BitLocker šifrování pomocí AAD / MDM pro Cloud Data Security

S Windows 10nové funkce, produktivita uživatelů zvýšila mílovými kroky. To je Protože Windows 10 zavedla svůj přístup jako „Mobile first, Cloud first“. Není to nic jiného než integrace mobilních zařízení s technologií cloud. Windows 10 poskytuje moderní správu dat pomocí řešení pro správu zařízení založených na cloudu, jako je např Microsoft Enterprise Mobility Suite (EMS). Díky tomu uživatelé mohou přistupovat k datům odkudkoli a kdykoli. Tento druh dat však také vyžaduje dobrou bezpečnost, což je možné s Bitlocker.

Šifrování Bitlocker pro zabezpečení cloudových dat

Konfigurace šifrování Bitlocker je již k dispozici na Windows 10 mobilní zařízení. Tato zařízení však musela mít InstantGo schopnost automatizovat konfiguraci. S nástrojem InstantGo může uživatel automatizovat konfiguraci v zařízení a zálohovat klíč pro obnovení do účtu Azure AD uživatele.

Nyní však zařízení nebudou potřebovat funkci InstantGo. S Windows 10 Aktualizace tvůrců, vše Windows 10 zařízení budou mít průvodce, ve kterém budou uživatelé vyzváni k zahájení šifrování Bitlocker bez ohledu na použitý hardware. To bylo především výsledkem zpětné vazby uživatelů na konfiguraci, kde si přáli, aby toto šifrování bylo automatizováno, aniž by uživatelé dělali cokoliv. Nyní se nyní stalo šifrování Bitlocker automatický a hardware nezávislý.

Jak funguje šifrování Bitlocker

Když koncový uživatel zapíše zařízení a je místním administrátorem TriggerBitlocker MSI provede následující:

  • Rozbalí tři soubory do souboru C: Program Files (x86) BitLockerTrigger
  • Importuje nový plánovaný úkol založený na zahrnutém souboru Enable_Bitlocker.xml

Naplánovaný úkol bude spuštěn každý den v 2 PM a provede následující:

  • Spusťte soubor Enable_Bitlocker.vbs, jehož hlavním účelem je volat Enable_BitLocker.ps1 a ujistěte se, že běží minimalizované.
  • Zase Enable_BitLocker.ps1 zašifruje místní jednotku a uloží klíč pro obnovení do Azure AD a OneDrive for Business (pokud je nakonfigurován)
    • Klíč pro obnovení je uložen pouze tehdy, když je buď změněn, nebo není přítomen

Uživatelé, kteří nejsou součástí místní skupiny administrátorů, musí následovat jiný postup. Ve výchozím nastavení je první uživatel, který připojí zařízení Azure AD, členem místní skupiny administrátorů. Pokud se druhý uživatel, který je součástí stejného nájemce AAD, přihlásí k zařízení, bude to standardní uživatel.

Tato rozdvojení je nezbytná, pokud se účet Správce zařízení pro zápis zařízení postará o spojení Azure AD před tím, než předá zařízení konečnému uživateli. Pro tyto uživatele upravené MSI (TriggerBitlockerUser) byl daný tým Windows. Je trochu odlišný od místních administrátorů:

Plánovaná úloha programu BitlockerTrigger bude spuštěna v kontextu systému a bude:

  • Zkopírujte klíč pro obnovení do účtu Azure AD uživatele, který se připojil k zařízení AAD.
  • Zkopírujte dočasně klíč k obnovení systému Systemdrivetemp (obvykle C: Temp).

Je představen nový skript MoveKeyToOD4B.ps1 a běží denně prostřednictvím plánovaného úkolu nazvaného MoveKeyToOD4B. Tato naplánovaná úloha probíhá v kontextu uživatelů. Klíč pro obnovení bude přesunut z aplikace systemdrivetemp do složky OneDrive for Businessrecovery.

Pro scénáře administrátorů, které nejsou místní, musí uživatel nasadit soubor TriggerBitlockerUser Intune skupině koncových uživatelů. Toto zařízení není nasazeno do skupiny / zařízení účtu Device Enrollment Manager, které se připojilo k zařízení Azure AD.

Chcete-li získat přístup k klíči pro obnovení, uživatelé musí jít na jedno z následujících umístění:

  • Azure AD účet
  • Soubor obnovy v aplikaci OneDrive for Business (pokud je nakonfigurován).

Uživatelům se doporučuje načíst klíč pro obnovení prostřednictvím http://myapps.microsoft.com a přejděte do jejich profilu nebo do složky OneDrive for Businessrecovery.

Další informace o povolení šifrování Bitlocker naleznete v úplném blogu Microsoft TechNet.

Zdroj

Napsat komentář

Tyto stránky používají Akismet k omezení spamu. Zjistěte, jak jsou vaše údaje komentářů zpracovávány.