有时,我从网上得到一个问题,为什么他们的设备没有自动启动操作系统驱动器的加密。他们在Microsoft Intune中配置一些BitLocker设置,并将它们部署到他们的设备中。但是加密不会自动开始,并且会在设备上看到各种错误消息。
现在我分享自动启动BitLocker加密的配置。
之前,我们把设置本身搬过来的,有些“notes from the field”,否则你的下面安装程序可能不工作,你仍然可以看到像描述的错误此之前的帖子:
- 过时的BIOS和TPM固件/驱动程序可能会引起问题。因此,更新这些驱动程序。
- 确保安全启动已打开!
- 在测试时,请使用真实的硬件,不要使用虚拟机。
以下设置适用于Azure AD和已加入Azure AD的****Hybrid Azure AD joined**设备。但是有很大的不同。在加入AAD的设备上,加密已在Autopilot注册期间开始,在HAADJ设备上,第一个用户登录后即开始加密。
让我们转到配置部分。
配置端点保护配置文件
在撰写本文时,由于我尚未测试“端点安全性”选项卡上的BitLocker设置,因此我仍使用Microsoft Intune中的“端点保护”配置文件来配置加密设置。
浏览到 设备 – Windows
-
在配置配置文件选项卡上,单击+创建配置文件
选择 Windows 10及更高版本 作为平台
选择“ 端点保护” 作为配置文件类型
点击 创建
- 为配置文件 命名
- 输入 描述 (可选)
- 点击 下一步
在Windows加密下,重要的是至少配置这些设置,以使无提示加密适用于OS驱动器。这样做的关键是允许标准用户启用加密,并且仅允许(要求)TPM启动(并阻止其他选项):
BitLocker基本设置
- 加密设备–要求
- 其他磁盘加密警告–阻止
- 允许标准用户在Azure AD加入期间启用加密–允许
- 配置加密方法–启用
- 操作系统驱动器加密–选择您喜欢的算法
BitLocker操作系统驱动器设置
- 启动时附加身份验证–要求
- 具有不兼容的TPM芯片的BitLocker –块
- 兼容的TPM启动–需要TPM
- 其他兼容的TPM选项–不允许
与BitLocker恢复信息有关的其他配置设置。
这应该可以解决问题。如果需要,您还可以配置与固定驱动器和可移动数据驱动器相关的设置,但OS驱动器不需要此设置。
