使用 Intune 管理 Windows 设备的磁盘加密策略

使用 Intune 在运行 Windows 10 或更高版本的设备上配置 BitLocker 加密，在运行 Windows 11 版本 22H2 或更高版本的设备上配置个人数据加密 (PDE) 。

提示

某些 BitLocker 设置要求设备具有受支持的 TPM。

若要在托管设备上配置加密，请使用以下策略类型之一：

• 终结点安全性 > Windows 加密策略。 从以下配置文件中进行选择：

  • BitLocker - 专用于配置 BitLocker 的集中设置组。 有关详细信息，请参阅 BitLocker CSP。

  • 个人数据加密 - 个人数据加密 (PDE) 与 BitLocker 的不同之处在于，它加密文件而不是整个卷和磁盘。 除了其他加密方法（如 BitLocker）之外，还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同，PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。 有关详细信息，请参阅 PDE CSP。

• 用于 BitLocker 终结点保护的设备配置文件。 BitLocker 设置是 Windows 10/11 终结点保护的可用设置类别之一。

  查看 BitLocker 设置，这些设置可用于 来自设备配置策略的终结点保护配置文件中的 BitLocker。

提示

Intune 提供内置的加密报告，其中提供了有关所有受管理设备中的设备加密状态的详细信息。 在 Intune 使用 BitLocker 加密 Windows 设备之后，你可在查看加密报告时查看和管理 BitLocker 恢复密钥。

还可以从设备访问 BitLocker 的重要信息，如 Microsoft Entra ID 中所示。

重要

在启用 BitLocker 之前，请先了解并规划满足组织需求的 恢复选项 。 有关详细信息，请从 Windows 安全文档中的 BitLocker 恢复概述 开始。

用于管理 BitLocker 的基于角色的访问控制

若要在 Intune 中管理 BitLocker，必须为帐户分配一个基于Intune角色的访问控制 (RBAC) 角色，该角色包含“轮换 BitLockerKeys (预览版”权限的远程任务权限，) 权限设置为“是”。

可以将此权限和权限添加到自己的 自定义 RBAC 角色 ，也可以使用包含以下包含此权限的 内置 RBAC 角色 之一：

• 技术支持操作员
• 终结点安全管理员

创建和部署策略

使用以下过程之一创建所需的策略类型。

创建适用于 Windows 的终结点安全策略

1. 登录到 Microsoft Intune 管理中心。

2. 选择“终结点安全”>“磁盘加密”>“创建策略”。

3. 设置下列选项:

   1. 平台：Windows
   2. 配置文件：选择 BitLocker 或 个人数据加密

   

4. 在“配置设置”页上，根据业务需求配置 BitLocker 设置。

   选择 下一步。

5. 在“作用域标记”页上，选择“选择作用域标记”打开“选择标记”窗格，将作用域标记分配给配置文件。

   选择“下一步”以继续。

6. 在 “分配” 页上，选择接收此配置文件的组。 有关分配配置文件的详细信息，请参阅“分配用户和设备配置文件”。

   选择 下一步。

7. 完成后，在“查看 + 创建”页上，选择“创建”。 为创建的配置文件选择策略类型时，新配置文件将显示在列表中。

创建用于 Windows 加密的设备配置文件

提示

以下过程通过终结点保护的设备配置模板配置 BitLocker。 若要配置个人数据加密，请使用设备配置 设置目录 和 PDE 类别。

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “设备>管理设备>配置> ”，在“ 策略 ”选项卡上，选择“ 创建”。

3. 设置下列选项:

   1. 平台：Windows 10及更高版本
   2. 配置文件类型：选择 “模板>终结点保护”，然后选择“ 创建”。

   

4. 在“配置设置”页上，展开“Windows 加密”。

   

5. 根据业务需求配置 BitLocker 设置。

   如果要以无提示方式启用 BitLocker，请参阅本文中的 无提示启用 BitLocker，了解额外的先决条件和必须使用的特定设置配置。

6. 选择“下一步”以继续。

7. 完成其他设置的配置，然后保存配置文件。

管理 BitLocker

以下主题可帮助你通过 BitLocker 策略管理特定任务，以及管理恢复密钥：

• 以无提示的方式在设备上启用 BitLocker
• 完整磁盘与仅已用空间加密
• 查看有关恢复密钥的详细信息
• 查看租户附加设备的恢复密钥
• 轮换 BitLocker 恢复密钥
• 最终用户自助恢复密钥体验

若要查看有关接收 BitLocker 策略的设备的信息，请参阅监视磁盘加密。

以无提示的方式在设备上启用 BitLocker

可以将 BitLocker 策略配置为自动和无提示地加密设备，而无需向最终用户显示任何 UI，即使该用户不是设备上的本地管理员也是如此。

若要成功，设备必须满足以下 设备先决条件，接收以静默方式启用 BitLocker 的适用设置，并且不得具有需要使用 TPM 启动 PIN 或密钥的设置。 使用启动 PIN 或密钥与无提示加密不兼容，因为它需要用户交互。

设备先决条件

设备必须满足以下条件才能以无提示的方式启用 BitLocker：

• 如果最终用户以管理员角色登录设备，则设备必须运行 Windows 10 版本 1803 或更高版本，或 Windows 11。
• 如果最终用户以标准用户登录设备，则设备必须运行 Windows 10 版本 1809 或更高版本或 Windows 11。
• 设备必须Microsoft Entra联接或Microsoft Entra混合联接。
• 设备必须包含不低于 TPM（受信任的平台模块）1.2 的版本。
• BIOS 模式必须设置为“仅限本机 UEFI”。

以静默方式启用 BitLocker 所需的设置

根据静默方式启用 BitLocker 的策略类型，配置以下设置。 这两种方法都通过 Windows 设备上的 Windows 加密 CSP 管理 BitLocker。

• 终结点安全 磁盘加密 策略 - 在 BitLocker 配置文件中配置以下设置：

  • 要求设备加密 = 启用
  • 允许对其他磁盘加密 = 发出警告禁用

  

  除了两个必需的设置外，还请考虑使用 配置恢复密码轮换。

• 设备配置 终结点保护 策略 - 在 Endpoint Protection 模板或 自定义设置 配置文件中配置以下设置：

  • 其他磁盘加密的警告 = 阻止。
  • 允许标准用户在加入Microsoft Entra = 期间启用加密允许
  • 用户创建恢复密钥 = 允许或不允许 256 位恢复密钥
  • 用户创建恢复密码 = 允许或需要 48 位恢复密码

TPM 启动 PIN 或密钥

设备 不得设置为需要 启动 PIN 或启动密钥。

当设备上需要 TPM 启动 PIN 或启动密钥时，BitLocker 无法在设备上以无提示方式启用，而是需要最终用户的交互。 用于配置 TPM 启动 PIN 或密钥的设置在终结点保护模板和 BitLocker 策略中均可用。 默认情况下，这些策略不会配置这些设置。

以下是每种配置文件类型的相关设置：

终结点安全磁盘加密策略 - 只有在展开“ 管理模板” 类别，然后在 “Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 ”部分将“ 启动时需要其他身份验证 ”设置为 “已启用”后，TPM 设置才可见。 配置后，以下 TPM 设置可用：

• 配置 TPM 启动密钥和 PIN - 将此项配置为 不允许使用 TPM 的启动密钥和 PIN

• 配置 TPM 启动 PIN - 将此配置为 “不允许使用 TPM 启动 PIN”

• 配置 TPM 启动 - 将其配置为 “允许 TPM” 或 “需要 TPM”

• 配置 TPM 启动密钥 - 将此配置为“不允许使用 TPM 启动密钥”

设备配置策略 - 在终结点保护模板中，你会在 Windows 加密 类别中找到以下设置：

• 兼容的 TPM 启动 - 将其配置为 允许 TPM 或 需要 TPM
• 兼容的 TPM 启动 PIN - 将其配置为 不允许使用 TPM 启动 PIN
• 兼容的 TPM 启动密钥 - 将其配置为 不允许使用 TPM 启动密钥
• 兼容的 TPM 启动密钥和 PIN - 将其配置为 不允许使用 TPM 启动密钥和 PIN

警告

尽管默认情况下终结点安全策略或设备配置策略都未配置 TPM 设置，但某些版本的 Microsoft Defender for Endpoint 安全基线将默认同时配置兼容的 TPM 启动 PIN 和兼容的 TPM 启动密钥。 这些配置可能会阻止 BitLocker 的静默启用。

如果向要以静默方式启用 BitLocker 的设备部署此基线，请查看基线配置，了解可能的冲突。 若要消除冲突，请重新配置基线中的设置以删除冲突，或者删除适用设备以接收配置阻止 BitLocker 静默启用的 TPM 设置的基线实例。

完整磁盘与仅已用空间加密

三个设置确定 OS 驱动器是通过仅加密已用空间还是完全磁盘加密来加密：

• 设备的硬件是否支持 新式待机 功能
• 是否已为 BitLocker 配置无提示启用
  • （“其他磁盘加密的警告”= 阻止或“隐藏有关第三方加密的提示”= 是）
• SystemDrivesEncryptionType 的配置
  • （在操作系统驱动器上强制实施驱动器加密类型）

假设未配置 SystemDrivesEncryptionType，则预期会出现以下行为。 在新式待机设备上配置无提示启用时，将使用仅使用空间加密对 OS 驱动器进行加密。 在无法进行新式待机的设备上配置无提示启用时，将使用完整磁盘加密对 OS 驱动器进行加密。 无论使用的是 BitLocker 的 Endpoint Security 磁盘加密策略还是用于 BitLocker终结点保护的设备配置文件，结果都是相同的。 如果需要不同的最终状态，则可以通过使用设置目录配置 SystemDrivesEncryptionType 来控制加密类型。

要验证硬件是否支持新式待机，请从命令提示符运行以下命令：

powercfg /a

如果设备支持新式待机，则表明备用 (S0 低功耗空闲) 网络连接可用

如果设备不支持新式待机（例如虚拟机），则表明不支持备用 (S0 低功率空闲) 网络连接

要验证加密类型，请从提升的（管理员）命令提示符运行以下命令：

manage-bde -status c:

“转换状态”字段将加密类型反映为“仅已用空间加密”或“完全加密”。

若要更改完整磁盘加密和仅使用空间加密之间的磁盘加密类型，请使用设置目录中的“对操作系统驱动器强制实施驱动器加密类型”设置。

查看有关恢复密钥的详细信息

Intune提供对 BitLocker Microsoft Entra 节点的访问权限，以便你可以从 Microsoft Intune 管理中心内查看 Windows 10/11 设备的 BitLocker 密钥 ID 和恢复密钥。 支持查看恢复密钥还可以扩展到租户附加设备。

设备必须托管其密钥才能访问Microsoft Entra。

1. 登录到 Microsoft Intune 管理中心。

2. 选择“设备”>“所有设备”。

3. 选择列表中的设备，然后在“监视”下，选择“恢复密钥”。

4. 点击“显示恢复密钥”。 选择此选项会在“KeyManagement”活动下生成审核日志条目。

   当密钥在 Microsoft Entra 中可用时，以下信息可用：

   • BitLocker 密钥 ID
   • BitLocker 恢复密钥
   • 驱动器类型

   当密钥不在Microsoft Entra中时，Intune显示“找不到此设备的 BitLocker 密钥”。

注意

目前，Microsoft Entra ID支持每个设备最多 200 个 BitLocker 恢复密钥。 如果达到此限制，在设备上开始加密之前，无提示加密将由于恢复密钥备份失败而失败。

使用 BitLocker 配置服务提供程序 (CSP) 获取 BitLocker 的信息。 Windows 10 版本 1703 及更高版本、Windows 10 专业版版本 1809 及更高版本和 Windows 11 支持 BitLocker CSP。

IT 管理员需要在 Microsoft Entra ID 内具有特定权限才能查看设备 BitLocker 恢复密钥：microsoft.directory/bitlockerKeys/key/read。 此权限附带Microsoft Entra ID中存在一些角色，包括云设备管理员、支持人员管理员等。有关哪些Microsoft Entra角色具有哪些权限的详细信息，请参阅Microsoft Entra内置角色。

审核所有 BitLocker 恢复密钥访问。 有关审核日志条目的更多信息，请参阅 Azure 门户审核日志。

注意

如果删除受 BitLocker 保护的已加入Microsoft Entra设备的 Intune 对象，则删除会触发Intune设备同步，并删除操作系统卷的密钥保护程序。 删除密钥保护程序会使 BitLocker 在该卷上处于暂停状态。 这是必要的，因为已加入Microsoft Entra设备的 BitLocker 恢复信息附加到Microsoft Entra计算机对象，删除它可能会使你无法从 BitLocker 恢复事件中恢复。

查看租户附加设备的恢复密钥

使用租户附加方案时，Microsoft Intune可以显示租户附加设备的恢复密钥数据。

• 若要支持显示租户附加设备的恢复密钥，配置服务器站点必须运行版本 2107 或更高版本。 对于运行 2107 的站点，必须安装更新汇总以支持Microsoft Entra已加入的设备：请参阅 KB11121541。

• 若要查看恢复密钥，Intune帐户必须具有查看 BitLocker 密钥Intune RBAC 权限，并且必须与具有集合角色Configuration Manager相关权限的本地用户关联，并且具有读取权限>读取 BitLocker 恢复密钥权限。 有关详细信息，请参阅为 Configuration Manager 配置基于角色的管理。

BitLocker 恢复密码轮转

可以使用 Intune 设备操作远程轮转运行 Windows 10 版本 1909 或更高版本以及 Windows 11 的设备的 BitLocker 恢复密码。

先决条件

设备必须满足以下先决条件才支持 BitLocker 恢复密码轮转：

• 设备必须运行 Windows 10 版本 1909 或更高版本或 Windows 11

• Microsoft Entra联接和Microsoft Entra混合联接的设备必须通过 BitLocker 策略配置启用密钥轮换支持：

  • 客户端驱动的恢复密码轮换：在已加入Microsoft Entra的设备上启用轮换，或在已加入Microsoft Entra ID和Microsoft Entra已加入混合联接的设备上启用轮换
  • 将 BitLocker 恢复信息保存到Microsoft Entra ID为“已启用”
  • 将恢复信息存储在 Microsoft Entra ID 中，然后再将 BitLocker 设置为必需

有关 BitLocker 部署和要求的信息，请参阅 BitLocker 部署比较图。

BitLocker 恢复密码轮转

1. 登录到 Microsoft Intune 管理中心。

2. 选择“设备”>“所有设备”。

3. 在管理的设备列表中，选择一个设备，然后选择 BitLocker 密钥轮换 远程操作。 如果此选项应可用但不可见，请选择省略号 (...) ，然后选择 BitLocker 密钥轮换。

4. 在设备的“概述”页面上，选择“BitLocker 密钥轮换”。 如果未看到此选项，请选择省略号 (...) 显示所有选项，然后选择 BitLocker 密钥轮换 设备远程操作。

   

自助恢复密钥

为了帮助最终用户在不调用公司支持人员的情况下获取其恢复密钥，Intune通过 公司门户 应用为最终用户启用自助服务方案。

虽然Intune有助于配置策略以定义 BitLocker 恢复密钥的托管，但这些密钥存储在 Entra ID 中。 这些是 Entra ID 中的功能，有助于最终用户使用自助式 BitLocker 恢复密钥访问。

1. 租户范围的切换以防止非管理员用户访问恢复密钥：此设置确定用户是否可以使用自助服务来恢复其 BitLocker 密钥。 默认值为“否”，它允许所有用户恢复其 BitLocker 密钥。 “是”限制非管理员用户能够查看其自己的设备的 BitLocker 密钥（如果有）。 在 Entra ID 中详细了解此控件。

2. 恢复密钥访问的审核：Entra ID 门户中的审核日志显示租户中活动的历史记录。 通过 公司门户 网站进行的任何用户恢复密钥访问都将作为“读取 BitLocker 密钥”活动类型记录在“密钥管理”类别下的审核日志中。 还会记录用户的用户主体名称和其他信息，例如密钥 ID。 详细了解 Entra ID 中的审核日志。

3. Entra 条件访问策略需要合规设备才能访问 BitLocker 恢复密钥：使用条件访问策略 (CA) ，如果设备不符合“要求合规设备”设置，则可以限制对某些公司资源的访问。 如果这是在组织中设置的，并且设备无法满足Intune合规性策略中配置的合规性要求，则该设备不能用于访问 BitLocker 恢复密钥，因为它被视为受 CA 控制的访问控制的企业资源。

后续步骤

• 管理 FileVault 策略
• 监视磁盘加密
• BitLocker 策略疑难解答
• 使用 Intune 执行 BitLocker 策略的已知问题
• 面向企业的 BitLocker 管理，位于 Windows 安全文档中
• 个人数据加密概述
• 最终用户通过公司门户应用的自助服务方案