Citrix Endpoint Management

BitLocker 设备策略

Windows 10 和 Windows 11 包含名为 BitLocker 的磁盘加密功能,该功能可提供额外的文件和系统保护,防止未经授权访问丢失或被盗的 Windows 设备。要获取更多保护,可以对受信任的平台模块 (TPM) 芯片版本 1.2 或更高版本使用 BitLocker。TPM 芯片处理加密操作、生成和存储加密密钥以及限制对加密密钥的使用。

自 Windows 10 Build 1703 起,MDM 策略可以控制 BitLocker。您可以使用 Citrix Endpoint Management 中的 BitLocker 设备策略来配置 Windows 10 和 Windows 11 设备上的 BitLocker 向导中可用的设置。例如,在启用了 BitLocker 的设备上,BitLocker 会提示用户使用多个选项:

  • 希望如何在启动时解锁其设备
  • 如何备份其恢复密钥
  • 如何解锁固定驱动器。

BitLocker 设备策略设置还配置是否:

  • 在没有 TPM 芯片的设备上启用 BitLocker。
  • 在 BitLocker 界面中显示恢复选项。
  • 拒绝在未启用 BitLocker 时对固定驱动器或可移动驱动器的写入访问。
  • 安全地保存加密的 BitLocker 恢复密钥,以便用户在忘记或放错密钥时访问该密钥。此密钥可在自助门户网站上找到。

注意

BitLocker 加密在设备上启动后,您将无法通过部署更新后的 BitLocker 设备策略来更改设备上的 BitLocker 设置。

要添加或配置此策略,请转到配置 > 设备策略。有关详细信息,请参阅设备策略

要求

  • BitLocker 设备策略要求使用 Windows 10 企业版或 Windows 11 企业版。

  • 部署 BitLocker 设备策略之前,请准备您的环境以便使用 BitLocker。有关 Microsoft 提供的详细信息,包括 BitLocker 系统要求和设置,请参阅 BitLocker 中的文章。

Windows Desktop 和 Tablet 设置

“设备策略”配置屏幕

  • Bitlocker 设置

    • 要求加密设备: 确定是否提示用户在 Windows Desktop 或 Tablet 上启用 BitLocker 加密。如果设置为,则设备会在注册完成后显示一条消息,表明企业需要设备加密。如果设置为,系统将不提示用户,并且 BitLocker 将使用策略设置。默认值为
  • 加密设置

    • 配置加密方法: 确定要对特定设备类型使用的加密方法。如果设置为,BitLocker 向导将提示设备用户指定要对某种驱动器类型使用的加密方法。所有驱动器的加密方法都默认为 XTS-AES 128 位。可移动驱动器的加密方法默认为 AES-CBC 128 位。如果设置为,BitLocker 将使用在策略中指定的加密方法。如果设置为,将显示以下额外的设置:操作系统驱动器固定驱动器可移动驱动器。选择每种驱动器类型的默认加密方法。默认值为
  • 操作系统驱动器设置

    • 启动时需要额外的身份验证: 指定在设备启动过程中需要额外进行一次身份验证。此外,还指定是否允许在没有 TPM 芯片的设备上启用 BitLocker。如果设置为,没有 TPM 的设备将无法使用 BitLocker 加密。有关 TPM 的信息,请参阅 Microsoft 文章 Trusted Platform Module Technology Overview(受信任的平台模块技术概览)。如果设置为,将显示以下额外的设置。默认值为

    • 在没有 TPM 芯片的设备上阻止 BitLocker: 在没有 TPM 芯片的设备上,BitLocker 要求用户创建解锁密码或启动密钥。启动密钥存储在 USB 驱动器中,用户必须在启动之前将该驱动器连接到设备。解锁密码最少包含 8 个字符。默认值为

    • TPM 启动: 在配备了 TPM 的设备上,存在四种解锁模式:“仅 TPM”、“TPM + PIN”、“TPM + 密钥”以及“TPM + PIN + 密钥”。TPM 启动仅适用于 TPM 模式,在这种模式下,加密密钥存储在 TPM 芯片中。此模式不要求用户提供额外的解锁数据。用户设备在重新启动过程中使用 TPM 芯片中的加密密钥自动解锁。默认值为允许 TPM

    • TPM 启动 PIN: 此设置为“TPM + PIN”解锁模式。PIN 最多可以包含 20 个数字。使用最小 PIN 长度设置可指定最小 PIN 长度。用户将在 BitLocker 设置过程中配置 PIN,并在设备启动过程中提供 PIN。

    • TPM 启动密钥: 此设置为“TPM + 密钥”解锁模式。启动密钥存储在 USB 或其他可移动驱动器中,用户必须在启动之前将该驱动器连接到设备。

    • TPM 启动密钥和 PIN: 此设置为“TPM + PIN + 密钥”解锁模式。

      如果解锁成功,操作系统将开始加载。否则,设备将进入恢复模式。

  • PIN 长度

    • 最小 PIN 长度:TPM 启动 PIN 的最小长度。默认值为 6
  • BitLocker 密码恢复设置

    • BitLocker Recovery 备份到 Citrix Endpoint Management: 如果启用此选项,则必须解锁设备的用户可以在自助门户上找到他们的 BitLocker 恢复密钥。Citrix Endpoint Management 管理员看不到用户的 BitLocker 恢复密钥。有关查看 BitLocker 恢复密钥的更多信息,请参阅 BitLocker 恢复密钥
  • 操作系统驱动器恢复设置: 为用户配置用于 BitLocker 加密的固定驱动器的恢复选项。

    • 启用操作系统驱动器恢复: 如果解锁步骤失败,BitLocker 将提示用户提供已配置的恢复密钥。此设置将配置对用户可用的操作系统驱动器恢复选项(如果用户没有解锁密码或 USB 启动密钥)。默认设置为

    • 允许基于证书的数据恢复代理: 指定是否允许启用基于证书的数据恢复代理。从组策略管理控制台 (GPMC) 或本地组策略编辑器中的公钥策略中添加数据恢复代理。有关数据恢复代理的详细信息,请参阅 Microsoft 文章 BitLocker Group Policy settings(BitLocker 组策略设置)。默认设置为

    • 48 位恢复密码: 指定是否允许或要求用户使用恢复密码。BitLocker 生成密码并将其存储在文件中或 Microsoft 云帐户中。默认值为允许 48 位密码

    • 256 位恢复密钥: 指定是否允许或要求用户使用恢复密钥。恢复密钥为 BEK 文件,该文件存储在 USB 驱动器中。默认值为允许 256 位恢复密钥

    • 隐藏操作系统驱动器恢复选项: 指定在 BitLocker 界面中显示还是隐藏恢复选项。如果设置为,则不在 BitLocker 界面中显示任何恢复选项。在这种情况下,将设备注册到 Active Directory,将恢复选项保存到 Active Directory,然后将“将恢复信息保存到 AD DS”设置为“”。默认设置为

    • 将恢复信息保存到 Active Directory 域服务中: 指定是否将恢复选项保存到 Active Directory 域服务中。默认设置为

    • 存储在 Active Directory 域服务中的恢复信息: 指定在 Active Directory 域服务中存储 BitLocker 恢复密码还是恢复密码和密钥包。存储密钥包将支持从物理损坏的驱动器中恢复数据。默认值为备份恢复密码

    • 在 Active Directory 域服务中存储恢复信息后启用 BitLocker: 指定是否阻止用户启用 BitLocker,除非设备已连接域并且成功将 BitLocker 恢复信息备份到 Active Directory。如果设置为,设备必须在启动 BitLocker 之前加入域。默认设置为

    • 预引导恢复消息和 URL: 指定 BitLocker 是否在恢复屏幕上显示自定义的消息和 URL。如果设置为“”,则会显示以下额外设置:使用默认恢复消息和 URL使用空恢复消息和 URL使用定制恢复消息使用定制恢复 URL 以及使用 Citrix Endpoint Management 恢复消息和 URL。如果设置为,将显示默认恢复消息和 URL。默认设置为

  • 固定驱动器恢复设置: 为用户配置用于 BitLocker 加密的固定驱动器的恢复选项。BitLocker 不向用户显示与固定驱动器加密有关的消息。要在启动过程中解锁驱动器,用户需要提供密码或智能卡。用户在固定驱动器上启用了 BitLocker 加密时,启动解锁设置(不在此策略中)将在 BitLocker 界面上显示。有关相关设置的信息,请参阅此列表中前面部分的配置操作系统驱动器恢复。默认设置为

  • 固定驱动器设置

    • 阻止对不使用 BitLocker 的固定驱动器进行写入访问: 如果设置为,则仅当固定驱动器通过 BitLocker 加密时,用户才能向这些驱动器写入数据。默认设置为
  • 可移动驱动器设置

  • 阻止对不使用 BitLocker 的可移动驱动器进行写入访问: 如果设置为,则仅当可移动驱动器通过 BitLocker 加密时,用户才能向这些驱动器写入数据。根据您的组织是否允许对其他组织可移动驱动器具有写入权限来配置此设置。默认设置为

  • 阻止对其他组织设备进行写入访问: 如果设置为,则用户无法写入其组织中的其他设备,例如网络驱动器。

  • 其他驱动器设置

  • 其他磁盘加密提示: 允许您禁用对设备上的其他磁盘加密的警告提示。默认值为

BitLocker 设备策略