Windows 10 uute funktsioonidega on kasutajate tootlikkus suurenenud hüppeliselt. Sellepärast Windows 10 tutvustas oma lähenemisviisi nagu "Mobiilne esimene, Cloud esimene". See on vaid mobiilseadmete integreerimine pilvetehnoloogiasse. Windows 10 pakub kaasaegset andmete haldamist, kasutades pilvepõhiseid seadmehalduslahendusi nagu Microsoft Enterprise Mobility Suite (EMS). Sellega saavad kasutajad oma andmeid igal ajal ja igal ajal juurde pääseda. Kuid sellised andmed vajavad ka head turvalisust, mis on võimalik Bitlocker.
Bitlocker-krüpteerimine pilvandmete turvalisuse tagamiseks
Bitlockeri krüpteerimisfunktsioon on juba Windows 10 mobiilseadmetes saadaval. Kuid need seadmed peavad olema InstantGo võime automatiseerida konfiguratsiooni. InstantGo abil saab kasutaja automaatselt konfigureerida seadet ja varukoopia taastamisklahvi kasutaja Azure AD-kontole.
Kuid nüüd ei vaja seadmed enam InstantGo võimalusi. Windows 10 Creators Update'iga on kõigil Windows 10-seadmetel viisard, kus kasutajatel palutakse Bitlockeri krüpteerimist käivitada, olenemata kasutatavast riistvarast. Selle põhjuseks oli peamiselt kasutajate tagasiside konfiguratsioonist, kus nad soovisid, et see krüpteerimine oleks automatiseeritud, ilma et kasutaja kasutaks midagi. Seega on nüüd Bitlocker-krüptimine muutunud automaatne ja riistvara sõltumatu.
Kuidas Bitlockeri krüptimine toimib
Kui lõppkasutaja registreerib seadme ja on kohalik administraator, teeb TriggerBitlocker MSI järgmist:
- Kasutab kolme faili C: Program Files (x86) BitLockerTrigger
- Impordib uue kavandatud ülesande, mis põhineb lisatud Enable_Bitlocker.xml
Ajastatud ülesanne käivitatakse igal päeval kell 14.00 ja teeb järgmised toimingud:
- Käivita Enable_Bitlocker.vbs, mille peamine eesmärk on helistada Enable_BitLocker.ps1 ja kindlasti minimeeritud.
-
Omakorda krüpteerib Enable_BitLocker.ps1 kohaliku draivi ja salvestab taastamise võtme Azure AD ja OneDrive for Business (kui see on konfigureeritud)
Taastamisklahv salvestatakse ainult siis, kui see on muudetud või mitte
Kasutajad, kes ei kuulu kohaliku administraatori gruppi, peavad järgima teistsugust menetlust. Vaikimisi on esimene Azure AD-ga liitunud seade kohaliku administraatori rühma liige. Kui teine kasutaja, kes on sama AAD-üürniku osa, logib seadmesse sisse, on see tavaline kasutaja.
See bifurkatsioon on vajalik, kui seadme registreerimise halduri konto hoolitseb Azure AD-i liitumise eest enne seadme lõppkasutajale üleandmist. Sellistele kasutajatele on muudetud MSI (TriggerBitlockerUser) saanud Windowsi meeskonna. See erineb pigem kohalike administraatorite kasutajate omast:
BitlockerTriggeri ajastatud ülesanne käitatakse süsteemi kontekstis ja see:
- Kopeerige taastamisklahv kasutaja, kes ühendas seadmega AAD-i Azure'i AD-kontoga.
- Ajutiselt kopeerige taasteklahv Systemdrive temp (tavaliselt C: Temp).
Esitatakse uus skript MoveKeyToOD4B.ps1 ja käib igapäevaselt läbi kavandatud ülesande nimega MoveKeyToOD4B. See ajastatud ülesanne käivitatakse kasutajate kontekstis. Taastamisklahv viiakse SystemDrive tempelt kataloogi OneDrive for Business recovery.
Mitte-kohalike adminstsenaariumide puhul peavad kasutajad kasutama TriggerBitlockerUseri faili kaudu Intune lõppkasutajate rühmale. Seda ei kasutata Device Enrollment Manageri grupis / kontol, mida kasutatakse seadme liitmiseks Azure AD-ga.
Taastuvõti juurdepääsu saamiseks peavad kasutajad minema ühte järgmistest asukohtadest:
- Azure AD konto
- OneDrive for Business taastekaust (kui see on konfigureeritud).
Kasutajatel soovitatakse taastamisklahvi hankida https://myapps.microsoft.com ja liikuge oma profiilile või oma OneDrive for Business recovery kausta.
Lisateavet selle kohta, kuidas Bitlockeri krüpteerimist lubada, lugege Microsofti TechNet'i kogu blogi.
Seonduvad postitused:
- Cloud Computing küsitleb küsimusi ja vastuseid
- Microsoft BitLockeri funktsioon Windowsis 10/8/7
- Vaikimisi asukohta BitLockeri taastevõtme salvestamiseks
- Miks salvestab Microsoft OneDrive teie Windows 10 seadme krüpteerimisvõti
- BitLockeri draivi krüptimist ei saa kasutada, kuna kriitilised BitLockeri süsteemi failid on puudu või rikutud
