Szyfrowanie Bitlocker z wykorzystaniem AAD / MDM dla Cloud Data Security

Dzięki nowym funkcjom Windows 10 produktywność użytkowników wzrosła skokowo. To dlatego, że Windows 10 wprowadził swoje podejście jako "Najpierw mobilna, najpierw Cloud". To tylko integracja urządzeń mobilnych z technologią chmury. System Windows 10 zapewnia nowoczesne zarządzanie danymi przy użyciu opartych na chmurze rozwiązań do zarządzania urządzeniami, takich jak Microsoft Enterprise Mobility Suite (EMS) . Dzięki temu użytkownicy mogą uzyskać dostęp do swoich danych z dowolnego miejsca iw dowolnym czasie. Jednak tego rodzaju dane wymagają również dobrego bezpieczeństwa, co jest możliwe dzięki Bitlockerowi .

Szyfrowanie Bitlocker dla bezpieczeństwa danych w chmurze

Konfiguracja szyfrowania Bitlocker jest już dostępna na urządzeniach mobilnych z Windows 10. Jednak te urządzenia musiały mieć InstantGo możliwość zautomatyzowania konfiguracji. Dzięki funkcji InstantGo użytkownik może zautomatyzować konfigurację urządzenia, a także utworzyć kopię zapasową klucza odzyskiwania na koncie Azure AD użytkownika.

Ale teraz urządzenia nie będą już wymagać funkcji InstantGo. Dzięki aktualizacji Windows 10 Creators Update wszystkie urządzenia z systemem Windows 10 będą mieć kreatora, w którym użytkownicy są monitowani o uruchomienie szyfrowania Bitlocker niezależnie od używanego sprzętu. Było to głównie wynikiem opinii użytkowników na temat konfiguracji, w której chcieli zautomatyzować to szyfrowanie bez konieczności wykonywania jakichkolwiek czynności przez użytkowników. Tak więc teraz szyfrowanie Bitlocker stało się automatyczne i niezależne sprzętowo.

Jak działa szyfrowanie Bitlocker

Kiedy użytkownik końcowy rejestruje urządzenie i jest lokalnym administratorem, TriggerBitlocker MSI wykonuje następujące czynności:

• Wdraża trzy pliki w C: Program Files (x86) BitLockerTrigger
• Importuje nowe zaplanowane zadanie na podstawie dołączonego Enable_Bitlocker.xml

Zaplanowane zadanie będzie uruchamiane co o 14:00 i wykona następujące czynności:

• Uruchom Enable_Bitlocker.vbs, którego głównym celem jest wywołanie Enable_BitLocker.ps1 i upewnij się, że działasz zminimalizowany.
• Z kolei Enable_BitLocker.ps1 zaszyfruje lokalny dysk i przechowuj klucz odzyskiwania do usług Azure AD i OneDrive dla Firm (jeśli skonfigurowano)
  • Klucz odzyskiwania jest przechowywany tylko wtedy, gdy zmieniono lub nie istnieje

Użytkownicy, którzy nie należą do lokalnej grupy administratorów, muszą przestrzegać innej procedury. Domyślnie pierwszy użytkownik dołączający urządzenie do usługi Azure AD jest członkiem lokalnej grupy administratorów. Jeśli drugi użytkownik, który jest częścią tego samego dzierżawcy AAD, loguje się do urządzenia, będzie to standardowy użytkownik.

Ta bifurkacja jest konieczna, gdy konto Device Adrollment Manager zajmie się łączeniem AD Azure AD przed przekazaniem przez urządzenie użytkownikowi końcowemu. Dla takich użytkowników zmodyfikowano MSI (TriggerBitlockerUser) zespołowi Windows. Jest nieco inny niż w przypadku lokalnych administratorów:

Zaplanowane zadanie BitlockerTrigger uruchomi się w kontekście Systemowym i będzie:

• Skopiować klucz odzyskiwania na konto Azure AD użytkownika, który dołączył do urządzenia do AAD.
• Skopiuj klucz odzyskiwania do Systemdrive temp (zwykle C: Temp).

Nowy skrypt MoveKeyToOD4B.ps1 został wprowadzony i jest uruchamiany codziennie za pomocą zaplanowanego zadania o nazwie MoveKeyToOD4B . To zaplanowane zadanie działa w kontekście użytkowników. Klucz odzyskiwania zostanie przeniesiony z systemdrive temp do folderu OneDrive dla Firm recovery.

W przypadku nielokalnych scenariuszy administracyjnych użytkownicy muszą wdrożyć plik TriggerBitlockerUser za pośrednictwem Intune do grupy końca -users. Nie jest to wdrożone w grupie / koncie modułu rejestrowania urządzeń, używanym do dołączania urządzenia do usługi Azure AD.

Aby uzyskać dostęp do klucza odzyskiwania, użytkownicy muszą przejść do jednej z następujących lokalizacji:

• Azure AD account
• Folder odzyskiwania w usłudze OneDrive dla Firm (jeśli został skonfigurowany).

Użytkownicy są sugerowani, aby pobrać klucz odzyskiwania za pomocą //myapps.microsoft.com i przejdź do ich profilu lub do folderu OneDrive for Business recovery.

Aby uzyskać więcej informacji na temat włączania szyfrowania Bitlocker, przeczytaj pełny blog w witrynie Microsoft TechNet.