הצפנת Bitlocker באמצעות AAD / MDM עבור אבטחת נתונים של Cloud

בעזרת התכונות החדשות של Windows 10, התפוקה של המשתמשים גדלה בקפיצות. זה בגלל Windows 10 הציג את הגישה שלו בתור `נייד ראשון, ענן הראשון`. זה רק שילוב של מכשירים ניידים עם טכנולוגיית הענן. Windows 10 מספק את הניהול המודרני של נתונים באמצעות פתרונות לניהול התקנים מבוססי ענן, כגון Microsoft Enterprise Mobility Suite (EMS) . עם זאת, משתמשים יכולים לגשת לנתונים שלהם מכל מקום ובכל זמן. עם זאת, סוג זה של נתונים גם צריך אבטחה טובה, וזה אפשרי עם Bitlocker .

הצפנת Bitlocker עבור אבטחת נתונים בענן

תצורת הצפנת Bitlocker כבר זמינה במכשירים הניידים של Windows 10. עם זאת, התקנים אלה צריכים להיות InstantGo יכולת להפוך את התצורה לאוטומטית. עם InstantGo, המשתמש יכול להפוך את התצורה בהתקן לגיבוי אוטומטי וכן לגבות את מפתח השחזור לחשבון AD Azure של המשתמש.

אבל עכשיו המכשירים לא יחייבו עוד את יכולת InstantGo. עם עדכון Windows 10 Creators, כל התקני Windows 10 יקבלו אשף שבו המשתמשים מתבקשים להפעיל את ההצפנה של Bitlocker ללא תלות בחומרה שבה נעשה שימוש. זה היה בעיקר תוצאה של משוב משתמשים על התצורה, שם הם רוצים לקבל את ההצפנה האוטומטית ללא המשתמשים לעשות משהו. לכן, כעת ההצפנה של Bitlocker הפכה ל- אוטומטית ו- חומרה עצמאית

כיצד פועל הצפנת Bitlocker

כאשר משתמש הקצה רושם את המכשיר ומנהל מקומי, MSI TriggerBitlocker מבצע את הפעולות הבאות:

• פריסת שלושה קבצים לתוך קבצי C: Program (x86) BitLockerTrigger
• ייבוא ​​משימה מתוזמנת חדשה המבוססת על Enable_Bitlocker.xml הכלולה

המשימה המתוזמנת תוצג בכל יום ב 2 בלילה יעשה את הפעולות הבאות:

• הפעל Enable_Bitlocker.vbs אשר המטרה העיקרית היא להתקשר Enable_BitLocker.ps1 ולוודא לרוץ ממוזער.
• מצידה, Enable_BitLocker.ps1 יהיה להצפין את הכונן המקומי אחסן את מפתח השחזור ב- Azure AD וב- OneDrive for Business (אם הוגדר)
  • מפתח השחזור מאוחסן רק כאשר הוא השתנה או לא קיים

משתמשים שאינם חלק מקבוצת הניהול המקומית צריכים לבצע הליך אחר. כברירת מחדל, המשתמש הראשון שמצטרף למכשיר ל- Azure AD הוא חבר בקבוצת הניהול המקומית. אם משתמש שני, שהוא חלק מאותו דייר AAD, מתחבר להתקן, הוא יהיה משתמש רגיל.

החלוקה הזו נחוצה כאשר חשבון `רישום מנהל ההתקנים` מטפל בהצטרפות AD Azure לפני מסירה מעל המכשיר למשתמש הקצה. עבור משתמשים כאלה שונה MSI (TriggerBitlockerUser) ניתנה צוות Windows. זה שונה במקצת מזה של משתמשי admin מקומיים:

המשימה המתוזמנת של BitlockerTrigger תפעל בהקשר של המערכת ותהיה:

• העתק את מפתח השחזור לחשבון Azure AD של המשתמש שהצטרף להתקן ל- AAD
• העתק את מפתח השחזור ל- Systemdrive temp (באופן טיפוסי C: Temp) באופן זמני.

Script חדש MoveKeyToOD4B.ps1 מוצג ופועל מדי יום באמצעות משימה מתוזמנת הנקראת MoveKeyToOD4B . משימה מתוזמנת זו פועלת בהקשר של המשתמשים. מפתח השחזור יועבר מ- systemdrive temp לתיקייה OneDrive for Business Recovery

עבור תרחישי הניהול הלא מקומיים, המשתמשים צריכים לפרוס את הקובץ TriggerBitlockerUser באמצעות Intune לקבוצת הסיום. אפשרות זו אינה פרוסה לקבוצה / חשבון רישום מנהל ההתקנים המשמשים כדי להצטרף למכשיר ל- Azure AD

כדי לקבל גישה למפתח השחזור, המשתמשים צריכים לעבור לאחד מהמיקומים הבאים:

• Azure AD account
• תיקיית שחזור ב- OneDrive for Business (אם הוגדרה).

משתמשים מוצעים לאחזר את מפתח השחזור באמצעות //myapps.microsoft.com וניווט אל הפרופיל שלהם או בתיקיה OneDrive for Business recovery שלהם.

לקבלת מידע נוסף על אופן ההפעלה של הצפנת Bitlocker, קרא את הבלוג המלא ב- Microsoft TechNet.