Với các tính năng mới của Windows 10, năng suất của người dùng đã tăng vọt và giới hạn. Đó là bởi vì Windows 10 đã giới thiệu phương pháp tiếp cận của nó là ‘Điện thoại di động đầu tiên, Cloud đầu tiên’. Nó không là gì ngoài việc tích hợp các thiết bị di động với công nghệ đám mây. Windows 10 cung cấp quản lý dữ liệu hiện đại bằng các giải pháp quản lý thiết bị dựa trên đám mây như Microsoft Enterprise Mobility Suite (EMS). Với điều này, người dùng có thể truy cập dữ liệu của họ từ mọi nơi và mọi lúc. Tuy nhiên, loại dữ liệu này cũng cần bảo mật tốt, có thể với Bitlocker.
Mã hóa bitlocker cho bảo mật dữ liệu đám mây
Cấu hình mã hóa bitlocker đã có sẵn trên các thiết bị di động Windows 10. Tuy nhiên, những thiết bị này cần phải có InstantGo khả năng tự động hóa cấu hình. Với InstantGo, người dùng có thể tự động cấu hình trên thiết bị cũng như sao lưu khóa khôi phục vào tài khoản Azure AD của người dùng.
Nhưng bây giờ các thiết bị sẽ không yêu cầu khả năng InstantGo nữa. Với Windows 10 Creators Update, tất cả các thiết bị Windows 10 sẽ có một wizard nơi người dùng được nhắc nhở để bắt đầu mã hóa Bitlocker bất kể phần cứng được sử dụng. Đây chủ yếu là kết quả của phản hồi của người dùng về cấu hình, nơi họ muốn mã hóa tự động này mà không cần người dùng thực hiện bất kỳ điều gì. Vì vậy, bây giờ mã hóa Bitlocker đã trở thành tự động và phần cứng độc lập.
Mã hóa Bitlocker hoạt động như thế nào
Khi người dùng cuối đăng ký thiết bị và là quản trị viên cục bộ, TriggerBitlocker MSI thực hiện các thao tác sau:
- Triển khai ba tệp vào C: Program Files (x86) BitLockerTrigger
- Nhập khẩu tác vụ được lên lịch mới dựa trên tệp Enable_Bitlocker.xml được bao gồm
Tác vụ được lên lịch sẽ chạy hàng ngày vào lúc 2 giờ chiều và sẽ thực hiện như sau:
- Chạy Enable_Bitlocker.vbs mà mục đích chính là gọi Enable_BitLocker.ps1 và đảm bảo chạy tối thiểu.
-
Đến lượt mình, Enable_BitLocker.ps1 sẽ mã hóa ổ đĩa cục bộ và lưu khóa khôi phục vào Azure AD và OneDrive for Business (nếu được định cấu hình)
Khóa khôi phục chỉ được lưu trữ khi đã thay đổi hoặc không hiển thị
Người dùng không thuộc nhóm quản trị viên cục bộ, cần làm theo một quy trình khác. Theo mặc định, người dùng đầu tiên tham gia thiết bị vào Azure AD là thành viên của nhóm quản trị cục bộ. Nếu người dùng thứ hai, là một phần của cùng một đối tượng thuê AAD, đăng nhập vào thiết bị, nó sẽ là người dùng chuẩn.
Phân nhánh này là cần thiết khi một tài khoản quản lý tuyển dụng thiết bị chăm sóc của Azure AD tham gia trước khi bàn giao thiết bị cho người dùng cuối. Đối với những người dùng như vậy đã sửa đổi MSI (TriggerBitlockerUser) đã được trao cho nhóm Windows. Nó hơi khác so với người dùng quản trị cục bộ:
Tác vụ được lập lịch của BitlockerTrigger sẽ chạy trong Ngữ cảnh hệ thống và sẽ:
- Sao chép khóa khôi phục vào tài khoản Azure AD của người dùng đã kết nối thiết bị với AAD.
- Sao chép khóa khôi phục sang Systemdrive temp (thường là C: Temp) tạm thời.
Một kịch bản mới MoveKeyToOD4B.ps1 được giới thiệu và chạy hàng ngày thông qua tác vụ được lên lịch có tên MoveKeyToOD4B. Tác vụ được lập lịch này chạy trong ngữ cảnh của người dùng. Khóa khôi phục sẽ được chuyển từ systemdrive temp sang thư mục OneDrive for Business recovery.
Đối với các kịch bản quản trị không cục bộ, người dùng cần triển khai tệp TriggerBitlockerUser qua Trong giai điệu cho nhóm người dùng cuối. Điều này không được triển khai cho nhóm Trình quản lý tuyển dụng thiết bị / tài khoản được sử dụng để kết nối thiết bị với Azure AD.
Để có quyền truy cập vào khóa khôi phục, người dùng cần truy cập một trong các vị trí sau:
- Tài khoản Azure AD
- Một thư mục phục hồi trong OneDrive for Business (nếu được cấu hình).
Người dùng được đề xuất truy xuất khóa khôi phục qua https://myapps.microsoft.com và điều hướng đến hồ sơ của họ hoặc trong thư mục OneDrive for Business recovery của họ.
Để biết thêm thông tin về cách bật mã hóa Bitlocker, hãy đọc toàn bộ blog trên Microsoft TechNet.
Bài viết liên quan:
- Câu hỏi và câu trả lời phỏng vấn Cloud Computing
- Tính năng Microsoft BitLocker trong Windows 10/8/7
- Thay đổi vị trí mặc định để lưu Khóa khôi phục BitLocker
- Tại sao Microsoft lưu khóa mã hóa thiết bị Windows 10 của bạn vào OneDrive
- Không thể sử dụng Mã hóa ổ BitLocker vì các tệp hệ thống BitLocker quan trọng bị thiếu hoặc bị hỏng