Bitlocker kryptering ved hjælp af AAD / MDM til Cloud Data Security

Med Windows 10`s nye funktioner er produktiviteten af ​​brugere øget spring og grænser. Det skyldes, at Windows 10 introducerede sin tilgang som "Mobile first, Cloud first". Det er intet andet end integrationen af ​​mobilenheder med skyteknologien. Windows 10 leverer den moderne styring af data ved hjælp af cloud-baserede enhedsstyringsløsninger som Microsoft Enterprise Mobility Suite (EMS) . Med dette kan brugerne få adgang til deres data fra hvor som helst og når som helst. Denne type data har imidlertid også brug for god sikkerhed, som er mulig med Bitlocker .

Bitlocker kryptering til cloud data security

Bitlocker krypteringskonfiguration er allerede tilgængelig på Windows 10 mobile enheder. Men disse enheder skulle have InstantGo mulighed for at automatisere konfigurationen. Med InstantGo kan brugeren automatisere konfigurationen på enheden samt sikkerhedskopiere genoprettelsesnøglen til brugerens Azure AD-konto.

Men nu behøver enhederne ikke mere InstantGo-funktionen. Med Windows 10 Creators Update har alle Windows 10-enheder en guide, hvor brugere bliver bedt om at starte Bitlocker-kryptering, uanset hvilken hardware der bruges. Dette skyldtes primært brugerens tilbagemelding om konfigurationen, hvor de ønskede at få denne kryptering automatiseret uden at brugerne gjorde noget. Således er Bitlocker-krypteringen nu blevet automatisk og hardware uafhængig.

Hvordan fungerer Bitlocker-kryptering

Når slutbrugeren registrerer enheden og er en lokal administrator den TriggerBitlocker MSI gør følgende:

• udruller tre filer i C: Program Files (x86) BitLockerTrigger
• Importerer en ny planlagt opgave baseret på den medfølgende Enable_Bitlocker.xml

den planlagte opgave vil køre hver dag på 14:00 og vil gøre følgende:.

• Kør Enable_Bitlocker.vbs som det primære formål er at kalde Enable_BitLocker.ps1 og sørg for at køre minimeret
• i sin side Enable_BitLocker.ps1 vil kryptere det lokale drev og lagre genoprettingsnøglen i Azure AD og OneDrive for Business (hvis konfigureret)
  • Genoprettingsnøglen gemmes kun, når den ændres eller ikke er til stede

Brugere, der ikke er en del af den lokale administrationsgruppe, skal følge en anden procedure. Som standard er den første bruger, der slutter sig til en enhed til Azure AD, medlem af den lokale administrationsgruppe. Hvis en anden bruger, der er en del af den samme AAD-lejer, logger på enheden, vil den være en standardbruger.

Denne bifurcation er nødvendig, når en Device Enrollment Manager-konto tager sig af Azure AD-tilmeldingen, før den afsendes over enheden til slutbrugeren. For sådanne brugere er modificeret MSI (TriggerBitlockerUser) blevet givet Windows-team. Den er lidt forskellig fra den lokale admin-bruger:

Den planlagte opgave BitlockerTrigger vil køre i systemkonteksten og vil:

• Kopier genoprettelsesnøglen til Azure AD-kontoen for den bruger, der sluttede sig til enheden til AAD.
• Kopier opsving nøglen til systemDrive temp (typisk C: Temp). midlertidigt

en ny script MoveKeyToOD4B.ps1 introduceres og kører dagligt via en planlagt opgave kaldet MoveKeyToOD4B . Denne planlagte opgave kører i brugerens sammenhæng. Gendannelsesknappen flyttes fra systemdrive temp til OneDrive for Business recovery-mappen.

For de ikke-lokale adminscenarier skal brugere implementere TriggerBitlockerUser-filen via Intune til gruppen af ​​slutter -Brugere. Dette er ikke implementeret til Enhedsregistreringsadministrator-gruppen / -kontoen, der bruges til at slutte sig til enheden til Azure AD.

For at få adgang til genoprettingsnøglen skal brugerne gå til en af ​​følgende steder:

• Azure AD-konto
• En genoprettelsesmappe i OneDrive for Business (hvis konfigureret).

Brugere foreslås at hente genoprettelsesnøglen via //myapps.microsoft.com og navigere til deres profil eller i deres OneDrive for Business -gendannelsesmappe.

For mere information om aktivering af Bitlocker-kryptering, læs den komplette blog på Microsoft TechNet.