ŠIfrování BitLocker pomocí AAD / MDM pro Cloud Data Security

Díky novým funkcím systému Windows 10 se zvýšila produktivita uživatelů skoky a hranice. To proto, že Windows 10 představil svůj přístup jako "Nejprve mobilní, nejprve Cloud". Není to nic jiného než integrace mobilních zařízení s technologií cloud. Systém Windows 10 dodává moderní správu dat pomocí řešení založených na cloudových zařízeních, jako je Microsoft Enterprise Mobility Suite (EMS) . Díky tomu uživatelé mohou přistupovat k datům odkudkoli a kdykoli. Tento typ dat však také vyžaduje dobrou bezpečnost, což je možné s Bitlocker .

Šifrování BitLocker pro zabezpečení cloudových dat

Konfigurace šifrování Bitlocker je již k dispozici v mobilních zařízeních Windows 10. Tato zařízení však vyžadovala InstantGo schopnost automatizovat konfiguraci. S nástrojem InstantGo by mohl uživatel automatizovat konfiguraci zařízení a zálohovat klíč pro obnovení do účtu Azure AD uživatele.

Ale nyní zařízení již nevyžadují funkci InstantGo. S aktualizací Windows 10 Creators, všechna zařízení Windows 10 budou mít průvodce, kde budou uživatelé vyzváni ke spuštění šifrování Bitlocker bez ohledu na použitý hardware. To bylo především důsledkem zpětné vazby uživatelů ohledně konfigurace, kde si přeje, aby toto šifrování bylo automatizováno, aniž by uživatelé měli něco dělat. Takže šifrování Bitlocker se stalo automatickým a nezávislým na hardwaru.

Jak šifrování Bitlocker pracuje

Když koncový uživatel zapíše zařízení a je místním administrátorem, TriggerBitlocker MSI provede následující:

• Rozbalí tři soubory do C: Program Files (x86) BitLockerTrigger
• Importuje novou naplánovanou úlohu na základě vložené Enable_Bitlocker.xml

den ve 14:00 a provede následující:

• Spusťte Enable_Bitlocker.vbs, jehož hlavním účelem je volat Enable_BitLocker.ps1 a ujistěte se, že běží minimalizované.
• Enable_BitLocker.ps1 naopak provede šifrování lokální jednotky a ukládejte klíč pro obnovení do Azure AD a OneDrive for Business (pokud je nakonfigurován)
  • Klíč pro obnovení je uložen pouze tehdy, když je buď změněn nebo není přítomen

Uživatelé, kteří nejsou součástí místní skupiny administrátorů,. Ve výchozím nastavení je první uživatel, který připojí zařízení Azure AD, členem místní skupiny administrátorů. Pokud se druhý uživatel, který je součástí stejného nájemce AAD, přihlásí do zařízení, bude to standardní uživatel.

Tato rozdvojení je nezbytná, když se účet správce zařízení pro zápis zařízení postará o spojení Azure AD před předáním přes zařízení ke koncovému uživateli. Pro takové uživatele upravené MSI (TriggerBitlockerUser) byl uveden tým Windows. Je to trochu jiná než u místních administrátorských uživatelů:

Naplánovaná úloha BitlockerTrigger se spustí v kontextu systému a:

• Zkopírujte klíč pro obnovení do účtu Azure AD uživatele, který se připojil k zařízení AAD.
• Dočasně zkopírujte klíč k obnovení systému Systemdrive temp (obvykle C: Temp)

Nový skript MoveKeyToOD4B.ps1 je zaveden a běží denně pomocí naplánované úlohy nazvané MoveKeyToOD4B . Tato naplánovaná úloha probíhá v kontextu uživatelů. Klíč pro obnovení bude přesunut ze složky systemdrive temp do složky OneDrive for Business recovery.

Pro scandary s jinými místními administrátory musí uživatel nasadit soubor TriggerBitlockerUser přes Intune ke skupině end -userů. Tento nástroj není nasazen do skupiny Device Enrollment Manager / účtu používaného k připojení k zařízení Azure AD

Abyste získali přístup k klíčovému obnovení, uživatelé musí jít na jedno z následujících umístění:

• Azure AD account
• Adresář pro obnovu v aplikaci OneDrive for Business (pokud je nakonfigurován)

Uživatelé se doporučují načíst klíč pro obnovení pomocí //myapps.microsoft.com a přejděte k jejich profilu nebo do složky OneDrive for Business recovery.

Další informace o povolení šifrování Bitlocker naleznete v úplném blogu na webu Microsoft TechNet.