Windows 10: n uusilla ominaisuuksilla käyttäjien tuottavuus on lisännyt harppauksia. Se johtuu siitä Windows 10 esitteli lähestymistapansa "Mobile first, Cloud first". Se ei ole muuta kuin mobiililaitteiden integrointi pilviteknologiaan. Windows 10 tarjoaa nykyaikaisen tiedonhallinnan pilvipohjaisten laitehallintaratkaisujen, kuten Microsoft Enterprise Mobility Suite (EMS). Tämän avulla käyttäjät voivat käyttää tietojaan mistä tahansa ja milloin tahansa. Tällaiset tiedot tarvitsevat kuitenkin myös hyvän turvallisuuden, mikä on mahdollista myös BitLocker.
BitLocker-salaus pilvitietojen suojaamiseksi
BitLocker-salausasetukset ovat jo käytettävissä Windows 10 -mobiililaitteissa. Näiden laitteiden tarvittiin kuitenkin InstantGo kyky automatisoida kokoonpano. InstantGo-sovelluksen avulla käyttäjä voi automatisoida laitteen kokoonpanon sekä varmuuskopioida palautusavaimen käyttäjän Azure AD -tilille.
Mutta nyt laitteet eivät vaadi InstantGo-ominaisuutta enää. Windows 10 Creators -päivityksen yhteydessä kaikissa Windows 10 -laitteissa on ohjattu toiminto, jossa käyttäjää pyydetään käynnistämään BitLocker-salaus huolimatta käytetystä laitteistosta. Tämä johtui pääasiassa käyttäjien palautteesta kokoonpanosta, jossa he halusivat saada tämän salauksen automaattisesti ilman, että käyttäjät tekisivät mitään. Nyt Bitlockerin salaus on nyt tullut Automaattinen ja laitteistoista riippumaton.
Miten BitLocker-salaus toimii
Kun loppukäyttäjä ilmoittaa laitteesta ja on paikallinen ylläpitäjä, TriggerBitlocker MSI suorittaa seuraavat toimenpiteet:
- Asentaa kolme tiedostoa C: Program Files (x86) BitLockerTrigger
- Tuo uusi ajoitettu tehtävä liitteen Enable_Bitlocker.xml mukaan
Ajoitettu tehtävä kestää joka päivä klo 14.00 ja tekee seuraavat toimenpiteet:
- Suorita Enable_Bitlocker.vbs, jonka päätehtävänä on soittaa Enable_BitLocker.ps1 ja varmistaa, että se toimii minimoituna.
-
Sen puolesta, Enable_BitLocker.ps1 salaa paikallisen aseman ja tallentaa avainavaimen Azure AD: lle ja OneDrive for Businessille (jos se on määritetty)
Palautusavainta säilytetään vain, kun joko vaihdetaan tai ei ole
Käyttäjät, jotka eivät kuulu paikalliseen järjestelmänvalvojaryhmään, täytyy noudattaa eri menettelytapaa. Oletusarvoisesti ensimmäinen käyttäjä, joka liittyy laitteeseen Azure AD: hen, on paikallisen järjestelmänvalvojaryhmän jäsen. Jos toinen käyttäjä, joka on osa samaa AAD-vuokralaista, kirjautuu laitteeseen, se on tavallinen käyttäjä.
Tämä kahtiajakautuminen on välttämätöntä, kun Device Registration Manager-tili hoitaa Azure AD -liittymän ennen laitteen luovuttamista loppukäyttäjälle. Tällaisille käyttäjille muokatun MSI (TriggerBitlockerUser) on saanut Windows-tiimille. Se on hieman erilainen kuin paikallisten järjestelmänvalvojien käyttäjät:
BitlockerTriggerin ajoitettu tehtävä ajetaan järjestelmän kontekstiin ja se:
- Kopioi palautusavaimen käyttäjälle, joka liittyi laitteeseen AAD: n Azure AD -tilille.
- Kopioi palautusavaimella väliaikaisesti Systemdrive temp (tyypillisesti C: Temp).
Uusi kirjoitus MoveKeyToOD4B.ps1 otetaan käyttöön ja toimii päivittäin aikataulun mukaan kutsutulla tehtävällä MoveKeyToOD4B. Tämä ajoitettu tehtävä suoritetaan käyttäjien yhteydessa. Palautus avain siirretään systemdrive temp -ohjelmasta OneDrive for Business recovery-kansioon.
Muiden kuin paikallisten hallintatilanteiden vuoksi käyttäjien on otettava TriggerBitlockerUser-tiedosto käyttöön Vireessä loppukäyttäjille. Tätä ei ole otettu käyttöön Device Enrollment Manager -ryhmään / tiliin, jota käytetään liittymään laitteeseen Azure AD: hen.
Jotta pääset palautusavaimeen, käyttäjien on mentävä jompaankumpaan seuraavista sijainneista:
- Azure AD -tili
- OneDrive for Business -ohjelman palautuskansio (jos se on määritetty).
Käyttäjiä kehotetaan noutamaan palautusavaimen kautta https://myapps.microsoft.com ja siirtyä heidän profiiliinsä tai OneDrive for Business recovery-kansioonsa.
Lisätietoja siitä, miten BitLocker-salaus otetaan käyttöön, lue koko Microsoft TechNet -blogi.
Aiheeseen liittyvät julkaisut:
- Cloud Computing haastattelu kysymyksiin ja vastauksiin
- Microsoft BitLocker -ominaisuus Windows 10/8/7
- Muuta oletussijainti BitLockerin palautusavain tallentamista varten
- Miksi Microsoft tallentaa Windows 10 -laitteen salausavaimen OneDrive-järjestelmään
- BitLockerin aseman salausta ei voi käyttää, koska kriittiset BitLocker-järjestelmätiedostot puuttuvat tai ovat vioittuneet
