如何使用 Intune 设置目录部署 Bitlocker

在本文中，我将演示如何使用 Intune 设置目录部署 Bitlocker。您可以使用设置目录通过 Intune 配置 Bitlocker，这提供了更灵活的配置选择。

BitLocker 是一种数据保护功能，它与操作系统集成，可解决因丢失、被盗或不当停用计算机而导致数据被盗或泄露的威胁。与可信平台模块 (TPM) 版本 1.2 或更高版本一起使用时，它可以提供最大程度的保护。

可以使用以下三种方法之一在适用于 Windows 10 和 11 设备的 Intune 中配置 BitLocker：

• 端点保护配置文件
• 端点安全磁盘加密配置文件
• 设置目录配置文件

端点保护和端点安全磁盘加密配置文件使用 BitLocker 配置服务提供程序 (CSP) 来配置 PC 和设备的加密，而设置目录配置文件使用 BitLocker CSP 和 ADMX 支持的设置的组合。

Microsoft 建议在选择最适合组织要求的配置方法时使用端点保护配置文件部署 Bitlocker。如果您需要更多的设置灵活性和替代方案，设置目录配置文件是一个可行的替代方案。

请参阅有关如何使用端点安全磁盘加密配置文件启用和配置 Bitlocker 的指南。在本文中，我将演示如何通过 Intune 设置目录在 Windows 10 和 11 设备上配置和部署 BitLocker。

• 通过 Intune 设置目录部署 Bitlocker 的先决条件
• Intune 设置目录中提供了其他 Bitlocker 设置
• 使用 Intune 设置目录部署 Bitlocker
• Bitlocker 设置
• Bitlocker 驱动器加密设置
• 设置目录中的 Bitlocker 操作系统驱动器
• Bitlocker 修复了 Intune 设置目录中的数据驱动器
• 通过 Intune 设置目录配置可移动数据驱动器

通过 Intune 设置目录部署 Bitlocker 的先决条件

BitLocker for Intune 可在运行 Windows 10 和 Windows 11 的设备上使用。使用 Intune 启用 Bitlocker 需要满足以下先决条件：

1. 您需要有效的 Microsoft Intune 许可证。
2. 设备必须加入 Azure AD 或混合 Azure AD。
3. 不得使用第三方磁盘加密软件（例如 McAfee Disk Encryption）对设备进行加密。使用 Intune 部署 BitLocker 时，必须完全解密已使用其他技术加密的所有设备。
4. 终端设备必须具有版本 1.2 或更高版本的 TPM 芯片（强烈建议使用 TPM 2.0）。
5. BIOS 必须设置为 UEFI。
6. 若要在 Intune 中管理 BitLocker，你的帐户必须具有适用的 Intune 基于角色的访问控制 (RBAC) 权限。

Intune 设置目录中提供了其他 Bitlocker 设置

以下附加 Bitlocker 设置在 Intune 设置目录中可用，但在其他两个策略（端点安全和设备配置配置文件）中不可用。

• 允许与 InstantGo 或 HSTI 兼容的设备选择退出预启动 PIN
• 允许使用增强型 PIN 启动
• 启用需要在平板电脑上进行预启动键盘输入的 BitLocker 身份验证
• 在操作系统驱动器上强制执行驱动器加密类型
• 选择加密类型：（设备）

使用 Intune 设置目录部署 Bitlocker

使用以下步骤通过设置目录配置和部署 Bitlocker：

• 登录 Microsoft Intune 管理中心。
• 导航至设备 > Windows 设备 > 配置描述文件。
• 选择+ 创建配置文件，并为配置文件类型的平台和设置目录选择 Windows 10 及更高版本，然后选择创建。

在创建配置文件窗格的基本选项卡中命名配置文件。添加有关配置文件的简短描述。单击下一步。

在配置设置选项卡上，选择+添加设置。

在搜索框中键入“BitLocker”以查找用于配置 Bitlocker 的所有相关设置。 Intune 设置目录允许您灵活选择将哪些 BitLocker 设置添加到策略中。

您可以在 Intune 中为 Bitlocker 配置五个类别或一组设置：

1. Bitlocker 驱动器加密
2. 固定数据驱动器
3. 操作系统驱动器
4. 可移动数据驱动器
5. Bitlocker 设置

Bitlocker 设置

BitLocker 类别启用静默加密和恢复密码轮换设置。静默加密将在设备上启用 BitLocker，而无需用户交互。此配置的重要限制是，由于用户不必进行交互，因此不会提示他们输入启动 PIN 码。

注意：您不必选择所有设置，只需配置您的组织所需的设置。为了演示的目的，我将把它们全部添加进去。

完成类别选择后，使用X按钮关闭“设置”选择器窗格并返回到配置选项卡。

可以为 Bitlocker 设置配置以下内容：

• 允许对其他磁盘加密发出警告
• 配置恢复密码轮换
• 不加密的可移动驱动器
• 需要设备加密

Bitlocker 驱动器加密设置

从“设置”目录中，展开“管理模板”类别以查看以 BitLocker 驱动器加密开头的设置选项。在这里您可以设置加密方法和密码强度。在下面的示例中，我为固定数据驱动器和操作系统驱动器选择了 XTS-AES 256 位，为可移动数据选择了 AES-CBC 128 位（默认）驱动器。

为了便于说明，我已启用唯一标识符，但尚未填写它们。请注意，在管理模板之外，BitLocker CSP 不支持唯一 ID 的设置。

设置目录中的 Bitlocker 操作系统驱动器

使用 Intune 设置目录配置和部署 Bitlocker 时，您将获得其他两种方法所不提供的以下附加设置。

• 允许与 InstantGo 或 HSTI 兼容的设备选择退出预启动 PIN
• 允许使用增强型 PIN 启动
• 启用需要在平板电脑上进行预启动键盘输入的 BitLocker 身份验证
• 在操作系统驱动器上强制执行驱动器加密类型
• 选择加密类型：（设备）

Bitlocker 修复了 Intune 设置目录中的数据驱动器

配置固定数据驱动器设置与端点安全设置类似，但“在固定数据驱动器上强制执行驱动器加密类型”和“选择加密类型（设备）”除外。这些设置允许管理员指定 BitLocker 是否应仅加密已用空间或整个驱动器。

通过 Intune 设置目录配置可移动数据驱动器

对于可移动驱动器，您会发现大多数设置类似于端点保护策略。但是，您还需要考虑“允许用户暂停和解密可移动数据驱动器（设备）上的 BitLocker 保护”和“在可移动数据驱动器上强制执行驱动器加密类型”设置的要求。

下面的屏幕截图显示了通过 Intune 设置目录对可移动数据驱动器的配置。

通过 Intune 设置目录配置所有 Bitlocker 设置后，单击下一步。在“分配”选项卡上，添加要部署 Bitlocker 设置的 Azure AD 组。单击下一步。

在查看 + 创建页面上，您将找到已配置的所有 BitLocker 设置。完成后，选择创建。

通过 Intune 部署 BitLocker 策略后，该策略现在显示在配置配置文件列表下。还会出现一条通知，确认策略已创建。

使用 Intune 设置目录部署 Bitlocker 后，下一步是监视设备上的 BitLocker 加密状态。您可以从 Intune 管理中心执行此操作。除此之外，还有一个 Microsoft Intune 加密报告，用于查看有关设备加密状态的详细信息并查找管理设备恢复密钥的选项。

Microsoft Intune 加密报告是了解设备加密状态并找到管理恢复密钥方法的中心位置。可用的恢复密钥选项取决于您正在查看的设备类型。

要查找报告，请登录 Microsoft Endpoint Manager 管理中心。选择设备 > 监控，然后在配置下选择加密报告。