BitLocker šifriranje pomoću AAD / MDM za Cloud Data Security

S novim značajkama sustava Windows 10, produktivnost korisnika povećala je skokove i granice. To je zato što je Windows 10 predstavio svoj pristup kao "Mobile first, Cloud first". To je samo integracija mobilnih uređaja s tehnologijom oblaka. Windows 10 donosi suvremeno upravljanje podacima pomoću rješenja za upravljanje uređajem temeljenima na cloudu kao što je Microsoft Enterprise Mobility Suite (EMS) . Pomoću toga korisnici mogu pristupiti svojim podacima s bilo kojeg mjesta i bilo kada. Međutim, ove vrste podataka također zahtijevaju dobru sigurnost, što je moguće s Bitlocker .

BitLocker šifriranje za sigurnost podataka u oblaku

BitLocker konfiguracija enkripcije već je dostupna na mobilnim uređajima Windows 10. Međutim, ti uređaji trebaju imati InstantGo mogućnost automatizacije konfiguracije. S InstantGoom korisnik može automatizirati konfiguraciju na uređaju, kao i sigurnosnu kopiju ključa za oporavak na korisnički račun Azure AD.

Ali sada uređaji više neće zahtijevati mogućnost InstantGo. S ažuriranjem Windows 10 Creators, svi uređaji sa sustavom Windows 10 imat će čarobnjaka u kojem korisnici trebaju pokrenuti BitLocker šifriranje bez obzira na hardver koji se koristi. To je uglavnom rezultat povratnih informacija korisnika o konfiguraciji, gdje su htjeli automatizirati taj enkripciju, a da korisnici ne bi ništa učinili. Tako je sada Bitlocker šifriranje postalo automatsko i neovisno o hardveru.

Kako radi BitLocker šifriranje

Kada krajnji korisnik upiše uređaj i lokalni je administrator, TriggerBitlocker MSI radi sljedeće:

• Distribuira tri datoteke u C: Program Files (x86) BitLockerTrigger
• Uvozi novu zakazanu zadaću na temelju uključenog Enable_Bitlocker.xml

dan u 14 sati i izvršit će sljedeće:

• Pokreni Enable_Bitlocker.vbs koji je glavna svrha nazvati Enable_BitLocker.ps1 i pobrinite se za pokretanje minimiziranog.
• S druge strane, Enable_BitLocker.ps1 će enkriptirati lokalni pogon i pohraniti ključ za oporavak u Azure AD i OneDrive for Business (ako je konfiguriran)
  • Ključ za oporavak pohranjuje se samo ako je promijenjen ili nije prisutan

Korisnici koji nisu dio lokalne admin grupe trebaju slijediti drugi postupak, Prema zadanim postavkama, prvi korisnik koji se pridruži uređaju Azure AD-u član je lokalne administratorske skupine. Ako se drugi korisnik, koji je dio istog AAD stanara, prijavljuje na uređaj, to će biti standardni korisnik.

Ova bifurkacija je potrebna kada se račun Upravitelja upisa uređaja brine o priključenju Azure AD prije predaje preko uređaja krajnjem korisniku. Za takve korisnike modificiran MSI (TriggerBitlockerUser) dobio je Windows tim. To je malo drugačiji od korisnicima lokalnih administracija:

BitLockerTrigger zakazani zadatak će se izvoditi u kontekstu sustava i:

• kopirati ključ za oporavak na Azure AD račun korisnika koji je pristupio uređaju AAD-u. <
• Uvedena je nova skripta MoveKeyToOD4B.ps1

i svakodnevno se pokreće putem zakazanog zadatka pod nazivom MoveKeyToOD4BKopirajte ključ za oporavak na Systemdrive temp (obično C: Temp). Ovaj zakazani zadatak izvodi se u kontekstu korisnika. Tipka za oporavak bit će premještena iz systemdrive temp u mapu OneDrive for Business recovery.

Za ne-lokalne scenarije administratora, korisnici trebaju implementirati TriggerBitlockerUser datoteku preko Intune grupi kraja -users. Nije implementiran u grupu / račun Upravitelja upisa uređaja koji se koristi za pridruživanje uređaju u Azure AD.

Da biste dobili pristup ključu za oporavak, korisnici moraju ići na neku od sljedećih lokacija:

• Azure AD račun
• mapa za oporavak u OneDrive for Business (ako je konfigurirana).

Korisnicima se preporučuje da dohvatite ključ za oporavak putem //myapps.microsoft.com i krenite u svoj profil ili u mapu OneDrive for Business recovery.

Dodatne informacije o tome kako omogućiti BitLocker šifriranje pročitajte cijeli blog na Microsoft TechNet-u.