BitLocker 设备策略

Windows 10 中包括一项名为 BitLocker 的磁盘加密功能,该功能提供针对丢失或被盗的 Windows 设备的未授权访问的额外文件和系统保护。要获取更多保护,可以对受信任的平台模块 (TPM) 芯片版本 1.2 或更高版本使用 BitLocker。TPM 芯片处理加密操作、生成和存储加密密钥以及限制对加密密钥的使用。

自 Windows 10 Build 1703 起,MDM 策略可以控制 BitLocker。可以在 XenMobile 中使用 BitLocker 设备策略配置在 Windows 10 设备上的 BitLocker 向导中可用的设置。例如,在启用了 BitLocker 的设备上,BitLocker 可以提示用户如何在启动时解锁其设备、如何备份其恢复密钥以及如何解锁固定驱动器。BitLocker 设备策略还配置是否:

  • 在没有 TPM 芯片的设备上启用 BitLocker。
  • 在 BitLocker 界面中显示恢复选项。
  • 拒绝在未启用 BitLocker 时对固定驱动器或可移动驱动器的写入访问。

注意:

BitLocker 加密在设备上启动后,您将无法再继续通过部署更新后的 BitLocker 设备策略来更改设备上的 BitLocker 设置。

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

要求

  • BitLocker 设备策略需要 Windows 10 Enterprise Edition。

  • 部署 BitLocker 设备策略之前,请准备您的环境以便使用 BitLocker。有关 Microsoft 提供的详细信息(包括 BitLocker 系统要求和设置),请参阅 BitLocker 以及该节点下的文章。

Windows Phone 设置

“设备策略”配置屏幕图

  • 要求加密设备: 确定是否提示用户在 Windows Phone 系统卡上启用 BitLocker 加密。如果设置为,设备将在注册完成后显示一条消息,指出企业要求设备加密。如果用户选择不进行设备加密,用户将不会被授予对系统卡的写入访问权限。如果设置为,系统将不会提示用户,并且 BitLocker 策略将决定是否加密设备。默认值为

  • 要求存储卡加密: 确定是否提示用户在 Windows Phone 存储卡上启用 BitLocker 加密。如果设置为,则需要存储卡加密才能获取对卡的写入权限。默认值为

Windows Desktop 和 Tablet 设置

“设备策略”配置屏幕图

  • 要求加密设备: 确定是否提示用户在 Windows Desktop 或 Tablet 上启用 BitLocker 加密。如果设置为,设备将在注册完成后显示一条消息,指出企业要求设备加密。如果设置为,系统将不提示用户,并且 BitLocker 将使用策略设置。默认值为

  • 配置加密方法: 确定要对特定设备类型使用的加密方法。如果设置为,BitLocker 向导将提示用户指定要对某种驱动器类型使用的加密方法。所有驱动器的加密方法都默认为 XTS-AES 128 位。可移动驱动器的加密方法默认为 AES-CBC 128 位。如果设置为,BitLocker 将使用在策略中指定的加密方法。如果设置为,将显示以下额外的设置:操作系统驱动器固定驱动器可移动驱动器。选择每种驱动器类型的默认加密方法。默认值为

  • 启动时需要额外的身份验证: 指定在设备启动过程中需要额外进行一次身份验证。此外,还指定是否允许在没有 TPM 芯片的设备上启用 BitLocker。如果设置为,没有 TPM 的设备将无法使用 BitLocker 加密。有关 TPM 的信息,请参阅 Microsoft 文章 Trusted Platform Module Technology Overview(受信任的平台模块技术概览)。如果设置为,将显示以下额外的设置。默认值为

    • 在没有 TPM 芯片的设备上阻止 BitLocker: 在没有 TPM 芯片的设备上,BitLocker 要求用户创建解锁密码或启动密钥。启动密钥存储在 USB 驱动器中,用户必须在启动之前将该驱动器连接到设备。解锁密码最少包含 8 个字符。默认值为

    • TPM 启动: 在配备了 TPM 的设备上,存在四种解锁模式:“仅 TPM”、“TPM + PIN”、“TPM + 密钥”以及“TPM + PIN + 密钥”。TPM 启动面向“仅 TPM”模式,在该模式下,加密密钥存储在 TPM 芯片中。此模式不要求用户提供额外的解锁数据。用户设备在重新启动过程中使用 TPM 芯片中的加密密钥自动解锁。默认值为允许 TPM

    • TPM 启动 PIN: 此设置为“TPM + PIN”解锁模式。PIN 最多可以包含 20 个数字。使用最小 PIN 长度设置可指定最小 PIN 长度。用户将在 BitLocker 设置过程中配置 PIN,并在设备启动过程中提供 PIN。

    • TPM 启动密钥: 此设置为“TPM + 密钥”解锁模式。启动密钥存储在 USB 或其他可移动驱动器中,用户必须在启动之前将该驱动器连接到设备。

    • TPM 启动密钥和 PIN: 此设置为“TPM + PIN + 密钥”解锁模式。

      如果解锁成功,操作系统将开始加载。如果解锁失败,设备将进入恢复模式。

  • 最小 PIN 长度:TPM 启动 PIN 的最小长度。默认值为 6

  • 配置操作系统驱动器恢复: 如果解锁步骤失败,BitLocker 将提示用户提供已配置的恢复密钥。此设置将配置对用户可用的操作系统驱动器恢复选项(如果用户没有解锁密码或 USB 启动密钥)。默认值为

    • 允许基于证书的数据恢复代理: 指定是否允许启用基于证书的数据恢复代理。从公钥策略中添加数据恢复代理,该代理位于组策略管理控制台 (GPMC) 或本地组策略编辑器中。有关数据恢复代理的详细信息,请参阅 Microsoft 文章 BitLocker Group Policy settings(BitLocker 组策略设置)。默认值为

    • 为操作系统驱动器恢复创建 48 位恢复密码: 指定是否允许或要求用户使用恢复密码。BitLocker 生成密码并将其存储在文件中或 Microsoft 云帐户中。默认值为允许 48 位密码

    • 创建 256 位恢复密钥: 指定是否允许或要求用户使用恢复密钥。恢复密钥为 BEK 文件,该文件存储在 USB 驱动器中。默认值为允许 256 位恢复密钥

    • 隐藏操作系统驱动器恢复选项: 指定在 BitLocker 界面中显示还是隐藏恢复选项。如果设置为,则不在 BitLocker 界面中显示任何恢复选项。在这种情况下,请将设备注册到 Active Directory 中,将恢复选项保存到 Active Directory 中,并将将恢复信息保存到 AD DS 中设置为。默认值为

    • 将恢复信息保存到 AD DS 中: 指定是否将恢复选项保存到 Active Directory 域服务中。默认值为

    • 配置存储在 AD DS 中的恢复信息: 指定在 Active Directory 域服务中存储 BitLocker 恢复密码还是恢复密码和密钥包。存储密钥包将支持从物理损坏的驱动器中恢复数据。默认值为备份恢复密码

    • 将恢复信息存储到 AD DS 后启用 BitLocker: 指定是否阻止用户启用 BitLocker,但设备已连接到域,并且 BitLocker 恢复信息已成功备份到 Active Directory 时除外。如果设置为,设备必须在启动 BitLocker 之前加入域。默认值为

  • 自定义预引导恢复消息和 URL: 指定 BitLocker 是否在恢复屏幕上显示自定义的消息和 URL。如果设置为,将显示以下额外的设置:使用默认恢复消息和 URL使用空恢复消息和 URL使用自定义恢复消息使用自定义恢复 URL。如果设置为,将显示默认恢复消息和 URL。默认值为

  • 配置固定驱动器恢复: 为用户配置用于 BitLocker 加密的固定驱动器的恢复选项。BitLocker 不向用户显示与固定驱动器加密有关的消息。要在启动过程中解锁驱动器,用户需要提供密码或智能卡。用户在固定驱动器上启用了 BitLocker 加密时,启动解锁设置(不在此策略中)将在 BitLocker 界面上显示。有关相关设置的信息,请参阅此列表中前面部分的配置操作系统驱动器恢复。默认值为

  • 阻止对不使用 BitLocker 的固定驱动器进行写入访问:如果设置为,则仅当固定驱动器通过 BitLocker 加密时,用户才能向这些驱动器写入数据。默认值为

  • 阻止对不使用 BitLocker 的可移动驱动器进行写入访问: 如果设置为,则仅当可移动驱动器通过 BitLocker 加密时,用户才能向这些驱动器写入数据。请根据贵组织是否允许在其他组织可移动的驱动器上具有访问权限来配置此设置。默认值为

  • 其他磁盘加密提示: 允许您禁用对设备上的其他磁盘加密的警告提示。默认值为

BitLocker 设备策略