Udostępnij przez

Szyfrowanie urządzeń z systemem Windows za pomocą funkcji BitLocker przy użyciu Intune

Użyj Microsoft Intune, aby skonfigurować szyfrowanie funkcji BitLocker na urządzeniach z systemem Windows oraz szyfrowanie danych osobowych (PDE) na urządzeniach z systemem Windows 11 wersji 22H2 lub nowszej. W tym artykule opisano zarówno standardowe szyfrowanie funkcją BitLocker, jak i scenariusze dyskretnego szyfrowania funkcją BitLocker.

Ważna

14 października 2025 r. Windows 10 dobiegło końca wsparcia i nie otrzyma aktualizacji dotyczących jakości i funkcji. Windows 10 jest dozwoloną wersją w Intune. Urządzenia z tą wersją mogą nadal rejestrować się w Intune i korzystać z kwalifikujących się funkcji, ale funkcjonalność nie będzie gwarantowana i może się różnić.

Porada

Niektóre ustawienia funkcji BitLocker wymagają, aby urządzenie miało obsługiwany moduł TPM.

Scenariusze szyfrowania funkcji BitLocker

Intune obsługuje dwa podstawowe metody szyfrowania funkcją BitLocker:

  • Standardowe szyfrowanie funkcją BitLocker — użytkownicy mogą wyświetlać monity i korzystać z procesu szyfrowania. Zapewnia elastyczność wyboru typu szyfrowania i zarządzania kluczami odzyskiwania kierowanymi przez użytkownika.

  • Szyfrowanie funkcji BitLocker w trybie dyskretnym — automatyczne szyfrowanie bez interakcji użytkownika lub uprawnień administracyjnych wymaganych na urządzeniu. Idealne rozwiązanie dla organizacji, które chcą zapewnić szyfrowanie wszystkich zarządzanych urządzeń bez konieczności akcji użytkownika końcowego.

Porada

Intune udostępnia wbudowany raport szyfrowania, który zawiera szczegółowe informacje o stanie szyfrowania urządzeń na wszystkich zarządzanych urządzeniach. Po Intune szyfrowania urządzenia z systemem Windows za pomocą funkcji BitLocker można wyświetlać klucze odzyskiwania funkcji BitLocker i zarządzać nimi podczas wyświetlania raportu szyfrowania.

Wymagania wstępne

Licencjonowanie i wersje systemu Windows

W przypadku wersji systemu Windows, które obsługują zarządzanie funkcją BitLocker, zobacz Wymagania dotyczące wersji systemu Windows i licencjonowania w dokumentacji systemu Windows.

Kontrola dostępu oparta na rolach

Aby zarządzać funkcją BitLocker w Intune, konto musi mieć przypisaną Intune rolę kontroli dostępu opartej na rolach (RBAC), która zawiera uprawnienie Zadania zdalne z prawą pozycją Rotate BitLockerKeys (wersja zapoznawcza) ustawioną na wartość Tak.

Możesz dodać to uprawnienie do własnych niestandardowych ról RBAC lub użyć jednej z następujących wbudowanych ról RBAC:

  • Operator pomocy technicznej
  • Administrator zabezpieczeń punktu końcowego

Planowanie odzyskiwania

Przed włączeniem funkcji BitLocker zapoznaj się z opcjami odzyskiwania i zaplanuj je, które spełniają potrzeby organizacji. Aby uzyskać więcej informacji, zobacz Omówienie odzyskiwania funkcji BitLocker w dokumentacji zabezpieczeń systemu Windows.

Typy zasad szyfrowania funkcją BitLocker

Wybierz spośród następujących typów zasad Intune, aby skonfigurować szyfrowanie funkcją BitLocker:

Zabezpieczenia > punktu końcowego Zasady szyfrowania dysków zapewniają skoncentrowaną konfigurację funkcji BitLocker specyficzną dla zabezpieczeń:

  • Profil funkcji BitLocker — ustawienia dedykowane do konfigurowania szyfrowania funkcją BitLocker. Aby uzyskać więcej informacji, zobacz dostawca CSP funkcji BitLocker.
  • Profil szyfrowania danych osobowych — skonfiguruj funkcję PDE pod kątem szyfrowania na poziomie pliku, które współdziała z funkcją BitLocker w celu zabezpieczenia warstwowego. Aby uzyskać więcej informacji, zobacz dostawca CSP PDE.

Zasady konfiguracji urządzeń

Konfiguracja > urządzenia Profil ochrony punktu końcowego zawiera ustawienia funkcji BitLocker w ramach szerszej konfiguracji ochrony punktu końcowego. Wyświetl dostępne ustawienia w funkcji BitLocker w profilach ochrony punktu końcowego.

Uwaga

Ograniczenia katalogu ustawień: Katalog ustawień nie zawiera niezbędnych kontrolek uwierzytelniania uruchamiania modułu TPM wymaganych do niezawodnego włączania funkcji BitLocker w trybie dyskretnym. Użyj zasad zabezpieczeń punktu końcowego lub konfiguracji urządzenia dla scenariuszy funkcji BitLocker.

Konfigurowanie standardowego szyfrowania funkcją BitLocker

Standardowe szyfrowanie funkcją BitLocker umożliwia interakcję z użytkownikiem i zapewnia elastyczność konfiguracji szyfrowania.

Tworzenie zasad zabezpieczeń punktu końcowego

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

  3. Ustaw następujące opcje:

    • Platforma: Windows
    • Profil: Wybierz funkcję BitLocker lub szyfrowanie danych osobowych

    Zrzut ekranu przedstawiający obszar wyboru profilu szyfrowania systemu Windows.

  4. Na stronie Ustawienia konfiguracji skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi:

    • Skonfiguruj metody szyfrowania dla dysków operacyjnych, stałych i wymiennych.
    • Ustaw opcje odzyskiwania (wymagania dotyczące hasła i klucza).
    • Skonfiguruj uwierzytelnianie uruchamiania modułu TPM zgodnie z potrzebami.

    Wybierz pozycję Dalej.

  5. Na stronie Zakres (Tagi) wybierz pozycję Wybierz tagi zakresu , aby otworzyć okienko Wybierz tagi, aby przypisać tagi zakresu do profilu.

    Wybierz przycisk Dalej, aby kontynuować.

  6. Na stronie Przypisania wybierz grupy, które otrzymują ten profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

  7. Na stronie Przeglądanie + tworzenie po zakończeniu wybierz pozycję Utwórz. Nowy profil zostanie wyświetlony na liście po wybraniu typu zasad dla utworzonego profilu.

Tworzenie zasad konfiguracji urządzenia

Porada

Poniższa procedura konfiguruje funkcję BitLocker za pomocą szablonu konfiguracji urządzenia na potrzeby ochrony punktu końcowego. Aby skonfigurować szyfrowanie danych osobowych, użyj katalogu ustawień konfiguracji urządzenia i kategorii PDE .

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Zarządzajkonfiguracją> urządzeń > Na karcie Zasady wybierz pozycję Utwórz.

  3. Ustaw następujące opcje:

    • Platforma: Windows 10 i nowsze
    • Typ profilu: wybierz pozycję Szablony>Ochrona punktu końcowego, a następnie wybierz pozycję Utwórz.

    Przechwytywanie ekranu ścieżki do szablonu programu Endpoint Protection.

  4. Na stronie Ustawienia konfiguracji rozwiń węzeł Szyfrowanie systemu Windows i skonfiguruj ustawienia funkcji BitLocker zgodnie z potrzebami biznesowymi.

    Wybieranie ustawień szyfrowania systemu Windows

    Jeśli chcesz włączyć funkcję BitLocker w trybie dyskretnym, zobacz Configure silent BitLocker encryption in this article for extra prerequisites and the specific setting configurations you must use.

  5. Wybierz przycisk Dalej, aby kontynuować.

  6. Wykonaj konfigurację innych ustawień zgodnie z potrzebami organizacji.

  7. Ukończ proces tworzenia zasad, przypisując go do odpowiednich grup urządzeń i zapisz profil.

Konfigurowanie dyskretnego szyfrowania funkcji BitLocker

Dyskretne szyfrowanie funkcji BitLocker automatycznie szyfruje urządzenia bez interakcji z użytkownikiem, zapewniając bezproblemowe środowisko szyfrowania dla środowisk zarządzanych.

Wymagania wstępne dotyczące szyfrowania dyskretnego

Wymagania dotyczące urządzeń

Urządzenie musi spełniać następujące warunki dla włączenia funkcji BitLocker w trybie dyskretnym:

  • System operacyjny:

    • Jeśli użytkownicy końcowi logują się jako administratorzy: Windows 10 wersji 1803 lub nowszej lub Windows 11
    • Jeśli użytkownicy końcowi logują się jako użytkownicy standardowi: Windows 10 wersji 1809 lub nowszej lub Windows 11

  • Konfiguracja urządzenia:

Uwaga

Gdy funkcja BitLocker jest włączona w trybie dyskretnym, system automatycznie używa pełnego szyfrowania dysków na nienowocześnie używanych urządzeniach rezerwowych i używa szyfrowania tylko miejsca na nowoczesnych urządzeniach rezerwowych. Typ szyfrowania zależy od możliwości sprzętowych i nie można go dostosować do scenariuszy szyfrowania dyskretnego.

Aby dowiedzieć się więcej na temat nowoczesnego wstrzymania, zobacz Co to jest nowoczesna rezerwa w dokumentacji sprzętu systemu Windows.

Ważna

Przed wdrożeniem dyskretnych zasad funkcji BitLocker należy przeprowadzić dokładną ocenę środowiska:

  • Identyfikowanie istniejącego oprogramowania szyfrowania — użyj narzędzi do spisu urządzeń lub odnajdywania, aby identyfikować urządzenia z szyfrowaniem innych firm (McAfee, Symantec, Check Point itp.).
  • Planowanie strategii migracji — opracowywanie procedur bezpiecznego usuwania istniejącego szyfrowania przed wdrożeniem funkcji BitLocker.
  • Testowanie w grupach pilotażowych — przed szerokim wdrożeniem zweryfikuj zachowanie dyskretnej funkcji BitLocker na reprezentatywnych urządzeniach.
  • Przygotowywanie procedur wycofywania — przygotuj plany odzyskiwania i wycofywania w przypadku konfliktów szyfrowania.

Zasady dyskretnej funkcji BitLocker pomijają ostrzeżenia użytkowników dotyczące istniejącego szyfrowania, co sprawia, że ocena przed wdrożeniem ma krytyczne znaczenie dla uniknięcia utraty danych.

Wymagane ustawienia szyfrowania dyskretnego

Skonfiguruj następujące ustawienia w zależności od wybranego typu zasad:

Zasady zabezpieczeń punktu końcowego dla funkcji BitLocker w trybie dyskretnym

W przypadku zasad szyfrowania dysków zabezpieczeń punktu końcowego skonfiguruj następujące ustawienia w profilu funkcji BitLocker:

  • Wymagaj szyfrowania = urządzeniaWłączone

  • Zezwalaj na ostrzeżenie dotyczące innego szyfrowania dysków = Niepełnosprawny

    Zrzut ekranu przedstawiający dwa ustawienia funkcji BitLocker wymagane do włączenia szyfrowania dyskretnego.

Ostrzeżenie

Ustawienie opcji Zezwalaj na ostrzeżenie dla innego szyfrowania dysków na Wyłączone oznacza, że funkcja BitLocker kontynuuje szyfrowanie nawet wtedy, gdy zostanie wykryte inne oprogramowanie do szyfrowania dysków. Może to prowadzić do:

  • Utrata danych z powodujących konflikt metod szyfrowania
  • Niestabilność systemu i awarie rozruchu
  • Złożone scenariusze odzyskiwania z wieloma warstwami szyfrowania

Przed wdrożeniem dyskretnych zasad funkcji BitLocker upewnij się, że środowisko nie ma zainstalowanego oprogramowania szyfrowania innej firmy. Rozważ użycie raportów spisu urządzeń do identyfikowania urządzeń z istniejącym oprogramowaniem szyfrowania.

Ważna

Po ustawieniu opcji Zezwalaj na ostrzeżenie dla innego szyfrowania dysków na wyłączone staje się dostępne inne ustawienie:

  • Zezwalaj na standardowe szyfrowanie = użytkownikówWłączone

To ustawienie jest wymagane, jeśli urządzenia są używane przez użytkowników standardowych (nieadministratorów). Umożliwia to działanie zasad RequireDeviceEncryption nawet wtedy, gdy bieżący zalogowany użytkownik jest użytkownikiem standardowym.

Oprócz wymaganych ustawień rozważ skonfigurowanie konfiguracji rotacji haseł odzyskiwania , aby włączyć automatyczną rotację haseł odzyskiwania.

Zasady konfiguracji urządzenia dla dyskretnej funkcji BitLocker

W przypadku zasad ochrony punktu końcowego konfiguracji urządzenia skonfiguruj następujące ustawienia w szablonie ochrony punktu końcowego :

  • Ostrzeżenie dotyczące innego szyfrowania = dyskuBlok
  • Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania = Microsoft EntraZezwalaj
  • Tworzenie klucza = odzyskiwania przez użytkownikaZezwalaj lubnie zezwalaj na 256-bitowy klucz odzyskiwania
  • Tworzenie hasła = odzyskiwania przez użytkownikaZezwalanie na48-cyfrowe hasło odzyskiwania lub wymaganie go

Ostrzeżenie

Ustawienie opcji Ostrzeżenie dla innego szyfrowania dysku na Wartość Blokuj pomija ostrzeżenia dotyczące istniejącego oprogramowania szyfrowania i umożliwia automatyczne działanie funkcji BitLocker. Powoduje to takie same ryzyko, jak opisano w przypadku zasad zabezpieczeń punktu końcowego. Przed wdrożeniem sprawdź, czy środowisko jest wolne od szyfrowania innych firm.

Uwierzytelnianie uruchamiania modułu TPM na potrzeby szyfrowania dyskretnego

Aby dyskretna funkcja BitLocker działała, urządzenia nie mogą wymagać numeru PIN uruchamiania modułu TPM ani klucza uruchamiania, ponieważ wymagają one interakcji z użytkownikiem.

Konfigurowanie ustawień modułu TPM

Skonfiguruj ustawienia uwierzytelniania uruchamiania modułu TPM, aby uniemożliwić interakcję z użytkownikiem:

Zasady zabezpieczeń punktu końcowego — w profilu funkcji BitLocker w obszarze Dyski systemu operacyjnego najpierw ustaw opcję Wymagaj dodatkowego uwierzytelniania podczas uruchamiania nawartość Włączone. Po włączeniu dostępne są następujące ustawienia modułu TPM:

  • Konfigurowanie numeru PIN = uruchamiania modułu TPMNie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
  • Konfigurowanie klucza uruchamiania modułu = TPMNie zezwalaj na klucz uruchamiania przy użyciu modułu TPM
  • Konfigurowanie klucza uruchamiania modułu TPM i numeru PIN = Nie zezwalaj na klucz startowy i numer PIN przy użyciu modułu TPM
  • Konfigurowanie uruchamiania = modułu TPMZezwalaj na moduł TPM lub wymagaj modułu TPM

Zasady konfiguracji urządzenia — w szablonie ochrony punktu końcowego w obszarze Szyfrowanie systemu Windows:

  • Uruchamianie zgodnego modułu TPM = Zezwalaj na moduł TPM lub wymagaj modułu TPM
  • Numer PIN = uruchamiania zgodnego modułu TPMNie zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
  • Zgodny klucz = uruchamiania modułu TPMNie zezwalaj na klucz uruchamiania przy użyciu modułu TPM
  • Zgodny klucz startowy modułu TPM i numer PIN = Nie zezwalaj na klucz startowy i numer PIN przy użyciu modułu TPM

Ostrzeżenie

Zapoznaj się z zasadami, które umożliwiają korzystanie z numeru PIN lub klucza startowego modułu TPM. Na przykład punkt odniesienia zabezpieczeń dla Microsoft Defender może domyślnie włączyć numer PIN i klucz uruchamiania modułu TPM, co blokuje włączanie dyskretne. Przejrzyj konfiguracje punktu odniesienia pod kątem konfliktów i ponownie skonfiguruj lub wyklucz urządzenia zgodnie z potrzebami.

Zachowanie typu szyfrowania

Typ szyfrowania (pełny dysk a tylko używane miejsce) zależy od następujących szczegółów:

  1. Możliwości sprzętowe — czy urządzenie obsługuje nowoczesną rezerwę.
  2. Konfiguracja szyfrowania dyskretnego — czy jest skonfigurowane włączanie dyskretne.
  3. Ustawienie SystemDrivesEncryptionType — jeśli jest jawnie skonfigurowane.

Działanie domyślne

Jeśli systemDrivesEncryptionType nie jest skonfigurowany:

  • Nowoczesne urządzenia rezerwowe z szyfrowaniem dyskretnym = używane tylko szyfrowanie miejsca.
  • Nienowoczesne urządzenia rezerwowe z szyfrowaniem dyskretnym = pełne szyfrowanie dysków.
  • Szyfrowanie standardowe (nie ciche) = użytkownik może wybrać lub zdefiniować zasady.

Weryfikowanie możliwości urządzeń

Aby sprawdzić, czy urządzenie obsługuje nowoczesną rezerwę, uruchom polecenie w wierszu polecenia:

powercfg /a

Zrzut ekranu przedstawiający wiersz polecenia wyświetlający dane wyjściowe polecenia powercfg z dostępnym stanem wstrzymania S0.

Nowoczesna obsługa rezerwy: pokazuje, że dostępna jest sieć w stanie wstrzymania (S0 bezczynna z niskim zużyciem energii). Nie można włączyć nowoczesnej rezerwy: pokazuje, że sieć połączona z trybem wstrzymania (S0 bezczynna przy niskim zużyciu energii) nie jest obsługiwana.

Zrzut ekranu przedstawiający wiersz polecenia wyświetlający dane wyjściowe polecenia powercfg z niedostępnym stanem wstrzymania S0.

Weryfikowanie typu szyfrowania

Aby sprawdzić bieżący typ szyfrowania, uruchom polecenie z podwyższonym poziomem uprawnień wiersza polecenia:

manage-bde -status c:

Pole "Stan konwersji" zawiera pole Używane tylko zaszyfrowane lub w pełni zaszyfrowane.

Zrzut ekranu przedstawiający administracyjny wiersz polecenia przedstawiający dane wyjściowe polecenia manage-bde ze stanem konwersji odzwierciedlającym w pełni zaszyfrowane.

Zrzut ekranu przedstawiający administracyjny wiersz polecenia przedstawiający dane wyjściowe polecenia manage-bde ze stanem konwersji odzwierciedlającym szyfrowanie tylko używanego miejsca.

Aby wyświetlić informacje o urządzeniach, które odbierają zasady funkcji BitLocker, zobacz Monitorowanie szyfrowania dysków.

Kontrolowanie typu szyfrowania za pomocą wykazu ustawień

Aby zmienić typ szyfrowania dysku między pełnym szyfrowaniem dysku i używanym szyfrowaniem tylko miejsca, użyj ustawienia Wymuszaj szyfrowanie dysków na dyskach systemu operacyjnego w katalogu ustawień:

  1. Tworzenie zasad wykazu ustawień
  2. Przejdź do pozycji Dyskisystemu operacyjnego szyfrowania >dysków funkcji BitLockerskładników > systemu Windows
  3. Wybierz i ustaw opcję Wymuś typ szyfrowania dysku na dyskach systemu operacyjnego nawartość Włączone , aby dodać pozycję Wybierz typ szyfrowania: (Urządzenie). Następnie skonfiguruj opcję Wybierz typ szyfrowania: (Urządzenie) na wartość Pełne szyfrowanie lub Szyfrowanie tylko miejsca.

Zrzut ekranu przedstawiający katalog ustawień Intune przedstawiający opcję Wymuszanie typu szyfrowania dysku na dyskach systemu operacyjnego

Szyfrowanie danych osobowych (PDE)

Szyfrowanie danych osobowych (PDE) zapewnia szyfrowanie na poziomie pliku, które uzupełnia funkcję BitLocker:

Szyfrowanie danych osobowych różni się od funkcji BitLocker tym, że szyfruje pliki zamiast całych woluminów i dysków. PDE występuje oprócz innych metod szyfrowania, takich jak Funkcja BitLocker. W przeciwieństwie do funkcji BitLocker, która zwalnia klucze szyfrowania danych podczas rozruchu, PDE nie zwalnia kluczy szyfrowania danych, dopóki użytkownik nie zaloguje się przy użyciu Windows Hello dla firm.

  • Funkcja PDE szyfruje pliki zamiast całych woluminów i dysków.
  • Współdziała z funkcją BitLocker w przypadku zabezpieczeń warstwowych — funkcja PDE nie zastępuje funkcji BitLocker.
  • Wymaga Windows Hello dla firm logowania, aby zwolnić klucze szyfrowania.
  • Dostępne w Windows 11 22H2 lub nowszym.

Aby uzyskać więcej informacji, zobacz dostawca CSP PDE.

Aby skonfigurować środowisko PDE, użyj jednego z następujących elementów:

  • Zasady zabezpieczeń punktu końcowego z profilem szyfrowania danych osobowych .
  • Katalog ustawień z kategorią PDE .

Monitorowanie funkcji BitLocker i zarządzanie nią

Wyświetlanie stanu szyfrowania

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Urządzenia>Monitoruj>raport szyfrowania.

  2. Przejrzyj stan szyfrowania urządzeń, które otrzymały zasady funkcji BitLocker.

  3. Uzyskaj dostęp do kluczy odzyskiwania funkcji BitLocker i informacji o zgodności urządzeń.

Zarządzanie kluczami odzyskiwania

Wyświetlanie kluczy odzyskiwania dla urządzeń zarządzanych Intune

Intune zapewnia dostęp do węzła Microsoft Entra funkcji BitLocker, dzięki czemu można wyświetlać identyfikatory kluczy funkcji BitLocker i klucze odzyskiwania dla urządzeń z systemem Windows z poziomu centrum administracyjnego Microsoft Intune.

Aby wyświetlić klucze odzyskiwania:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.
  3. Wybierz urządzenie z listy, a następnie w obszarze Monitor wybierz pozycję Klucze odzyskiwania.
  4. Wybierz pozycję Pokaż klucz odzyskiwania. Spowoduje to wygenerowanie wpisu dziennika inspekcji w obszarze działania "KeyManagement".

Gdy klucze są dostępne w Tożsamość Microsoft Entra, zostaną wyświetlone następujące informacje:

  • Identyfikator klucza funkcji BitLocker
  • Klucz odzyskiwania funkcji BitLocker
  • Typ dysku

Jeśli klucze nie są w Tożsamość Microsoft Entra, Intune wyświetla nie znaleziono klucza funkcji BitLocker dla tego urządzenia.

Uwaga

Tożsamość Microsoft Entra obsługuje maksymalnie 200 kluczy odzyskiwania funkcji BitLocker na urządzenie. Jeśli osiągniesz ten limit, szyfrowanie dyskretne zakończy się niepowodzeniem z powodu niepowodzenia tworzenia kopii zapasowej kluczy odzyskiwania przed rozpoczęciem szyfrowania na urządzeniu.

Wymagane uprawnienia: administratorzy IT potrzebują microsoft.directory/bitlockerKeys/key/read uprawnień w Tożsamość Microsoft Entra do wyświetlania kluczy odzyskiwania funkcji BitLocker urządzenia. To uprawnienie jest zawarte w tych rolach Microsoft Entra:

  • Administrator urządzeń w chmurze
  • Administrator pomocy technicznej
  • Administrator globalny

Aby uzyskać więcej informacji na temat uprawnień Microsoft Entra ról, zobacz Microsoft Entra role wbudowane.

Rejestrowanie inspekcji: wszystkie dostępy do klucza odzyskiwania funkcji BitLocker są poddawane inspekcji. Aby uzyskać więcej informacji, zobacz Azure Portal dzienniki inspekcji.

Ważna

Jeśli usuniesz obiekt Intune dla urządzenia przyłączanego Microsoft Entra chronionego przez funkcję BitLocker, usunięcie spowoduje wyzwolenie synchronizacji Intune urządzenia i usunięcie funkcji ochrony kluczy dla woluminu systemu operacyjnego. Powoduje to, że funkcja BitLocker jest w stanie wstrzymania na tym woluminie.

Wyświetlanie kluczy odzyskiwania dla urządzeń dołączonych do dzierżawy

W przypadku korzystania ze scenariusza dołączania dzierżawy Microsoft Intune może wyświetlać dane klucza odzyskiwania dla urządzeń dołączonych do dzierżawy.

Wymagania:

  • Configuration Manager lokacje muszą działać w wersji 2107 lub nowszej
  • W przypadku witryn z systemem 2107 zainstaluj pakiet zbiorczy aktualizacji KB11121541 na potrzeby obsługi urządzeń przyłączonych do Microsoft Entra
  • Konto Intune musi mieć Intune uprawnienia RBAC do wyświetlania kluczy funkcji BitLocker
  • Musi być skojarzony z użytkownikiem lokalnym z rolą kolekcji Configuration Manager i uprawnieniem klucza odzyskiwania funkcji Odczyt funkcji BitLocker

Aby uzyskać więcej informacji, zobacz Konfigurowanie administracji opartej na rolach dla Configuration Manager.

Obracanie kluczy odzyskiwania funkcji BitLocker

Akcja urządzenia Intune umożliwia zdalne obracanie klucza odzyskiwania funkcji BitLocker urządzenia z systemem Windows 10 wersji 1909 lub nowszej oraz Windows 11.

Wymagania wstępne dotyczące rotacji kluczy:

  • Urządzenia muszą działać Windows 10 wersji 1909 lub nowszej lub Windows 11

  • Microsoft Entra przyłączonych i przyłączonych hybrydowo urządzeń musi mieć włączoną rotację kluczy za pośrednictwem zasad funkcji BitLocker:

    • Rotacja haseł odzyskiwania oparta na kliencie = Włączanie rotacji na urządzeniach przyłączonych Microsoft Entra lub Włączanie rotacji na urządzeniach Tożsamość Microsoft Entra i przyłączonych hybrydowo
    • Zapisywanie informacji odzyskiwania funkcji BitLocker w Tożsamość Microsoft Entra = Enabled
    • Przechowywanie informacji odzyskiwania w Tożsamość Microsoft Entra przed włączeniem funkcji BitLocker = Required

Aby obrócić klucz odzyskiwania funkcji BitLocker:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Wszystkie urządzenia.

  3. Wybierz urządzenie z listy.

  4. Wybierz akcję zdalną rotacji kluczy funkcji BitLocker . Jeśli nie jest widoczny, wybierz wielokropek (...), a następnie wybierz pozycję Rotacja kluczy funkcji BitLocker.

    Zrzut ekranu przedstawiający ścieżkę do wybierania akcji rotacji kluczy funkcji BiLocker

Aby uzyskać więcej informacji na temat wdrożeń i wymagań funkcji BitLocker, zobacz wykres porównawczy wdrażania funkcji BitLocker.

Odzyskiwanie samoobsługowe

Aby ułatwić użytkownikom końcowym uzyskanie kluczy odzyskiwania bez wywoływania pomocy technicznej, Intune umożliwia samoobsługowe scenariusze za pośrednictwem aplikacji Portal firmy i innych metod.

Opcje dostępu samoobsługowego:

  • aplikacja Portal firmy: użytkownicy mogą uzyskiwać dostęp do kluczy odzyskiwania funkcji BitLocker za pośrednictwem aplikacji Portal firmy
  • Portal moje konto: dostępne w account.microsoft.com dla urządzeń przyłączonych do Microsoft Entra
  • Tożsamość Microsoft Entra: bezpośredni dostęp dla urządzeń przyłączonych do Microsoft Entra

Kontrole administracyjne dostępu samoobsługowego:

  1. Przełącznik dla całej dzierżawy: określa, czy użytkownicy niebędący administratorami mogą używać samoobsługi do odzyskiwania kluczy funkcji BitLocker:

    • Ustawienie domyślne: Nie (umożliwia wszystkim użytkownikom odzyskiwanie kluczy)
    • Tak: ogranicza użytkownikom niebędącym administratorami możliwość wyświetlania kluczy funkcji BitLocker dla własnych urządzeń
    • Konfigurowanie w ustawieniach urządzenia Microsoft Entra

  2. Integracja dostępu warunkowego: użyj zasad dostępu warunkowego, aby wymagać zgodnych urządzeń na potrzeby dostępu do klucza odzyskiwania funkcji BitLocker:

    • Konfigurowanie pozycji Wymagaj zgodnego urządzenia w zasadach dostępu warunkowego
    • Niezgodne urządzenia nie mogą uzyskać dostępu do kluczy odzyskiwania funkcji BitLocker
    • Klucze odzyskiwania funkcji BitLocker są traktowane jako zasoby firmowe objęte dostępem warunkowym

  3. Rejestrowanie inspekcji dla samoobsługi: rejestrowane są wszystkie dostępy do klucza odzyskiwania użytkownika:

    • Zalogowano się Microsoft Entra dzienników inspekcji w kategorii Zarządzanie kluczami
    • Typ działania: odczyt klucza funkcji BitLocker
    • Zawiera główną nazwę użytkownika i identyfikator klucza
    • Aby uzyskać więcej informacji, zobacz Microsoft Entra dzienniki inspekcji

Rozwiązywanie problemów

Typowe problemy dotyczące dyskretnego funkcji BitLocker

Problem: Funkcja BitLocker wymaga interakcji użytkownika pomimo dyskretnej konfiguracji

  • Rozwiązanie: Sprawdź, czy numer PIN uruchamiania modułu TPM lub ustawienia klucza nie są włączone. Sprawdź, czy istnieją sprzeczne zasady punktu odniesienia zabezpieczeń.

Problem: Urządzenia nie spełniają wymagań wstępnych dotyczących włączania w trybie dyskretnym

  • Rozwiązanie: Sprawdź, czy urządzenia spełniają wszystkie wymagania wstępne dotyczące urządzeń, w tym wersję modułu TPM, tryb UEFI i stan sprzężenia Microsoft Entra.

Problem: Funkcja BitLocker nie może zaszyfrować w trybie dyskretnym

  • Rozwiązanie: Sprawdź dzienniki zdarzeń systemu Windows pod kątem błędów związanych z funkcją BitLocker. Sprawdź, czy włączono bezpieczny rozruch, a funkcja WinRE jest prawidłowo skonfigurowana.

Problem: Konflikty zasad uniemożliwiają włączenie dyskretne

Rozwiązywanie problemów z kluczem odzyskiwania

W przypadku włączania funkcji BitLocker w trybie dyskretnym klucze odzyskiwania są automatycznie kopiowane do Tożsamość Microsoft Entra w przypadku wystąpienia szyfrowania. Zweryfikować:

  1. Urządzenia zostały pomyślnie Microsoft Entra przyłączone (wymagane do automatycznej kopii zapasowej)
  2. Żadne konflikty zasad nie uniemożliwiają automatycznego procesu tworzenia kopii zapasowej
  3. Escrow klucza odzyskiwania działa za pośrednictwem raportu szyfrowania

Następne kroki

  • Last updated on