Благодаря новым функциям Windows 10 производительность пользователей увеличилась. Это потому что Windows 10 представил свой подход как «Мобильный первый, Облако первым». Это не что иное, как интеграция мобильных устройств с облачной технологией. Windows 10 обеспечивает современное управление данными с использованием облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility Suite (EMS), Благодаря этому пользователи могут получать доступ к своим данным из любого места и в любое время. Однако такой тип данных также требует хорошей безопасности, что Bitlocker.
Шифрование данных для защиты облачных данных
Конфигурация шифрования битлокатора уже доступна на мобильных устройствах Windows 10. Однако эти устройства должны были иметь InstantGo возможность автоматизации конфигурации. С помощью InstantGo пользователь может автоматизировать конфигурацию на устройстве, а также создать резервную копию ключа восстановления для учетной записи пользователя Azure AD.
Но теперь устройства больше не потребуют возможности InstantGo. В Windows 10 Creators Update все устройства Windows 10 будут иметь мастер, в котором пользователям предлагается запустить шифрование Bitlocker, независимо от используемого оборудования. Это было главным образом результатом отзывов пользователей о конфигурации, где они хотели, чтобы это шифрование было автоматизировано, без того, чтобы пользователи ничего не делали. Таким образом, теперь шифрование Bitlocker стало автоматический а также аппаратное независимое.
Как работает шифрование Bitlocker
Когда конечный пользователь регистрирует устройство и является локальным администратором, TriggerBitlocker MSI выполняет следующие действия:
- Развертывает три файла в C: Program Files (x86) BitLockerTrigger
- Импортирует новую запланированную задачу на основе включенного Enable_Bitlocker.xml
Запланированная задача будет выполняться каждый день в 2 часа дня и будет выполнять следующие действия:
- Запустите Enable_Bitlocker.vbs, основной целью которого является вызов Enable_BitLocker.ps1 и убедитесь, что выполняются сведены к минимуму.
-
В свою очередь, Enable_BitLocker.ps1 будет шифровать локальный диск и хранить ключ восстановления в Azure AD и OneDrive for Business (если он настроен)
Ключ восстановления сохраняется только при изменении или отсутствии
Пользователи, не входящие в группу локального администратора, должны следовать другой процедуре. По умолчанию первый пользователь, подключающий устройство к Azure AD, является членом локальной группы администраторов. Если второй пользователь, входящий в состав одного из арендаторов AAD, войдет в систему на устройстве, он станет стандартным пользователем.
Эта бифуркация необходима, когда учетная запись диспетчера устройств регистрирует соединение Azure AD перед передачей устройства конечному пользователю. Для таких пользователей модифицированной MSI (TriggerBitlockerUser) была предоставлена команда Windows. Он немного отличается от настроек локальных пользователей:
Плановая задача BitlockerTrigger будет запущена в системном контексте и будет:
- Скопируйте ключ восстановления на учетную запись Azure пользователя пользователя, присоединившего устройство к AAD.
- Скопируйте ключ восстановления в Systemdrive temp (обычно C: Temp) временно.
Введен новый скрипт MoveKeyToOD4B.ps1 и выполняется ежедневно через запланированную задачу, называемую MoveKeyToOD4B, Эта запланированная задача выполняется в контексте пользователей. Ключ восстановления будет перемещен из systemdrive temp в папку OneDrive for Business recovery.
Для сценариев нелокальных администраторов пользователям необходимо развернуть файл TriggerBitlockerUser через Intune группе конечных пользователей. Это не распространяется на группу / учетную запись Device Enrollment Manager, которая используется для присоединения устройства к Azure AD.
Чтобы получить доступ к ключу восстановления, пользователям необходимо перейти в одно из следующих мест:
- Счет в Azure AD
- Папка восстановления в OneDrive для бизнеса (если она настроена).
Пользователям предлагается извлечь ключ восстановления через https://myapps.microsoft.com и перейдите к их профилю или в папку OneDrive for Business recovery.
Для получения дополнительной информации о том, как включить шифрование Bitlocker, прочитайте полный блог в Microsoft TechNet.
Похожие сообщения:
- Вопросы и ответы на интервью с облачными вычислениями
- Функция Microsoft BitLocker в Windows 10/8/7
- Изменение местоположения по умолчанию для сохранения ключа восстановления BitLocker
- Почему Microsoft хранит ваш ключ шифрования устройства Windows 10 для OneDrive
- Шифрование диска BitLocker нельзя использовать, поскольку критические системные файлы BitLocker отсутствуют или повреждены
