使用 Intune 管理 Windows 裝置的 BitLocker 原則

使用 Intune 在執行 Windows 10/11 的裝置上設定 BitLocker 磁碟驅動器加密。

BitLocker 可在執行 Windows 10/11 的裝置上使用。 BitLocker 的某些設定需要裝置具有支援的 TPM。

使用下列其中一種原則類型，在受管理的裝置上設定 BitLocker：

• BitLocker 的端點安全性磁碟加密原則。 端點安全性的 BitLocker 配置檔是專門用來設定 BitLocker 的一組焦點設定。

  檢視在磁碟加密原則的 BitLocker 設定檔中可用的 BitLocker 設定。

• BitLocker 端點保護的裝置組態配置檔。 BitLocker 設定是 Windows 10/11 端點保護的其中一個可用設定類別。

  檢視在裝置設定原則的 BitLocker 端點保護設定檔中可用的 BitLocker 設定。

提示

Intune 提供內建的加密報告，可在您所有受管理的裝置上顯示裝置加密狀態的詳細資料。 在 Intune 使用 BitLocker 加密 Windows 裝置之後，您可以在檢視加密報告時，查看並管理 BitLocker 修復金鑰。

您也可以從裝置存取 BitLocker 的重要資訊，如 Microsoft Entra ID 中所示。

重要事項

啟用 BitLocker 之前，請先了解並規劃符合組織需求的 復原選項 。 如需詳細資訊，請從 Windows 安全性檔中的 BitLocker 復原概觀 開始。

管理 BitLocker 的許可權

若要在 Intune 中管理 BitLocker，您的帳戶必須具有適用的 Intune 角色型訪問控制 (RBAC) 許可權。

以下是 BitLocker 許可權，這是遠端工作類別的一部分，以及授與許可權的內建 RBAC 角色：

• 輪替 BitLocker 金鑰
  • 技術支援中心操作員

建立和部署原則

使用下列其中一個程式來建立您偏好的原則類型。

建立 BitLocker 的端點安全策略

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性磁碟加密>建立原則]。

3. 設定下列選項：

   1. 平臺：Windows 10/11
   2. 配置檔：BitLocker

   

4. 在 [ 組態設定 ] 頁面上，設定 BitLocker 的設定以符合您的商務需求。

   選取 [下一步]。

5. 在 [ 範圍 (標籤) ] 頁面上，選擇 [ 選取範圍卷標 ] 以開啟 [選取卷標] 窗格，將範圍卷標指派給配置檔。

   選取 [下一步] 繼續。

6. 在 [指派] 頁面上，選取將接收此設定檔的群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取 [下一步]。

7. 完成後，在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

建立 BitLocker 的裝置組態配置檔

1. 登入 Microsoft Intune 系統管理中心。

2. 在 [原則] 索引>標籤上選取 [裝置>設定]，然後選取 [建立]。

3. 設定下列選項：

   1. 平臺：Windows 10 及更新版本
   2. 配置檔類型：選取 [範本>端點保護]，然後選取 [ 建立]。

   

4. 在 [ 組態設定] 頁面上，展開 [Windows 加密]。

   

5. 設定 BitLocker 的設定，以符合您的商務需求。

   如果您想要以無訊息方式啟用 BitLocker，請參閱本文 中的在裝置上以無訊息方式啟用 BitLocker，以取得您必須使用的其他必要條件和特定設定組態。

6. 選取 [下一步] 繼續。

7. 完成其他設定的設定，然後儲存配置檔。

管理 BitLocker

下列主題可協助您透過 BitLocker 原則管理特定工作，以及管理修復密鑰：

• 在裝置上以無訊息方式啟用 BitLocker
• 完整磁碟與僅使用的空間加密
• 檢視修復金鑰的詳細數據
• 檢視租用戶連結裝置的修復密鑰
• 輪替 BitLocker 修復金鑰

若要檢視接收 BitLocker 原則之裝置的相關信息，請參閱 監視磁碟加密。

在裝置上以無訊息方式啟用 BitLocker

您可以設定一個原則，讓 BitLocker 自動和無訊息地加密裝置，而不向用戶呈現任何 UI，即使該使用者不是裝置上的本機系統管理員也一樣。

若要成功，裝置必須符合下列 裝置必要條件、接收適用的設定以以無訊息方式啟用 BitLocker，而且不能有需要使用 TPM 啟動 PIN 或密鑰的設定。 使用啟動 PIN 或金鑰與無訊息加密不相容，因為它需要用戶互動。

裝置必要條件

裝置必須符合下列條件，才能以無訊息方式啟用 BitLocker：

• 如果終端使用者以系統管理員的身分登入裝置，裝置必須執行 Windows 10 版本 1803 或更新版本，或 Windows 11。
• 如果終端使用者以標準使用者的身分登入裝置，裝置必須執行 Windows 10 版本 1809 或更新版本，或 Windows 11。
• 裝置必須 Microsoft Entra 加入或 Microsoft Entra 混合式聯結。
• 裝置必須至少包含 TPM (信賴平台模組) 1.2 版。
• BIOS 模式必須設定為僅限原生 UEFI。

以無訊息方式啟用 BitLocker 的必要設定

根據您用來以無訊息方式啟用 BitLocker 的原則類型，設定下列設定。 這兩種方法都會透過 Windows 裝置上的 Windows 加密 CSP 來管理 BitLocker。

• 端點安全 性磁碟加密 原則 - 在 BitLocker 配置檔中設定下列設定：

  • 需要裝置加密 = 啟用
  • 允許其他磁碟加密 = 的警告禁用

  

  除了兩個必要設定之外，請考慮使用設定 復原密碼輪替。

• 裝置設定 端點保護 原則 - 在 Endpoint Protection 範本或 自訂設定 設定檔中設定下列設定：

  • 其他磁碟加密的 = 警告區塊。
  • 允許標準使用者在 Microsoft Entra 加入 = 允許期間啟用加密
  • 使用者建立修復金鑰 = 允許或不允許 256 位修復金鑰
  • 使用者建立修復密碼 = 允許或需要 48 位數的修復密碼

TPM 啟動 PIN 或金鑰

裝置 不得設定為需要 啟動 PIN 或啟動金鑰。

當裝置上需要 TPM 啟動 PIN 或啟動金鑰時，BitLocker 無法在裝置上以無訊息方式啟用，而是需要終端用戶的互動。 您可以在端點保護範本和 BitLocker 原則中取得設定 TPM 啟動 PIN 或金鑰的設定。 根據預設，這些原則不會設定這些設定。

以下是每個設定檔類型的相關設定：

端點安全性磁碟加密原則 - 只有在您展開 [系統管理範本] 類別，然後在 [Windows 元件 > BitLocker 磁碟驅動器加密操作系統磁碟驅動器>] 區段中將 [啟動時需要額外的驗證] 設定為 [啟用] 之後，才會顯示 TPM 設定。 設定之後，即可使用下列 TPM 設定：

• 設定 TPM 啟動金鑰和 PIN - 將此設定為 不允許使用 TPM 的啟動金鑰和 PIN

• 設定 TPM 啟動 PIN - 將此設定為 不允許使用 TPM 啟動 PIN

• 設定 TPM 啟動 - 將此設定為 [允許 TPM ] 或 [需要 TPM]

• 設定 TPM 啟動金鑰 - 將此設定為 不允許使用 TPM 的啟動金鑰

裝置設定原則 - 在 Endpoint Protection 範本中，您會在 [Windows 加密 ] 類別中找到下列設定：

• 相容的 TPM 啟動 - 將此設定為 允許 TPM 或 需要 TPM
• 相容的 TPM 啟動 PIN - 將此設定為 不允許使用 TPM 啟動 PIN
• 相容的 TPM 啟動金鑰 - 將此設定為 不允許使用 TPM 的啟動金鑰
• 相容的 TPM 啟動金鑰和 PIN - 將此設定為 不允許使用 TPM 啟動金鑰和 PIN

警告

雖然端點安全性或裝置設定原則預設不會設定 TPM 設定，但某些版本的 適用於端點的 Microsoft Defender 安全性基準預設會設定相容的 TPM 啟動 PIN 和相容 TPM 啟動密鑰。 這些設定可能會封鎖 BitLocker 的無訊息啟用。

如果您將此基準部署到想要以無訊息方式啟用 BitLocker 的裝置，請檢閱基準設定以瞭解可能的衝突。 若要移除衝突，請重新設定基準中的設定以移除衝突，或移除適用的裝置，以接收設定封鎖 BitLocker 無訊息啟用之 TPM 設定的基準實例。

完整磁碟與僅使用的空間加密

三個設定決定 OS 磁碟驅動器是透過僅加密已使用的空間，還是透過完整磁碟加密來加密：

• 裝置的硬體是否具備 新式待命 功能
• 是否已針對 BitLocker 設定無訊息啟用
  • (『警告其他磁碟加密』= 封鎖或「隱藏有關第三方加密的提示」 = 是)
• SystemDrivesEncryptionType 的組態
  • (在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型)

假設尚未設定 SystemDrivesEncryptionType，則下列是預期的行為。 當新式待命裝置上設定無訊息啟用時，OS 磁碟驅動器會使用僅限使用的空間加密來加密。 在無法進行新式待命的裝置上設定無訊息啟用時，系統會使用完整磁碟加密來加密 OS 磁碟驅動器。 無論您使用 BitLocker 的端點安全性磁碟加密 原則，或是針對 BitLocker 使用端點保護的裝置組態配置檔，結果都相同。 如果需要不同的結束狀態，可以使用設定目錄設定 SystemDrivesEncryptionType 來控制加密類型。

若要確認硬體是否具備新式待命功能，請從命令提示字元執行下列命令：

powercfg /a

如果裝置支援新式待命，則會顯示 [待命 (S0 低電源閑置) 網路連線可用

如果裝置不支援新式待命，例如虛擬機，則會顯示不支援待命 (S0 低電源閑置) 網路連線

若要確認加密類型，請從提升許可權的 (系統管理員) 命令提示字元執行下列命令：

manage-bde -status c:

[轉換狀態] 字段會將加密類型反映為 [僅使用空間加密] 或 [完全加密]。

若要變更完整磁碟加密與僅限使用空間加密之間的磁碟加密類型，請在設定目錄中使用[在操作系統磁碟驅動器上強制執行磁碟驅動器加密類型] 設定。

檢視修復金鑰的詳細數據

Intune 可讓您存取 BitLocker 的 [Microsoft Entra] 刀鋒視窗，讓您可以從 Microsoft Intune 系統管理中心內檢視 Windows 10/11 裝置的 BitLocker 密鑰標識碼和修復密鑰。 檢視修復金鑰的支援也可以 延伸到租用戶連結的裝置。

若要存取，裝置必須將其密鑰委付為 Microsoft Entra。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>][所有裝置]。

3. 從清單中選取裝置，然後在 [監視] 下選取 [ 修復密鑰]。

4. 按 [顯示修復金鑰]。 選取此專案會在 『KeyManagement』 活動下產生稽核記錄專案。

   當金鑰可在 Microsoft Entra 中使用時，可以使用下列資訊：

   • BitLocker 金鑰標識碼
   • BitLocker 修復金鑰
   • 磁碟驅動器類型

   當密鑰不在 Microsoft Entra 時，Intune 會顯示此裝置找不到 BitLocker 金鑰。

注意事項

目前，Microsoft Entra ID 支援每個裝置最多 200 個 BitLocker 修復密鑰。 如果您達到此限制，無訊息加密將會失敗，因為在裝置上開始加密之前，修復密鑰備份失敗。

BitLocker 的資訊是使用 BitLocker 設定服務提供者 (CSP) 取得。 Windows 10 1703 版和更新版本、Windows 10 專業版 1809 版和更新版本，以及 Windows 11 版都支援 BitLocker CSP。

IT 系統管理員必須在 Microsoft Entra ID 內擁有特定許可權，才能查看裝置 BitLocker 修復密鑰：microsoft.directory/bitlockerKeys/key/read。 Microsoft Entra ID 內有一些角色隨附於此許可權，包括雲端裝置系統管理員、技術支援人員系統管理員等。如需哪些 Microsoft Entra 角色具有哪些許可權的詳細資訊，請參閱 Microsoft Entra 內建角色。

系統會稽核所有 BitLocker 修復金鑰存取。 如需稽核記錄項目的詳細資訊，請參閱 Azure 入口網站 稽核記錄。

注意事項

如果您刪除受 BitLocker 保護之已加入 Microsoft Entra 裝置的 Intune 物件，刪除會觸發 Intune 裝置同步處理，並移除作業系統磁碟區的密鑰保護裝置。 拿掉金鑰保護裝置會讓 BitLocker 在該磁碟區上處於暫停狀態。 這是必要的，因為已加入 Microsoft Entra 裝置的 BitLocker 修復資訊會附加至 Microsoft Entra 計算機物件，而刪除它可能會讓您無法從 BitLocker 復原事件復原。

檢視租用戶連結裝置的修復密鑰

當您設定租使用者附加案例時，Microsoft Intune 可以顯示租用戶連結裝置的修復密鑰數據。

• 若要支持顯示租用戶連結裝置的修復密鑰，您的 Configuration Manager 月台必須執行 2107 版或更新版本。 針對執行 2107 的月臺，您必須安裝更新匯總以支援已加入 Microsoft Entra 裝置：請參閱KB11121541。

• 若要檢視修復密鑰，您的 Intune 帳戶必須具有 Intune RBAC 許可權才能檢視 BitLocker 金鑰，而且必須與具有集合角色 Configuration Manager 相關許可權的內部部署使用者相關聯，且具有讀取許可權>讀取 BitLocker 修復密鑰許可權。 如需詳細資訊，請參閱設定 Configuration Manager 的角色型系統管理。

輪替 BitLocker 修復金鑰

您可以使用 Intune 裝置動作，從遠端輪替執行 Windows 10 1909 版或更新版本之裝置的 BitLocker 修復密鑰，並 Windows 11。

必要條件

裝置必須符合下列必要條件，才能支援 BitLocker 修復金鑰的輪替：

• 裝置必須 Windows 10 1909 版或更新版本執行，或 Windows 11

• Microsoft Entra 已加入和 Microsoft Entra 混合式聯結裝置必須支援透過 BitLocker 原則設定啟用金鑰輪替：

  • 用戶端驅動的修復密碼輪替，以在已加入 Microsoft Entra 裝置上啟用輪替，或在已加入混合式的裝置上啟用 Microsoft Entra ID 和 Microsoft Entra 輪替
  • 將 BitLocker 復原資訊儲存 Microsoft Entra ID 為已啟用
  • 在啟用 BitLocker 至必要專案之前，請先將復原資訊儲存在 Microsoft Entra ID 中

如需 BitLocker 部署和需求的相關信息，請參閱 BitLocker 部署比較圖表。

旋轉 BitLocker 修復金鑰

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>][所有裝置]。

3. 在您管理的裝置清單中，選取裝置，然後選取 BitLocker 金鑰輪替 裝置遠端動作。 如果此選項應該可供使用但看不到，請選取省略號 (...) ，然後選取 BitLocker 鍵旋轉。

4. 在裝置的 [ 概觀 ] 頁面上，選取 BitLocker 金鑰輪替。 如果您沒有看到此選項，請選取省略號 (...) 以顯示其他選項，然後選取 BitLocker 金鑰旋轉 裝置遠端動作。

   

後續步驟

• 管理 FileVault 原則
• 監視磁碟加密
• 針對 BitLocker 原則進行疑難解答
• 使用 Intune 強制執行 BitLocker 原則的已知問題
• Windows 安全性文件中的適用於企業的 BitLocker 管理