhöz csatlakoztatott eszközök helyreállítási kulcsának adatait.
A bérlőhöz csatlakoztatott eszközök helyreállítási kulcsainak megjelenítésének támogatásához a Configuration Manager helyeknek a 2107-es vagy újabb verziót kell futtatniuk. A 2107-et futtató webhelyek esetében telepítenie kell egy kumulatív frissítést Microsoft Entra csatlakoztatott eszközök támogatásához: Lásd: KB11121541.
A helyreállítási kulcsok megtekintéséhez az Intune-fióknak rendelkeznie kell a BitLocker-kulcsok megtekintéséhez szükséges Intune RBAC-engedélyekkel, és társítva kell lennie egy olyan helyszíni felhasználóval, amely rendelkezik a gyűjteményszerepkör Configuration Manager vonatkozó engedélyekkel, olvasási engedéllyel > BitLocker helyreállítási kulcs olvasása engedéllyel. További információ: Szerepköralapú felügyelet konfigurálása Configuration Manager.
BitLocker helyreállítási kulcsok elforgatása
Az Intune eszközműveletével távolról elforgathatja az 1909-es vagy újabb Windows 10 verziót futtató eszközök BitLocker helyreállítási kulcsát, és Windows 11.
Előfeltételek
A BitLocker helyreállítási kulcs rotálásának támogatásához az eszközöknek meg kell felelniük a következő előfeltételeknek:
Az eszközöknek Windows 10 1909-es vagy újabb verzióját kell futtatniuk, vagy Windows 11
Microsoft Entra csatlakoztatott és Microsoft Entra hibrid csatlakoztatott eszközöknek támogatniuk kell a kulcsrotálást a BitLocker-szabályzatkonfiguráción keresztül:
- Ügyfélalapú helyreállítási jelszóváltás a Microsoft Entra csatlakoztatott eszközökön történő forgatás engedélyezéséhez vagy a Microsoft Entra ID és Microsoft Entra csatlakoztatott hibrid csatlakoztatott eszközökön történő rotálás engedélyezéséhez
- A BitLocker helyreállítási adatainak mentése a Microsoft Entra IDengedélyezve állapotba
- A Helyreállítási adatok tárolása a Microsoft Entra ID-ben, mielőtt a BitLockertkötelezőre engedélyeznénk
A BitLocker üzemelő példányaival és követelményeivel kapcsolatos információkért tekintse meg a BitLocker üzembehelyezési összehasonlítási diagramot.
A BitLocker helyreállítási kulcsának elforgatása
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>Minden eszköz lehetőséget.
A felügyelt eszközök listájában válasszon ki egy eszközt, majd válassza a BitLocker kulcsrotálási eszköz távoli műveletét. Ha ez a lehetőség elérhető, de nem látható, válassza a három pontot (...), majd a BitLocker kulcsrotálást.
Az eszköz Áttekintés lapján válassza a BitLocker kulcsrotálást. Ha nem látja ezt a lehetőséget, válassza a három pontot (...) a további beállítások megjelenítéséhez, majd válassza a BitLocker kulcsrotálási eszköz távoli műveletét.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: