Bulut Veri Güvenliği için AAD / MDM kullanarak Bitlocker şifreleme

Windows 10`un yeni özellikleriyle, kullanıcıların verimliliği, sıçramaları ve sınırları artırdı. Çünkü Windows 10 , yaklaşımını `Önce Mobil, Önce Bulut` olarak tanıttı. Mobil cihazların bulut teknolojisiyle bütünleştirilmesi bir şey değil. Windows 10, Microsoft Kurumsal Mobilite Paketi (EMS) gibi bulut tabanlı cihaz yönetimi çözümlerini kullanarak verilerin modern yönetimini sağlar. Bununla, kullanıcılar kendi verilerine her zaman ve her yerden erişebilir. Bununla birlikte, bu tür veriler de Bitlocker ile mümkün olan iyi bir güvenliğe ihtiyaç duyar.

Bulut veri güvenliği için Bitlocker şifreleme

Bitlocker şifreleme yapılandırması Windows 10 mobil cihazlarda zaten mevcuttur. Ancak, bu cihazların yapılandırmayı otomatikleştirmek için InstantGo özelliğine sahip olması gerekiyordu. InstantGo ile, kullanıcı cihazdaki yapılandırmayı otomatikleştirebilir ve kurtarma anahtarını kullanıcının Azure AD hesabına yedekleyebilir.

Ancak artık cihazlar artık InstantGo özelliğini gerektirmeyecek. Windows 10 Creators Update ile tüm Windows 10 cihazlarında, kullanıcıların kullanılan donanımdan bağımsız olarak Bitlocker şifrelemesini başlatmaları istenecek bir sihirbaz olacaktır. Bu, kullanıcıların, kullanıcıların herhangi bir şey yapmadan otomatik olarak bu şifrelemeye sahip olmasını istedikleri konfigürasyon hakkındaki geribildirimlerinin sonucuydu. Böylece, Bitlocker şifreleme artık otomatik ve donanımdan bağımsız haline geldi.

Bitlocker şifrelemesi nasıl çalışır

Son kullanıcı cihazı kaydettiğinde ve yerel bir yönetici olduğunda, TriggerBitlocker MSI aşağıdakileri yapar:

• C: Program Files (x86) BitLockerTrigger
• içine üç dosyayı dağıtır. Dahil edilen Enable_Bitlocker.xml

tabanlı yeni bir görev alır. Zamanlanan görev her gün saat 2`de ve aşağıdakileri yapacaktır:

• Enable_Bitlocker.vbs komutunu çalıştırmak için Enable_BitLocker.ps1 öğesini çağırmak ve en aza indirgemek için emin olun.
• Sırasıyla Enable_BitLocker.ps1 yerel sürücüyü şifreleyecek ve kurtarma anahtarını Azure Ad`ye ve OneDrive for Business`a (yapılandırılmışsa) kaydedin
  • Kurtarma anahtarı yalnızca değiştirildiğinde veya bulunmadığında depolanır.

Yerel yönetim grubunun parçası olmayan kullanıcıların farklı bir yordam izlemesi gerekir. Varsayılan olarak, bir cihaza Azure Ad`ye katılan ilk kullanıcı, yerel yönetici grubunun bir üyesidir. Aynı AAD kiracısının bir parçası olan ikinci bir kullanıcı, aygıta oturum açarsa, standart bir kullanıcı olacaktır.

Bir Aygıt Kaydı Yöneticisi hesabı, teslim edilmeden önce Azure AD katılımı ile ilgilenirse, bu çatallanma gereklidir cihaz üzerinden son kullanıcıya. Bu gibi kullanıcılar için modifiye edilmiş MSI (TriggerBitlockerUser) Windows ekibine verilmiştir. Yerel yönetici kullanıcılarından biraz farklıdır:

BitlockerTrigger zamanlanmış görevi Sistem Bağlamında çalışır ve şunları yapar:

• Kurtarma anahtarını aygıtı AAd`ye katılan kullanıcının Azure AD hesabına kopyalayın.
• Kurtarma anahtarını geçici olarak Systemdrive temp (genellikle C: Temp) olarak kopyalayın.

adlı yeni bir betik tanıtılır ve MoveKeyToOD4B

adlı zamanlanmış bir görevle günlük olarak çalışır. Bu zamanlanmış görev, kullanıcıların bağlamında çalışır. Kurtarma anahtarı systemdrive temp`den OneDrive for Business recovery klasörüne taşınacaktır. Yerel olmayan yönetici senaryoları için kullanıcıların TriggerBitlockerUser dosyasını Intune

aracılığıyla son gruba dağıtması gerekir. -kullanıcılar. Bu, cihazı Azure Ad`ye bağlamak için kullanılan Aygıt Kayıt Yöneticisi grubuna / hesabına dağıtılmamıştır.

• Kurtarma anahtarına erişim elde etmek için kullanıcıların aşağıdaki konumlardan birine gitmeleri gerekir:
• Azure AD hesabı

OneDrive for Business`taki bir kurtarma klasörü (yapılandırılmışsa). Kullanıcıların kurtarma anahtarını aracılığıyla almaları önerilir.//myapps.microsoft.com

ve kendi profillerine veya OneDrive İş kurtarma klasörüne gidin.