通过

使用 Intune 通过 BitLocker 加密 Windows 设备

使用 Microsoft Intune 在运行 Windows 的设备上配置 BitLocker 加密,在运行 Windows 11 版本 22H2 或更高版本的设备上配置个人数据加密 (PDE) 。 本文介绍标准 BitLocker 加密和无提示 BitLocker 加密方案。

重要

2025 年 10 月 14 日,Windows 10终止支持,不会收到质量和功能更新。 Windows 10 是 Intune 中允许的版本。 运行此版本的设备仍可以注册Intune并使用符合条件的功能,但无法保证功能并可能有所不同。

提示

某些 BitLocker 设置要求设备具有受支持的 TPM。

BitLocker 加密方案

Intune支持两种主要的 BitLocker 加密方法:

  • Standard BitLocker 加密 - 用户可能会看到提示,并且可以与加密过程交互。 为加密类型选择和用户定向恢复密钥管理提供灵活性。

  • 无提示 BitLocker 加密 - 自动加密,无需在设备上执行用户交互或管理权限。 非常适合希望确保所有托管设备都经过加密而不依赖于最终用户作的组织。

提示

Intune提供了一个内置加密报告,其中提供有关所有托管设备的加密状态的详细信息。 在 Intune 使用 BitLocker 加密 Windows 设备之后,你可在查看加密报告时查看和管理 BitLocker 恢复密钥。

先决条件

许可和 Windows 版本

对于支持 BitLocker 管理的 Windows 版本,请参阅 Windows 文档中的 Windows 版本和许可要求

基于角色的访问控制

若要在 Intune 中管理 BitLocker,必须为帐户分配一个基于Intune角色的访问控制 (RBAC) 角色,该角色包含“轮换 BitLockerKeys (预览版”权限的远程任务权限,) 权限设置为“是”。

可以将此权限添加到自己的 自定义 RBAC 角色 ,也可以使用以下 内置 RBAC 角色之一:

  • 技术支持操作员
  • 终结点安全管理员

恢复规划

在启用 BitLocker 之前,请先了解并规划满足组织需求的恢复选项。 有关详细信息,请参阅 Windows 安全文档中的 BitLocker 恢复概述

BitLocker 加密的策略类型

从以下Intune策略类型中进行选择,以配置 BitLocker 加密:

终结点安全性 > 磁盘加密策略 提供重点、特定于安全性的 BitLocker 配置:

  • BitLocker 配置文件 - 用于配置 BitLocker 加密的专用设置。 有关详细信息,请参阅 BitLocker CSP
  • 个人数据加密配置文件 - 为与 BitLocker 一起工作的文件级加密配置 PDE,实现分层安全性。 有关详细信息,请参阅 PDE CSP

设备配置策略

设备配置 > 终结点保护配置文件 包括 BitLocker 设置,作为更广泛的终结点保护配置的一部分。 在 终结点保护配置文件中查看 BitLocker 中的可用设置。

注意

设置目录限制:设置目录不包括启用可靠无提示 BitLocker 所需的必要的 TPM 启动身份验证控制。 对 BitLocker 方案使用终结点安全性或设备配置策略。

配置标准 BitLocker 加密

Standard BitLocker 加密允许用户交互,并为加密配置提供灵活性。

创建终结点安全策略

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全”>“磁盘加密”>“创建策略”

  3. 设置下列选项:

    • 平台:Windows
    • 配置文件:选择 BitLocker个人数据加密

    Windows 加密配置文件选择图面的屏幕截图。

  4. “配置设置 ”页上,配置 BitLocker 的设置以满足业务需求:

    • 为 OS、固定和可移动驱动器配置加密方法。
    • ) (密码和密钥要求设置恢复选项。
    • 根据需要配置 TPM 启动身份验证。

    选择 下一步

  5. 在“作用域标记”页上,选择“选择作用域标记”打开“选择标记”窗格,将作用域标记分配给配置文件

    选择“下一步”以继续。

  6. “分配” 页上,选择接收此配置文件的组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择 下一步

  7. 完成后,在“查看 + 创建”页上,选择“创建”。 为创建的配置文件选择策略类型时,新配置文件将显示在列表中。

创建设备配置策略

提示

以下过程通过终结点保护的设备配置模板配置 BitLocker。 若要配置个人数据加密,请使用设备配置 设置目录PDE 类别。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择 “设备>管理设备>配置> ”,在“ 策略 ”选项卡上,选择“ 创建”。

  3. 设置下列选项:

    • 平台Windows 10及更高版本
    • 配置文件类型:选择 “模板>终结点保护”,然后选择“ 创建”。

    Endpoint Protection 模板路径的屏幕截图。

  4. “配置设置” 页上,展开 “Windows 加密 ”并配置 BitLocker 设置以满足业务需求。

    选择 Windows 加密设置

    如果要以无提示方式启用 BitLocker,请参阅本文中的 配置无提示 BitLocker 加密 ,了解额外的先决条件和必须使用的特定设置配置。

  5. 选择“下一步”以继续。

  6. 根据需要为组织完成其他设置配置。

  7. 通过将策略分配到相应的设备组并保存配置文件来完成策略创建过程。

配置无提示 BitLocker 加密

无提示 BitLocker 加密无需用户交互即可自动加密设备,为托管环境提供无缝加密体验。

无提示加密的先决条件

设备要求

设备必须满足以下条件才能启用无提示 BitLocker:

  • 作系统

    • 如果最终用户以管理员身份登录:Windows 10版本 1803 或更高版本,或者Windows 11
    • 如果最终用户以Standard用户身份登录:Windows 10版本 1809 或更高版本,或者Windows 11

  • 设备配置

注意

以无提示方式启用 BitLocker 时,系统会自动在非新式待机设备上使用 全磁盘加密 ,并在新式备用设备上 使用仅使用空间加密 。 加密类型取决于硬件功能,无法针对无提示加密方案进行自定义。

若要了解有关新式待机的详细信息,请参阅 Windows 硬件文档中 的什么是新式待机

重要

在部署无提示 BitLocker 策略之前,请对环境进行彻底评估:

  • 识别现有加密软件 - 使用设备清单或发现工具识别具有第三方加密 (McAfee、Symantec、Check Point 等 ) 的设备。
  • 规划迁移策略 - 制定在 BitLocker 部署之前安全地删除现有加密的过程。
  • 在试点组中进行测试 - 在 广泛部署之前,验证代表性设备上的无提示 BitLocker 行为。
  • 准备回滚过程 - 在发生加密冲突时准备好恢复和回滚计划。

无提示 BitLocker 策略绕过有关现有加密的用户警告,使部署前评估对于避免数据丢失至关重要。

无提示加密所需的设置

根据所选策略类型配置以下设置:

无提示 BitLocker 的终结点安全策略

对于 “终结点安全 磁盘加密 策略”,请在 BitLocker 配置文件中配置以下设置:

  • 要求设备加密 = 启用

  • 允许对其他磁盘加密 = 发出警告禁用

    启用无提示加密所需的两个 BitLocker 设置的屏幕截图。

警告

将“其他磁盘加密的允许警告”设置为“已禁用”意味着即使检测到其他磁盘加密软件,BitLocker 也会继续加密。 这可能会导致:

  • 加密方法冲突导致数据丢失
  • 系统不稳定 和启动失败
  • 具有多个加密层的复杂恢复方案

在部署无提示 BitLocker 策略之前,请确保环境未安装第三方加密软件。 请考虑使用 设备清单报告 来标识具有现有加密软件的设备。

重要

“其他磁盘加密的允许警告” 设置为 “已禁用”后,另一个设置变为可用:

  • 启用Standard用户加密 =

如果标准 (非管理员) 用户使用设备,则需要此设置。 即使当前登录用户是标准用户,它仍允许 RequireDeviceEncryption 策略正常工作。

除了所需的设置外,还考虑配置 “配置恢复密码轮换 ”,以启用恢复密码的自动轮换。

无提示 BitLocker 的设备配置策略

对于 “设备配置 终结点保护 策略”,请在 Endpoint Protection 模板中配置以下设置:

  • 针对其他磁盘加密 = 的警告
  • 允许标准用户在加入Microsoft Entra = 期间启用加密允许
  • 用户创建恢复密钥 = 允许不允许 256 位恢复密钥
  • 用户创建恢复密码 = 允许需要 48 位恢复密码

警告

将“其他磁盘加密的警告”设置为“阻止”可取消有关现有加密软件的警告,并允许 BitLocker 自动继续。 这会产生与终结点安全策略所述的相同风险。 在部署之前,请验证环境是否不受第三方加密。

用于无提示加密的 TPM 启动身份验证

若要使无提示 BitLocker 正常工作,设备 不得要求 TPM 启动 PIN 或启动密钥,因为这些设备需要用户交互。

配置 TPM 设置

配置 TPM 启动身份验证设置以防止用户交互:

终结点安全策略 - 在“作系统驱动器”下的 BitLocker 配置文件中,首先将“启动时需要其他身份验证”设置为“已启用”。 启用后,以下 TPM 设置将变为可用:

  • 配置 TPM 启动 PIN = 不允许使用 TPM 启动 PIN
  • 配置 TPM 启动密钥 = 不允许使用 TPM 启动密钥
  • 配置 TPM 启动密钥和 PIN = 不允许使用 TPM 的启动密钥和 PIN
  • 配置 TPM 启动 = 允许 TPM需要 TPM

设备配置策略 - 在 Windows 加密下的终结点保护模板中:

  • 兼容的 TPM 启动 = 允许 TPM需要 TPM
  • 兼容的 TPM 启动 PIN = 不允许使用 TPM 启动 PIN
  • 兼容的 TPM 启动密钥 = 不允许使用 TPM 启动密钥
  • 兼容的 TPM 启动密钥和 PIN = 不允许使用 TPM 的启动密钥和 PIN

警告

注意允许使用 TPM 启动 PIN 或密钥的策略。 例如,默认情况下,Microsoft Defender的安全基线可以启用 TPM 启动 PIN 和密钥,这会阻止无提示启用。 查看基线配置中是否有冲突,并根据需要重新配置或排除设备。

加密类型行为

(完整磁盘与仅使用空间) 的加密类型由以下详细信息确定:

  1. 硬件功能 - 设备是否支持 新式待机
  2. 无提示加密配置 - 是否配置了无提示启用。
  3. SystemDrivesEncryptionType 设置 - 如果显式配置。

默认行为

未配置 SystemDrivesEncryptionType 时:

  • 无提示加密的新式待机设备 = 仅使用空间加密。
  • 无提示加密 = 完整磁盘加密的非新式待机设备
  • Standard (非无提示) 加密 = 用户可以选择或策略定义。

验证设备功能

若要检查设备是否支持新式待机,请从命令提示符运行:

powercfg /a

显示 powercfg 命令输出,且待机状态 S0 可用的命令提示符的屏幕截图。

支持新式待机:显示 待机 (S0 低功耗空闲) 网络连接 可用。 不支持新式待机:显示 待机 (S0 低功耗空闲) 网络连接 不受支持。

命令提示符的屏幕截图,其中显示了处于待机状态 S0 不可用的 powercfg 命令的输出。

验证加密类型

若要检查当前加密类型,请从提升的命令提示符运行:

manage-bde -status c:

“转换状态”字段显示 “仅已用空间已加密 ”或 “完全加密”。

显示 manage-bde 输出的管理命令提示符的屏幕截图,其中转换状态反映了完全加密。

显示 manage-bde 输出的管理命令提示符的屏幕截图,其中转换状态反映了仅已使用空间加密。

若要查看有关接收 BitLocker 策略的设备的信息,请参阅监视磁盘加密

使用设置目录控制加密类型

若要在完整磁盘加密和仅使用空间加密之间更改磁盘加密类型,请使用设置目录中 的“对作系统驱动器强制实施驱动器加密类型 ”设置:

  1. 创建 设置目录 策略
  2. 导航到 Windows 组件>BitLocker 驱动器加密>作系统驱动器
  3. 选择并将“ 在作系统驱动器上强制实施驱动器加密类型 ”设置为 “启用” 以添加 选择加密类型: (设备) 。 然后配置“选择加密类型: (设备) ”为“完全加密”或“仅使用空间”加密

显示对作系统驱动器强制实施驱动器加密类型的Intune设置目录的屏幕截图

个人数据加密 (PDE)

个人数据加密 (PDE) 提供对 BitLocker 进行补充的文件级加密:

个人数据加密 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。

  • PDE 加密文件 ,而不是整个卷和磁盘。
  • 与 BitLocker 一起使用 ,实现分层安全性 - PDE 不能替代 BitLocker。
  • 需要Windows Hello 企业版登录才能释放加密密钥。
  • 适用于 Windows 11 22H2 或更高版本

有关详细信息,请参阅 PDE CSP

若要配置 PDE,请使用:

  • 具有个人数据加密配置文件的终结点安全策略
  • 具有PDE 类别的设置目录。

监视和管理 BitLocker

查看加密状态

  1. Microsoft Intune管理中心,选择“设备>监视>加密报告”。

  2. 查看接收 BitLocker 策略的设备加密状态。

  3. 访问 BitLocker 恢复密钥和设备符合性信息。

恢复密钥管理

查看Intune托管设备的恢复密钥

Intune提供对 BitLocker Microsoft Entra 节点的访问权限,以便你可以从 Microsoft Intune 管理中心内查看 Windows 设备的 BitLocker 密钥 ID 和恢复密钥。

若要查看恢复密钥,请执行以下作:

  1. 登录到 Microsoft Intune 管理中心
  2. 选择“设备”>“所有设备”。
  3. 选择列表中的设备,然后在“监视”下,选择“恢复密钥”。
  4. 选择“ 显示恢复密钥”。 这会在“KeyManagement”活动下生成审核日志条目。

当密钥在 Microsoft Entra ID 中可用时,将显示以下信息:

  • BitLocker 密钥 ID
  • BitLocker 恢复密钥
  • 驱动器类型

当密钥不在Microsoft Entra ID中时,Intune显示“找不到此设备的 BitLocker 密钥”。

注意

Microsoft Entra ID支持每个设备最多 200 个 BitLocker 恢复密钥。 如果达到此限制,则无提示加密会因在设备上开始加密之前恢复密钥备份失败而失败。

所需权限:IT 管理员需要 microsoft.directory/bitlockerKeys/key/read Microsoft Entra ID 内的权限才能查看设备 BitLocker 恢复密钥。 此权限包含在以下Microsoft Entra角色中:

  • 云设备管理员
  • 帮助台管理员
  • 全局管理员

有关Microsoft Entra角色权限的详细信息,请参阅Microsoft Entra内置角色

审核日志记录:审核所有 BitLocker 恢复密钥访问。 有关详细信息,请参阅Azure 门户审核日志

重要

如果删除受 BitLocker 保护的已加入Microsoft Entra设备的 Intune 对象,则删除会触发Intune设备同步,并删除作系统卷的密钥保护程序。 这会使 BitLocker 在该卷上处于挂起状态。

查看租户附加设备的恢复密钥

使用租户附加方案时,Microsoft Intune可以显示租户附加设备的恢复密钥数据。

要求

  • Configuration Manager站点必须运行版本 2107 或更高版本
  • 对于运行 2107 的站点,请安装更新汇总KB11121541,以获取已加入Microsoft Entra的设备支持
  • Intune帐户必须具有Intune RBAC 权限才能查看 BitLocker 密钥
  • 必须与具有Configuration Manager集合角色和读取 BitLocker 恢复密钥权限的本地用户相关联

有关详细信息,请参阅为 Configuration Manager 配置基于角色的管理

BitLocker 恢复密码轮转

可以使用 Intune 设备操作远程轮转运行 Windows 10 版本 1909 或更高版本以及 Windows 11 的设备的 BitLocker 恢复密码。

密钥轮换的先决条件

  • 设备必须运行 Windows 10 版本 1909 或更高版本或 Windows 11

  • Microsoft Entra联接和混合联接的设备必须通过 BitLocker 策略启用密钥轮换:

    • 客户端驱动的恢复密码轮换 = 在已加入Microsoft Entra的设备上启用轮换或在Microsoft Entra ID和混合联接设备上启用轮换
    • 将 BitLocker 恢复信息保存到 Microsoft Entra ID = Enabled
    • 在启用 BitLocker = 必需之前将恢复信息存储在 Microsoft Entra ID

若要轮换 BitLocker 恢复密钥,请执行以下作

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“设备”>“所有设备”。

  3. 从列表中选择设备。

  4. 选择 BitLocker 密钥轮换 远程作。 如果不可见,请选择省略号 (...) ,然后选择 BitLocker 密钥轮换

    选择 BiLocker 密钥轮换作的路径的屏幕截图

有关 BitLocker 部署和要求的详细信息,请参阅 BitLocker 部署比较图表

自助恢复

为了帮助最终用户在不调用支持人员的情况下获取其恢复密钥,Intune通过公司门户应用和其他方法启用自助服务方案。

自助服务访问选项

  • 公司门户应用:用户可以通过 公司门户 应用访问 BitLocker 恢复密钥
  • “我的帐户”门户:适用于已加入Microsoft Entra设备的 account.microsoft.com
  • Microsoft Entra ID:已加入Microsoft Entra设备的直接访问

自助服务访问的管理控制

  1. 租户范围的切换:确定非管理员用户是否可以使用自助服务来恢复 BitLocker 密钥:

  2. 条件访问集成:使用条件访问策略要求符合 BitLocker 恢复密钥访问的设备:

    • 在条件访问策略中设置 “要求合规设备
    • 不符合要求的设备无法访问 BitLocker 恢复密钥
    • BitLocker 恢复密钥被视为受条件访问约束的公司资源

  3. 自助服务的审核日志记录:记录所有用户恢复密钥访问:

    • 已登录密钥管理类别下的Microsoft Entra审核日志
    • 活动类型: 读取 BitLocker 密钥
    • 包括用户主体名称和密钥 ID
    • 有关详细信息,请参阅Microsoft Entra审核日志

疑难解答

无提示 BitLocker 的常见问题

问题:尽管配置无提示,BitLocker 仍需要用户交互

  • 解决方案:验证未启用 TPM 启动 PIN 或密钥设置。 检查是否存在冲突的安全基线策略。

问题:设备不符合无提示启用的先决条件

  • 解决方案:验证设备是否满足所有设备先决条件,包括 TPM 版本、UEFI 模式和Microsoft Entra加入状态。

问题:BitLocker 无法以无提示方式加密

  • 解决方案:检查 Windows 事件日志中是否存在与 BitLocker 相关的错误。 验证是否已启用安全启动,并且是否已正确配置 WinRE。

问题:策略冲突阻止无提示启用

  • 解决方案:使用Intune中的策略冲突检测来识别策略之间的冲突设置。

恢复密钥故障排除

对于无提示 BitLocker 启用,在加密发生时,恢复密钥会自动备份到Microsoft Entra ID。 验证:

  1. 设备已成功Microsoft Entra加入 (自动备份)
  2. 无策略冲突阻止自动备份过程
  3. 恢复密钥托管正在通过加密报告运行

后续步骤

  • Last updated on