Homepage » finestre » Crittografia di Bitlocker tramite AAD / MDM per Cloud Data Security

    Crittografia di Bitlocker tramite AAD / MDM per Cloud Data Security

    Con le nuove funzionalità di Windows 10, la produttività degli utenti ha fatto passi da gigante. È perché Windows 10 ha introdotto il suo approccio come "Mobile first, Cloud first". Non è altro che l'integrazione di dispositivi mobili con la tecnologia cloud. Windows 10 offre la moderna gestione dei dati utilizzando soluzioni di gestione dei dispositivi basate su cloud come Microsoft Enterprise Mobility Suite (EMS). Con questo, gli utenti possono accedere ai propri dati da qualsiasi luogo e in qualsiasi momento. Tuttavia, questo tipo di dati richiede anche una buona sicurezza, che è possibile con Bitlocker.

    Crittografia di Bitlocker per la sicurezza dei dati cloud

    La configurazione della crittografia Bitlocker è già disponibile sui dispositivi mobili Windows 10. Tuttavia, questi dispositivi dovevano avere InstantGo capacità di automatizzare la configurazione. Con InstantGo, l'utente può automatizzare la configurazione sul dispositivo e eseguire il backup della chiave di ripristino sull'account Azure AD dell'utente.

    Ma ora i dispositivi non richiedono più la capacità di InstantGo. Con Windows 10 Creators Update, tutti i dispositivi Windows 10 disporranno di una procedura guidata in cui agli utenti viene richiesto di avviare la crittografia Bitlocker indipendentemente dall'hardware utilizzato. Questo era principalmente il risultato del feedback degli utenti sulla configurazione, in cui desideravano automatizzare questa crittografia senza che gli utenti facessero nulla. Quindi, ora la crittografia Bitlocker è diventata automatico e indipendente dall'hardware.

    Come funziona la crittografia Bitlocker

    Quando l'utente finale registra il dispositivo ed è un amministratore locale, il MSI TriggerBitlocker procede come segue:

    • Distribuisce tre file in C: \ Programmi (x86) \ BitLockerTrigger \
    • Importa una nuova attività pianificata in base al file Enable_Bitlocker.xml incluso

    L'attività pianificata verrà eseguita tutti i giorni alle 14:00 e farà quanto segue:

    • Esegui Enable_Bitlocker.vbs il cui scopo principale è chiamare Enable_BitLocker.ps1 e assicurarti di eseguire l'esecuzione minima.
    • A sua volta, Enable_BitLocker.ps1 crittograferà l'unità locale e memorizzerà la chiave di ripristino in Azure AD e OneDrive for Business (se configurato)
      • La chiave di ripristino viene memorizzata solo quando cambiata o non presente

    Gli utenti che non fanno parte del gruppo di amministratori locali devono seguire una procedura diversa. Per impostazione predefinita, il primo utente che unisce un dispositivo ad Azure AD è un membro del gruppo di amministrazione locale. Se un secondo utente, che fa parte dello stesso titolare AAD, accede al dispositivo, sarà un utente standard.

    Questa biforcazione è necessaria quando un account di Gestione registrazione dispositivi si occupa del join di Azure AD prima di passare il dispositivo all'utente finale. Per questi utenti modificati MSI (TriggerBitlockerUser) è stato assegnato il team di Windows. È leggermente diverso da quello degli utenti amministratori locali:

    L'attività pianificata BitlockerTrigger verrà eseguita nel contesto di sistema e:

    • Copia la chiave di ripristino nell'account di Azure AD dell'utente che ha aggiunto il dispositivo a AAD.
    • Copia temporaneamente la chiave di ripristino in Systemdrive \ temp (in genere C: \ Temp).

    Viene introdotto un nuovo script MoveKeyToOD4B.ps1 e viene eseguito quotidianamente tramite un'attività pianificata chiamata MoveKeyToOD4B. Questa operazione pianificata viene eseguita nel contesto degli utenti. La chiave di ripristino verrà spostata da systemdrive \ temp alla cartella OneDrive for Business \ recovery.

    Per gli scenari di amministrazione non locale, gli utenti devono distribuire il file TriggerBitlockerUser tramite In sintonia al gruppo di utenti finali. Questo non viene distribuito al gruppo / account di Gestione registrazione dispositivi utilizzato per unire il dispositivo ad Azure AD.

    Per ottenere l'accesso alla chiave di ripristino, gli utenti devono andare in una delle seguenti posizioni:

    • Account di Azure AD
    • Una cartella di ripristino in OneDrive for Business (se configurata).

    Si suggerisce agli utenti di recuperare la chiave di ripristino tramite http://myapps.microsoft.com e vai al loro profilo, o nella loro cartella OneDrive for Business \ recovery.

    Per ulteriori informazioni su come abilitare la crittografia Bitlocker, leggere il blog completo su Microsoft TechNet.