BitLocker-salaus AAD / MDM-protokollalla

Windows 10: n uusilla ominaisuuksilla käyttäjien tuottavuus on lisännyt harppauksia. Tämä johtuu siitä, että Windows 10 esitteli lähestymistapansa "Mobile first, Cloud first". Se ei ole muuta kuin mobiililaitteiden integrointi pilviteknologiaan. Windows 10 tarjoaa nykyaikaisen tiedonhallinnan pilvipohjaisten laitehallintaratkaisujen, kuten Microsoft Enterprise Mobility Suite (EMS) avulla. Tämän avulla käyttäjät voivat käyttää tietojaan mistä tahansa ja milloin tahansa. Tällaiset tiedot tarvitsevat kuitenkin myös hyvän tietoturvan, joka on mahdollista Bitlocker .

BitLocker-salaus pilvitietojen suojaamiseksi

BitLocker-salausasetukset ovat jo käytettävissä Windows 10 -mobiililaitteissa. Näissä laitteissa kuitenkin oli oltava InstantGo kyky automatisoida kokoonpano. InstantGo-sovelluksella käyttäjä voi automatisoida laitteen kokoonpanon sekä palauttaa palautuksen avaimen käyttäjän Azure AD -tiliin.

Mutta nyt laitteet eivät tarvitse enää InstantGo-ominaisuutta. Windows 10 Creators -päivityksen yhteydessä kaikissa Windows 10 -laitteissa on ohjattu toiminto, jossa käyttäjää kehotetaan käynnistämään BitLocker-salaus käytettävältä laitteelta riippumatta. Tämä johtui pääasiassa käyttäjien palautteesta kokoonpanosta, jossa he halusivat saada tämän salauksen automaattisesti ilman, että käyttäjät tekisivät mitään. Näin Bitlockerin salaus on nyt automaattinen ja laitteiston itsenäinen.

Miten Bitlockerin salaus toimii

Kun loppukäyttäjä ilmoittaa laitteesta ja on paikallinen ylläpitäjä, TriggerBitlocker MSI suorittaa seuraavat:

• Asettaa kolme tiedostoa C: Program Files (x86) BitLockerTrigger
• Tuo uusi ajoitettu tehtävä liitteen Enable_Bitlocker.xml

mukaan. päivässä kello 14.00 ja tekee seuraavat toimenpiteet:

• Suorita Enable_Bitlocker.vbs, jonka päätehtävänä on soittaa Enable_BitLocker.ps1 ja varmistaa, että se toimii minimoituna.
• Enable_BitLocker.ps1 puolestaan ​​salaa paikallisen aseman ja tallentaa palautusavaimen Azure AD: hen ja OneDrive for Businessen (jos se on konfiguroitu)
  • Palautus avain tallennetaan vain, jos se on joko muuttunut tai ei ole läsnä

Käyttäjät, jotka eivät ole paikallisen järjestelmänvalvojan ryhmän jäseniä,. Oletusarvoisesti ensimmäinen käyttäjä, joka liittyy laitteeseen Azure AD: hen, on paikallisen järjestelmänvalvojaryhmän jäsen. Jos toinen käyttäjä, joka on osa samaa AAD-vuokralaista, kirjautuu laitteeseen, se on vakiokäyttäjä.

Tämä bifuraatio on välttämätöntä, kun laitteen rekisteröintitilin tili huolehtii Azure AD -liittymästä ennen luovuttamista laitteen kautta loppukäyttäjälle. Tällaisille käyttäjille muokatun MSI (TriggerBitlockerUser) on saanut Windows-tiimille. Se on hieman erilainen kuin paikallisen järjestelmänvalvojan käyttäjät:

BitlockerTriggerin ajoitettu tehtävä ajetaan järjestelmän kontekstiin ja seuraa:

• Kopioi palautusavaimen laitteen AAD-palveluun liittyneen käyttäjän Azure AD -tilille.
• Kopioi palautumisaika Systemdrive temp (tyypillisesti C: Temp) tilapäisesti.

Uusi kirjoitus MoveKeyToOD4B.ps1 otetaan käyttöön ja se päivitetään päivittäin ajoitetun tehtävän nimellä MoveKeyToOD4B . Tämä ajoitettu tehtävä suoritetaan käyttäjien yhteydessa. Palautus avain siirretään systemdrive temp -ohjelmasta OneDrive for Business recovery-kansioon.

Muiden kuin paikallisten hallintatilanteiden mukaan käyttäjien on asennettava TriggerBitlockerUser-tiedosto Intune -users. Tätä ei käytetä Device Enrollment Manager -ryhmään / tiliin, jota käytetään liittymään laitteeseen Azure AD: hen.

Palautustunnisteen käyttö edellyttää käyttäjien siirtymistä jompaankumpaan seuraavista sijainneista:

• Azure AD-tili
• OneDrive for Business -ohjelman palautuskansio (jos se on määritetty).

Käyttäjää ehdotetaan palauttamaan palautusavaimen //myapps.microsoft.com ja siirtyä niiden profiiliin tai OneDrive for Business recovery-kansioon.

Lisätietoja BitLocker-salauksen ottamisesta on luettavissa koko Microsoft TechNet -blogista.