Bằng mã hóa AAD / MDM cho Cloud Data Security

Với các tính năng mới của Windows 10, năng suất của người dùng đã tăng vọt và giới hạn. Đó là bởi vì Windows 10 đã giới thiệu cách tiếp cận của nó là `Điện thoại di động đầu tiên, Cloud đầu tiên`. Nó không là gì ngoài việc tích hợp các thiết bị di động với công nghệ đám mây. Windows 10 cung cấp quản lý dữ liệu hiện đại bằng cách sử dụng các giải pháp quản lý thiết bị dựa trên đám mây như Bộ ứng dụng di động của Microsoft (EMS) . Với điều này, người dùng có thể truy cập dữ liệu của họ từ mọi nơi và mọi lúc. Tuy nhiên, loại dữ liệu này cũng cần bảo mật tốt, có thể với Bitlocker .

Mã hóa bitlocker cho bảo mật dữ liệu đám mây

Cấu hình mã hóa Bitlocker đã có sẵn trên các thiết bị di động Windows 10. Tuy nhiên, các thiết bị này cần có khả năng InstantGo để tự động cấu hình. Với InstantGo, người dùng có thể tự động cấu hình trên thiết bị cũng như sao lưu khóa khôi phục vào tài khoản Azure AD của người dùng.

Nhưng bây giờ các thiết bị sẽ không yêu cầu khả năng InstantGo nữa. Với Windows 10 Creators Update, tất cả các thiết bị Windows 10 sẽ có một wizard nơi người dùng được nhắc nhở để bắt đầu mã hóa Bitlocker bất kể phần cứng được sử dụng. Điều này chủ yếu là kết quả của phản hồi của người dùng về cấu hình, nơi họ muốn mã hóa tự động này mà không cần người dùng làm bất cứ điều gì. Vì vậy, bây giờ mã hóa Bitlocker đã trở thành tự động và phần cứng độc lập.

Mã hóa Bitlocker hoạt động như thế nào

Khi người dùng cuối đăng ký thiết bị và là quản trị cục bộ, TriggerBitlocker MSI thực hiện các thao tác sau:

• Triển khai ba tệp vào C: Program Files (x86) BitLockerTrigger
• Nhập nhiệm vụ được lập biểu mới dựa trên Enable_Bitlocker.xml

nhiệm vụ được lên lịch sẽ chạy mỗi ngày 2 giờ chiều và sẽ làm như sau:

• Chạy Enable_Bitlocker.vbs, mục đích chính là gọi Enable_BitLocker.ps1 và đảm bảo chạy tối thiểu.
• Đến lượt nó, Enable_BitLocker.ps1 sẽ mã hóa ổ đĩa cục bộ và lưu khóa khôi phục vào Azure AD và OneDrive for Business (nếu được cấu hình)
  • Khóa khôi phục chỉ được lưu trữ khi thay đổi hoặc không có

Người dùng không thuộc nhóm quản trị cục bộ, cần thực hiện theo một quy trình khác. Theo mặc định, người dùng đầu tiên tham gia thiết bị vào Azure AD là thành viên của nhóm quản trị cục bộ. Nếu người dùng thứ hai, là một phần của cùng một đối tượng thuê AAD, đăng nhập vào thiết bị, nó sẽ là người dùng chuẩn.

Phân nhánh này là cần thiết khi tài khoản Trình quản lý đăng ký thiết bị quản lý việc kết nối Azure AD trước khi bàn giao trên thiết bị cho người dùng cuối. Đối với những người dùng như vậy đã sửa đổi MSI (TriggerBitlockerUser) đã được trao cho nhóm Windows. Nó hơi khác so với người dùng quản trị cục bộ:

Nhiệm vụ được lập lịch BitlockerTrigger sẽ chạy trong Ngữ cảnh hệ thống và sẽ:

• Sao chép khóa khôi phục vào tài khoản Azure AD của người dùng đã kết nối thiết bị với AAD.
• Sao chép khóa khôi phục sang Systemdrive temp (thường là C: Temp) tạm thời.

Một kịch bản mới MoveKeyToOD4B.ps1 được giới thiệu và chạy hàng ngày thông qua tác vụ được lên lịch có tên MoveKeyToOD4B . Tác vụ được lập lịch này chạy trong ngữ cảnh của người dùng. Phím khôi phục sẽ được chuyển từ systemdrive temp sang thư mục OneDrive for Business recovery.

Đối với các kịch bản quản trị không cục bộ, người dùng cần triển khai tệp TriggerBitlockerUser qua Intune đến nhóm kết thúc - người dùng. Điều này không được triển khai cho nhóm Người quản lý đăng ký thiết bị / tài khoản được sử dụng để kết nối thiết bị với Azure AD.

Để có quyền truy cập vào khóa khôi phục, người dùng cần phải đến một trong các vị trí sau:

• Tài khoản Azure AD
• Thư mục khôi phục trong OneDrive for Business (nếu được định cấu hình).

Người dùng được gợi ý truy xuất khóa khôi phục qua //myapps.microsoft.com và điều hướng đến hồ sơ của họ hoặc trong thư mục OneDrive for Business recovery của họ.

Để biết thêm thông tin về cách bật mã hóa Bitlocker, hãy đọc toàn bộ blog trên Microsoft TechNet.