Advanced use cases with Azure Active Directory B2C | Azure Active Directory
目录:
凭借Windows 10的新功能,用户的生产力有了飞跃式的增长。这是因为 Windows 10 将其方法引入为“先移动,云优先”。这只不过是移动设备与云技术的集成。 Windows 10使用基于云的设备管理解决方案(如 Microsoft Enterprise Mobility Suite(EMS))提供现代数据管理。借此,用户可以随时随地访问他们的数据。但是,此类数据也需要很好的安全性,可以通过 Bitlocker 。
Bitlocker加密实现云数据安全性
Bitlocker加密配置已经在Windows 10移动设备上提供。但是,这些设备需要 InstantGo 功能来自动配置。使用InstantGo,用户可以在设备上自动执行配置,并将恢复密钥备份到用户的Azure AD帐户。
但现在设备不再需要InstantGo功能。使用Windows 10 Creator Update时,所有Windows 10设备都将有一个向导,用户无论使用何种硬件,都会提示用户启动Bitlocker加密。这主要是由于用户对配置的反馈所致,他们希望自动实现这种加密,而无需用户执行任何操作。因此,现在Bitlocker加密已成为 自动 和 硬件独立 。
Bitlocker加密如何工作
当最终用户注册设备并且是本地管理员,TriggerBitlocker MSI执行以下操作:
- 将三个文件部署到C: Program Files文件(x86) BitLockerTrigger
- 根据所包含的Enable_Bitlocker.xml导入新的计划任务
并执行以下操作:
- 运行Enable_Bitlocker.vbs,其主要目的是调用Enable_BitLocker.ps1并确保运行最小化。
- 进而,Enable_BitLocker.ps1将加密本地驱动器,然后将恢复密钥存储到Azure AD和OneDrive for Business(如果已配置)
- 恢复密钥仅在更改或不存在时存储
不属于本地管理员组的用户需要遵循不同的过程。默认情况下,将设备加入Azure AD的第一个用户是本地管理员组的成员。如果作为同一AAD租户的一部分的第二个用户登录到该设备,则该用户将成为标准用户。
当设备注册管理器帐户在处理之前负责Azure AD连接时,此分支是必需的通过设备传输给最终用户。对于这样的用户修改MSI(TriggerBitlockerUser)已被授予Windows团队。它与本地管理员用户稍有不同:
BitlockerTrigger计划任务将在系统上下文中运行,并将:
- 将恢复密钥复制到加入设备的用户的Azure AD帐户到AAD。
- 临时将恢复密钥复制到Systemdrive temp(通常为C: Temp)。
新脚本MoveKeyToOD4B.ps1被引入 ,并通过名为 MoveKeyToOD4B 的计划任务每天运行。此计划任务在用户的上下文中运行。恢复密钥将从systemdrive temp移动到OneDrive for Business recovery文件夹。
对于非本地管理方案,用户需要通过 Intune 将TriggerBitlockerUser文件部署到结尾组-Users。这不会部署到用于将设备加入到Azure AD的设备注册管理器组/帐户。
要访问恢复密钥,用户需要转到以下任一位置:
- Azure AD帐户
- OneDrive for Business中的恢复文件夹(如果已配置)
建议用户通过 恢复恢复密钥。//myapps.microsoft.com 并导航到其配置文件或OneDrive for Business recovery文件夹中。
有关如何启用Bitlocker加密的更多信息,请阅读Microsoft TechNet上的完整博客。