Intune – Bitlocker Windows 10

Post znajduje się w kategorii Intune

1 stycznia 2019

Czasem jest tak, że człowiek chciałby wymusić większe bezpieczeństwo na komputerach w swojej organizacji. Dwustopniowe logowanie, zmiany haseł lub inne zabezpieczenia. Ale to wszystko chroni przed możliwością do zalogowania się do system. A co w przypadku, gdy ktoś taki komputer ukradnie, wyciągnie dysk, podłączy do swojego urządzenia? Cóż, ma natychmiastowy dostęp do dysku i wszystkich danych.

Technologia Bitlockera w Windows 10 działa bardzo dobrze, nie spotkałem się jeszcze z żadnymi problemami w jej działaniu, a konfiguracja z poziomu Azure AD / Intune jest bajecznie prosta, co chciałbym wam pokazać w tym wpisie.

Proces rozpoczynamy od stworzenia grupy, która będzie przypięta do odpowiedniej polityki, która pozwoli na włączenie Bitlockera. Stosuję zasadę – jedna grupa, jedno ważne ustawienie systemu. Dlaczego miałbym włączać bitlockera na wirtualnych maszynach w moim środowisku? No dla testów oczywiście, że tak, ale na stałe?
Na moje potrzeby grupa została nazwana: SG-Win10-BitlockerEnabled

Następnie stworzymy politykę, która zostanie podpięta pod grupę
SG-Win10-BitlockerEnabled. Do boju więc!
Device Configuration > Profiles > Create Profile
Platform: Windows 10 and later
Profile type: Endpoint protection

Przechodzimy do zakładki: Windows Encryption i tam konfigurujemy następujące opcje:

  • Encrypt devices > Required
  • BitLocker base settings > Configure encryption methods > Enable
  • OS drive recovery > Enable
  • Os drive recovery > Recovery options in the BitLocker setup wizard > Block
  • Os drive recovery > Save BitLocker recovery information to Azure Active Directory > Enable
  • Os drive recovery > BitLocker recovery Information stored to Azure Active DirectoryBackup recovery passwords and key packages > Backup recovery passwords and key packages
  • Os drive recovery > Store recovery information in Azure Active Directory before enabling BitLocker > Require

Domyślnie konfiguracja sprowadza się tylko do włączenia dwóch opcji. Ja natomiast postanowiłem zaszaleć i wrzucić więcej opcji, które zrobią nam taką procedurę mniej stresową dla końcowego użytkownika. Po prostu klucz odzyskiwania zostanie zapisany bezpośrednio w Azure AD! 😉

Po odświeżeniu polityk na urządzeniu użytkownika pojawi mu się piękny komunikat o wymuszeniu Bitlockera na urządzeniu:

Domyślnie jest możliwość wybrania informacji, gdzie chcemy zapisać klucze odzyskiwania., jednak ta opcja została przez nas zablokowana i klucz znajdziemy na portalu Azure AD, tak jak na screenie:

W ten sposób możemy zaszyfrować nasze urządzenia. Wcześniej wymagany to tego był Windows 10 Enterprise, teraz możemy używać do tego Windows 10 w wersji Professional.


Poczytaj także o:

Angielska wersja bloga!

1 stycznia 2019 // Teksty ogólne

Krótko o spełnieniu marzenia z zeszłego roku!

czytaj więcej

Blokada Kamery na Windows 10 - Intune

1 stycznia 2019 // Intune

Blokujemy kamerę gdy użytkownik jest podłączony do naszej firmowej sieci

czytaj więcej


A może komentarz?