This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
BitLocker 设备策略
Windows 10 和 Windows 11 包含一个称为 BitLocker 的磁盘加密功能,该功能可为丢失或被盗的 Windows 设备提供额外的文件和系统保护,防止未经授权的访问。为了提供更多保护,您可以将 BitLocker 与受信任的平台模块 (TPM) 芯片(版本 1.2 或更高版本)结合使用。TPM 芯片处理加密操作,并生成、存储和限制加密密钥的使用。
从 Windows 10 版本 1703 开始,MDM 策略可以控制 BitLocker。您可以使用 XenMobile® 中的 BitLocker 设备策略配置 Windows 10 和 Windows 11 设备上 BitLocker 向导中可用的设置。例如,在启用了 BitLocker 的设备上,BitLocker 可以提示用户如何在启动时解锁其驱动器、如何备份其恢复密钥以及如何解锁固定驱动器。BitLocker 设备策略设置还配置是否执行以下操作:
- 在没有 TPM 芯片的设备上启用 BitLocker。
- 在 BitLocker 界面中显示恢复选项。
- 在未启用 BitLocker 时拒绝写入固定或可移动驱动器。
注意:
在设备上启动 BitLocker 加密后,您以后无法通过部署更新的 BitLocker 设备策略来更改设备上的 BitLocker 设置。
要添加或配置此策略,请转至 Configure > Device Policies。有关详细信息,请参阅设备策略。
要求
-
BitLocker 设备策略需要 Windows 10 或 Windows 11 企业版。
-
在部署 BitLocker 设备策略之前,请为 BitLocker 的使用准备好您的环境。有关 Microsoft 提供的详细信息,包括 BitLocker 系统要求和设置,请参阅 BitLocker 以及该节点下的文章。
Windows 桌面和平板电脑设置
-
要求设备加密: 确定是否提示用户在 Windows 桌面或平板电脑上启用 BitLocker 加密。如果设置为“开”,设备在注册完成后会显示一条消息,指示企业要求设备加密。如果设置为“关”,则不会提示用户,BitLocker 将使用策略设置。默认为“关”。
-
配置加密方法: 确定要用于特定驱动器类型的加密方法。如果设置为“关”,BitLocker 向导会提示用户选择要用于驱动器类型的加密方法。所有驱动器的加密方法默认为 XTS-AES 128 位。可移动驱动器的加密方法默认为 AES-CBC 128 位。如果设置为“开”,BitLocker 将使用策略中指定的加密方法。如果设置为“开”,则会出现以下额外设置:操作系统驱动器、固定驱动器和可移动驱动器。为每种驱动器类型选择默认加密方法。默认为“关”。
-
启动时需要额外身份验证: 指定设备启动期间所需的额外身份验证。还指定是否允许在没有 TPM 芯片的设备上使用 BitLocker。如果设置为“关”,没有 TPM 的设备无法使用 BitLocker 加密。有关 TPM 的信息,请参阅 Microsoft 文章 受信任的平台模块技术概述。如果设置为“开”,则会出现以下额外设置。默认为“关”。
-
在没有 TPM 芯片的设备上阻止 BitLocker: 在没有 TPM 芯片的设备上,BitLocker 要求用户创建解锁密码或启动密钥。启动密钥存储在 USB 驱动器中,用户必须在启动前将该驱动器连接到设备。解锁密码至少为八个字符。默认为“关”。
-
TPM 启动: 在具有 TPM 的设备上,有四种解锁模式:仅限 TPM、TPM + PIN、TPM + 密钥和 TPM + PIN + 密钥。TPM 启动适用于仅限 TPM 模式,在该模式下,加密密钥存储在 TPM 芯片中。此模式不需要用户提供更多解锁数据。用户设备在重新启动期间会自动解锁,使用 TPM 芯片中的加密密钥。默认为“允许 TPM”。
-
TPM 启动 PIN: 此设置为 TPM + PIN 解锁模式。PIN 最多可包含 20 位数字。使用“最小 PIN 长度”设置指定最小 PIN 长度。用户在 BitLocker 设置期间配置 PIN,并在设备启动期间提供 PIN。
-
TPM 启动密钥: 此设置为 TPM + 密钥解锁模式。启动密钥存储在 USB 或其他可移动驱动器中,用户必须在启动前将该驱动器连接到设备。
-
TPM 启动密钥和 PIN: 此设置为 TPM + PIN + 密钥解锁模式。
如果解锁成功,操作系统将开始加载。如果解锁失败,设备将进入恢复模式。
-
-
最小 PIN 长度: TPM 启动 PIN 的最小长度。默认为 6。
-
配置操作系统驱动器恢复: 如果解锁步骤失败,BitLocker 会提示用户输入配置的恢复密钥。此设置配置在用户没有解锁密码或 USB 启动密钥时可用的操作系统驱动器恢复选项。默认为“关”。
-
允许基于证书的数据恢复代理: 指定是否允许基于证书的数据恢复代理。从“公钥策略”(位于“组策略管理控制台 (GPMC)”或“本地组策略编辑器”中)添加数据恢复代理。有关数据恢复代理的详细信息,请参阅 Microsoft 文章 BitLocker 组策略设置。默认为“关”。
-
为操作系统驱动器恢复创建 48 位恢复密码: 指定是允许还是要求用户使用恢复密码。BitLocker 生成密码并将其存储在文件或 Microsoft 云帐户中。默认为“允许 48 位密码”。
-
创建 256 位恢复密钥: 指定是允许还是要求用户使用恢复密钥。恢复密钥是一个 BEK 文件,存储在 USB 驱动器上。默认为“允许 256 位恢复密钥”。
-
隐藏操作系统驱动器恢复选项: 指定是在 BitLocker 界面中显示还是隐藏恢复选项。如果设置为“开”,BitLocker 界面中不会出现任何恢复选项。在这种情况下,请将设备注册到 Active Directory,将恢复选项保存到 Active Directory,并将“将恢复信息保存到 AD DS”设置为“开”。默认为“关”。
-
将恢复信息保存到 AD DS: 指定是否将恢复选项保存到 Active Directory 域服务。默认为“关”。
-
配置存储在 AD DS 中的恢复信息: 指定是将 BitLocker 恢复密码还是恢复密码和密钥包存储在 Active Directory 域服务中。存储密钥包支持从物理损坏的驱动器中恢复数据。默认为“备份恢复密码”。
-
在 AD DS 中存储恢复信息后启用 BitLocker: 指定是否阻止用户启用 BitLocker,除非设备已连接到域并且 BitLocker 恢复信息已成功备份到 Active Directory。如果设置为“开”,设备必须在启动 BitLocker 之前加入域。默认为“关”。
-
-
自定义预启动恢复消息和 URL: 指定 BitLocker 是否在恢复屏幕上显示自定义消息和 URL。如果设置为“开”,则会出现以下额外设置:使用默认恢复消息和 URL、使用空恢复消息和 URL、使用自定义恢复消息和使用自定义恢复 URL。如果设置为“关”,则显示默认恢复消息和 URL。默认为“关”。
-
配置固定驱动器恢复: 为用户配置 BitLocker 加密的固定驱动器的恢复选项。BitLocker 不会向用户显示有关固定驱动器加密的消息。要在启动期间解锁驱动器,用户需要提供密码或智能卡。当用户在固定驱动器上启用 BitLocker 加密时,启动的解锁设置(不在此策略中)会显示在 BitLocker 界面中。有关相关设置的信息,请参阅此列表前面部分的“配置操作系统驱动器恢复”。默认为“关”。
-
阻止对未使用 BitLocker 的固定驱动器的写入访问: 如果设置为“开”,用户只能在固定驱动器使用 BitLocker 加密时才能写入这些驱动器。默认为“关”。
-
阻止对未使用 BitLocker 的可移动驱动器的写入访问: 如果设置为“开”,用户只能在可移动驱动器使用 BitLocker 加密时才能写入这些驱动器。根据您的组织是否允许对其他组织可移动驱动器进行写入访问来配置此设置。默认为“关”。
-
提示进行其他磁盘加密: 允许您禁用设备上其他磁盘加密的警告提示。默认为“关”。
共享
共享
在本文中
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.