BitLocker 云解决方案提供商
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
企业使用 BitLocker 配置服务提供商 (CSP) 来管理电脑和设备加密。 此 CSP 已添加到 Windows 10 版本 1703 中。 从 Windows 10 版本 1809 开始,Windows 10 专业版也支持它。
注意
若要通过 CSP 管理 BitLocker(使用策略启用和禁用 BitLocker RequireDeviceEncryption 除外),无论管理平台如何,都必须向用户分配以下许可证之一:
- Windows 10/11 企业版 E3 或 E5 (包含在 Microsoft 365 F3、E3 和 E5) 中。
- Windows 10/11 企业版 A3 或 A5 (包含在 Microsoft 365 A3 和 A5) 中。
Get对除 和 RequireStorageCardEncryption以外的RequireDeviceEncryption任何设置的操作将返回管理员配置的设置。
对于 RequireDeviceEncryption 和 RequireStorageCardEncryption,Get 操作会将强制实施的实际状态返回给管理员,例如是否需要“受信任的平台模块 (TPM) 保护”,以及是否需要加密。 如果设备已启用 BitLocker,但使用密码保护程序,则报告的状态为 0。 RequireDeviceEncryption 上的 Get 操作不会验证是否 (SystemDrivesMinimumPINLength) 强制实施最小 PIN 长度。
注意
- 只有在开始加密时才会强制实施设置。 加密不会随设置更改而重启。
- 必须将所有设置一起发送到单个 SyncML 中才能生效。
以下列表显示了 BitLocker 配置服务提供程序节点:
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- 状态
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
允许管理员在当前登录用户为非管理员/标准用户时推送策略的情况下强制实施“RequireDeviceEncryption”策略。
“AllowStandardUserEncryption”策略与设置为“0”的“AllowWarningForOtherDiskEncryption”策略相关联,即强制执行静默加密。
如果未设置“AllowWarningForOtherDiskEncryption”或设置为“1”,则如果标准用户是系统中当前登录的用户,则“RequireDeviceEncryption”策略不会尝试加密驱动器 () 。
此策略的预期值为:
1 = “RequireDeviceEncryption” 策略将尝试在所有固定驱动器上启用加密,即使当前登录的用户是标准用户也是如此。
0 = 未设置策略时,这是默认值。 如果当前登录用户是标准用户,“RequireDeviceEncryption”策略不会尝试在任何驱动器上启用加密。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
| 依赖项 [AllowWarningForOtherDiskEncryptionDependency] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption 依赖项允许值: [0] 依赖项允许值类型: Range |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 如果未设置策略,则这是默认值。 如果当前登录用户是标准用户,“RequireDeviceEncryption”策略不会尝试在任何驱动器上启用加密。 |
| 1 | “RequireDeviceEncryption”策略将尝试在所有固定驱动器上启用加密,即使当前登录用户是标准用户也是如此。 |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
允许管理员禁用所有 UI (针对其他磁盘加密) 的加密通知和警告提示,并在用户计算机上以静默方式打开加密。
警告
在具有第三方加密的设备上启用 BitLocker 时,它可能会使设备不可用,并且需要重新安装 Windows。
注意
仅当“RequireDeviceEncryption”策略设置为 1 时,此策略才会生效。
此策略的预期值为:
1 = 未设置策略时,这是默认值。 允许警告提示和加密通知。
0 = 禁用警告提示和加密通知。 从 Windows 10(下一个主要更新)开始,值 0 仅在已加入Microsoft Entra设备上生效。
Windows 将尝试以无提示方式为值 0 启用 BitLocker。
注意
禁用警告提示时,OS 驱动器的恢复密钥将备份到用户的Microsoft Entra帐户。 当你允许警告提示时,收到提示的用户可以选择备份 OS 驱动器的恢复密钥的位置。
固定数据驱动器备份的终结点按以下顺序选择:
- 用户的Windows Server Active Directory 域服务帐户。
- 用户的Microsoft Entra帐户。
- 用户的个人 OneDrive (MDM/MAM 仅) 。
加密将等到这三个位置之一成功备份。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 1 |
允许的值:
| 值 | 描述 |
|---|---|
| 0 | 禁用警告提示。 从 Windows 10 版本 1803 开始,只能为已加入Microsoft Entra的设备设置值 0。 Windows 将尝试以无提示方式为值 0 启用 BitLocker。 |
| 1 (默认) | 允许警告提示。 |
示例:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1909 [10.0.18363] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
允许管理员在Microsoft Entra ID和已加入混合域的设备上用于 OS 和固定驱动器时配置数字恢复密码轮换。
如果未配置,则仅对Microsoft Entra ID启用轮换,在混合模式下关闭轮换。 仅当 Active Directory 备份恢复密码配置为必需时,策略才会生效。
对于 OS 驱动器:打开“在恢复信息存储到操作系统驱动器的 AD DS 之前,不要启用 BitLocker”。
对于固定驱动器:打开“在将恢复信息存储到固定数据驱动器的 AD DS 之前,不要启用 BitLocker”。
支持的值:0 - 数字恢复密码轮换关闭。
1 - 对已加入Microsoft Entra的设备使用 ON 时,数字恢复密码轮换。 默认值 2 - 对Microsoft Entra ID和混合设备使用 ON 时的数字恢复密码轮换。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | (默认) 刷新。 |
| 1 | 为已加入Microsoft Entra的设备刷新。 |
| 2 | 为已加入Microsoft Entra和已加入混合的设备刷新。 |
EncryptionMethodByDriveType
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
此策略设置配置计算机是否需要 BitLocker 保护才能将数据写入可移动数据驱动器。
- 如果启用此策略设置,所有不受 BitLocker 保护的可移动数据驱动器都将装载为只读。 如果驱动器受 BitLocker 保护,它将装载具有读取和写入访问权限。
如果选择了“拒绝对另一个组织中配置的设备的写入访问权限”选项,则只有标识字段与计算机的标识字段匹配的驱动器才会获得写入访问权限。 访问可移动数据驱动器时,将检查其有效标识字段和允许的标识字段。 这些字段由“为组织提供唯一标识符”策略设置定义。
- 如果禁用或未配置此策略设置,将装载计算机上的所有可移动数据驱动器,并具有读取和写入访问权限。
注意
此策略设置可由用户配置\管理模板\系统\可移动存储访问下的策略设置替代。 如果启用了“可移动磁盘:拒绝写入访问”策略设置,则将忽略此策略设置。
注意
启用 EncryptionMethodByDriveType 时,必须为操作系统、固定数据和可移动数据 () 的所有三个驱动器指定值,否则它将 (500 返回状态) 失败。 例如,如果仅为 OS 和可移动驱动器设置加密方法,则返回状态为 500。
数据 ID 元素:
- EncryptionMethodWithXtsOsDropDown_Name = 选择操作系统驱动器的加密方法。
- EncryptionMethodWithXtsFdvDropDown_Name = 选择固定数据驱动器的加密方法。
- EncryptionMethodWithXtsRdvDropDown_Name = 选择可移动数据驱动器的加密方法。
此节点用于启用此策略并设置加密方法的示例值为:
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
“xx”的可能值为:
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | RDVDenyWriteAccess_Name |
| 友好名称 | 拒绝对不受 BitLocker 保护的可移动驱动器的写访问 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器 |
| 注册表项名称 | System\CurrentControlSet\Policies\Microsoft\FVE |
| 注册表值名称 | RDVDenyWriteAccess |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。 打开 BitLocker 时会应用此策略设置。 如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。 选择“完全加密”,要求在 BitLocker 处于打开状态时加密整个驱动器。 选择“仅使用的空间加密”,要求在 BitLocker 处于打开状态时,仅对用于存储数据的驱动器部分进行加密。
如果启用此策略设置,则 BitLocker 将用于加密驱动器的加密类型由此策略定义,并且 BitLocker 安装向导中不会显示加密类型选项。
如果禁用或未配置此策略设置,BitLocker 设置向导将要求用户在启用 BitLocker 之前选择加密类型。
此节点用于启用此策略的示例值为:
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
可能值:
- 0:允许用户选择。
- 1:完全加密。
- 2:仅使用空间加密。
注意
缩小或扩展卷时,将忽略此策略,BitLocker 驱动程序使用当前加密方法。 例如,当扩展使用仅使用空间加密的驱动器时,不会像使用完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除“仅使用的空间”驱动器上的可用空间: manage-bde -w。 如果卷收缩,则不会对新的可用空间执行任何操作。
有关用于管理 BitLocker 的工具的详细信息,请参阅 manage-bde。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | FDVEncryptionType_Name |
| 友好名称 | 在固定数据驱动器上强制实施驱动器加密类型 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | FDVEncryptionType |
| ADMX 文件名 | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
通过此策略设置,可以控制在没有所需凭据的情况下如何恢复受 BitLocker 保护的固定数据驱动器。 打开 BitLocker 时会应用此策略设置。
“允许数据恢复代理”检查框用于指定数据恢复代理是否可以与受 BitLocker 保护的固定数据驱动器一起使用。 必须先从 组策略 管理控制台或本地组策略 编辑器中的“公钥策略”项添加数据恢复代理,然后才能使用这些数据恢复代理。 有关添加数据恢复代理的详细信息,请参阅 Microsoft TechNet 上的 BitLocker 驱动器加密部署指南。
在“配置 BitLocker 恢复信息的用户存储”中,选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥。
选择“从 BitLocker 安装向导中省略恢复选项”,以防止用户在驱动器上打开 BitLocker 时指定恢复选项。 这意味着,在打开 BitLocker 时,无法指定要使用的恢复选项,而驱动器的 BitLocker 恢复选项由策略设置决定。
在“将 BitLocker 恢复信息保存到Active Directory 域服务”中,选择要在 AD DS 中存储固定数据驱动器的 BitLocker 恢复信息。 如果选择“备份恢复密码和密钥包”,则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择“仅备份恢复密码”,则只有恢复密码存储在 AD DS 中。
如果要阻止用户启用 BitLocker 检查,除非计算机已连接到域,并且 BitLocker 恢复信息备份到 AD DS 成功,否则请选择“在恢复信息存储在 AD DS 中为固定数据驱动器启用 BitLocker”框。
注意
如果选中“在固定数据驱动器的 AD DS 中存储恢复信息之前不要启用 BitLocker”检查框,则会自动生成恢复密码。
如果启用此策略设置,则可以控制用户可从受 BitLocker 保护的固定数据驱动器恢复数据的方法。
如果未配置或禁用此策略设置,则 BitLocker 恢复支持默认恢复选项。 默认情况下,允许 DRA,恢复选项可以由用户指定,包括恢复密码和恢复密钥,并且恢复信息不会备份到 AD DS。
数据 ID 元素:
- FDVAllowDRA_Name:允许数据恢复代理
- FDVRecoveryPasswordUsageDropDown_Name和FDVRecoveryKeyUsageDropDown_Name:配置 BitLocker 恢复信息的用户存储
- FDVHideRecoveryPage_Name:省略 BitLocker 安装向导中的恢复选项
- FDVActiveDirectoryBackup_Name:将 BitLocker 恢复信息保存到Active Directory 域服务
- FDVActiveDirectoryBackupDropDown_Name:配置将 BitLocker 恢复信息存储到 AD DS
- FDVRequireActiveDirectoryBackup_Name:在将恢复信息存储在固定数据驱动器的 AD DS 中之前,请勿启用 BitLocker
此节点用于启用此策略的示例值为:
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
“xx”的可能值为:
- true = 显式允许
- false = 未设置策略
“yy”的可能值为:
- 0 = 不允许
- 1 = 必需
- 2 = 允许
“zz”的可能值为:
- 1 = 存储恢复密码和密钥包
- 2 = 仅存储恢复密码
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | FDVRecoveryUsage_Name |
| 友好名称 | 选择如何恢复受 BitLocker 保护的固定驱动器 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | FDVRecovery |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
此策略设置确定在计算机上可写固定数据驱动器是否需要 BitLocker 保护。
如果启用此策略设置,所有不受 BitLocker 保护的固定数据驱动器都将装载为只读。 如果驱动器受 BitLocker 保护,它将装载具有读取和写入访问权限。
如果禁用或未配置此策略设置,将装载计算机上的所有固定数据驱动器,并具有读取和写入访问权限。
此节点用于启用此策略的示例值为: <enabled/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | FDVDenyWriteAccess_Name |
| 友好名称 | 拒绝对不受 BitLocker 保护的固定驱动器的写访问 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 固定数据驱动器 |
| 注册表项名称 | System\CurrentControlSet\Policies\Microsoft\FVE |
| 注册表值名称 | FDVDenyWriteAccess |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/IdentificationField
此策略设置允许将唯一的组织标识符关联到使用 BitLocker 启用的新驱动器。 这些标识符存储为标识字段和允许的标识字段。 标识字段允许你将唯一的组织标识符关联到受 BitLocker 保护的驱动器。 此标识符会自动添加到受 BitLocker 保护的新驱动器,并且可以使用 manage-bde 命令行工具在现有受 BitLocker 保护的驱动器上更新。 在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理以及对 BitLocker To Go 读取器的潜在更新时,需要一个标识字段。 仅当驱动器上的标识字段与标识字段中配置的值匹配时,BitLocker 才会管理和更新数据恢复代理。 以类似的方式,仅当驱动器上的标识字段与为标识字段配置的值匹配时,BitLocker 才会更新 BitLocker To Go 读取器。
允许的标识字段与“拒绝对不受 BitLocker 保护的可移动驱动器的写入访问”策略设置结合使用,以帮助控制组织中可移动驱动器的使用。 它是组织或其他外部组织的标识字段的逗号分隔列表。
可以使用 manage-bde.exe 在现有驱动器上配置标识字段。
- 如果启用此策略设置,则可以在受 BitLocker 保护的驱动器以及组织使用的任何允许的标识字段上配置标识字段。
将受 BitLocker 保护的驱动器装载到另一台启用了 BitLocker 的计算机上时,将使用标识字段和允许的标识字段来确定该驱动器是否来自外部组织。
- 如果禁用或未配置此策略设置,则不需要标识字段。
注意
在受 BitLocker 保护的驱动器上管理基于证书的数据恢复代理时,需要标识字段。 仅当驱动器上存在标识字段且与计算机上配置的值相同时,BitLocker 才会管理和更新基于证书的数据恢复代理。 标识字段可以是 260 个字符或更少的任何值。
数据 ID 元素:
- IdentificationField:这是 BitLocker 标识字段。
- SecIdentificationField:这是允许的 BitLocker 标识字段。
此节点用于启用此策略的示例值为:
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | IdentificationField_Name |
| 友好名称 | 为组织提供唯一标识符 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | IdentificationField |
| ADMX 文件名 | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
此策略设置控制对可移动数据驱动器的 BitLocker 的使用。 打开 BitLocker 时会应用此策略设置。
启用此策略设置后,可以选择控制用户配置 BitLocker 的方式的属性设置。 选择“允许用户对可移动数据驱动器应用 BitLocker 保护”,以允许用户在可移动数据驱动器上运行 BitLocker 安装向导。 选择“允许用户在可移动数据驱动器上暂停和解密 BitLocker”以允许用户从驱动器中删除 BitLocker 驱动器加密,或者在执行维护时暂停加密。 有关暂停 BitLocker 保护的信息,请参阅 BitLocker 基本部署。
如果未配置此策略设置,用户可以在可移动磁盘驱动器上使用 BitLocker。
如果禁用此策略设置,则用户无法在可移动磁盘驱动器上使用 BitLocker。
数据 ID 元素:
- RDVAllowBDE_Name:允许用户对可移动数据驱动器应用 BitLocker 保护。
- RDVDisableBDE_Name:允许用户在可移动数据驱动器上挂起和解密 BitLocker。
此节点用于启用此策略的示例值为:
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | RDVConfigureBDE |
| 友好名称 | 控制在可移动驱动器上使用 BitLocker |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | RDVConfigureBDE |
| ADMX 文件名 | VolumeEncryption.admx |
RemovableDrivesEncryptionType
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。 打开 BitLocker 时会应用此策略设置。 如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。 选择“完全加密”,要求在 BitLocker 处于打开状态时加密整个驱动器。 选择“仅使用的空间加密”,要求在 BitLocker 处于打开状态时,仅对用于存储数据的驱动器部分进行加密。
如果启用此策略设置,则 BitLocker 将用于加密驱动器的加密类型由此策略定义,并且 BitLocker 安装向导中不会显示加密类型选项。
如果禁用或未配置此策略设置,BitLocker 设置向导将要求用户在启用 BitLocker 之前选择加密类型。
此节点用于启用此策略的示例值为:
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
可能值:
- 0:允许用户选择。
- 1:完全加密。
- 2:仅使用空间加密。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 依赖项 [BDEAllowed] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE 依赖项允许值类型: ADMX |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | RDVEncryptionType_Name |
| 友好名称 | 在可移动数据驱动器上强制实施驱动器加密类型 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | RDVEncryptionType |
| ADMX 文件名 | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
启用后,允许从 BitLocker 设备加密中排除通过 USB 接口连接的可移动驱动器和设备。 即使手动,也无法加密排除的设备。 此外,如果配置了“拒绝对不受 BitLocker 保护的可移动驱动器的写入访问”,则不会提示用户进行加密,并且驱动器将以读/写模式装载。 使用磁盘设备的硬件 ID 提供已排除的可移动驱动器\设备的逗号分隔列表。 示例 USBSTOR\SEAGATE_ST39102LW_______0004。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 列表 (分隔符: ,) |
RemovableDrivesRequireEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
此策略设置配置计算机是否需要 BitLocker 保护才能将数据写入可移动数据驱动器。
- 如果启用此策略设置,所有不受 BitLocker 保护的可移动数据驱动器都将装载为只读。 如果驱动器受 BitLocker 保护,它将装载具有读取和写入访问权限。
如果选择了“拒绝对另一个组织中配置的设备的写入访问权限”选项,则只有标识字段与计算机的标识字段匹配的驱动器才会获得写入访问权限。 访问可移动数据驱动器时,将检查其有效标识字段和允许的标识字段。 这些字段由“为组织提供唯一标识符”策略设置定义。
- 如果禁用或未配置此策略设置,将装载计算机上的所有可移动数据驱动器,并具有读取和写入访问权限。
注意
此策略设置可由用户配置\管理模板\系统\可移动存储访问下的策略设置替代。 如果启用了“可移动磁盘:拒绝写入访问”策略设置,则将忽略此策略设置。
数据 ID 元素:
- RDVCrossOrg:拒绝对另一个组织中配置的设备的写入访问权限
此节点用于启用此策略的示例值为:
<enabled/><data id="RDVCrossOrg" value="xx"/>
“xx”的可能值为:
- true = 显式允许
- false = 未设置策略
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | RDVDenyWriteAccess_Name |
| 友好名称 | 拒绝对不受 BitLocker 保护的可移动驱动器的写访问 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 可移动数据驱动器 |
| 注册表项名称 | System\CurrentControlSet\Policies\Microsoft\FVE |
| 注册表值名称 | RDVDenyWriteAccess |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
允许管理员要求使用 BitLocker\Device Encryption 启用加密。
此节点用于启用此策略的示例值:
1
禁用策略不会关闭系统驱动器上的加密。 但会停止提示用户将其打开。
注意
使用此 CSP 进行无提示加密时,目前仅支持完整磁盘加密。 对于非无提示加密,加密类型将依赖于 SystemDrivesEncryptionType 并在 FixedDrivesEncryptionType 设备上配置。
使用 Get 操作检查 OS 卷和可加密固定数据卷的状态。 通常,BitLocker/Device Encryption 将遵循 EncryptionMethodByDriveType 策略设置为的任意值。 但是,对于自加密固定驱动器和自加密 OS 驱动器,将忽略此策略设置。
可加密固定数据卷的处理方式与 OS 卷类似。 但是,固定数据卷必须满足其他条件才能被视为可加密:
- 它不能是动态卷。
- 它不能是恢复分区。
- 它不能是隐藏卷。
- 它不能是系统分区。
- 它不能由虚拟存储提供支持。
- 它不能在 BCD 存储中具有引用。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 禁用。 如果未设置策略设置或设置为 0,则不会检查设备的强制状态。 该策略不会强制加密,也不会解密加密卷。 |
| 1 | 启用。 检查设备的强制状态。 将此策略设置为 1 会根据 AllowWarningForOtherDiskEncryption 策略) 以静默或非无提示方式触发所有驱动器 (加密。 |
示例:
禁用 RequireDeviceEncryption:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
注意
此策略已弃用,可能会在将来的版本中删除。
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
允许管理员在设备上要求存储卡加密。
此策略仅适用于移动 SKU。
此节点用于启用此策略的示例值:
1
禁用策略不会关闭存储卡上的加密。 但会停止提示用户将其打开。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 默认值 | 0 |
允许的值:
| 值 | 说明 |
|---|---|
| 0(默认值) | 不需要加密存储卡。 |
| 1 | 要求对存储卡进行加密。 |
RotateRecoveryPasswords
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1909 [10.0.18363] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
允许管理员在Microsoft Entra ID或混合联接的设备上推送 OS 和固定数据驱动器的所有数字恢复密码的一次性轮换。
此策略为“执行类型”,并在从 MDM 工具颁发时轮换所有数字密码。
仅当恢复密码的 Active Directory 备份配置为“必需”时,策略才会生效。
对于 OS 驱动器,请启用“在将恢复信息存储到操作系统驱动器Active Directory 域服务之前不要启用 BitLocker”。
对于固定驱动器,请启用“在将恢复信息存储到固定数据驱动器Active Directory 域服务之前,不要启用 BitLocker”。
客户端返回状态DM_S_ACCEPTED_FOR_PROCESSING以指示轮换已开始。 服务器可以使用以下状态节点查询状态:
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID。
支持的值:请求 ID 的字符串形式。 请求 ID 的示例格式为 GUID。 服务器可以根据管理工具根据需要选择格式。
注意
仅这些注册类型支持密钥轮换。 有关详细信息,请参阅 deviceEnrollmentType 枚举。
- windowsAzureADJoin。
- windowsBulkAzureDomainJoin。
- windowsAzureADJoinUsingDeviceAuth。
- windowsCoManagement。
提示
密钥轮换功能仅在:
对于操作系统驱动器:
- OSRequireActiveDirectoryBackup_Name设置为 1 (“必需”) 。
- OSActiveDirectoryBackup_Name设置为 true。
对于固定数据驱动器:
- FDVRequireActiveDirectoryBackup_Name设置为 1 = (“Required”) 。
- FDVActiveDirectoryBackup_Name设置为 true。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | Exec |
状态
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/Status
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | node |
| 访问类型 | “获取” |
Status/DeviceEncryptionStatus
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1903 [10.0.18362] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
此节点报告系统上设备加密的符合性状态。
值“0”表示设备符合要求。 任何其他值表示不符合的设备。
此值表示具有每个位的位掩码以及下表所述的相应错误代码:
| 位 | 错误代码 |
|---|---|
| 0 | BitLocker 策略要求用户同意启动 BitLocker 驱动器加密向导才能开始加密 OS 卷,但用户不同意。 |
| 1 | OS 卷的加密方法与 BitLocker 策略不匹配。 |
| 2 | OS 卷不受保护。 |
| 3 | BitLocker 策略需要 OS 卷的仅限 TPM 的保护程序,但不使用 TPM 保护。 |
| 4 | BitLocker 策略要求对 OS 卷使用 TPM+PIN 保护,但未使用 TPM+PIN 保护程序。 |
| 5 | BitLocker 策略需要 OS 卷的 TPM+启动密钥保护,但不使用 TPM+启动密钥保护程序。 |
| 6 | BitLocker 策略要求对 OS 卷使用 TPM+PIN+启动密钥保护,但未使用 TPM+PIN+启动密钥保护程序。 |
| 7 | BitLocker 策略需要 TPM 保护程序来保护 OS 卷,但不使用 TPM。 |
| 8 | 恢复密钥备份失败。 |
| 9 | 固定驱动器不受保护。 |
| 10 | 固定驱动器的加密方法与 BitLocker 策略不匹配。 |
| 11 | 若要加密驱动器,BitLocker 策略要求用户以管理员身份登录,或者如果设备已加入Microsoft Entra ID,则 AllowStandardUserEncryption 策略必须设置为 1。 |
| 12 | 未配置 Windows 恢复环境 (WinRE) 。 |
| 13 | TPM 不可用于 BitLocker,可能是因为它不存在、在注册表中不可用,或者操作系统位于可移动驱动器上。 |
| 14 | TPM 尚未准备好用于 BitLocker。 |
| 15 | 网络不可用,这是恢复密钥备份所必需的。 |
| 16 | 完整磁盘与仅使用空间加密的 OS 卷的加密类型与 BitLocker 策略不匹配。 |
| 17 | 用于完整磁盘的固定驱动器与仅使用空间加密的加密类型与 BitLocker 策略不匹配。 |
| 18-31 | 供将来使用。 |
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | “获取” |
Status/RemovableDrivesEncryptionStatus
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
此节点报告删除驱动器加密的符合性状态。 “0”值表示删除驱动器按照所有设置的删除驱动器设置进行加密。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | “获取” |
Status/RotateRecoveryPasswordsRequestID
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1909 [10.0.18363] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
此节点报告与 RotateRecoveryPasswordsStatus 对应的 RequestID。
需要与 RotateRecoveryPasswordsStatus 同步查询此节点,以确保状态与请求 ID 正确匹配。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | “获取” |
Status/RotateRecoveryPasswordsStatus
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1909 [10.0.18363] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
此节点报告 RotateRecoveryPasswords 请求的状态。
状态代码可以是以下代码之一:
NotStarted (2) 、挂起 (1) 、传递 (0) 、失败时的其他错误代码。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | “获取” |
SystemDrivesDisallowStandardUsersCanChangePIN
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
此策略设置允许配置是否允许标准用户更改 BitLocker 卷 PIN,前提是他们能够先提供现有 PIN。
打开 BitLocker 时会应用此策略设置。
如果启用此策略设置,则不允许标准用户更改 BitLocker PIN 或密码。
如果禁用或未配置此策略设置,将允许标准用户更改 BitLocker PIN 和密码。
注意
若要更改 PIN 或密码,用户必须能够提供当前的 PIN 或密码。
此节点用于禁用此策略的示例值为: <disabled/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DisallowStandardUsersCanChangePIN_Name |
| 友好名称 | 禁止标准用户更改 PIN 或密码 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | DisallowStandardUserPINReset |
| ADMX 文件名 | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
此策略设置允许用户打开需要预启动环境中用户输入的身份验证选项,即使平台缺少预启动输入功能也是如此。
Windows 触摸键盘 ((例如平板电脑) 使用的键盘)在 BitLocker 需要其他信息(如 PIN 或密码)的预启动环境中不可用。
如果启用此策略设置,设备必须具有预启动输入 (的替代方法,例如附加的 USB 键盘) 。
如果未启用此策略,则必须在平板电脑上启用 Windows 恢复环境,以支持输入 BitLocker 恢复密码。 如果未启用 Windows 恢复环境且未启用此策略,则无法在使用 Windows 触摸键盘的设备上打开 BitLocker。
请注意,如果未启用此策略设置,“启动时需要其他身份验证”策略中的选项在此类设备上可能不可用。 这些选项包括:
- 配置 TPM 启动 PIN:必需/允许
- 配置 TPM 启动密钥和 PIN:必需/允许
- 为操作系统驱动器配置密码的使用。
此节点用于启用此策略的示例值为: <enabled/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnablePrebootInputProtectorsOnSlates_Name |
| 友好名称 | 启用 BitLocker 身份验证,要求在平板电脑上预启动键盘输入 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | OSEnablePrebootInputProtectorsOnSlates |
| ADMX 文件名 | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
此策略设置允许符合 InstantGo 或 Microsoft 硬件安全测试接口 (HSTI) 的用户没有用于预启动身份验证的 PIN。 这将覆盖合规硬件上“启动时需要其他身份验证”策略的“需要使用 TPM 启动 PIN”和“需要使用 TPM 的启动密钥和 PIN”选项。
如果启用此策略设置,则符合 InstantGo 和 HSTI 标准的设备上的用户可以选择在没有预启动身份验证的情况下打开 BitLocker。
如果未启用此策略,则应用“启动时需要其他身份验证”策略的选项。
此节点用于启用此策略的示例值为: <enabled/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnablePreBootPinExceptionOnDECapableDevice_Name |
| 友好名称 | 允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN。 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | OSEnablePreBootPinExceptionOnDECapableDevice |
| ADMX 文件名 | VolumeEncryption.admx |
SystemDrivesEncryptionType
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
此策略设置允许配置 BitLocker 驱动器加密使用的加密类型。 打开 BitLocker 时会应用此策略设置。 如果驱动器已加密或加密正在进行中,则更改加密类型不起作用。 选择“完全加密”,要求在 BitLocker 处于打开状态时加密整个驱动器。 选择“仅使用的空间加密”,要求在 BitLocker 处于打开状态时,仅对用于存储数据的驱动器部分进行加密。
如果启用此策略设置,则 BitLocker 将用于加密驱动器的加密类型由此策略定义,并且 BitLocker 安装向导中不会显示加密类型选项。
如果禁用或未配置此策略设置,BitLocker 设置向导将要求用户在启用 BitLocker 之前选择加密类型。
此节点用于启用此策略的示例值为:
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
可能值:
- 0:允许用户选择。
- 1:完全加密。
- 2:仅使用空间加密。
注意
收缩或扩展卷时忽略此策略,BitLocker 驱动程序使用当前加密方法。
例如,当扩展使用仅使用空间加密的驱动器时,不会像使用完全加密的驱动器那样擦除新的可用空间。 用户可以使用以下命令擦除“仅使用的空间”驱动器上的可用空间: manage-bde -w。 如果卷收缩,则不会对新的可用空间执行任何操作。
有关用于管理 BitLocker 的工具的详细信息,请参阅 manage-bde。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | OSEncryptionType_Name |
| 友好名称 | 在操作系统驱动器上强制实施驱动器加密类型 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | OSEncryptionType |
| ADMX 文件名 | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 2009 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
使用此策略设置,可以配置是否将增强的启动 PIN 与 BitLocker 一起使用。
增强的启动 PIN 允许使用字符,包括大写字母和小写字母、符号、数字和空格。 打开 BitLocker 时会应用此策略设置。
- 如果启用此策略设置,所有新的 BitLocker 启动 PIN 集都将增强。
注意
并非所有计算机在预启动环境中都支持增强型 PIN。 强烈建议用户在 BitLocker 设置期间执行系统检查。
- 如果禁用或未配置此策略设置,则不会使用增强型 PIN。
此节点用于启用此策略的示例值为: <enabled/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | EnhancedPIN_Name |
| 友好名称 | 允许用于启动的增强型 PIN |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| 注册表值名称 | UseEnhancedPin |
| ADMX 文件名 | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
此策略设置允许配置受信任的平台模块的最小长度 (TPM) 启动 PIN。 打开 BitLocker 时会应用此策略设置。 启动 PIN 的最小长度必须为 4 位,最大长度为 20 位。
如果启用此策略设置,则可以要求在设置启动 PIN 时使用最少的位数。
如果禁用或未配置此策略设置,用户可以配置 6 到 20 位之间的任意长度的启动 PIN。
注意
如果最小 PIN 长度设置为低于 6 位,则 Windows 将尝试在更改 PIN 时将 TPM 2.0 锁定期更新为大于默认值。 如果成功,仅当重置 TPM 时,Windows 才会将 TPM 锁定期重置回默认值。
注意
在 Windows 10版本 1703 版本 B 中,可以使用 4 位的最小 PIN 长度。
此节点用于启用此策略的示例值为:
<enabled/><data id="MinPINLength" value="xx"/>
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | MinimumPINLength_Name |
| 友好名称 | 为启动配置最小 PIN 长度 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
此策略设置允许配置整个恢复消息或替换在 OS 驱动器锁定时预启动密钥恢复屏幕上显示的现有 URL。
如果选择“使用默认恢复消息和 URL”选项,默认的 BitLocker 恢复消息和 URL 将显示在预启动密钥恢复屏幕中。 如果以前配置了自定义恢复消息或 URL,并且想要还原到默认消息,则必须保持策略启用状态,并选择“使用默认恢复消息和 URL”选项。
如果选择“使用自定义恢复消息”选项,在“自定义恢复消息选项”文本框中键入的消息将显示在预启动密钥恢复屏幕中。 如果恢复 URL 可用,请将其包含在消息中。
如果选择“使用自定义恢复 URL”选项,在“自定义恢复 URL 选项”文本框中键入的 URL 将替换默认恢复消息中的默认 URL,该消息将显示在预启动密钥恢复屏幕中。
注意
预启动并非支持所有字符和语言。 强烈建议测试用于自定义消息或 URL 的字符是否在预启动恢复屏幕上正确显示。
数据 ID 元素:
- PrebootRecoveryInfoDropDown_Name:选择预启动恢复消息的选项。
- RecoveryMessage_Input:自定义恢复消息
- RecoveryUrl_Input:自定义恢复 URL
此节点用于启用此策略的示例值为:
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
“xx”的可能值为:
- 0 = 空
- 1 = 使用默认恢复消息和 URL (在这种情况下,无需为“RecoveryMessage_Input”或“RecoveryUrl_Input”) 指定值。
- 2 = 自定义恢复消息已设置。
- 3 = 已设置自定义恢复 URL。
“yy”和“zz”的可能值是最大长度分别为 900 和 500 的字符串。
注意
- 启用 SystemDrivesRecoveryMessage 时,必须指定所有三个设置的值, (预启动恢复屏幕、恢复消息和恢复 URL) ,否则它将 (500 返回状态) 失败。 例如,如果仅指定消息和 URL 的值,则返回状态为 500。
- 预启动并非支持所有字符和语言。 强烈建议测试用于自定义消息或 URL 的字符是否在预启动恢复屏幕上正确显示。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | PrebootRecoveryInfo_Name |
| 友好名称 | 配置预启动恢复消息和 URL |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | Software\Policies\Microsoft\FVE |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
通过此策略设置,可以控制在没有所需的启动密钥信息的情况下如何恢复受 BitLocker 保护的操作系统驱动器。 打开 BitLocker 时会应用此策略设置。
“允许基于证书的数据恢复代理”检查框用于指定数据恢复代理是否可以与受 BitLocker 保护的操作系统驱动器一起使用。 必须先从 组策略 管理控制台或本地组策略 编辑器中的“公钥策略”项添加数据恢复代理,然后才能使用这些数据恢复代理。 有关添加数据恢复代理的详细信息,请参阅 Microsoft TechNet 上的 BitLocker 驱动器加密部署指南。
在“配置 BitLocker 恢复信息的用户存储”中,选择是允许、需要还是不允许用户生成 48 位恢复密码或 256 位恢复密钥。
选择“从 BitLocker 安装向导中省略恢复选项”,以防止用户在驱动器上打开 BitLocker 时指定恢复选项。 这意味着,在打开 BitLocker 时,无法指定要使用的恢复选项,而驱动器的 BitLocker 恢复选项由策略设置决定。
在“将 BitLocker 恢复信息保存到Active Directory 域服务”中,选择要在操作系统驱动器的 AD DS 中存储的 BitLocker 恢复信息。 如果选择“备份恢复密码和密钥包”,则 BitLocker 恢复密码和密钥包都存储在 AD DS 中。 存储密钥包支持从物理损坏的驱动器恢复数据。 如果选择“仅备份恢复密码”,则只有恢复密码存储在 AD DS 中。
如果要阻止用户启用 BitLocker 检查,除非计算机已连接到域,并且 BitLocker 恢复信息备份到 AD DS 成功,否则请选择“在恢复信息存储在 AD DS 中用于操作系统驱动器的 AD DS 之前不要启用 BitLocker”框。
注意
如果选中“在操作系统驱动器的 AD DS 中存储恢复信息之前不要启用 BitLocker”检查框,则会自动生成恢复密码。
如果启用此策略设置,则可以控制用户可从受 BitLocker 保护的操作系统驱动器恢复数据的方法。
如果禁用或未配置此策略设置,则 BitLocker 恢复支持默认恢复选项。 默认情况下,允许 DRA,恢复选项可以由用户指定,包括恢复密码和恢复密钥,并且恢复信息不会备份到 AD DS。
数据 ID 元素:
- OSAllowDRA_Name:允许基于证书的数据恢复代理
- OSRecoveryPasswordUsageDropDown_Name和OSRecoveryKeyUsageDropDown_Name:配置 BitLocker 恢复信息的用户存储
- OSHideRecoveryPage_Name:省略 BitLocker 安装向导中的恢复选项
- OSActiveDirectoryBackup_Name和OSActiveDirectoryBackupDropDown_Name:将 BitLocker 恢复信息保存到Active Directory 域服务
- OSRequireActiveDirectoryBackup_Name:在操作系统驱动器的恢复信息存储在 AD DS 中之前,不要启用 BitLocker
此节点用于启用此策略的示例值为:
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
“xx”的可能值为:
- true = 显式允许
- false = 未设置策略
“yy”的可能值为:
- 0 = 不允许
- 1 = 必需
- 2 = 允许
“zz”的可能值为:
- 1 = 存储恢复密码和密钥包。
- 2 = 仅存储恢复密码。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | OSRecoveryUsage_Name |
| 友好名称 | 选择如何恢复受 BitLocker 保护的操作系统驱动器 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | OSRecovery |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
使用此策略设置,可以配置每次启动计算机时 BitLocker 是否需要其他身份验证,以及是否使用具有受信任的平台模块的 BitLocker (TPM) 。 打开 BitLocker 时会应用此策略设置。
注意
启动时只能需要一个附加的身份验证选项,否则会发生策略错误。
如果要在没有 TPM 的计算机上使用 BitLocker,请选择“允许没有兼容的 TPM 的 BitLocker”检查框。 在此模式下,启动需要密码或 U 盘。 使用启动密钥时,用于加密驱动器的密钥信息存储在 U 盘上,从而创建 USB 密钥。 插入 USB 密钥时,将对驱动器的访问进行身份验证,并且可以访问驱动器。 如果 USB 密钥丢失或不可用,或者忘记了密码,则需要使用 BitLocker 恢复选项之一来访问驱动器。
在具有兼容 TPM 的计算机上,启动时可以使用四种类型的身份验证方法,为加密数据提供额外的保护。 当计算机启动时,它只能使用 TPM 进行身份验证,也可能要求插入包含启动密钥的 U 盘、输入 6 位到 20 位个人标识号 (PIN) ,或同时插入这两者。
如果启用此策略设置,用户可以在 BitLocker 安装向导中配置高级启动选项。
如果禁用或不配置此策略设置,则用户只能在具有 TPM 的计算机上配置基本选项。
注意
如果要要求使用启动 PIN 和 U 盘,则必须使用命令行工具 manage-bde 而不是 BitLocker 驱动器加密设置向导来配置 BitLocker 设置。
注意
- 在 Windows 10版本 1703 版本 B 中,可以使用至少 4 位数的 PIN。 必须将 SystemDrivesMinimumPINLength 策略设置为允许 PIN 短于 6 位。
- 通过硬件安全可测试性规范 (HSTI) 验证或新式待机设备的设备将无法使用此 CSP 配置启动 PIN。 用户需要手动配置 PIN。 数据 ID 元素:
- ConfigureNonTPMStartupKeyUsage_Name = 允许没有兼容的 TPM 的 BitLocker (需要 USB 闪存驱动器上的密码或启动密钥) 。
- ConfigureTPMStartupKeyUsageDropDown_Name = 具有 TPM) 配置 TPM 启动密钥的计算机的 (。
- ConfigurePINUsageDropDown_Name = 具有 TPM) 配置 TPM 启动 PIN 的计算机的 (。
- ConfigureTPMPINKeyUsageDropDown_Name = 具有 TPM) 配置 TPM 启动密钥和 PIN 的计算机的 (。
- ConfigureTPMUsageDropDown_Name = 具有 TPM) 配置 TPM 启动的计算机的 (。
此节点用于启用此策略的示例值为:
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
“xx”的可能值为:
- true = 显式允许
- false = 未设置策略
“yy”的可能值为:
- 2 = 可选
- 1 = 必需
- 0 = 不允许
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ConfigureAdvancedStartup_Name |
| 友好名称 | 启动时需要其他身份验证 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\FVE |
| 注册表值名称 | UseAdvancedStartup |
| ADMX 文件名 | VolumeEncryption.admx |
示例:
若要禁用此策略,请使用以下 SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SyncML 示例
以下示例用于显示正确的格式,不应将其视为建议。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈