Hi Chon Yut,
นโยบายของ Windows ที่ออกแบบมาเพื่อรองรับข้อกำหนดนี้โดยตรงคือ**"Deny write access to removable drives not protected by BitLocker"** หากเปิดใช้งานนโยบายนี้ อุปกรณ์จัดเก็บข้อมูลแบบถอดได้ (เช่น USB Flash Drive) ที่ไม่ได้เข้ารหัสด้วย BitLocker จะถูกเมานต์ในโหมด Read-Only ทำให้ผู้ใช้สามารถอ่านข้อมูลได้แต่ไม่สามารถเขียนข้อมูลลงไปได้ ส่วนอุปกรณ์ที่เข้ารหัสด้วย BitLocker To Go จะยังคงสามารถอ่านและเขียนข้อมูลได้ตามปกติ
สำหรับ Group Policy สามารถกำหนดค่าได้ที่:
Computer Configuration
└ Administrative Templates
└ Windows Components
└ BitLocker Drive Encryption
└ Removable Data Drives
└ Deny write access to removable drives not protected by BitLocker
จากนั้นตั้งค่าเป็น Enabled
หากอุปกรณ์ Windows 11 ถูกบริหารจัดการผ่าน Microsoft Intune สามารถปรับใช้การตั้งค่านี้ผ่าน Endpoint Security > Disk Encryption หรือ Settings Catalog ได้ เมื่อ Policy ถูกบังคับใช้แล้ว ผู้ใช้จะไม่สามารถคัดลอกหรือบันทึกข้อมูลลง USB ที่ไม่ได้เข้ารหัสได้จนกว่าจะเปิดใช้งาน BitLocker บนอุปกรณ์ดังกล่าว
หากต้องการเพิ่มระดับการควบคุมด้านความปลอดภัย สามารถใช้ร่วมกับ Removable Storage Access Policies หรือ Microsoft Defender for Endpoint Device Control เพื่อจำกัดการใช้งาน USB ตาม Vendor, Device ID หรือ Serial Number ได้ อย่างไรก็ตาม สำหรับข้อกำหนดที่ว่า "อนุญาตให้เขียนข้อมูลได้เฉพาะ USB ที่เข้ารหัสด้วย BitLocker เท่านั้น" นโยบาย BitLocker ข้างต้นถือเป็นแนวทางที่ Microsoft แนะนำและรองรับโดยตรงที่สุด
Harry.