Crittografia di Bitlocker tramite AAD / MDM per Cloud Data Security

Con le nuove funzionalità di Windows 10, la produttività degli utenti ha fatto passi da gigante. Questo perché Windows 10 ha introdotto il suo approccio come "Mobile first, Cloud first". Non è altro che l`integrazione di dispositivi mobili con la tecnologia cloud. Windows 10 offre la moderna gestione dei dati utilizzando soluzioni di gestione dei dispositivi basate su cloud come Microsoft Enterprise Mobility Suite (EMS) . Con questo, gli utenti possono accedere ai propri dati da qualsiasi luogo e in qualsiasi momento. Tuttavia, questo tipo di dati richiede anche una buona sicurezza, che è possibile con Bitlocker .

Crittografia di Bitlocker per la sicurezza dei dati cloud

La configurazione della crittografia Bitlocker è già disponibile sui dispositivi Windows 10. Tuttavia, questi dispositivi dovevano avere la capacità InstantGo per automatizzare la configurazione. Con InstantGo, l`utente può automatizzare la configurazione sul dispositivo e eseguire il backup della chiave di ripristino sull`account Azure AD dell`utente.

Ma ora i dispositivi non richiedono più la funzionalità InstantGo. Con Windows 10 Creators Update, tutti i dispositivi Windows 10 disporranno di una procedura guidata in cui agli utenti viene richiesto di avviare la crittografia Bitlocker indipendentemente dall`hardware utilizzato. Questo era principalmente il risultato del feedback degli utenti sulla configurazione, in cui desideravano automatizzare questa crittografia senza che gli utenti facessero nulla. Così, ora la crittografia Bitlocker è diventata automatica e indipendente dall`hardware.

Come funziona la crittografia Bitlocker

Quando l`utente finale registra il dispositivo ed è un amministratore locale, il MSI TriggerBitlocker effettua le seguenti operazioni:

• Distribuisce tre file in C: Programmi (x86) BitLockerTrigger
• Importa una nuova operazione pianificata in base al Enable_Bitlocker.xml

incluso. l`operazione pianificata verrà eseguita ogni giorno alle 2 PM e farà quanto segue:

• Esegui Enable_Bitlocker.vbs il cui scopo principale è chiamare Enable_BitLocker.ps1 e assicurarti di eseguire l`operazione di minimizzazione.
• A sua volta, Enable_BitLocker.ps1 crittograferà l`unità locale e memorizzare la chiave di ripristino in Azure AD e OneDrive for Business (se configurato)
  • La chiave di ripristino viene memorizzata solo quando è cambiata o non è presente

Gli utenti che non fanno parte del gruppo di amministrazione locale devono seguire una procedura diversa. Per impostazione predefinita, il primo utente che unisce un dispositivo ad Azure AD è un membro del gruppo di amministrazione locale. Se un secondo utente, che fa parte dello stesso titolare AAD, accede al dispositivo, sarà un utente standard.

Questa biforcazione è necessaria quando un account Gestione registrazione dispositivi si occupa del join di Azure AD prima della consegna sul dispositivo per l`utente finale. Per questi utenti modificati MSI (TriggerBitlockerUser) è stato assegnato il team di Windows. È leggermente diverso da quello degli utenti amministratori locali:

l`attività pianificata BitlockerTrigger verrà eseguita nel contesto di sistema e:

• Copia la chiave di recupero nell`account Azure AD dell`utente che ha aggiunto il dispositivo a AAD.
• Copia temporaneamente la chiave di ripristino in Systemdrive temp (in genere C: Temp).

Un nuovo script MoveKeyToOD4B.ps1 viene introdotto e viene eseguito quotidianamente tramite un`attività pianificata denominata MoveKeyToOD4B . Questa operazione pianificata viene eseguita nel contesto degli utenti. La chiave di ripristino verrà spostata da systemdrive temp alla cartella OneDrive for Business recovery.

Per gli scenari di amministrazione non locale, gli utenti devono distribuire il file TriggerBitlockerUser tramite Intune al gruppo di fine: agli utenti. Questo non viene distribuito al gruppo / account di Gestione registrazione dispositivi utilizzato per unire il dispositivo ad Azure AD.

Per ottenere l`accesso alla chiave di ripristino, gli utenti devono accedere a una delle seguenti posizioni:

• Account di Azure AD
• Una cartella di ripristino in OneDrive for Business (se configurata).

Si suggerisce agli utenti di recuperare la chiave di ripristino tramite //myapps.microsoft.com e accedere al proprio profilo o nella cartella OneDrive for Business recovery.

Per ulteriori informazioni su come abilitare la crittografia Bitlocker, leggere il blog completo su Microsoft TechNet.