加密配置文件（Windows 桌面）

通过加密配置文件对 Windows 桌面设备上的企业数据进行保护。加密配置文件会在 Windows 桌面设备上设置本机 BitLocker 加密策略，以确保数据的安全。

BitLocker 加密仅适用于 Windows 8 企业版和专业版，以及 Windows 10 企业版、教育版和专业版。

由于笔记本电脑和平板电脑按设计属于移动设备，因此会带来企业数据丢失或失窃的风险。通过使用 Workspace ONE UEM 强制执行加密策略，您可以保护硬盘上的数据。BitLocker 为本机 Windows 加密，Dell 数据保护 | 加密为来自 Dell 的第三方加密解决方案。通过启用加密配置文件，Workspace ONE Intelligent Hub 可持续检查设备的加密状态。如果 Workspace ONE Intelligent Hub 发现设备未加密，则会自动给设备加密。

如果您决定使用 BitLocker 进行加密，则在加密过程中创建的恢复密钥将被存入 Workspace ONE UEM console 和自助门户中。

要使用加密配置文件，需要在设备上安装 Workspace ONE Intelligent Hub。

注：加密配置文件未配置或启用 Dell 数据保护 | 加密。加密状态将报告给 Workspace ONE UEM console 和自助门户，但必须在设备上手动配置加密。

小心： Windows 10 不支持没有预启动屏幕上键盘的设备。由于没有键盘，您将无法输入用来解锁硬盘和在设备中启动 Windows 所需的启动 PIN 码。如果将簇配置文件推送到无预启动屏幕上键盘的设备，将会中断设备。

BitLocker 功能

加密配置文件使用先进的 BitLocker 功能控制 BitLocker 加密的身份验证和部署。

BitLocker 使用设备上的受信任的平台模块 (TPM) 将恢复密码存储在设备上，以解密连接到主板的硬盘驱动器。如果从主板上取下驱动器，驱动器不会解密。为了加强身份验证，您可以启用加密 PIN 来确认用户身份验证。您还可以要求为设备输入密码，以此作为 TPM 不可用时的备用手段。

部署行为

Windows 本机 BitLocker 加密功能可确保 Windows 桌面设备上数据安全无虞。部署加密配置文件还需要最终用户执行更多操作。

如果加密配置文件被推送到加密设备，并且当前的加密设置与配置文件设置相匹配，则 Workspace ONE Intelligent Hub 将添加一个新的恢复密钥并将其发送到 Workspace ONE UEM console。该新的恢复密钥还存储在设备的加密数据库中。借助此功能，如果用户或管理员尝试解密设备，加密配置文件将使用新恢复密钥重新加密设备。即使设备处于离线状态，也会执行加密。

如果现有的加密不符合加密配置文件的验证设置，则会删除现有的保护程序，并应用符合加密配置文件设置的新保护程序。

如果现有的加密方法与加密配置文件不匹配，Workspace ONE UEM 会将现有的方法保留在原位，而不会将其覆盖。如果将新版本的加密配置文件添加到由现有加密配置文件管理的设备上，则此功能也适用。现有的加密方式不发生改变。

加密状态

如果已启用 BitLocker 且正在使用中，您可以在以下区域查看有关加密状态的状态报告：

Workspace ONE UEM 仪表板
- 设备详细信息会显示恢复密钥信息。
- BitLocker 保护设置将显示为“已启用”。
Workspace ONE UEM 自助门户
- 自助服务门户显示恢复密钥已被存储，但并不显示恢复密钥的详细信息。
- BitLocker 保护设置将显示为“已启用”。

移除行为

如果配置文件已从 Workspace ONE UEM console 移除，则 Workspace ONE UEM 将不再强制加密，且设备会自动解密。从控制面板中执行企业擦除或手动卸载 Workspace ONE Intelligent Hub 将禁用 BitLocker 加密。

创建加密配置文件时，您可以选择启用保持系统始终加密选项。此设置可确保即使移除配置文件、擦除设备或与 Workspace ONE UEM 通信结束，设备仍保持加密状态。

如果最终用户决定在 BitLocker 加密进程中取消注册，除非从控制面板手动关闭，否则加密进程将继续进行。