Шифрование с использованием битлокатора с использованием AAD / MDM для обеспечения безопасности облачных данных

Благодаря новым функциям Windows 10 производительность пользователей увеличилась. Это потому, что Windows 10 представил свой подход как «Мобильный сначала, облако первым». Это не что иное, как интеграция мобильных устройств с облачной технологией. Windows 10 обеспечивает современное управление данными с использованием облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility Suite (EMS) . Благодаря этому пользователи могут получать доступ к своим данным из любого места и в любое время. Однако этот вид данных также нуждается в хорошей безопасности, что возможно при использовании Bitlocker .

Шифрование с использованием битлокатора для безопасности облачных данных

Конфигурация шифрования битлокатора уже доступна на мобильных устройствах Windows 10. Тем не менее, эти устройства должны иметь возможность InstantGo автоматизировать конфигурацию. С помощью InstantGo пользователь может автоматизировать конфигурацию на устройстве, а также создать резервную копию ключа восстановления для учетной записи пользователя Azure AD.

Но теперь устройства больше не потребуют возможности InstantGo. В Windows 10 Creators Update все устройства Windows 10 будут иметь мастер, в котором пользователям предлагается запустить шифрование Bitlocker, независимо от используемого оборудования. Это было главным образом результатом отзывов пользователей о конфигурации, где они хотели, чтобы это шифрование было автоматизировано, без того, чтобы пользователи ничего не делали. Таким образом, теперь шифрование Bitlocker стало автоматическим и аппаратным независимым.

Как работает шифрование Bitlocker

Когда конечный пользователь регистрирует устройство и является локальным администратором, TriggerBitlocker MSI выполняет следующие действия:

• Развертывает три файла в C: Program Files (x86) BitLockerTrigger
• Импортирует новую запланированную задачу на основе включенного Enable_Bitlocker.xml

Плановая задача будет запускаться каждый день в 2 часа дня и выполните следующие действия:

• Запустите Enable_Bitlocker.vbs, основной целью которого является вызов Enable_BitLocker.ps1 и убедитесь, что вы выполнили минимизацию.
• В свою очередь Enable_BitLocker.ps1 будет шифровать локальный диск и сохраните ключ восстановления в Azure AD и OneDrive for Business (если настроено)
  • Ключ восстановления сохраняется только при изменении или отсутствии

Пользователи, не входящие в группу локального администратора, должны следовать другой процедуре, По умолчанию первый пользователь, подключающий устройство к Azure AD, является членом локальной группы администраторов. Если второй пользователь, являющийся частью того же AAD-арендатора, входит в систему на этом устройстве, он будет стандартным пользователем.

Эта бифуркация необходима, когда учетная запись Диспетчера регистрации устройств заботится о соединении ADRE AD перед передачей над устройством до конечного пользователя. Для таких пользователей модифицированной MSI (TriggerBitlockerUser) была предоставлена ​​команда Windows. Он немного отличается от такового у пользователей локального администратора:

Плановая задача BitlockerTrigger будет запущена в системном контексте и будет:

• Скопировать ключ восстановления в учетную запись Azure AD пользователя, присоединившего устройство к AAD.
• Временно скопируйте ключ восстановления в Systemdrive temp (обычно C: Temp).

Новый скрипт MoveKeyToOD4B.ps1 вводится и запускается ежедневно с помощью запланированной задачи под названием MoveKeyToOD4B . Эта запланированная задача выполняется в контексте пользователей. Ключ восстановления будет перенесен из systemdrive temp в папку OneDrive for Business.

Для сценариев нелокальных администраторов пользователям необходимо развернуть файл TriggerBitlockerUser с помощью Intune в группу конца -Пользователи. Это не развертывается в группу / учетную запись Device Enrollment Manager, которая используется для присоединения устройства к Azure AD.

Чтобы получить доступ к ключу восстановления, пользователям необходимо перейти в любое из следующих мест:

• учетная запись Azure AD
• Папка восстановления в OneDrive для бизнеса (если она настроена).

Пользователям предлагается извлечь ключ восстановления через //myapps.microsoft.com и перейдите к их профилю или в папку OneDrive for Business.

Дополнительные сведения о включении шифрования Bitlocker см. в полном блоге в Microsoft TechNet.