BitLocker titkosítás AAD / MDM használatával a Cloud Data Security számára

A Windows 10 új szolgáltatásai révén a felhasználók termelékenysége ugrásszerűen megnövelt. Ez azért van, mert a Windows 10 bevezette a "Mobil első, Cloud első" megközelítést. Ez nem más, mint a mobileszközök integrálása a felhőtechnológiával. A Windows 10 modern adatkezelést biztosít a felhőalapú eszközkezelő megoldások, például Microsoft Enterprise Mobility Suite (EMS) használatával. Ezzel a felhasználók bárhonnan és bármikor elérhetik adataikat. Azonban ez a fajta adatnak is jó biztonságra van szüksége, ami Bitlocker .

BitLocker titkosítás a felhő-adatbiztonsághoz

BitLocker titkosítási konfiguráció már elérhető a Windows 10 mobileszközön. Ezeknek az eszközöknek azonban InstantGo képességgel kellett rendelkezniük a konfiguráció automatikus automatizálására. Az InstantGo segítségével a felhasználó automatizálhatja a konfigurációt az eszközön, valamint biztonsági másolatot készíthet a felhasználó Azure AD-fiókjáról.

De most az eszközök nem igénylik az InstantGo képességet. A Windows 10 Creators frissítésével minden Windows 10-ös eszköz varázslóval rendelkezik, ahol a felhasználóknak fel kell hívniuk a BitLocker titkosítást a használt hardvertől függetlenül. Ez főként a felhasználók konfigurációval kapcsolatos visszajelzéseinek eredménye volt, ahol a titkosítást automatizálni kívánták anélkül, hogy a felhasználók bármit megtennének. Így most a BitLocker titkosítás automatikus és hardver független.

Hogyan működik a BitLocker titkosítás

Amikor a végfelhasználó beírja az eszközt és egy helyi adminisztrátor a TriggerBitlocker MSI a következőket hajtja végre:

• Három fájlt telepít C: Program Files (x86) BitLockerTrigger
• Új ütemezett feladat importálása a mellékelt Enable_Bitlocker.xml

alapján. a következőket hajtsa végre:

• Run Enable_Bitlocker.vbs, melynek fő célja az Enable_BitLocker.ps1 hívása, és a minimálisra futtatás.
• Az Enable_BitLocker.ps1 viszont a helyi meghajtót titkosítja és tárolja a helyreállítási kulcs Azure AD és OneDrive for Business (ha konfigurálva van)
  • A helyreállítási kulcs csak akkor tárolódik, ha megváltozott vagy nem jelenik meg

Azok a felhasználók, akik nem tartoznak a helyi rendszergazdai csoporthoz,. Alapértelmezés szerint az első felhasználó, amely egy eszközhöz csatlakozik az Azure AD-hez, a helyi adminisztrációs csoport tagja. Ha egy másik felhasználó, aki ugyanazon AAD bérlő részei, bejelentkezik az eszközre, akkor normál felhasználó lesz.

Ez a kettős elágazás akkor szükséges, ha az Eszközbejelentkezés kezelője az átadás előtt gondoskodik az Azure AD csatlakozásáról az eszköz felett a végfelhasználó felé. Az ilyen felhasználóknak módosított MSI (TriggerBitlockerUser) kapta a Windows csapatot. Ez kicsit más, mint a helyi adminisztrátoroké:

A BitlockerTrigger ütemezett feladata a rendszerkörnyezetben fut, és:

• Másolja a helyreállítási kulcsot az eszköz AAD-hez csatlakozó felhasználójának Azure AD-fiókjához. <
• Egy új szkript MoveKeyToOD4B.ps1 kerül bevezetésre

, és naponta fut a MoveKeyToOD4B nevű ütemezett feladaton keresztül. Ez a ütemezett feladat a felhasználók környezetében fut. A helyreállítási kulcs átkerül a systemdrive temp-ból a OneDrive for Business recovery mappába. A nem helyi adminisztrációs forgatókönyvek esetében a felhasználóknak a TriggerBitlockerUser fájlt a

Intune -users. Ez nem települ az Eszközbejelentéskezelő csoportba / fiókba, amely az eszközhöz az Azure AD-hez csatlakozik. A helyreállítási kulcs eléréséhez a felhasználóknak az alábbi helyek egyikére kell menniük:

Azure AD-fiók

• A OneDrive for Business helyreállítási mappája (ha konfigurálva van)
• A felhasználók javasolják a helyreállítási kulcs letöltését

//myapps.microsoft.com és navigáljon a profiljukhoz vagy a OneDrive for Business helyreállítási mappájához. A BitLocker titkosításának engedélyezésével kapcsolatos további információkért olvassa el a Microsoft TechNet teljes blogját.