Политика управления BitLocker для устройств Windows в Intune

Используйте Intune для настройки шифрования дисков BitLocker на устройствах под управлением Windows 10/11.

BitLocker доступен на устройствах под управлением Windows 10/11. Для некоторых параметров BitLocker требуется, чтобы устройство поддерживало доверенный платформенный модуль.

Используйте один из следующих типов политик для настройки BitLocker на управляемых устройствах.

Совет

Intune предоставляет встроенный отчет о шифровании, который содержит подробные сведения о состоянии шифрования на всех управляемых устройствах. После того как Intune зашифрует устройство под управлением Windows с помощью BitLocker, вы можете просматривать ключи восстановления BitLocker и управлять ими при просмотре отчета о шифровании.

Вы также можете получить доступ к важной информации для BitLocker с ваших устройств, которую можно найти в Azure Active Directory (Azure AD).

Разрешения для управления BitLocker

Для управления BitLocker в Intune ваша учетная запись должна иметь применимые разрешения управления доступом на основе ролей (RBAC) в Intune.

Ниже перечислены разрешения BitLocker, которые являются частью категории "Удаленные задачи", а также встроенные роли RBAC, предоставляющие разрешение.

  • Смена ключей BitLocker
    • Оператор службы технической поддержки

Создание и развертывание политики

Для создания требуемого типа политики используйте одну из следующих процедур.

Создание политики безопасности конечной точки для BitLocker

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Безопасность конечной точки > Шифрование диска > Создать политику.

  3. Настройте следующие параметры:

    1. Платформа: Windows 10/11
    2. Профиль: BitLocker

    Выбор профиля BitLocker

  4. На странице Параметры конфигурации настройте параметры BitLocker в соответствии с потребностями своего бизнеса.

    Нажмите кнопку Далее.

  5. На странице Область (теги) щелкните Выберите теги области, чтобы открыть панель "Выбор тегов", в которой можно назначить теги области для профиля.

    Нажмите кнопку Далее, чтобы продолжить.

  6. На странице Назначения выберите группы, которые получат этот профиль. Дополнительные сведения о назначении профилей см. в статье "Назначение профилей пользователей и устройств".

    Нажмите кнопку Далее.

  7. На странице Просмотр и создание после завершения нажмите Создать. Выбрав тип политики для созданного профиля, вы увидите новый профиль в списке.

Создание профиля конфигурации устройства для BitLocker

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Профили конфигурации > Создать профиль.

  3. Настройте следующие параметры:

    1. Платформа: Windows 10/11
    2. Тип профиля: Endpoint protection

    Выбор профиля BitLocker

  4. На странице Параметры конфигурации разверните узел Шифрование Windows.

    Выбор параметров шифрования Windows

  5. Настройте параметры BitLocker в соответствии с потребностями своего бизнеса.

    Если вы хотите включить BitLocker автоматически, см. раздел Автоматическое включение BitLocker на устройствах в этой статье для получения дополнительных сведений о предварительных требованиях и конкретных конфигурациях параметров, которые необходимо использовать.

  6. Нажмите кнопку Далее, чтобы продолжить.

  7. Завершите настройку дополнительных параметров, а затем сохраните профиль.

Управление BitLocker

Сведения об устройствах, получающих политику BitLocker, см. в разделе Мониторинг шифрования дисков.

Автоматическое включение BitLocker на устройствах

Вы можете настроить политику BitLocker, чтобы автоматически включать BitLocker на устройстве. Это означает, что BitLocker успешно включается, не предоставляя конечному пользователю пользовательский интерфейс, даже если этот пользователь не является локальным администратором на устройстве. Вы можете использовать либо профиль BitLocker из политики шифрования диска безопасности конечной точки, либо шаблон защиты конечной точки из политики конфигурации устройств.

Устройства должны соответствовать следующим предварительным требованиям, получать применимые параметры для автоматического запуска BitLocker и не использовать несовместимые параметры ключа или ПИН-кода запуска доверенного платформенного модуля.

Предварительные требования для устройств

Устройство должно отвечать следующим условиям, чтобы иметь право на автоматическое включение BitLocker:

  • Если конечные пользователи входят в систему на устройствах как администраторы, устройство должно работать под управлением Windows 10 версии 1803 или более поздней либо Windows 11.
  • Если конечные пользователи входят в систему на устройствах как обычные пользователи, устройство должно работать под управлением Windows 10 версии 1809 или более поздней либо Windows 11.
  • Устройство должно быть присоединено к Azure AD или гибридному экземпляру Azure AD.
  • Устройство как минимум должно содержать доверенный платформенный модуль (TPM) 1.2
  • В режиме BIOS должен быть задан только собственный UEFI.

Обязательные параметры для автоматического включения BitLocker

В зависимости от типа политики, используемой для автоматического включения BitLocker, настройте следующие параметры.

Политика шифрования диска безопасности конечной точки. Настройте следующие параметры в профиле BitLocker.

  • Скрыть предупреждение о шифровании с использованием сторонних поставщиков = Да
  • Разрешить обычным пользователям включать шифрование для сценариев Autopilot = Да

Политика конфигурации устройств. Настройте следующие параметры в шаблоне Защита конечных точек или в профиле настраиваемых параметров.

  • Предупреждение при шифровании других дисков = Блокировать.
  • Разрешить стандартным пользователям включать шифрование во время присоединения к Azure AD = Разрешить

Совет

Хотя настройка меток и параметров в следующих двух типах политик отличается друг от друга, они обе применяют одинаковую конфигурацию для поставщиков служб конфигурации (CSP) шифрования Windows, которые управляют BitLocker на устройствах с Windows.

Полное шифрование диска и шифрование только занятого места

Три параметра определяют, будет ли для диска ОС применяться шифрование только занятого места или полное шифрование диска:

  • Поддерживает ли оборудование устройства современный режим ожидания
  • Настроено ли автоматическое включение для BitLocker
    • ("Предупреждение при шифровании других дисков" = Блокировать или "Скрыть предупреждение о шифровании с использованием сторонних поставщиков" = Да)
  • Конфигурация SystemDrivesEncryptionType
    • (Применить тип шифрования диска к дискам операционной системы)

Если параметр SystemDrivesEncryptionType не настроен, указанное ниже является ожидаемым поведением. Если автоматическое включение настроено на устройстве с современным режимом ожидания, для диска ОС применяется шифрование только занятого места. Если автоматическое включение настроено на устройстве, не поддерживающем современный режим ожидания, для диска ОС применяется шифрование всего диска. Результат аналогичен использованию политики шифрования дисков безопасности конечной точки для BitLocker или профиля конфигурации устройства для безопасности конечной точки для BitLocker. Если требуется другое конечное состояние, типом шифрования можно управлять путем настройки SystemDrivesEncryptionType с помощью каталога параметров, как показано ниже.

Чтобы проверить, поддерживает ли оборудование современный режим ожидания, запустите следующую команду из командной строки.

powercfg /a

Если устройство поддерживает современный режим ожидания, будет показано, что доступно подключение к сети в режиме ожидания (простой с низким потреблением питания S0)

Снимок экрана: командная строка, отображающая вывод команды powercfg с доступным состоянием ожидания S0.

Если устройство не поддерживает современный режим ожидания, например виртуальная машина, будет показано, что не поддерживается подключение к сети в режиме ожидания (простой с низким потреблением питания S0)

Снимок экрана: командная строка, отображающая вывод команды powercfg с недоступным состоянием ожидания S0.

Чтобы проверить тип шифрования, запустите следующую команду из командной строки с повышенными правами (администратора).

manage-bde -status c:

В поле "Состояние преобразования" демонстрируется тип шифрования в виде "Шифрование только занятого места" или "Полностью зашифровано".

Снимок экрана: административная командная строка с выводом команды manage-bde со статусом преобразования, который демонстрирует применение полного шифрования.

Снимок экрана: административная командная строка с выводом команды manage-bde со статусом преобразования, который демонстрирует применение шифрования только занятого места.

Чтобы изменять тип шифрования диска между полным шифрованием диска и шифрованием только занятого места, используйте параметр "Применить тип шифрования диска к дискам операционной системы" в каталоге параметров.

Снимок экрана: каталог параметров Intune, отображающий параметр "Применить тип шифрования диска к дискам операционной системы" и раскрывающийся список для выбора полного шифрования или шифрования только занятого места.

Ключ или ПИН-код запуска доверенного платформенного модуля

На устройстве не должен требоваться ПИН-код запуска или ключ запуска.

Если на устройстве требуется ключ или ПИН-код запуска доверенного платформенного модуля (TPM), BitLocker не может автоматически включиться на устройстве и вместо этого требует взаимодействия с конечным пользователем. Параметры для настройки ключа или ПИН-кода запуска доверенного платформенного модуля доступны как в шаблоне защиты конечных точек, так и в политике BitLocker. По умолчанию эти политики не настраивают эти параметры.

Ниже приведены соответствующие параметры для каждого типа профиля.

Политика шифрования диска безопасности конечной точки — в профиле BitLocker вы найдете следующие параметры в категории Параметры дисков ОС в BitLocker, если параметру Политика системных дисков BitLocker присвоено значение Настроить, а параметру Требуется проверка подлинности при запуске — значение Да.

  • Запуск совместимого доверенного платформенного модуля. Настройте для этого параметра значение Разрешено или Обязательно
  • ПИН-код запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Заблокировано
  • Ключ запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Заблокировано
  • Ключ и ПИН-код запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Заблокировано

Политика конфигурации устройств. В шаблоне защиты конечных точек доступны следующие параметры в категории Шифрование Windows.

  • Запуск совместимого доверенного платформенного модуля. Настройте для этого параметра значение Разрешить доверенный платформенный модуль или Требовать доверенный платформенный модуль
  • ПИН-код запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Запретить ПИН-код запуска в доверенном платформенном модуле
  • Ключ запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Запретить ключ запуска с доверенным платформенным модулем
  • Ключ и ПИН-код запуска совместимого доверенного платформенного модуля. Настройте для этого параметра значение Запретить ключ запуска и ПИН-код в доверенном платформенном модуле

Предупреждение

Хотя политика безопасности конечной точки и политика конфигурации устройств не настраивают параметры доверенного платформенного модуля по умолчанию, некоторые версии базовой конфигурации безопасности для Microsoft Defender для конечной точки настраивают как ПИН-код запуска совместимого доверенного платформенного модуля, так и Ключ запуска совместимого доверенного платформенного модуля по умолчанию. Эти конфигурации могут блокировать автоматическое включение BitLocker.

Если вы разворачиваете эту базовую конфигурацию на устройствах, на которых нужно автоматически включить BitLocker, проверьте базовые конфигурации на наличие возможных конфликтов. Чтобы устранить конфликты, измените параметры в базовых конфигурациях, чтобы устранить конфликт, либо запретите для применимых устройств получение экземпляров базовых конфигураций, настраивающих параметры доверенного платформенного модуля, которые блокируют автоматическое включение BitLocker.

Просмотр сведений о ключах восстановления

Intune предоставляет доступ к колонке Azure AD для BitLocker, что позволяет просматривать идентификаторы ключей BitLocker и ключи восстановления для устройств с Windows 10/11 в Центре администрирования Microsoft Endpoint Manager. Поддержка для просмотра ключей восстановления также может [распространяться на устройства, подключенные к клиенту](#view-recovery-keys-for-tenant-attached devices).

Чтобы быть доступным, ключи устройства должны быть сохранены в Azure AD.

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Все устройства.

  3. Выберите устройство из списка и затем в разделе Монитор выберите Ключи восстановления.

  4. Нажмите Показать ключ восстановления. При выборе этого действия в разделе "Управление ключами" будет сформирована запись журнала аудита.

    Если ключи доступны в Azure AD, возможно просмотреть следующие сведения:

    • Идентификатор ключа BitLocker
    • Ключ восстановления BitLocker
    • Тип диска

    Если ключи отсутствуют в Azure AD, Intune будет отображать Ключ BitLocker не найден для этого устройства.

Примечание

В настоящее время Azure Active Directory поддерживает не более 200 ключей восстановления BitLocker для каждого устройства. Если это предельное значение достигнуто, скрытое шифрование завершится сбоем из-за неудачного резервного копирования ключей восстановления перед началом шифрования на устройстве.

Сведения о BitLocker получаются с помощью Поставщика служб шифрования BitLocker (CSP). BitLocker CSP поддерживается в Windows 10 версии 1703 или более поздних, а также в Windows 10 Pro версии 1809 и более поздних и Windows 11.

ИТ-администраторы должны иметь определенные разрешения в Azure Active Directory, чтобы иметь доступ к ключам восстановления BitLocker устройства: microsoft.directory/bitlockerKeys/key/read. В Azure AD есть некоторые роли, которые имеют это разрешение, включая администратора облачных устройств, администратора службы технической поддержки и т. д. Дополнительные сведения о том, какие разрешения имеют роли Azure AD, см. в разделе Описание ролей Azure AD.

Для всех обращений к ключу восстановления BitLocker выполняется аудит. Дополнительные сведения о записях журнала аудита см. в статье Журналы аудита на портале Azure.

Примечание

Если удалить объект Azure Active Directory для устройства Azure AD, защищенного BitLocker, в следующий раз, когда устройство синхронизируется с Azure AD, это удалит средства защиты ключей для тома операционной системы. При удалении средства защиты ключа в этом томе BitLocker остается приостановленным. Это необходимо, так как сведения о восстановлении BitLocker для присоединенных к Azure Active Directory устройств подключены к объекту компьютера Azure Active Directory, и их удаление может привести к невозможности восстановления после события восстановления BitLocker.

Просмотр ключей восстановления для устройств, подключенных к клиенту

При настройке сценария подключения к клиенту Microsoft Endpoint Manager может отображать данные ключа восстановления для устройств, подключенных к клиенту.

  • Чтобы поддерживать отображение ключей восстановления для устройств, подключенных к клиенту, на сайтах Configuration Manager должна быть установлена версия 2107 или более поздняя версия. Для сайтов, на которых установлена версия 2107, необходимо установить накопительный пакет обновления поддержки устройств, присоединенных к Azure AD. См. KB11121541.

  • Чтобы просмотреть ключи восстановления, учетная запись Intune должна иметь разрешения Intune RBAC для просмотра ключей BitLocker и должна быть связана с локальным пользователем, у которого есть соответствующие разрешения для диспетчера конфигураций роли сбора, с разрешением на чтение > "Разрешение на чтение ключа восстановления BitLocker". Дополнительные сведения см. в разделе Настройка администрирования на основе ролей для Configuration Manager.

Смена ключей восстановления BitLocker

Действие устройства Intune можно использовать для удаленной смены ключей восстановления BitLocker для управляемых устройств Windows 10 версии 1909 или выше и Windows 11.

Предварительные требования

Для смены ключа восстановления BitLocker: устройства должны соответствовать следующим предварительным требованиям:

  • Устройства должны работать под управлением Windows 10 версии 1909 или выше либо Windows 11

  • Для подключенных к Azure AD и гибридных устройств необходимо включить поддержку смены ключей с помощью конфигурации политики BitLocker:

    • Для параметра Управляемая клиентом смена пароля восстановления установите значение Включить смену для устройств, присоединенных к Azure AD или Включить смену для устройств с гибридным присоединением и с присоединением к Azure AD.
    • Для параметра Сохранить сведения о восстановлении BitLocker в Azure Active Directory установите значение Включить.
    • Для параметра Сохранить сведения о восстановлении в Azure Active Directory перед включением BitLocker установите значение Требуется

Сведения о развертывании и требованиях BitLocker см. в разделе Схема сравнения развертываний BitLocker.

Смена ключа восстановления BitLocker

  1. Войдите в Центр администрирования Microsoft Endpoint Manager.

  2. Выберите Устройства > Все устройства.

  3. Выберите нужное устройство в списке управляемых устройств, а затем щелкните Дополнительно и выберите удаленное действие Смена ключа BitLocker.

  4. На странице Обзор устройства выберите Ротация ключа BitLocker. Если этот параметр не отображается, нажмите кнопку с многоточием (...), чтобы отобразить дополнительные параметры, а затем выберите удаленное действие устройства Ротация ключа BitLocker.

    Щелкните многоточие, чтобы просмотреть дополнительные параметры

Дальнейшие действия