Hemsida » Windows » Bitlocker-kryptering med AAD / MDM för Cloud Data Security

    Bitlocker-kryptering med AAD / MDM för Cloud Data Security

    Med Windows 10: s nya funktioner har användarnas produktivitet ökat hopp och gränser. Det är för att Windows 10 presenterade sitt tillvägagångssätt som "Mobile first, Cloud first". Det är inget annat än integrationen av mobila enheter med molntekniken. Windows 10 levererar modern hantering av data med hjälp av cloud-based device management lösningar som Microsoft Enterprise Mobility Suite (EMS). Med detta kan användarna komma åt deras data från var som helst och när som helst. Denna typ av data behöver dock också bra säkerhet, vilket är möjligt med Bitlocker.

    Bitlocker-kryptering för molndatasäkerhet

    Bitlocker-krypteringskonfigurationen är redan tillgänglig på Windows 10-mobila enheter. Men dessa enheter behövde ha InstantGo förmåga att automatisera konfigurationen. Med InstantGo kan användaren automatisera konfigurationen på enheten samt säkerhetskopiera återställningsnyckeln till användarens Azure AD-konto.

    Men nu behöver inte enheterna InstantGo-funktionen längre. Med Windows 10 Creators Update, kommer alla Windows 10-enheter att ha en guide där användarna uppmanas att starta Bitlocker-kryptering oavsett vilken hårdvara som används. Detta berodde främst på användarens feedback om konfigurationen, där de önskade att denna kryptering automatiserades utan att användarna skulle göra någonting. Således har nu Bitlocker-krypteringen blivit automatisk och maskinvara oberoende.

    Hur fungerar Bitlocker-krypteringen?

    När slutanvändaren registrerar enheten och är en lokal administratör, gör TriggerBitlocker MSI följande:

    • Deployerar tre filer till C: \ Program Files (x86) \ BitLockerTrigger \
    • Importerar en ny planerad uppgift baserat på den medföljande Enable_Bitlocker.xml

    Den schemalagda uppgiften kommer att köra varje dag klockan 2 och det gör följande:

    • Kör Enable_Bitlocker.vbs som huvudmålet är att ringa Enable_BitLocker.ps1 och se till att köra minimeras.
    • I sin tur kommer Enable_BitLocker.ps1 att kryptera den lokala enheten och lagra återställningsnyckeln i Azure AD och OneDrive for Business (om den är konfigurerad)
      • Återställningsnyckeln lagras endast när den ändras eller inte är närvarande

    Användare som inte ingår i den lokala administratorgruppen måste följa ett annat förfarande. Som standard är den första användaren som ansluter en enhet till Azure AD en medlem av den lokala administratorgruppen. Om en andra användare, som är en del av samma AAD-hyresgäst, loggar in på enheten, blir det en standardanvändare.

    Denna bifurcation är nödvändig när ett Device Enrollment Manager-konto tar hand om Azure AD-anslutningen innan du överlämnar enheten till slutanvändaren. För sådana användare har modifierat MSI (TriggerBitlockerUser) fått Windows-team. Det skiljer sig något från lokala administratörs användare:

    Den schemalagda uppgiften BitlockerTrigger körs i systemkontexten och kommer att:

    • Kopiera återställningsnyckeln till Azure AD-kontot för den användare som gick med i enheten till AAD.
    • Kopiera återställningsnyckeln till Systemdrive \ temp (typiskt C: \ Temp) tillfälligt.

    Ett nytt skript MoveKeyToOD4B.ps1 introduceras och körs dagligen via en schemalagd uppgift som heter MoveKeyToOD4B. Den här schemalagda uppgiften går i användarens sammanhang. Återställningsnyckeln flyttas från systemdrive \ temp till mappen OneDrive for Business \ Recovery.

    För de icke-lokala administratörsscenarierna måste användarna distribuera TriggerBitlockerUser-filen via I samklang till gruppen slutanvändare. Detta distribueras inte till enheten Enrollment Manager-grupp / konto som används för att ansluta enheten till Azure AD.

    För att få tillgång till återställningsnyckeln måste användarna gå till någon av följande platser:

    • Azure AD-konto
    • En återställningsmapp i OneDrive for Business (om den är konfigurerad).

    Användare föreslås att hämta återställningsnyckeln via http://myapps.microsoft.com och navigera till deras profil, eller i deras OneDrive for Business \ återhämtningsmapp.

    För mer information om hur du aktiverar Bitlocker-krypteringen, läs hela bloggen på Microsoft TechNet.