การเข้ารหัสลับ BitLocker โดยใช้ AAD / MDM สำหรับ Cloud Data Security

ด้วยคุณสมบัติใหม่ของ Windows 10 ประสิทธิภาพการทำงานของผู้ใช้จะเพิ่มขึ้นอย่างรวดเร็ว นั่นเป็นเพราะ Windows 10 ได้แนะนำแนวทางของ `Mobile first ก่อน Cloud แรก` ไม่มีอะไรเลยนอกจากการผสานรวมของอุปกรณ์เคลื่อนที่ด้วยเทคโนโลยีคลาวด์ Windows 10 นำเสนอการจัดการข้อมูลสมัยใหม่โดยใช้โซลูชันการจัดการอุปกรณ์ระบบคลาวด์เช่น Microsoft Enterprise Mobility Suite (EMS) ด้วยเหตุนี้ผู้ใช้จึงสามารถเข้าถึงข้อมูลได้จากทุกที่ทุกเวลา อย่างไรก็ตามข้อมูลประเภทนี้ยังต้องการการรักษาความปลอดภัยที่ดีซึ่งเป็นไปได้ด้วย Bitlocker

การเข้ารหัสลับ Bitlocker สำหรับการรักษาความปลอดภัยข้อมูลระบบคลาวด์

การกำหนดค่าการเข้ารหัสลับ Bitlocker มีวางจำหน่ายแล้วในอุปกรณ์เคลื่อนที่ Windows 10 อย่างไรก็ตามอุปกรณ์เหล่านี้จำเป็นต้องมีความสามารถ InstantGo> ในการกำหนดค่าโดยอัตโนมัติ ด้วย InstantGo ผู้ใช้สามารถกำหนดคอนฟิกบนอุปกรณ์โดยอัตโนมัติพร้อมทั้งสำรองคีย์การกู้คืนไปยังบัญชี Azure AD ของผู้ใช้

แต่ตอนนี้อุปกรณ์ต่างๆจะไม่ต้องใช้ความสามารถ InstantGo อีกต่อไป ด้วยการอัพเดตผู้สร้าง Windows 10 ทุกอุปกรณ์ Windows 10 จะมีวิซาร์ดที่ผู้ใช้จะได้รับแจ้งให้เริ่มการเข้ารหัสลับ Bitlocker โดยไม่คำนึงถึงฮาร์ดแวร์ที่ใช้ นี่เป็นผลมาจากความคิดเห็นของผู้ใช้เกี่ยวกับการกำหนดค่าซึ่งพวกเขาต้องการให้มีการเข้ารหัสอัตโนมัติโดยไม่ต้องมีผู้ใช้ทำอะไร ดังนั้นตอนนี้การเข้ารหัสลับของ Bitlocker กลายเป็นฮาร์ดแวร์ และ

แบบอัตโนมัติ

• การเข้ารหัสลับ BitLocker ทำงานอย่างไร
• เมื่อผู้ใช้ปลายทางลงทะเบียนอุปกรณ์และเป็นผู้ดูแลท้องถิ่น, TriggerBitlocker MSI ทำสิ่งต่อไปนี้:

ใช้ไฟล์สามไฟล์ใน C: Program Files (x86) BitLockerTrigger

• นำเข้างานที่จัดตารางใหม่ขึ้นอยู่กับ Enable_Bitlocker.xml ที่รวมไว้
• งานที่กำหนดเวลาไว้จะทำงานทุกๆ วันที่ 2:00 และจะดำเนินการต่อไปนี้:
  • เรียกใช้ Enable_Bitlocker.vbs ซึ่งมีจุดประสงค์หลักเพื่อเรียก Enable_BitLocker.ps1 และตรวจสอบให้แน่ใจว่าได้เรียกใช้งานให้เล็กลง

ในทางกลับกัน Enable_BitLocker.ps1 จะเข้ารหัสไดรฟ์ภายในเครื่องและ เก็บคีย์การกู้คืนไว้ใน Azure AD และ OneDrive for Business (ถ้ามีการกำหนดค่าไว้)

คีย์การกู้คืนจะจัดเก็บเฉพาะเมื่อมีการเปลี่ยนแปลงหรือไม่มี

ผู้ใช้ที่ไม่ได้เป็นส่วนหนึ่งของกลุ่มผู้ดูแลระบบภายในต้องปฏิบัติตามขั้นตอนอื่น. ผู้ใช้รายแรกที่เข้าร่วมอุปกรณ์กับ Azure AD จะเป็นสมาชิกของกลุ่มผู้ดูแลระบบภายใน ถ้าผู้ใช้คนที่สองซึ่งเป็นส่วนหนึ่งของผู้เช่า AAD รายเดียวกันจะเข้าสู่ระบบอุปกรณ์นี้จะเป็นผู้ใช้มาตรฐาน

• การแยกย่อยนี้จำเป็นเมื่อบัญชี Device Enrollment Manager ดูแลการเข้าร่วม Azure AD ก่อนที่จะมอบ ผ่านอุปกรณ์ไปยังผู้ใช้ปลายทาง สำหรับผู้ใช้ดังกล่าวได้รับการแก้ไข MSI (TriggerBitlockerUser) ให้กับทีม Windows BitLockerTrigger schedule task จะทำงานใน System Context และจะ
• คัดลอกคีย์การกู้คืนไปยังบัญชี Azure AD ของผู้ใช้ที่เข้าร่วมอุปกรณ์กับ AAD

คัดลอกคีย์การกู้คืนไปที่ Systemdrive temp (โดยปกติจะเป็น C: Temp) ชั่วคราว มีการนำสคริปต์ใหม่ MoveKeyToOD4B.ps1 มาใช้ และทำงานทุกวันผ่านงานกำหนดเวลาที่เรียกว่า MoveKeyToOD4B

งานที่จัดตารางเวลาทำงานในบริบทของผู้ใช้ คีย์การกู้คืนจะถูกย้ายจาก systemdrive temp ไปยังโฟลเดอร์ OneDrive for Business recovery สำหรับสถานการณ์ผู้ดูแลระบบที่ไม่ใช่ local ผู้ใช้จำเป็นต้องปรับใช้ไฟล์ TriggerBitlockerUser ผ่านทาง Intune

ไปยังกลุ่มระบบปลายทาง -users ไม่ได้ใช้งานกับกลุ่ม / ผู้จัดการ Enrollment Manager อุปกรณ์ที่ใช้ในการเข้าร่วมอุปกรณ์กับ Azure AD

• เมื่อต้องการเข้าถึงคีย์กู้คืนผู้ใช้จำเป็นต้องไปที่ตำแหน่งต่อไปนี้:
• บัญชี Azure AD

โฟลเดอร์การกู้คืนใน OneDrive for Business (หากมีการกำหนดค่าไว้) ผู้ใช้จะแนะนำให้เรียกคืนคีย์การกู้คืนผ่าน //myapps.microsoft.com

และไปที่โปรไฟล์หรือในโฟลเดอร์ OneDrive for Business recovery