如何阻止用户访问 Microsoft Entra 中的 BitLocker 密钥

默认情况下，如果用户设备的 BitLocker 密钥存储在 Microsoft Entra ID 中，则该用户（或设备的所有者）可以通过其 Web 上的 Microsoft Entra 配置文件访问 BitLocker 密钥。

对于是否允许用户访问自己的 BitLocker 密钥存在许多争论，但是，随着针对组织的攻击日益复杂，我的建议是将这种访问权限仅限于管理员。

在这篇文章中，我将向您展示如何防止用户在 Microsoft Entra 中访问自己的 BitLocker 密钥。

我是否应该阻止用户恢复 BitLocker 密钥？

您的组织是否应允许非管理员用户访问其拥有的设备的 BitLocker 密钥的答案归结为风险和实用性问题。

实际上，非管理员用户是否可能需要访问其 BitLocker 密钥，如果他们这样做，即使他们知道如何访问它们，他们是否也会向您（支持人员）寻求帮助？无论如何，如果他们可能在必要的恢复时提出支持请求，那么可能不值得冒额外的风险。

另一方面，允许非管理员用户访问自己的 BitLocker 密钥的反对意见是，由于现代多因素身份验证方法，妥协的风险较低，对于这种情况，我确实同意。

不幸的是，我不相信设备不会无人看管，即使是很短的时间，对于精明的攻击者来说，他们可以在设备处于活动状态时抢夺和抢夺，他们可以抢走笔记本电脑，窃取BitLocker 密钥然后就消失了……对我来说，这排除了非管理员用户偶尔需要访问其恢复密钥的情况。

总的来说，是的，您应该将对 BitLocker 密钥的访问限制为仅允许经过批准的用户。但我确实同意微软的立场，即让 BitLocker 密钥默认可访问，因为在完美的世界中这将是有益的，但在我们当前的世界中，情况并非如此。

使用 Microsoft Entra 门户阻止用户访问 BitLocker 密钥

确保标准用户无法访问自己的 BitLocker 密钥的最简单方法是通过 Web 使用 Microsoft Entra 管理中心。请按照以下设置来限制访问：

1. 登录 Microsoft Entra：https://entra.microsoft.com

2. 展开设备并选择所有设备。

3. 选择设备设置。

4. 设置限制用户恢复 BitLocker 密钥( s) 将其拥有的设备设置为是。

现在已启用此设置，如果用户登录 myaccount.microsoft.com 并尝试通过选择设备 选项卡访问其设备 BitLocker 密钥，他们将无法访问其设备 BitLocker 密钥。能够选择查看 Bitlocker 密钥按钮。

使用 Microsoft Graph PowerShell 阻止用户访问 BitLocker 密钥

您还可以使用 Microsoft Graph PowerShell 阻止或限制用户对其 BitLocker 密钥的访问。为此，您需要安装最新版本的 Microsoft Graph PowerShell SDK，并需要访问租户中的全局管理员用户以获得权限同意。

有关如何安装 Microsoft Graph PowerShell 模块的详细步骤，请查看我的帖子：https://ourcloudnetwork.com/how-to-install-the-microsoft-graph-powershell-sdk/

首先使用以下命令连接到 Microsoft Graph PowerShell：

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization

由于我们需要修改的属性“allowedToReadBitlockerKeysForOwnedDevice”是一个嵌套属性，因此不支持直接参数，因此我们必须将有效负载变量保存为哈希表。

$body = @{
	defaultUserRolePermissions = @{
		allowedToReadBitlockerKeysForOwnedDevice = $false
	}
}

那么什么时候可以使用update命令来完成请求：

Update-MgBetaPolicyAuthorizationPolicy -AuthorizationPolicyId authorizationPolicy -BodyParameter $body

命令运行后，可以使用 Get-MgBetaPolicyAuthorizationPolicy cmdlet 来验证我们的策略现在是否正确：

Get-MgBetaPolicyAuthorizationPolicy | Select -ExpandProperty DefaultUserRolePermissions

从下面的结果中可以看出，AllowedToReadBitlockerKeysForOwnedDevice 属性现在为 false。