Zarządzanie zasadami szyfrowania dysków dla urządzeń z systemem Windows przy użyciu Intune

Użyj Intune, aby skonfigurować szyfrowanie funkcją BitLocker na urządzeniach z systemem Windows 10 lub nowszym oraz szyfrowanie danych osobowych (PDE) na urządzeniach z systemem Windows 11 wersji 22H2 lub nowszej.

Porada

Niektóre ustawienia funkcji BitLocker wymagają, aby urządzenie miało obsługiwany moduł TPM.

Aby skonfigurować szyfrowanie na zarządzanych urządzeniach, użyj jednego z następujących typów zasad:

• Zabezpieczenia > punktu końcowego Zasady szyfrowania systemu Windows. Wybierz spośród następujących profilów:

  • BitLocker — skoncentrowana grupa ustawień dedykowanych do konfigurowania funkcji BitLocker. Aby uzyskać więcej informacji, zobacz dostawca CSP funkcji BitLocker.

  • Szyfrowanie - danych osobowychSzyfrowanie danych osobowych (PDE) różni się od funkcji BitLocker tym, że szyfruje pliki zamiast całych woluminów i dysków. PDE występuje oprócz innych metod szyfrowania, takich jak Funkcja BitLocker. W przeciwieństwie do funkcji BitLocker, która zwalnia klucze szyfrowania danych podczas rozruchu, PDE nie zwalnia kluczy szyfrowania danych, dopóki użytkownik nie zaloguje się przy użyciu Windows Hello dla firm. Aby uzyskać więcej informacji, zobacz dostawca CSP PDE.

• Profil konfiguracji urządzenia do ochrony punktu końcowego dla funkcji BitLocker. Ustawienia funkcji BitLocker są jedną z dostępnych kategorii ustawień dla ochrony punktu końcowego Windows 10/11.

  Wyświetl ustawienia funkcji BitLocker dostępne dla funkcji BitLocker w profilach ochrony punktu końcowego z poziomu zasad konfiguracji urządzenia.

Porada

Intune udostępnia wbudowany raport szyfrowania, który przedstawia szczegółowe informacje o stanie szyfrowania urządzeń na wszystkich zarządzanych urządzeniach. Po Intune szyfrowania urządzenia z systemem Windows za pomocą funkcji BitLocker można wyświetlać klucze odzyskiwania funkcji BitLocker i zarządzać nimi podczas wyświetlania raportu szyfrowania.

Dostęp do ważnych informacji dotyczących funkcji BitLocker można również uzyskać z urządzeń, jak pokazano w Tożsamość Microsoft Entra.

Ważna

Przed włączeniem funkcji BitLocker zapoznaj się z opcjami odzyskiwania i zaplanuj je, które spełniają wymagania organizacji. Aby uzyskać więcej informacji, zacznij od przeglądu odzyskiwania funkcji BitLocker w dokumentacji zabezpieczeń systemu Windows.

Kontrola dostępu oparta na rolach do zarządzania funkcją BitLocker

Aby zarządzać funkcją BitLocker w Intune, konto musi mieć przypisaną Intune rolę kontroli dostępu opartej na rolach (RBAC), która zawiera uprawnienie Zadania zdalne z prawą pozycją Rotate BitLockerKeys (wersja zapoznawcza) ustawioną na wartość Tak.

Możesz dodać to uprawnienie i prawo do własnych niestandardowych ról RBAC lub użyć jednej z następujących wbudowanych ról RBAC , które obejmują to prawo:

• Operator pomocy technicznej
• Administrator zabezpieczeń punktu końcowego

Tworzenie i wdrażanie zasad

Użyj jednej z poniższych procedur, aby utworzyć preferowany typ zasad.

Tworzenie zasad zabezpieczeń punktu końcowego dla systemu Windows

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

3. Ustaw następujące opcje:

   1. Platforma: Windows
   2. Profil: wybierz funkcję BitLocker lub szyfrowanie danych osobowych

   

4. Na stronie Ustawienia konfiguracji skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi.

   Wybierz pozycję Dalej.

5. Na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi, aby przypisać tagi zakresu do profilu.

   Wybierz przycisk Dalej, aby kontynuować.

6. Na stronie Przypisania wybierz grupy, które otrzymują ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

7. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Tworzenie profilu konfiguracji urządzenia na potrzeby szyfrowania systemu Windows

Porada

Poniższa procedura konfiguruje funkcję BitLocker za pomocą szablonu konfiguracji urządzenia na potrzeby ochrony punktu końcowego. Aby skonfigurować szyfrowanie danych osobowych, użyj katalogu ustawień konfiguracji urządzenia i kategorii PDE .

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Urządzenia>Zarządzajkonfiguracją> urządzeń > Na karcie Zasady wybierz pozycję Utwórz.

3. Ustaw następujące opcje:

   1. Platforma: Windows 10 i nowsze
   2. Typ profilu: wybierz pozycję Szablony>Ochrona punktu końcowego, a następnie wybierz pozycję Utwórz.

   

4. Na stronie Ustawienia konfiguracji rozwiń węzeł Szyfrowanie systemu Windows.

   

5. Skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi.

   Jeśli chcesz włączyć funkcję BitLocker w trybie dyskretnym, zobacz Dyskretne włączanie funkcji BitLocker na urządzeniach w tym artykule, aby uzyskać dodatkowe wymagania wstępne i konkretne konfiguracje ustawień, których należy użyć.

6. Wybierz przycisk Dalej, aby kontynuować.

7. Wykonaj konfigurację innych ustawień, a następnie zapisz profil.

Zarządzanie funkcją BitLocker

Następujące tematy mogą pomóc w zarządzaniu określonymi zadaniami za pomocą zasad funkcji BitLocker i zarządzaniu kluczami odzyskiwania:

• Dyskretne włączanie funkcji BitLocker na urządzeniach
• Szyfrowanie tylko pełnego dysku a miejsca używanego
• Wyświetlanie szczegółów kluczy odzyskiwania
• Wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy
• Obracanie kluczy odzyskiwania funkcji BitLocker
• Środowiska klucza odzyskiwania samoobsługowego użytkownika końcowego

Aby wyświetlić informacje o urządzeniach, które odbierają zasady funkcji BitLocker, zobacz Monitorowanie szyfrowania dysków.

Dyskretne włączanie funkcji BitLocker na urządzeniach

Można skonfigurować zasady funkcji BitLocker do automatycznego i dyskretnego szyfrowania urządzenia bez przedstawiania żadnego interfejsu użytkownika użytkownikowi końcowemu, nawet jeśli ten użytkownik nie jest administratorem lokalnym na urządzeniu.

Aby można było odnieść sukces, urządzenia muszą spełniać następujące wymagania wstępne dotyczące urządzeń, otrzymywać odpowiednie ustawienia umożliwiające dyskretne włączanie funkcji BitLocker i nie mogą mieć ustawień, które wymagają użycia numeru PIN lub klucza uruchamiania modułu TPM. Użycie początkowego numeru PIN lub klucza jest niezgodne z szyfrowaniem dyskretnym, ponieważ wymaga interakcji z użytkownikiem.

Wymagania wstępne dotyczące urządzeń

Aby można było włączyć funkcję BitLocker w trybie dyskretnym, urządzenie musi spełniać następujące warunki:

• Jeśli użytkownicy końcowi logują się do urządzeń jako administratorzy, urządzenie musi działać Windows 10 wersji 1803 lub nowszej lub Windows 11.
• Jeśli użytkownicy końcowi logują się do urządzeń jako użytkownicy standardowi, urządzenie musi działać Windows 10 wersji 1809 lub nowszej lub Windows 11.
• Urządzenie musi być Microsoft Entra przyłączone lub Microsoft Entra przyłączone hybrydowo.
• Urządzenie musi zawierać co najmniej moduł TPM (Trusted Platform Module) 1.2.
• Tryb BIOS musi być ustawiony tylko natywny interfejs UEFI.

Wymagane ustawienia do dyskretnego włączania funkcji BitLocker

W zależności od typu zasad używanych do dyskretnego włączania funkcji BitLocker skonfiguruj następujące ustawienia. Obie metody zarządzają funkcją BitLocker za pośrednictwem dostawców CSP szyfrowania systemu Windows na urządzeniach z systemem Windows.

• Zasady szyfrowania dysków zabezpieczeń punktu końcowego — skonfiguruj następujące ustawienia w profilu funkcji BitLocker:

  • Wymagaj szyfrowania = urządzeniaWłączone
  • Zezwalaj na ostrzeżenie dotyczące innego szyfrowania dysków = Niepełnosprawny

  

  Oprócz dwóch wymaganych ustawień rozważ użycie opcji Konfiguruj rotację haseł odzyskiwania.

• Zasady ochrony punktu końcowego konfiguracji urządzenia — skonfiguruj następujące ustawienia w szablonie programu Endpoint Protection lub profilu ustawień niestandardowych :

  • Ostrzeżenie dotyczące innego szyfrowania = dyskuBlokuj.
  • Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania = Microsoft EntraZezwalaj
  • Tworzenie klucza = odzyskiwania przez użytkownikaZezwalaj lub nie zezwalaj na 256-bitowy klucz odzyskiwania
  • Tworzenie hasła = odzyskiwania przez użytkownikaZezwalanie na 48-cyfrowe hasło odzyskiwania lub wymaganie go

Numer PIN lub klucz uruchamiania modułu TPM

Nie można ustawić urządzenia tak, aby wymagało numeru PIN uruchamiania ani klucza uruchamiania.

Jeśli na urządzeniu jest wymagany numer PIN lub klucz uruchamiania modułu TPM, funkcja BitLocker nie może włączyć dyskretnie na urządzeniu i zamiast tego wymaga interakcji z użytkownikiem końcowym. Ustawienia umożliwiające skonfigurowanie numeru PIN lub klucza uruchamiania modułu TPM są dostępne zarówno w szablonie ochrony punktu końcowego, jak i w zasadach funkcji BitLocker. Domyślnie te zasady nie konfigurują tych ustawień.

Poniżej przedstawiono odpowiednie ustawienia dla każdego typu profilu:

Zasady szyfrowania dysków zabezpieczeń punktu końcowego — ustawienia modułu TPM są widoczne tylko po rozwinięciem kategorii Szablony administracyjne, a następnie w sekcji Dyski systemu operacyjnego szyfrowania > dysków funkcji BitLocker składników > systemu Windows ustaw opcję Wymagaj dodatkowego uwierzytelniania podczas uruchamiania na wartość Włączone. Po skonfigurowaniu dostępne są następujące ustawienia modułu TPM:

• Konfigurowanie klucza startowego modułu TPM i numeru PIN — skonfiguruj go jako Nie zezwalaj na klucz uruchamiania i numer PIN przy użyciu modułu TPM

• Konfigurowanie numeru PIN uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM

• Konfigurowanie uruchamiania modułu TPM — skonfiguruj to jako zezwalanie na moduł TPM lub Wymagaj modułu TPM

• Konfigurowanie klucza uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na klucz uruchamiania przy użyciu modułu TPM

Zasady konfiguracji urządzeń — w szablonie ochrony punktu końcowego znajdują się następujące ustawienia w kategorii Szyfrowanie systemu Windows :

• Uruchamianie zgodnego modułu TPM — skonfiguruj to jako zezwalanie na moduł TPM lub Wymagaj modułu TPM
• Zgodny numer PIN uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
• Zgodny klucz uruchamiania modułu TPM — skonfiguruj go jako Nie zezwalaj na uruchamianie klucza przy użyciu modułu TPM
• Zgodny klucz startowy modułu TPM i numer PIN — skonfiguruj go jako Nie zezwalaj na uruchamianie klucza i numeru PIN przy użyciu modułu TPM

Ostrzeżenie

Chociaż zasady zabezpieczeń punktu końcowego lub konfiguracji urządzenia domyślnie nie konfigurują ustawień modułu TPM, niektóre wersje punktu odniesienia zabezpieczeń dla Ochrona punktu końcowego w usłudze Microsoft Defender domyślnie skonfigurują zarówno zgodny numer PIN uruchamiania modułu TPM, jak i zgodny klucz uruchamiania modułu TPM. Te konfiguracje mogą blokować dyskretne włączanie funkcji BitLocker.

Jeśli wdrożysz ten punkt odniesienia na urządzeniach, na których chcesz włączyć funkcję BitLocker w trybie dyskretnym, przejrzyj konfiguracje punktu odniesienia pod kątem możliwych konfliktów. Aby usunąć konflikty, skonfiguruj ponownie ustawienia w punktach odniesienia, aby usunąć konflikt, lub usuń odpowiednie urządzenia z odbierania wystąpień punktu odniesienia, które konfigurują ustawienia modułu TPM, które blokują dyskretne włączanie funkcji BitLocker.

Szyfrowanie tylko pełnego dysku a miejsca używanego

Trzy ustawienia określają, czy dysk systemu operacyjnego jest szyfrowany przez szyfrowanie tylko używanego miejsca, czy za pomocą pełnego szyfrowania dysku:

• Czy sprzęt urządzenia jest nowoczesnym rozwiązaniem w trybie rezerwowym
• Czy włączono funkcję dyskretną dla funkcji BitLocker
  • ("Ostrzeżenie dla innego szyfrowania dysku" = Blokuj lub "Ukryj monit o szyfrowanie innych firm" = Tak)
• Konfiguracja elementu SystemDrivesEncryptionType
  • (Wymuszanie typu szyfrowania dysku na dyskach systemu operacyjnego)

Zakładając, że systemDrivesEncryptionType nie jest skonfigurowany, oczekiwane jest następujące zachowanie. Gdy włączanie dyskretne jest skonfigurowane na nowoczesnym urządzeniu rezerwowym, dysk systemu operacyjnego jest szyfrowany przy użyciu szyfrowania tylko używanego miejsca. Gdy włączanie dyskretne jest skonfigurowane na urządzeniu, które nie jest w stanie nowoczesnej rezerwy, dysk systemu operacyjnego jest szyfrowany przy użyciu pełnego szyfrowania dysku. Wynik jest taki sam, niezależnie od tego, czy używasz zasad szyfrowania dysków zabezpieczeń punktu końcowego dla funkcji BitLocker , czy profilu konfiguracji urządzenia na potrzeby ochrony punktu końcowego dla funkcji BitLocker. Jeśli jest wymagany inny stan końcowy, typ szyfrowania można kontrolować, konfigurując systemDrivesEncryptionType przy użyciu wykazu ustawień.

Aby sprawdzić, czy sprzęt jest nowoczesny w stanie wstrzymania, uruchom następujące polecenie w wierszu polecenia:

powercfg /a

Jeśli urządzenie obsługuje nowoczesną rezerwę, oznacza to, że jest dostępna sieć w trybie wstrzymania (S0 Low Power Idle)

Jeśli urządzenie nie obsługuje nowoczesnej rezerwy, na przykład maszyny wirtualnej, oznacza to, że połączenie sieciowe w trybie wstrzymania (S0 Low Power Idle) nie jest obsługiwane

Aby sprawdzić typ szyfrowania, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień (administrator):

manage-bde -status c:

Pole "Stan konwersji" odzwierciedla typ szyfrowania jako zaszyfrowany lub w pełni zaszyfrowany tylko użyte miejsce.

Aby zmienić typ szyfrowania dysku między pełnym szyfrowaniem dysku i używanym szyfrowaniem tylko miejsca, użyj ustawienia "Wymuszaj typ szyfrowania dysku na dyskach systemu operacyjnego w katalogu ustawień.

Wyświetlanie szczegółów kluczy odzyskiwania

Intune zapewnia dostęp do węzła Microsoft Entra funkcji BitLocker, dzięki czemu można wyświetlać identyfikatory kluczy funkcji BitLocker i klucze odzyskiwania dla urządzeń Windows 10/11 z poziomu centrum administracyjnego Microsoft Intune. Obsługa wyświetlania kluczy odzyskiwania może również obejmować urządzenia dołączone do dzierżawy.

Aby urządzenie było dostępne, musi mieć swój klucz, aby Microsoft Entra.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

3. Wybierz urządzenie z listy, a następnie w obszarze Monitor wybierz pozycję Klucze odzyskiwania.

4. Naciśnij pozycję Pokaż klucz odzyskiwania. Wybranie tej opcji powoduje wygenerowanie wpisu dziennika inspekcji w obszarze działania "KeyManagement".

   Gdy klucze są dostępne w Microsoft Entra, dostępne są następujące informacje:

   • Identyfikator klucza funkcji BitLocker
   • Klucz odzyskiwania funkcji BitLocker
   • Typ dysku

   Jeśli klucze nie są w Microsoft Entra, Intune wyświetla nie znaleziono klucza funkcji BitLocker dla tego urządzenia.

Uwaga

Obecnie Tożsamość Microsoft Entra obsługuje maksymalnie 200 kluczy odzyskiwania funkcji BitLocker na urządzenie. Jeśli osiągniesz ten limit, szyfrowanie dyskretne zakończy się niepowodzeniem z powodu niepowodzenia tworzenia kopii zapasowej kluczy odzyskiwania przed rozpoczęciem szyfrowania na urządzeniu.

Informacje dotyczące funkcji BitLocker są uzyskiwane przy użyciu dostawcy usług konfiguracji funkcji BitLocker . Dostawca CSP funkcji BitLocker jest obsługiwany w Windows 10 wersji 1703 lub nowszej, Windows 10 Pro wersji 1809 i nowszych oraz Windows 11.

Administratorzy IT muszą mieć określone uprawnienia w ramach Tożsamość Microsoft Entra, aby móc wyświetlać klucze odzyskiwania funkcji BitLocker urządzenia: microsoft.directory/bitlockerKeys/key/read. Istnieją pewne role w Tożsamość Microsoft Entra, które mają to uprawnienie, w tym administrator urządzeń w chmurze, administrator pomocy technicznej itp. Aby uzyskać więcej informacji na temat Microsoft Entra ról, które mają uprawnienia, zobacz Microsoft Entra role wbudowane.

Wszystkie dostępy do klucza odzyskiwania funkcji BitLocker są poddawane inspekcji. Aby uzyskać więcej informacji na temat wpisów dziennika inspekcji, zobacz Azure Portal dzienników inspekcji.

Uwaga

Jeśli usuniesz obiekt Intune dla urządzenia przyłączanego Microsoft Entra chronionego przez funkcję BitLocker, usunięcie spowoduje wyzwolenie synchronizacji Intune urządzenia i usunięcie funkcji ochrony kluczy dla woluminu systemu operacyjnego. Usunięcie ochrony klucza powoduje, że funkcja BitLocker jest w stanie wstrzymania na tym woluminie. Jest to konieczne, ponieważ informacje o odzyskiwaniu funkcji BitLocker dla urządzeń przyłączonych Microsoft Entra są dołączone do obiektu komputera Microsoft Entra i usunięcie go może spowodować, że nie będzie można odzyskać sprawności po zdarzeniu odzyskiwania funkcji BitLocker.

Wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy

W przypadku korzystania ze scenariusza dołączania dzierżawy Microsoft Intune może wyświetlać dane klucza odzyskiwania dla urządzeń dołączonych do dzierżawy.

• Aby obsługiwać wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy, witryny Configuration Manager muszą działać w wersji 2107 lub nowszej. W przypadku witryn z systemem 2107 należy zainstalować pakiet zbiorczy aktualizacji, aby obsługiwać urządzenia przyłączone Microsoft Entra: Zobacz KB11121541.

• Aby wyświetlić klucze odzyskiwania, konto Intune musi mieć uprawnienia Intune RBAC do wyświetlania kluczy funkcji BitLocker i musi być skojarzone z użytkownikiem lokalnym, który ma powiązane uprawnienia do Configuration Manager roli kolekcji z uprawnieniem do > odczytu klucza odzyskiwania funkcji BitLocker odczytu. Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach dla Configuration Manager.

Obracanie kluczy odzyskiwania funkcji BitLocker

Akcja urządzenia Intune umożliwia zdalne obracanie klucza odzyskiwania funkcji BitLocker urządzenia z systemem Windows 10 wersji 1909 lub nowszej oraz Windows 11.

Wymagania wstępne

Urządzenia muszą spełniać następujące wymagania wstępne, aby obsługiwać rotację klucza odzyskiwania funkcji BitLocker:

• Urządzenia muszą działać Windows 10 wersji 1909 lub nowszej lub Windows 11

• Microsoft Entra przyłączonych i Microsoft Entra urządzeń przyłączonych hybrydowo musi mieć włączoną obsługę rotacji kluczy za pośrednictwem konfiguracji zasad funkcji BitLocker:

  • Rotacja haseł odzyskiwania oparta na klienciew celu włączenia rotacji na urządzeniach przyłączonych Microsoft Entra lub Włączanie rotacji na urządzeniach przyłączonych hybrydowo Tożsamość Microsoft Entra i Microsoft Entra
  • Zapisywanie informacji odzyskiwania funkcji BitLocker w celu Tożsamość Microsoft Entra do opcji Włączone
  • Przechowywanie informacji odzyskiwania w Tożsamość Microsoft Entra przed włączeniem funkcji BitLocker na wartość Wymagane

Aby uzyskać informacje o wdrożeniach i wymaganiach funkcji BitLocker, zobacz wykres porównawczy wdrażania funkcji BitLocker.

Aby obrócić klucz odzyskiwania funkcji BitLocker

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

3. Na liście zarządzanych urządzeń wybierz urządzenie, a następnie wybierz zdalną akcję rotacji kluczy funkcji BitLocker . Jeśli ta opcja powinna być dostępna, ale nie jest widoczna, wybierz wielokropek (...), a następnie rotację kluczy funkcji BitLocker.

4. Na stronie Przegląd urządzenia wybierz rotację kluczy funkcji BitLocker. Jeśli nie widzisz tej opcji, wybierz wielokropek (...), aby wyświetlić wszystkie opcje, a następnie wybierz zdalną akcję urządzenia rotacji kluczy funkcji BitLocker .

   

Klucze samoobsługowego odzyskiwania

Aby ułatwić użytkownikom końcowym uzyskanie kluczy odzyskiwania bez wywoływania firmowej pomocy technicznej, Intune włącza scenariusze samoobsługowe dla użytkownika końcowego za pośrednictwem aplikacji Portal firmy.

Chociaż Intune pomaga skonfigurować zasady w celu zdefiniowania escrow kluczy odzyskiwania funkcji BitLocker, te klucze są przechowywane w identyfikatorze Entra. Są to możliwości w ramach identyfikatora Entra, które są przydatne do użycia z samoobsługowym dostępem do klucza odzyskiwania funkcji BitLocker dla użytkowników końcowych.

1. Przełącznik dla całej dzierżawy, aby uniemożliwić dostęp do klucza odzyskiwania dla użytkowników niebędących administratorami: to ustawienie określa, czy użytkownicy mogą korzystać z samoobsługi w celu odzyskania kluczy funkcji BitLocker. Wartość domyślna to "Nie", która umożliwia wszystkim użytkownikom odzyskanie kluczy funkcji BitLocker. Ustawienie "Tak" ogranicza użytkownikom niebędącym administratorami możliwość zobaczenia kluczy funkcji BitLocker dla własnych urządzeń, jeśli istnieją. Dowiedz się więcej o tej kontrolce w usłudze Entra ID.

2. Inspekcja dostępu do klucza odzyskiwania: dzienniki inspekcji w portalu Entra ID pokazują historię działań w dzierżawie. Wszystkie dostępy do klucza odzyskiwania użytkownika uzyskiwane za pośrednictwem witryny internetowej Portal firmy zostaną zarejestrowane w dziennikach inspekcji w kategorii Zarządzanie kluczami jako typ działania "Odczyt klucza funkcji BitLocker". Zarejestrowana jest również główna nazwa użytkownika i inne informacje, takie jak identyfikator klucza. Dowiedz się więcej o dziennikach inspekcji w usłudze Entra ID.

3. Zasady dostępu warunkowego Entra wymagające od zgodnego urządzenia dostępu do klucza odzyskiwania funkcji BitLocker: za pomocą zasad dostępu warunkowego można ograniczyć dostęp do niektórych zasobów firmowych, jeśli urządzenie nie jest zgodne z ustawieniem "Wymagaj zgodnego urządzenia". Jeśli jest to skonfigurowane w organizacji, a urządzenie nie spełnia wymagań dotyczących zgodności skonfigurowanych w zasadach zgodności Intune, nie można użyć tego urządzenia do uzyskania dostępu do klucza odzyskiwania funkcji BitLocker, ponieważ jest ono uważane za zasób firmowy kontrolowany przez urząd certyfikacji.

Następne kroki

• Zarządzanie zasadami programu FileVault
• Monitorowanie szyfrowania dysków
• Rozwiązywanie problemów z zasadami funkcji BitLocker
• Znane problemy dotyczące wymuszania zasad funkcji BitLocker za pomocą Intune
• Zarządzanie funkcją BitLocker dla przedsiębiorstw w dokumentacji zabezpieczeń systemu Windows
• Omówienie szyfrowania danych osobowych
• Scenariusze samoobsługowe dla użytkownika końcowego za pośrednictwem aplikacji Portal firmy