BitLocker设备策略

Windows 10和Windows 11包括一个名为BitLocker的磁盘加密功能，它提供了额外的文件和系统保护，防止丢失或被盗的Windows设备未经授权的访问。为了获得更多的保护，您可以使用带有可信平台模块(TPM)芯片的BitLocker，版本1.2或更高。TPM芯片处理加密操作，生成、存储和限制加密密钥的使用。

从Windows 10 build 1703开始，MDM策略可以控制BitLocker。您可以使用端点管理中的BitLocker设备策略，在Windows 10和Windows 11设备上配置BitLocker向导中可用的设置。例如，在启用BitLocker的设备上，BitLocker会提示用户以下几个选项:

• 他们想在启动时如何解锁驱动器
• 如何备份自己的恢复密钥
• 如何解锁固定驱动器。

BitLocker设备策略设置还配置是否:

• 在没有TPM芯片的设备上启用BitLocker。
• 在BitLocker界面显示恢复选项。
• 当BitLocker未启用时，拒绝对固定或可移动驱动器的写访问。
• 安全保存加密的BitLocker恢复密钥供用户访问，以防他们忘记或放错密钥。这个钥匙可以在自助门户网站上找到。

请注意

在设备上启动BitLocker加密后，您不能通过部署更新的BitLocker设备策略来更改设备上的BitLocker设置。

若要添加或配置此策略，请转到配置>设备策略．有关更多信息，请参见设备的政策．

需求

• BitLocker设备策略要求Windows 10企业版或Windows 11企业版。

• 在部署BitLocker设备策略之前，请准备好使用BitLocker的环境。有关微软的详细信息，包括BitLocker系统要求和设置，请参阅磁盘加密．

Windows Phone设置

• 要求设备加密:确定是否提示用户在Windows Phone系统卡上启用BitLocker加密。如果在时，注册完成后设备会提示企业需要设备加密。如果用户选择不使用设备加密，则不会授予用户对系统卡的写访问权。如果从时，不会提示用户，由BitLocker策略决定设备是否加密。默认为从．

• 要求存储卡加密:确定是否提示用户在Windows Phone存储卡上启用BitLocker加密。如果在，需要对存储卡进行加密，才能获得对存储卡的写权限。默认为从．

Windows桌面和平板电脑设置

• 驱动器加密设置

  • 要求设备加密:确定是否提示用户在Windows台式机或平板电脑上启用BitLocker加密。如果在时，注册完成后设备会提示企业需要设备加密。如果从，用户不会被提示，BitLocker使用策略设置。默认为从．

• 加密设置

  • 配置加密方式:确定用于特定驱动器类型的加密方法。如果从， BitLocker向导会提示设备用户要为驱动器类型使用的加密方法。所有驱动器的加密方法默认为XTS-AES 128位。可移动驱动器的加密方法默认为AES-CBC 128-bit。如果在， BitLocker使用策略中指定的加密方法。如果在，这些额外的设置显示:操作系统驱动器，固定的驱动器,可移动驱动器．为每个驱动器类型选择默认加密方法。默认为从．

• 操作系统驱动器设置

  • 启动时需要额外的身份验证:指定设备启动期间所需的额外身份验证。还指定是否允许在没有TPM芯片的设备上使用BitLocker。如果从，没有TPM的设备不能使用BitLocker加密。有关TPM的信息，请参阅微软的文章，可信平台模块技术概述．如果在时，会出现以下额外设置。默认为从．

  • 在没有TPM芯片的设备上Block BitLocker:在没有TPM芯片的设备上，BitLocker要求用户创建解锁密码或启动密钥。启动密钥存储在USB驱动器中，用户必须在启动之前连接到设备上。解锁密码至少为8个字符。默认为从．

  • TPM启动:在有TPM的设备上，有四种解锁方式:TPM-only、TPM + PIN、TPM + Key和TPM + PIN + Key。TPM启动为TPM-only模式，加密密钥存储在TPM芯片中。该模式不需要用户提供额外的解锁数据。用户设备在重新启动时自动解锁，使用来自TPM芯片的加密密钥。默认为允许TPM．

  • TPM启动PIN:此设置为TPM + PIN解锁模式。一个PIN最多可以有20位数字。使用最小PIN长度设置为指定最小PIN长度。用户在BitLocker设置时配置PIN码，在设备启动时提供PIN码。

  • TPM启动键:此设置为“TPM + Key解锁”模式。启动密钥存储在USB或其他可移动驱动器中，用户必须在启动前将其连接到设备上。

  • TPM启动密钥和PIN:此设置为“TPM + PIN + Key”解锁方式。

    解锁成功后，操作系统开始加载。否则，设备进入恢复模式。

• 针的长度

  • 最小PIN长度:TPM启动PIN的最小长度。默认为6．

• BitLocker密码恢复设置

  • BitLocker恢复备份到端点管理:如果启用该选项，必须解锁设备的用户可以在自助门户上找到他们的BitLocker恢复密钥。端点管理管理员无法看到用户的BitLocker恢复密钥。有关查看BitLocker恢复密钥的更多信息，请参见BitLocker恢复密钥．

• 操作系统驱动器恢复设置:为bitlocker加密的操作系统驱动器配置恢复选项。

  • 启用操作系统驱动器恢复功能:如果解锁步骤失败，BitLocker会提示用户输入已配置的恢复密钥。如果用户没有解锁密码或USB启动密钥，此设置将配置用户可用的操作系统驱动器恢复选项。默认是从．

  • 允许基于证书的数据恢复代理:指定是否允许基于证书的数据恢复代理。从位于组策略管理控制台(GPMC)或本地组策略编辑器中的公钥策略中添加数据恢复代理。有关数据恢复代理的更多信息，请参阅Microsoft文章BitLocker组策略设置．默认是从．

  • 48位恢复密码:指定是否允许或要求用户使用恢复密码。BitLocker生成密码并将其存储在文件或微软云帐户中。默认是允许48位密码．

  • 256位恢复密钥:指定是否允许或要求用户使用恢复密钥。恢复密钥是存储在u盘上的BEK文件。默认是允许256位恢复密钥．

  • 隐藏操作系统驱动器恢复选项:指定在BitLocker界面中显示或隐藏恢复选项。如果在， BitLocker界面没有恢复选项。请将设备注册到Active Directory，并将恢复选项保存到Active Directory，然后设置保存恢复信息到AD DS来在．默认是从．

  • 将恢复信息保存到Active Directory域服务:是否将恢复选项保存到Active Directory域服务。默认是从．

  • Active Directory域服务中的恢复信息:BitLocker恢复密码是保存在Active Directory域服务中，还是将恢复密码和密钥包保存在Active Directory域服务中。存储密钥包支持从物理损坏的驱动器恢复数据。默认是备份恢复密码．

  • 在Active Directory Domain Services中存储恢复信息后启用BitLocker:指定是否禁止用户启用BitLocker，除非设备域连接且BitLocker恢复信息备份到Active Directory成功。如果在，在启动BitLocker之前，设备必须是域加入的。默认是从．

  • 预启动恢复消息和URL:指定BitLocker在恢复界面上是否显示自定义消息和URL。如果在时，会出现以下额外设置:使用默认的恢复消息和URL，使用空恢复消息和URL，使用自定义恢复消息，使用自定义恢复URL,使用端点管理恢复消息和URL．如果从，默认的恢复消息和URL显示。默认是从．

• 固定驱动器恢复设置:为bitlocker加密的固定驱动器配置用户的恢复选项。BitLocker不会向用户显示关于固定驱动器加密的消息。要在启动过程中解锁驱动器，用户需要提供密码或智能卡。启动解锁设置不在此策略中，当用户在固定驱动器上启用BitLocker加密时，会出现在BitLocker界面中。相关设置请参见配置操作系统驱动器恢复在这个列表的前面。默认是从．

• 固定驱动器设置

  • 阻止不使用BitLocker的固定驱动器的写访问:如果在在美国，只有使用BitLocker对固定驱动器进行加密后，用户才能对这些驱动器进行写入操作。默认是从．

• 可移动驱动器设置

• 不使用BitLocker阻止可移动驱动器的写访问:如果在在美国，只有使用BitLocker对可移动驱动器进行加密后，用户才能向这些驱动器写入数据。根据您的组织是否允许对其他组织的可移动驱动器进行写访问，配置此设置。默认是从．

• 阻止对其他组织设备的写访问:如果在在美国，用户无法向其组织内的其他设备(如网络驱动器)写入数据。

• 其他驱动器设置

• 其他磁盘加密提示:允许您禁用设备上其他磁盘加密的警告提示。默认为从．