创建加密配置文件,以便使用 BitLocker 加密来保护 Windows 桌面设备上的数据。

过程

  1. 导航到设备 > 配置文件 > 列表视图 > 添加,然后选择添加配置文件
  2. 选择 Windows,然后选择 Windows 桌面
  3. 选择设备配置文件
  4. 为配置文件配置常规设置。
  5. 选择加密配置文件并配置相应设置:
    设置 说明
    加密宗卷

    使用下拉菜单来选取下列加密类型。

    • 整个硬盘 - 加密设备上的整个硬盘,包括安装操作系统的系统分区。
    • 系统分区 – 在安装和启动 Windows 的同一位置加密该分区或驱动器。
    加密方法 选择设备的加密方法。
    仅在初始加密期间加密已用空间 启用此选项之后,可将 BitLocker 加密限制为在加密时仅加密驱动器上的已用空间。
    恢复密钥 URL

    输入要在指示最终用户获取恢复密钥的锁定屏幕上显示的 URL。

    考虑输入 Workspace ONE UEM 在其上托管恢复密钥的自助服务门户的 URL。

    强制加密

    启用此选项可强制在设备上加密。实施这项强制措施意味着,如果手动禁用了 BitLocker,设备将立即重新加密。

    为了避免在升级或企业擦除过程中出现问题,可以考虑禁用此设置。

    保持系统始终加密 启用此选项可始终保持设备加密。使用此选项可确保设备擦除、配置文件移除或与 Workspace ONE UEM 断开通信不会解密设备。

    如果您启用此设置并擦除设备,则只能从 Workspace ONE UEM console 访问恢复 30 天。30 天后,系统可能无法恢复。

    身份验证模式

    选择身份验证方法,以验证对 BitLocker 加密设备的访问。

    • TPM — 使用设备的受信任的平台模块。要求设备上有 TPM。
    • 密码 — 使用密码进行身份验证。
    登录时强制使用加密 PIN 选中此复选框,可要求用户输入 PIN 以解锁设备。选择此选项后,在用户输入正确的 PIN 之前,操作系统无法启动,也无法自动从挂起或休眠状态中恢复。
    如果 TPM 不存在,则使用密码

    选中此复选框,可将密码用作 TPM 不可用时解密设备的备用手段。

    如果未启用此设置,则无法加密任何没有 TPM 的设备。

    在 TPM 初始化之前挂起 BitLocker 选择此选项可推迟设备加密,直至在计算机上初始化 TPM。对于需要在 TPM 初始化之前进行加密的注册(例如 OOBE),请使用此选项。
    密码长度下限

    选择密码必须包含的最少字符数。

    如果将身份验证模式设置为密码,或者如果启用如果 TPM 不存在,则使用密码,则会显示此选项。

    创建静态 BitLocker 恢复密钥

    如果启用静态恢复密钥,则选中此复选框。

    BitLocker 恢复密码

    选择生成图标 () 以生成新的恢复密钥。

    轮换期 输入恢复密钥的轮换天数。
    宽限期 输入轮换后上一个恢复密钥仍有效的天数。
    启用 BitLocker Suspend 选中此复选框,可启用 BitLocker 暂停功能。此功能在指定的时段内暂停 BitLocker 加密。在安排更新时可使用此功能暂停 BitLocker,以便无需最终用户输入加密 PIN 或密码就能重新启动设备。
    暂停 BitLocker 类型

    选择暂停类型。

    • 日程 – 选择此项以输入 BitLocker 暂停的特定时段。然后,将日程设置为每日或每周重复。
    • 自定义 — 选择此项以输入 BitLocker 暂停的开始和结束日期及时间。
    BitLocker 暂停开始时间 输入 BitLocker 暂停的开始时间。
    BitLocker 暂停结束时间 输入 BitLocker 暂停的结束时间。
    安排的重复类型 设置安排的暂停是每日还是每周重复。如果选择每周,则选择在一周中的哪几天重复安排。
  6. 完成后,选择保存并发布将配置文件推送到设备。