使用 Intune 启用和配置 BitLocker：分步指南

在这篇文章中，我将向您展示如何使用 Intune 启用和配置 BitLocker。您可以使用 Microsoft Intune 在运行 Windows 10 或 11 的设备上配置 BitLocker 驱动器加密。本手册介绍了如何使用 Intune for Windows 设备部署 BitLocker。

Intune 中的 BitLocker 驱动器加密是一项数据保护功能，它与操作系统集成，可解决因丢失、被盗或不当停用计算机而导致数据被盗或泄露的威胁。

加密有助于保护您设备上的数据，因此只有获得授权的人员才能访问这些数据。 BitLocker 可在运行 Windows 10 和 Windows 11 的设备上使用。您还可以在没有 TPM 的情况下启用 Bitlocker。

可以使用组策略、配置管理器和 Microsoft Intune 等多种方法在 Windows 10 和 Windows 11 设备上启用 Bitlocker 加密。在独立计算机上，您可以手动打开 Bitlocker 加密。

注意：您可以配置 BitLocker 策略以自动、静默地在设备上启用 BitLocker。这意味着 BitLocker 无需向最终用户显示任何 UI 即可成功启用，即使该用户不是设备上的本地管理员也是如此。您可以使用端点安全磁盘加密策略中的 BitLocker 配置文件，或设备配置策略中的端点保护模板。

BitLocker Intune 先决条件

BitLocker for Intune 可在运行 Windows 10 和 Windows 11 的设备上使用。使用 Intune 启用 Bitlocker 需要满足以下先决条件：

1. 您需要有效的 Microsoft Endpoint Manager (Intune) 许可证。
2. 设备必须加入 Azure AD 或混合 Azure AD。
3. 不得使用第三方磁盘加密工具（例如 McAfee Disk Encryption）对设备进行加密。如果设备已使用其他解决方案加密，则在使用 Intune 部署 BitLocker 之前，您需要先完全解密这些设备。
4. 终端设备必须具有版本 1.2 或更高版本的 TPM 芯片（强烈建议使用 TPM 2.0）。
5. BIOS 必须设置为 UEFI。
6. 若要在 Intune 中管理 BitLocker，你的帐户必须具有适用的 Intune 基于角色的访问控制 (RBAC) 权限。

使用 Intune 配置和部署 Bitlocker 的方法

Intune 允许您使用两种方法配置和部署 BitLocker 策略：

1. 为 BitLocker 创建设备配置文件并将其部署到设备。
2. 为 BitLocker 创建端点安全策略，对其进行配置并将其部署到设备。

您可以使用上述任何过程来创建您喜欢的策略类型。建议的方法是创建终结点安全策略并使用适用于 Windows 设备的 Intune 配置 BitLocker。

使用 Intune 以静默方式启用 BitLocker 所需的设置

根据您使用的策略类型，您可以使用 Intune 以静默方式启用 BitLocker：

• 端点安全磁盘加密策略：在 BitLocker 配置文件中配置以下设置：

  • 隐藏有关第三方加密的提示=是。
• 允许标准用户在 Autopilot 期间启用加密=是。
• 需要创建密钥文件=阻止或允许。

使用 Intune 启用和配置 Bitlocker

我们现在将了解如何使用 Intune 来打开、设置和部署 Bitlocker。这将在运行 Windows 10 或 11 的设备上配置 BitLocker 驱动器加密。使用 Intune 启用和配置 Bitlocker 的高级步骤如下：

• 使用 Intune 启用 Bitlocker
• 在 Intune 中为 Bitlocker 创建配置文件
• 使用 Intune 配置 Bitlocker 策略
• 监控 Bitlocker 加密状态

步骤 1：在 Intune 中创建 BitLocker 策略

在此步骤中，我们将通过以下步骤在 Intune 中为 Bitlocker 创建新的终结点安全策略：

• 登录 Microsoft Endpoint Manager 管理中心 (Intune 管理中心)。
• 导航到端点安全节点，然后在“管理”下选择磁盘加密。
• 要创建新策略，请选择创建策略。

在创建配置文件窗口中，选择以下选项：

• 平台：Windows 10 及更高版本
• 配置文件：BitLocker

单击创建。

在创建配置文件页面的基本选项卡上，输入 Bitlocker 策略的名称和简短说明。例如，您可以指定以下详细信息：

• 名称：使用 Intune 启用和配置 Bitlocker。
• 描述：为 BitLocker 创建端点安全策略。

单击下一步。

步骤 2：使用 Intune 配置 Bitlocker

在此步骤中，我将向您展示如何在 Intune 中配置 Bitlocker 策略设置。到达BitLocker 配置设置后，您可以配置多项设置。我想指出的是，您不必启用和配置每个 BitLocker 设置。根据业务的需要，必须进行设置。不过，我将介绍使用 Intune 启用和配置 BitLocker 时可以遵循的最佳实践。

在 Intune 中配置 BitLocker 基本设置

您在 Bitlocker 配置设置选项卡上看到的第一组设置是基本设置。这些允许您配置 BitLocker 的静默启用和强制执行。我们将审查每个设置，我将解释每个设置的目的以及您是否应该启用它。

• 启用操作系统和固定数据驱动器的全盘加密：选择是。这将强制使用 BitLocker。
• 要求存储卡加密（仅限移动设备）：选择未配置。当此设置设为是时，移动设备将需要对存储卡进行加密。当设置为未配置时，设置将恢复为操作系统默认值，即不需要存储卡加密。此设置仅适用于 Windows Mobile 和 Mobile Enterprise SKU 设备。
• 隐藏有关第三方加密的提示：选择是。如果在已由第三方加密产品加密的系统上使用 Intune 启用 BitLocker，可能会导致设备无法使用。强烈建议不要在安装或启用了第三方加密（例如 McAfee 磁盘加密）的设备上启用 BitLocker。当此设置设为是时，此警告提示将被抑制。当设置为未配置时，该设置将恢复为默认值，即警告用户有关第三方加密的信息。
• 允许标准用户在 Autopilot 期间启用加密：选择是。设置为是时，在 Azure Active Directory 加入 (AADJ) 静默启用方案期间，用户无需成为本地管理员即可使用 Intune 启用 BitLocker。当设置为未配置时，该设置将保留为客户端默认设置，即需要本地管理员访问权限才能启用 BitLocker。
• 配置客户端驱动的恢复密码轮换：选择“在 Azure AD 和混合加入的设备上启用轮换”选项。如果将此设置为未配置，则意味着客户端在客户端上披露时不会轮换 BitLocker 恢复密钥。将其设置为为 Azure AD 加入的设备启用密钥轮换将允许 AADJ 设备的密钥轮换。将其设置为为 Azure AD 加入的设备和混合加入的设备启用密钥轮换将允许 AADJ 或混合加入的设备进行密钥轮换。

在 Intune 中配置 BitLocker 固定驱动器设置

BitLocker 固定驱动程序设置适用于设备可能具有的其他内部磁盘。例如，主磁盘上的单独分区或台式机或笔记本电脑上安装的单独的第二个磁盘。

让我们按顺序浏览每个固定驱动程序设置：

• BitLocker 固定驱动器策略：此策略设置用于控制加密方法和密码强度。此策略的值确定 BitLocker 用于加密的密码的强度。
• 固定驱动器恢复：此设置控制在缺少所需启动密钥信息的情况下如何恢复受 BitLocker 保护的固定数据驱动器。
• 恢复密钥文件创建：如果将“将 BitLocker 恢复信息保存到 Azure Active Directory”策略设置为启用，则将此设置为“需要”将在 BitLocker 初始化期间生成 48 位恢复密码，并将其发送到 Azure AD。
• 配置 BitLocker 恢复包：如果将“将 BitLocker 恢复信息保存到 Azure Active Directory”策略设置为启用，则将此设置为“需要”将在 BitLocker 初始化期间生成 48 位恢复密码并将其发送到 Azure AD。
• 要求设备将恢复信息备份到 Azure AD：如果将 BitLocker 恢复信息保存到 Azure Active Directory 策略设置为“需要”，则将此设置为“需要”将在 BitLocker 初始化期间生成 48 位恢复密码，并将其发送到 Azure AD设置为启用。
• 恢复密码创建：将此设置为允许将在 BitLocker 初始化期间生成 48 位恢复密码，并将其发送到 Azure AD（如果策略是将 BitLocker 恢复信息保存到 Azure Active Directory）设置为启用。如果将 BitLocker 恢复信息保存到 Azure Active Directory 策略设置为启用，则将此设置为需要将在 BitLocker 初始化期间生成 48 位恢复密码并将其发送到 Azure AD。
• 在 BitLocker 设置期间隐藏恢复选项：将此设置为是将阻止最终用户在 BitLocker 设置向导期间选择额外的恢复选项，例如打印恢复密钥。将其设置为未配置将允许用户访问额外的恢复选项。
• 恢复信息后启用 BitLocker 存储：通过将此项设置为是，BitLocker 恢复信息将保存到 Active Directory 域服务。
• 阻止使用基于证书的数据恢复代理 (DRA)：将此设置为“是”将阻止使用数据恢复代理 (DRA) 恢复启用 BitLocker 的驱动器。将其设置为“未配置”将允许设置 DRA 的使用。设置 DRA 需要企业 PKI 和组策略对象来部署 DRA 代理和证书。
• 阻止对不受 BitLocker 保护的固定数据驱动器进行写入访问：设置为是时，Windows 将不允许将任何数据写入不受 BitLocker 保护的固定驱动器。如果固定驱动器未加密，则用户需要先完成该驱动器的 BitLocker 设置向导，然后才能授予写入访问权限。将其设置为“未配置”将允许将数据写入非加密的固定驱动器。
• 为固定数据驱动器配置加密方法：选择AES 256bit XTS加密方法。此设置允许您为固定数据驱动器磁盘选择所需的加密方法。 XTS-AES 128 位是 Windows 默认加密方法和推荐值。

配置 BitLocker 操作系统驱动器设置

在本部分中，我们将详细介绍 Intune 中可用的 BitLocker OS 驱动器设置。

• BitLocker 系统驱动器策略：选择配置。
• 需要启动身份验证：选择是。
• 兼容的 TPM 启动：选择必需。建议 BitLocker 需要 TPM。
• 兼容的 TPM 启动 PIN：选择阻止。如果要使用 Intune 以静默方式启用 BitLocker，建议禁用 PIN。
• 兼容的 TPM 启动密钥：选择阻止。
• 兼容的 TPM 启动密钥和 PIN：选择阻止。
• 在 TPM 不兼容的设备上禁用 BitLocker：选择未配置。
• 启用预启动恢复消息和 URL：使用此选项声明是否需要自定义恢复消息或 URL。
• 预启动恢复 URL：可选，使用此选项来声明是否需要自定义恢复消息或 URL。

• 系统驱动器恢复：控制在缺少所需启动密钥信息的情况下如何恢复受 BitLocker 保护的操作系统驱动器。
• 用户创建恢复密钥：选择允许，允许管理员用户手动创建 256 位恢复密钥文件。
• 配置 BitLocker 恢复包：选择密码和密钥。
• 要求设备将恢复信息备份到 Azure AD：选择是。在恢复密钥成功保存到 Azure Active Directory 之前，BitLocker 不会完成启用。
• 创建恢复密码：选择必需。
• 在 BitLocker 设置期间隐藏恢复选项：选择是。将此设置为“是”将阻止最终用户选择额外的恢复选项，例如在 BitLocker 设置向导期间打印恢复密钥。
• 恢复信息后启用 BitLocker 存储：选择是。通过将此设置为“是”，BitLocker 恢复信息将保存到 Active Directory 域服务。
• 阻止使用基于证书的数据恢复代理 (DRA)：选择未配置。将其设置为“未配置”将允许设置 DRA 的使用。
• 最小 PIN 长度：允许您在使用 Intune 启用 Bitlocker 时需要 TPM + PIN 时配置最小启动 PIN 长度。
• 配置操作系统驱动器的加密方法：选择AES 256bit XTS。

配置 BitLocker 可移动驱动器设置

使用 Intune 启用和配置 Bitlocker 时，可能还需要考虑可移动驱动器。在我的上一篇文章中，我向您展示了如何使用 Intune 阻止可移动存储。如果允许使用可移动设备，您可以配置以下 BitLocker 设置。

• BitLocker 可移动驱动器策略：选择配置。
• 为可移动数据驱动器配置加密方法：选择AES 256bit XTS。
• 阻止对不受 BitLocker 保护的可移动数据驱动器进行写入访问：选择未配置。
• 阻止对其他组织中配置的设备的写入访问：选择未配置。

步骤 3：使用 Intune 部署 BitLocker

在步骤 1 中，我们在 Intune 中创建了 BitLocker 策略，在步骤 2 中，我们配置了 BitLocker 策略设置。在此步骤中，我们将通过将 BitLocker 策略分配给设备来部署它。

如果您的组织是首次使用 Intune 设置 BitLocker，您可以通过试点组对其进行测试。如果实施成功，您可以将 BitLocker 策略扩展到更大的设备组。

在范围（标签）页面上，选择选择范围标签以打开“选择标签”窗格，将范围标签分配给配置文件。选择下一步继续。

在作业页面上，选择将接收此配置文件的组。在“包含的组”部分下，单击添加组，然后选择要部署 BitLocker 策略的 Azure AD 组。选择下一步。

在查看 + 创建页面上，您将找到已配置的所有 BitLocker 设置。完成后，选择创建。

在 Intune 中创建 BitLocker 策略后，该策略现在显示在“磁盘加密”下。当您为创建的配置文件选择策略类型时，新配置文件将显示在列表中。您可以为 Intune 中的不同设备组拥有多个磁盘加密策略。

步骤 4：在 Intune 中监控 Bitlocker 加密状态

使用 Intune 部署 Bitlocker 后，下一步是监视设备上的 BitLocker 加密状态。您可以从 Intune 管理中心执行此操作。除此之外，还有一个 Microsoft Intune 加密报告，用于查看有关设备加密状态的详细信息并查找管理设备恢复密钥的选项。

从下面的屏幕截图中，我们看到 Bitlocker 配置文件分配在我们定位的几乎所有设备上都已成功。请注意，这是配置文件分配状态，而不是磁盘加密状态。

Microsoft Intune 加密报告是了解设备加密状态并找到管理恢复密钥方法的中心位置。可用的恢复密钥选项取决于您正在查看的设备类型。要查找报告，请登录 Microsoft Endpoint Manager 管理中心。选择设备 > 监控，然后在“配置”下选择加密报告。