Criptare Bitlocker utilizând AAD / MDM pentru Cloud Data Security

Cu noile caracteristici ale Windows 10, productivitatea utilizatorilor a sporit salturile și limitele. Asta pentru că Windows 10 și-a prezentat abordarea ca fiind "mai întâi pe mobil, mai întâi pe cloud". Nu este altceva decât integrarea dispozitivelor mobile cu tehnologia cloud. Windows 10 oferă gestionarea modernă a datelor utilizând soluții de gestionare a dispozitivelor bazate pe cloud, cum ar fi Microsoft Enterprise Mobility Suite (EMS) . Cu aceasta, utilizatorii pot accesa datele de oriunde și oricând. Cu toate acestea, acest tip de date necesită și o securitate bună, ceea ce este posibil cu Bitlocker .

Bit criptarea BitLocker pentru securitatea datelor în cloud

Configurarea de criptare Bitlocker este deja disponibilă pe dispozitive mobile Windows 10. Cu toate acestea, aceste dispozitive necesită o capacitate InstantGo pentru a automatiza configurația. Cu InstantGo, utilizatorul poate automatiza configurația de pe dispozitiv, precum și salvarea de rezervă a cheii de recuperare în contul Azure al utilizatorului.

Dar acum dispozitivele nu vor mai necesita funcția InstantGo. În cazul actualizării Windows 10 Creators, toate dispozitivele Windows 10 vor avea un expert în care utilizatorii sunt rugați să pornească criptarea Bitlocker, indiferent de hardware-ul utilizat. Aceasta a fost în principal rezultatul feedback-ului utilizatorilor despre configurație, unde au dorit să aibă această criptare automatizată fără ca utilizatorii să facă ceva. Astfel, acum criptarea Bitlocker devine automată și independenta hardware

Cum funcționează criptarea Bitlocker

Când utilizatorul final se înscrie în dispozitiv și este un administrator local, TriggerBitlocker MSI face următoarele:

• Depune trei fișiere în C: Program Files (x86) BitLockerTrigger
• Importă o nouă sarcină programată pe baza Enable_Bitlocker.xml

zi la ora 2 PM și va face următoarele:

• Rulați Enable_Bitlocker.vbs care scopul principal este de a apela Enable_BitLocker.ps1 și asigurați-vă că rulează minimizat.
• La rândul său, Enable_BitLocker.ps1 va cripta unitatea locală și salvați cheia de recuperare în Azure AD și OneDrive for Business (dacă este configurat)
  • Cheia de recuperare este stocată numai atunci când este schimbată sau nu este prezentă

Utilizatorii care nu fac parte din grupul de administrare local trebuie să urmeze o altă procedură. În mod implicit, primul utilizator care se alătură unui dispozitiv către Azure AD este membru al grupului de administratori local. Dacă un al doilea utilizator, care face parte din același chiriaș AAD, se conectează la dispozitiv, acesta va fi un utilizator standard.

Această bifurcare este necesară atunci când un cont de Device Enrollment Manager are grijă de intrarea Azure AD înainte de predare prin intermediul dispozitivului către utilizatorul final. Pentru acești utilizatori modificați MSI (TriggerBitlockerUser) i sa dat echipei Windows. Este puțin diferită de cea a administratorilor locali:

Sarcina programată BitlockerTrigger va fi rulată în contextul sistemului și va:

• Copiați cheia de recuperare în contul Azure AD al utilizatorului care a aderat dispozitivul la AAD.
• Copiați temporar cheia de recuperare la Systemdrive temp (de obicei C: Temp)

Un nou script MoveKeyToOD4B.ps1 este introdus și rulează zilnic printr-o sarcină programată numită MoveKeyToOD4B . Această sarcină programată rulează în contextul utilizatorilor. Cheia de recuperare va fi mutată din sistemdrive temp în folderul OneDrive for Business recovery.

Pentru scenariile de administrare non-locale, utilizatorii trebuie să implementeze fișierul TriggerBitlockerUser prin intermediul Intune -Utilizatorii. Acest lucru nu este implementat în grupul / contul Device Enrollment Manager folosit pentru a se alătura dispozitivului în Azure AD.

Pentru a obține accesul la cheia de recuperare, utilizatorii trebuie să meargă în una din următoarele locații:

• Contul Azure AD
• Un folder de recuperare în OneDrive for Business (dacă este configurat).

Se recomandă utilizatorilor să recupereze cheia de recuperare prin //myapps.microsoft.com și navigați la profilul lor sau în folderul OneDrive for Business recovery.

Pentru mai multe informații despre cum să activați criptarea Bitlocker, citiți blogul complet pe Microsoft TechNet.