分享方式:


使用 Intune 管理 Windows 裝置的磁碟加密原則

使用 Intune 在執行 Windows 10 或更新版本的裝置上設定 BitLocker 加密,並在執行版本 22H2 或更新版本的裝置上 (PDE Windows 11) 個人資料加密。

提示

BitLocker 的某些設定需要裝置具有支援的 TPM。

若要在受管理的裝置上設定加密,請使用下列其中一種原則類型:

提示

Intune 提供內建的加密報告,可在您所有受管理的裝置上顯示裝置加密狀態的詳細資料。 在 Intune 使用 BitLocker 加密 Windows 裝置之後,您可以在檢視加密報告時,查看並管理 BitLocker 修復金鑰。

您也可以從裝置存取 BitLocker 的重要資訊,如 Microsoft Entra ID 中所示。

重要事項

啟用 BitLocker 之前,請先了解並規劃符合組織需求的 復原選項 。 如需詳細資訊,請從 Windows 安全性檔中的 BitLocker 復原概觀 開始。

用來管理 BitLocker 的角色型訪問控制

若要在 Intune 中管理 BitLocker,帳戶必須獲指派 Intune 角色型訪問控制 (RBAC) 角色,其中包含具有 Rotate BitLockerKeys (預覽) 權限設為 [] 的遠端工作許可權。

您可以將此權限與權限新增至您自己的 自訂 RBAC 角色 ,或使用下列其中一個包含此權限 的內建 RBAC 角色

  • 技術支援中心操作員
  • 端點安全性系統管理員

建立和部署原則

使用下列其中一個程式來建立您偏好的原則類型。

建立 Windows 的端點安全策略

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [端點安全>性磁碟加密>建立原則]

  3. 設定下列選項:

    1. 平臺:Windows
    2. 配置檔:選擇 BitLocker個人資料加密

    Windows 加密設定檔選取介面的螢幕快照。

  4. 在 [ 組態設定 ] 頁面上,設定 BitLocker 的設定以符合您的商務需求。

    選取 [下一步]

  5. 在 [ 範圍 (標籤) ] 頁面上,選擇 [ 選取範圍卷標 ] 以開啟 [選取卷標] 窗格,將範圍卷標指派給配置檔。

    選取 [下一步] 繼續。

  6. 在 [ 指派] 頁面上,選取接收此配置檔的群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔。

    選取 [下一步]

  7. 完成後,在 [檢閱及建立] 頁面上選擇 [建立]。 新的設定檔會在您選取所建立設定檔的原則類型時顯示在清單中。

建立 Windows 加密的裝置組態配置檔

提示

下列程式會透過裝置組態範本設定 BitLocker 以進行 Endpoint Protection。 若要設定個人資料加密,請使用裝置 組態設定目錄PDE 類別目錄。

  1. 登入 Microsoft Intune 系統管理中心

  2. 在 [原則]索引>標籤上選取 [裝置>管理裝置>設定],然後選取 [建立]

  3. 設定下列選項:

    1. 平臺Windows 10 及更新版本
    2. 配置檔類型:選取 [範本>端點保護],然後選取 [ 建立]

    選取您的 BitLocker 設定檔

  4. 在 [ 組態設定] 頁面上,展開 [Windows 加密]

    選取 Windows 加密設定

  5. 設定 BitLocker 的設定,以符合您的商務需求。

    如果您想要以無訊息方式啟用 BitLocker,請參閱本文 中的在裝置上以無訊息方式啟用 BitLocker,以取得您必須使用的額外必要條件和特定設定組態。

  6. 選取 [下一步] 繼續。

  7. 完成其他設定的設定,然後儲存配置檔。

管理 BitLocker

下列主題可協助您透過 BitLocker 原則管理特定工作,以及管理修復密鑰:

若要檢視接收 BitLocker 原則之裝置的相關信息,請參閱 監視磁碟加密

在裝置上以無訊息方式啟用 BitLocker

您可以設定一個原則,讓 BitLocker 自動和無訊息地加密裝置,而不向用戶呈現任何 UI,即使該使用者不是裝置上的本機系統管理員也一樣。

若要成功,裝置必須符合下列 裝置必要條件、接收適用的設定以以無訊息方式啟用 BitLocker,而且不能有需要使用 TPM 啟動 PIN 或密鑰的設定。 使用啟動 PIN 或金鑰與無訊息加密不相容,因為它需要用戶互動。

裝置必要條件

裝置必須符合下列條件,才能以無訊息方式啟用 BitLocker:

  • 如果終端使用者以系統管理員的身分登入裝置,裝置必須執行 Windows 10 版本 1803 或更新版本,或 Windows 11。
  • 如果終端使用者以標準使用者的身分登入裝置,裝置必須執行 Windows 10 版本 1809 或更新版本,或 Windows 11。
  • 裝置必須 Microsoft Entra 加入或 Microsoft Entra 混合式聯結。
  • 裝置必須至少包含 TPM (信賴平台模組) 1.2 版。
  • BIOS 模式必須設定為僅限原生 UEFI。

以無訊息方式啟用 BitLocker 的必要設定

根據您用來以無訊息方式啟用 BitLocker 的原則類型,設定下列設定。 這兩種方法都會透過 Windows 裝置上的 Windows 加密 CSP 來管理 BitLocker。

  • 端點安全 性磁碟加密 原則 - 在 BitLocker 配置檔中設定下列設定:

    • 需要裝置加密 = 啟用
    • 允許其他磁碟加密 = 的警告禁用

    啟用無訊息加密所需的兩個 BitLocker 設定。

    除了兩個必要設定之外,請考慮使用設定 復原密碼輪替

  • 裝置設定 端點保護 原則 - 在 Endpoint Protection 範本或 自訂設定 設定檔中設定下列設定:

    • 其他磁碟加密的 = 警告區塊
    • 允許標準使用者在 Microsoft Entra 加入 = 允許期間啟用加密
    • 使用者建立修復金鑰 = 允許或不允許 256 位修復金鑰
    • 使用者建立修復密碼 = 允許或需要 48 位數的修復密碼

TPM 啟動 PIN 或金鑰

裝置 不得設定為需要 啟動 PIN 或啟動金鑰。

當裝置上需要 TPM 啟動 PIN 或啟動金鑰時,BitLocker 無法在裝置上以無訊息方式啟用,而是需要終端用戶的互動。 您可以在端點保護範本和 BitLocker 原則中取得設定 TPM 啟動 PIN 或金鑰的設定。 根據預設,這些原則不會設定這些設定。

以下是每個設定檔類型的相關設定:

端點安全性磁碟加密原則 - 只有在您展開 [系統管理範本] 類別,然後在 [Windows 元件 > BitLocker 磁碟驅動器加密操作系統磁碟驅動器>] 區段中將 [啟動時需要額外的驗證] 設定為 [啟用] 之後,才會顯示 TPM 設定。 設定之後,即可使用下列 TPM 設定:

  • 設定 TPM 啟動金鑰和 PIN - 將此設定為 不允許使用 TPM 的啟動金鑰和 PIN

  • 設定 TPM 啟動 PIN - 將此設定為 不允許使用 TPM 啟動 PIN

  • 設定 TPM 啟動 - 將此設定為 [允許 TPM ] 或 [需要 TPM]

  • 設定 TPM 啟動金鑰 - 將此設定為 不允許使用 TPM 的啟動金鑰

裝置設定原則 - 在 Endpoint Protection 範本中,您會在 [Windows 加密 ] 類別中找到下列設定:

  • 相容的 TPM 啟動 - 將此設定為 允許 TPM需要 TPM
  • 相容的 TPM 啟動 PIN - 將此設定為 不允許使用 TPM 啟動 PIN
  • 相容的 TPM 啟動金鑰 - 將此設定為 不允許使用 TPM 的啟動金鑰
  • 相容的 TPM 啟動金鑰和 PIN - 將此設定為 不允許使用 TPM 啟動金鑰和 PIN

警告

雖然端點安全性或裝置設定原則預設都不會設定 TPM 設定,但某些版本的 適用於端點的 Microsoft Defender 安全性基準預設會設定相容的 TPM 啟動 PIN相容 TPM 啟動密鑰。 這些設定可能會封鎖 BitLocker 的無訊息啟用。

如果您將此基準部署到想要以無訊息方式啟用 BitLocker 的裝置,請檢閱基準設定以瞭解可能的衝突。 若要移除衝突,請重新設定基準中的設定以移除衝突,或移除適用的裝置,以接收設定封鎖 BitLocker 無訊息啟用之 TPM 設定的基準實例。

完整磁碟與僅使用的空間加密

三個設定會決定 OS 磁碟驅動器是透過僅加密已使用的空間來加密,還是透過完整磁碟加密來加密:

  • 裝置的硬體是否具備 新式待命 功能
  • 是否已針對 BitLocker 設定無訊息啟用
    • (『警告其他磁碟加密』= 封鎖或「隱藏有關第三方加密的提示」 = 是)
  • SystemDrivesEncryptionType 的組態
    • (在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型)

假設未設定 SystemDrivesEncryptionType,則預期會有下列行為。 當新式待命裝置上設定無訊息啟用時,OS 磁碟驅動器會使用僅限使用的空間加密來加密。 在無法進行新式待命的裝置上設定無訊息啟用時,系統會使用完整磁碟加密來加密 OS 磁碟驅動器。 無論您使用 BitLocker 的端點安全性磁碟加密 原則,或是針對 BitLocker 使用端點保護的裝置組態配置檔,結果都相同。 如果需要不同的結束狀態,可以使用設定目錄設定 SystemDrivesEncryptionType 來控制加密類型。

若要確認硬體是否具備新式待命功能,請從命令提示字元執行下列命令:

powercfg /a

如果裝置支援新式待命,則會顯示 [待命 (S0 低電源閑置) 網路連線可用

命令提示字元的螢幕快照,其中顯示可用待命狀態 S0 的 powercfg 命令輸出。

如果裝置不支援新式待命,例如虛擬機,則會顯示不支援待命 (S0 低電源閑置) 網路連線

命令提示字元的螢幕快照,其中顯示待命狀態 S0 無法使用的powercfg 命令輸出。

若要確認加密類型,請從提升許可權的 (系統管理員) 命令提示字元執行下列命令:

manage-bde -status c:

[轉換狀態] 字段會將加密類型反映為 [僅使用空間加密] 或 [完全加密]。

系統管理命令提示字元的螢幕快照,其中顯示轉換狀態反映完全加密的 manage-bde 輸出。

系統管理命令提示字元的螢幕快照,其中顯示 manage-bde 的輸出,其轉換狀態僅反映使用的空間加密。

若要變更完整磁碟加密與僅限使用空間加密之間的磁碟加密類型,請在設定目錄中使用[在操作系統磁碟驅動器上強制執行磁碟驅動器加密類型] 設定。

Intune 設定目錄的螢幕快照,其中顯示在操作系統磁碟驅動器上強制執行磁碟驅動器加密類型

檢視修復金鑰的詳細數據

Intune 提供對 BitLocker Microsoft Entra 節點的存取,因此您可以從 Microsoft Intune 系統管理中心內檢視 Windows 10/11 裝置的 BitLocker 金鑰標識碼和修復金鑰。 檢視修復金鑰的支援也可以 延伸到租用戶連結的裝置

若要存取,裝置必須將其密鑰委付為 Microsoft Entra。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>][所有裝置]

  3. 從清單中選取裝置,然後在 [監視] 下選取 [ 修復密鑰]

  4. [顯示修復金鑰]。 選取此選項會在 『KeyManagement』 活動下產生稽核記錄專案。

    當金鑰可在 Microsoft Entra 中使用時,可以使用下列資訊:

    • BitLocker 金鑰標識碼
    • BitLocker 修復金鑰
    • 磁碟驅動器類型

    當金鑰不在 Microsoft Entra 時,Intune 顯示此裝置找不到 BitLocker 金鑰

注意事項

目前,Microsoft Entra ID 支援每個裝置最多 200 個 BitLocker 修復密鑰。 如果您達到此限制,無訊息加密將會失敗,因為在裝置上開始加密之前,修復密鑰備份失敗。

BitLocker 的資訊是使用 BitLocker 設定服務提供者 (CSP) 取得。 Windows 10 1703 版和更新版本、Windows 10 專業版 1809 版和更新版本,以及 Windows 11 版都支援 BitLocker CSP。

IT 系統管理員必須在 Microsoft Entra ID 內擁有特定許可權,才能查看裝置 BitLocker 修復密鑰:microsoft.directory/bitlockerKeys/key/read。 Microsoft Entra ID 內有一些角色隨附於此許可權,包括雲端裝置系統管理員、技術支援人員系統管理員等。如需哪些 Microsoft Entra 角色具有哪些許可權的詳細資訊,請參閱 Microsoft Entra 內建角色

系統會稽核所有 BitLocker 修復金鑰存取。 如需稽核記錄項目的詳細資訊,請參閱 Azure 入口網站 稽核記錄。

注意事項

如果您針對受 BitLocker 保護的已加入 Microsoft Entra 裝置刪除 Intune 物件,刪除會觸發 Intune 裝置同步處理,並移除作業系統磁碟區的密鑰保護裝置。 拿掉金鑰保護裝置會讓 BitLocker 在該磁碟區上處於暫停狀態。 這是必要的,因為已加入 Microsoft Entra 裝置的 BitLocker 修復資訊會附加至 Microsoft Entra 計算機物件,而刪除它可能會讓您無法從 BitLocker 復原事件復原。

檢視租用戶連結裝置的修復密鑰

當您使用租使用者附加案例時,Microsoft Intune 可以顯示租用戶連結裝置的修復密鑰數據。

  • 若要支持顯示租用戶連結裝置的修復密鑰,您的 Configuration Manager 網站必須執行 2107 版或更新版本。 針對執行 2107 的網站,您必須安裝更新匯總以支援已加入 Microsoft Entra 裝置:請參閱KB11121541

  • 若要檢視修復密鑰,您的 Intune 帳戶必須具有 Intune RBAC 許可權才能檢視 BitLocker 金鑰,而且必須與具有集合角色 Configuration Manager 相關許可權的內部部署使用者相關聯,且具有讀取許可權>讀取 BitLocker 修復密鑰許可權。 如需詳細資訊,請參閱設定 Configuration Manager 的角色型系統管理

輪替 BitLocker 修復金鑰

您可以使用 Intune 裝置動作,從遠端輪替執行 Windows 10 1909 版或更新版本之裝置的 BitLocker 修復金鑰,並 Windows 11。

必要條件

裝置必須符合下列必要條件,才能支援 BitLocker 修復金鑰的輪替:

  • 裝置必須 Windows 10 1909 版或更新版本執行,或 Windows 11

  • Microsoft Entra 加入和 Microsoft Entra 混合式聯結裝置必須支援透過 BitLocker 原則設定啟用金鑰輪替:

    • 用戶端驅動的修復密碼輪替,以在已加入 Microsoft Entra 裝置上啟用輪替,或在已加入混合式的裝置上啟用 Microsoft Entra ID 和 Microsoft Entra 輪
    • 將 BitLocker 復原資訊儲存至 Microsoft Entra ID
    • 在啟用 BitLocker 至必要專案之前,請先將復原資訊儲存在 Microsoft Entra ID

如需 BitLocker 部署和需求的相關信息,請參閱 BitLocker 部署比較圖表

旋轉 BitLocker 修復金鑰

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>][所有裝置]

  3. 在您管理的裝置清單中,選取裝置,然後選取 BitLocker 金鑰旋轉 遠端動作。 如果此選項應該可供使用但看不到,請選取省略號 (...) ,然後選取 BitLocker 鍵旋轉

  4. 在裝置的 [ 概觀 ] 頁面上,選取 BitLocker 金鑰輪替。 如果您沒有看到此選項,請選取省略號 (...) 以顯示所有選項,然後選取 BitLocker 金鑰旋轉 裝置遠端動作。

    選取省略號以檢視更多選項

自助式修復金鑰

為了協助終端使用者取得其修復密鑰,而不需要呼叫公司技術服務人員,Intune 透過 公司入口網站 應用程式為使用者啟用自助案例

雖然 Intune 有助於設定原則來定義 BitLocker 修復密鑰的委付,但這些密鑰會儲存在 Entra ID 內。 這些是 Entra ID 內的功能,有助於與終端使用者的自助式 BitLocker 修復金鑰存取搭配使用。

  1. 全租使用者切換以防止非系統管理員使用者的修復密鑰存取:此設定會決定使用者是否可以使用自助服務來復原其 BitLocker 密鑰。 預設值為 『No』,可讓所有用戶復原其 BitLocker 金鑰。 [是] 會限制非系統管理員使用者在有的話,無法看到自己裝置的 BitLocker 金鑰。 在 Entra ID 中深入瞭解此控制件

  2. 復原金鑰存取的稽核:Entra ID 入口網站內的稽核記錄會顯示租用戶內活動的歷程記錄。 透過 公司入口網站 網站進行的任何使用者修復金鑰存取,都會以「讀取 BitLocker 金鑰」活動類型登入 [金鑰管理] 類別下的 [稽核記錄]。 也會記錄使用者的用戶主體名稱和其他資訊,例如密鑰標識碼。 深入瞭解 Entra ID 中的稽核記錄

  3. 要求符合規範裝置才能存取 BitLocker 修復金鑰的 Entra 條件式存取原則:使用條件式存取原則 (CA) ,如果裝置不符合「需要符合規範的裝置」設定,您可以限制特定公司資源的存取。 如果是在您的組織內設定,且裝置無法符合 Intune 合規性政策中設定的合規性需求,則該裝置無法用來存取 BitLocker 修復密鑰,因為它被視為由 CA 控制的公司資源。

後續步驟