Bitlocker磁盘加密策略Without TPM---Intune终结点管理 _BitLocker

学向勤中得，萤窗万卷书。这篇文章主要讲述Bitlocker磁盘加密策略Without TPM---Intune终结点管理相关的知识，希望能为你提供帮助。
接上篇，上篇文章提到过，如果客户端没有TPM芯片也是可以完成驱动器加密的，intune下发策略后无法实现无提示（静默）加密，需要根据提示手动完成驱动器加密，如果系统支持UEFI启动可以选择插入U盘，建议选择输入password，加密完成后，计算机重启进入系统前需要先输入bitlocker password，然后再输入系统登录password才能登录到系统内；
?
策略应用范围A．已加域，无TPM芯片设备
B．未加域，无TPM芯片设备
策略应用后效果客户端收到加密提示，用户需要根据向导完成加密，加密完成后，开机需要输入加密password及登录用户password；

Bitlocker Profile Without TPM配置1. 登录到endpoint管理中心，终结点安全性—磁盘加密—创建策略

2. 选择平台和配置文件，如下图，点击创建

3. 输入名称“Bitlocker Profile Without TPM”，点击下一步

4. 开始配置设置，按需完成固定驱动器设置，基本设置，可移动驱动器设置，OS驱动器设置等相关bitlocker配置，这个策略是应用给无TPM芯片的设备，所以我的设置如下，供参考：
Bitlocker-固定驱动器设置

l 如果设置了“驱动器恢复”，需要注意，要设置“恢复秘钥文件创建”为“允许”，否则无法开始加密；
l 需要设备将恢复信息备份到AzureAD，此项选择“是”，则在恢复信息备份完成前不会开始加密；
l “阻止对不受bitlocker保护的固定数据驱动器的写入权限”，此项选择“是”，则未完成加密前除了OS分区，其他分区无法写入；

?
Bitlocker-基本设置

l 隐藏有关第三方加密提示可以实现无提示（静默）加密，因为没有TPM芯片，必须通过交互完成加密，所以这里选择“未配置”；
l 测试环境为azuread joined hybrid环境，配置了恢复password轮替；

?
Bitlocker-可移动驱动器设置
?
Bitlocker-OS驱动器设置

l 如果策略应用给无TPM设备建议如下设置TPM相关配置
l 兼容的TPM—允许
l 兼容的TPM启动PIN—允许
l 兼容的TPM启动秘钥—允许
l 兼容的TPM启动秘钥和PIN—允许
l 在TPM不兼容的设备上禁用Bitlocker—未配置

?
5. 配置作用于标签，如果有的话可以设置，没有的话默认，点击下一步

6. 指定应用范围，分配给组或者所有用户，这里的组为安全组
?
7. 点击“创建”
客户端操作及效果1. 策略下发后客户端桌面右下角会收到加密提示“需要加密”，如果未看到提示，则可以在桌面右下角“通知”中查看

2. 点击“需要加密”，进入bitlocker加密向导，勾选“我没有安装任何其他磁盘加密软件，请加密我的所有磁盘”，点击“是”

3. 等待向导检测电脑配置

4. 指定启动时解锁驱动器的方式，建议“输入password”
插入U盘：启动秘钥保存在U盘中，每次开机需要插入U盘启动，然后输入系统登录password
输入password：设置一个解锁password，每次开机需要输入解锁password后再输入系统登录password

5. 设置password，点击“下一页”

6. 上篇文章提到过，恢复秘钥可以保存在不同的位置，这里我们选择“保存到云域账户”，也就是保存到了用户的office365账户中。

7. 指定加密的空间，新电脑选择仅加密已用磁盘空间，速度较快，正在使用的电脑选择“加密整个驱动器”，可能用时较长，点击“下一页”

8. 点击“继续”，开始加密

9. 加密中，等待完成即可，可以最小化正常工作，系统可能卡顿，需要注意，加密过程中可以开机或重启，但不能断电及长按电源键强制关闭电脑

10. 加密完成后，如下图，驱动器都带了小锁

11. 重启电脑开始时需要先输入驱动器解锁秘钥

【Bitlocker磁盘加密策略Without TPM---Intune终结点管理】