Bitlockerkryptering med AAD / MDM för Cloud Data Security

Med Windows 10: s nya funktioner har användarnas produktivitet ökat hopp och gränser. Det beror på att Windows 10 presenterade sitt tillvägagångssätt som "Mobile first, Cloud first". Det är inget annat än integrationen av mobila enheter med molntekniken. Windows 10 levererar modern hantering av data med hjälp av molnbaserade enhetshanteringslösningar som Microsoft Enterprise Mobility Suite (EMS) . Med detta kan användarna komma åt deras data från var som helst och när som helst. Den här typen av data behöver dock också bra säkerhet, vilket är möjligt med Bitlocker .

Bitlocker-kryptering för molnsäkerhet

Bitlocker-krypteringskonfigurationen är redan tillgänglig på Windows 10-mobila enheter. Men dessa enheter behövde ha InstantGo förmåga att automatisera konfigurationen. Med InstantGo kan användaren automatisera konfigurationen på enheten samt säkerhetskopiera återställningsnyckeln till användarens Azure AD-konto.

Men nu behöver inte enheterna InstantGo-funktionen längre. Med Windows 10 Creators Update, kommer alla Windows 10-enheter att ha en guide där användarna uppmanas att starta Bitlocker-kryptering oavsett vilken hårdvara som används. Detta berodde främst på användarnas feedback om konfigurationen, där de ville ha denna kryptering automatiserad utan att användarna skulle göra någonting. Således har Bitlocker-krypteringen nu blivit automatisk och hårdvaruoberoende.

Hur fungerar Bitlocker-kryptering

När slutanvändaren registrerar enheten och är en lokal administratör TriggerBitlocker MSI gör följande:

• Deployer tre filer till C: Program Files (x86) BitLockerTrigger
• Importerar en ny schemalagd uppgift baserat på den medföljande Enable_Bitlocker.xml

Den schemalagda uppgiften kommer att köras varje gång dag kl 14.00 och kommer att göra följande:

• Kör Enable_Bitlocker.vbs som huvudsyftet är att ringa Enable_BitLocker.ps1 och se till att köra minimeras.
• I sin tur kommer Enable_BitLocker.ps1 att kryptera den lokala enheten och lagra återställningsnyckeln till Azure AD och OneDrive for Business (om den konfigureras).
  • Återställningsnyckeln sparas endast när den ändras eller inte är närvarande.

Användare som inte ingår i den lokala administratorgruppen måste följa ett annat förfarande. Som standard är den första användaren som ansluter en enhet till Azure AD en medlem av den lokala administratorgruppen. Om en andra användare, som är en del av samma AAD-hyresgäst, loggar in på enheten, kommer den att vara en standardanvändare.

Denna bifurcation är nödvändig när ett Device Enrollment Manager-konto tar hand om Azure AD-anslutningen innan den delas ut över enheten till slutanvändaren. För sådana användare har modifierat MSI (TriggerBitlockerUser) fått Windows-team. Det är något annorlunda än för lokala administratörs användare:

Den schemalagda uppgiften BitlockerTrigger körs i systemkontexten och kommer att:

• Kopiera återställningsnyckeln till Azure AD-kontot för den användare som gick med i enheten till AAD.
• Ett nytt skript MoveKeyToOD4B.ps1 introduceras

och körs dagligen via en schemalagd uppgift som heter MoveKeyToOD4B . Den här schemalagda uppgiften körs i användarens sammanhang. Återställningsnyckeln flyttas från systemdrive temp till mappen OneDrive for Business recovery. För de icke-lokala administratörsscenarierna måste användarna distribuera TriggerBitlockerUser-filen via

Intune till gruppen av slut -users. Detta distribueras inte till enheten Enrollment Manager-grupp / konto som används för att ansluta enheten till Azure AD. För att få tillgång till återställningsnyckeln måste användarna gå till någon av följande platser:

Azure AD-konto

• En återställningsmapp i OneDrive for Business (om den konfigureras).
• Användare föreslås att hämta återställningsnyckeln via

//myapps.microsoft.com och navigera till deras profil eller i deras OneDrive for Business återställningsmapp. Mer information om hur du aktiverar Bitlocker-kryptering läser hela bloggen på Microsoft TechNet.