Шифрование Bitlocker с использованием AAD / MDM для безопасности облачных данных

Благодаря новым функциям Windows 10 продуктивность пользователей резко возросла. Это потому, что Windows 10 представила свой подход как «Сначала мобильные, прежде всего облако». Это не что иное, как интеграция мобильных устройств с облачными технологиями. Windows 10 обеспечивает современное управление данными с помощью облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility Suite (EMS). Благодаря этому пользователи могут получать доступ к своим данным из любого места и в любое время. Однако такие данные также нуждаются в хорошей безопасности, что возможно с помощью Bitlocker.

Шифрование Bitlocker для безопасности облачных данных

Конфигурация шифрования Bitlocker уже доступна на мобильных устройствах с Windows 10. Однако эти устройства должны были иметь возможность InstantGo для автоматизации настройки. С помощью InstantGo пользователь может автоматизировать настройку на устройстве, а также сделать резервную копию ключа восстановления в учетной записи пользователя Azure AD.

Но теперь устройствам больше не потребуется функция InstantGo. С Windows 10 Creators Update все устройства с Windows 10 будут иметь мастер, предлагающий пользователям запустить шифрование Bitlocker независимо от используемого оборудования. В основном это было результатом отзывов пользователей о конфигурации, когда они хотели автоматизировать это шифрование, не заставляя пользователей что-либо делать. Таким образом, теперь шифрование Bitlocker стало автоматический и аппаратно-независимый.

Как работает шифрование Bitlocker

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Когда конечный пользователь регистрирует устройство и является локальным администратором, TriggerBitlocker MSI делает следующее:

  • Развертывает три файла в C: Program Files (x86) BitLockerTrigger
  • Импортирует новую запланированную задачу на основе включенного Enable_Bitlocker.xml

Запланированное задание будет запускаться каждый день в 14:00 и будет выполнять следующие действия:

  • Запустите Enable_Bitlocker.vbs, основная цель которого — вызвать Enable_BitLocker.ps1 и убедиться, что он запущен в свернутом виде.
  • В свою очередь, Enable_BitLocker.ps1 зашифрует локальный диск и сохранит ключ восстановления в Azure AD и OneDrive для бизнеса (если настроено).
    • Ключ восстановления сохраняется только в том случае, если он изменен или отсутствует.

Пользователи, не входящие в локальную группу администраторов, должны следовать другой процедуре. По умолчанию первый пользователь, который присоединяет устройство к Azure AD, является членом локальной группы администраторов. Если второй пользователь, который является частью того же клиента AAD, входит в систему на устройстве, это будет обычный пользователь.

Это раздвоение необходимо, когда учетная запись Device Enrollment Manager заботится о присоединении к Azure AD перед передачей устройства конечному пользователю. Для таких пользователей модифицированный MSI (TriggerBitlockerUser) был отдан команде Windows. Он немного отличается от такового у локальных администраторов:

Запланированная задача BitlockerTrigger будет выполняться в системном контексте и:

  • Скопируйте ключ восстановления в учетную запись Azure AD пользователя, подключившего устройство к AAD.
  • Временно скопируйте ключ восстановления в Systemdrive temp (обычно C: Temp).

Представлен новый сценарий MoveKeyToOD4B.ps1, который запускается ежедневно через запланированную задачу под названием MoveKeyToOD4B. Это запланированное задание выполняется в контексте пользователя. Ключ восстановления будет перемещен из systemdrive temp в папку OneDrive для бизнеса recovery.

Для сценариев нелокального администрирования пользователям необходимо развернуть файл TriggerBitlockerUser через Intune группе конечных пользователей. Он не развертывается в группе / учетной записи диспетчера регистрации устройств, используемой для присоединения устройства к Azure AD.

Чтобы получить доступ к ключу восстановления, пользователям необходимо перейти в одно из следующих мест:

  • Учетная запись Azure AD
  • Папка восстановления в OneDrive для бизнеса (если настроена).

Пользователям предлагается получить ключ восстановления через http://myapps.microsoft.com и перейти к своему профилю или в папке OneDrive для бизнеса recovery.

Для получения дополнительной информации о том, как включить шифрование Bitlocker, прочтите весь блог на Microsoft TechNet.

.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *