Định cấu hình BitLocker trên thiết bị Windows 10 hoặc 11

Các phiên bản được hỗ trợ cho tính năng này: Frontline Starter, Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Standard, Education Plus và Endpoint Education Upgrade; Enterprise Essentials và Enterprise Essentials Plus; Cloud Identity Premium.  So sánh phiên bản của bạn

Là quản trị viên, bạn có thể chỉ định cách mã hoá các thiết bị Microsoft Windows 10 hoặc 11 đã đăng ký tham gia chế độ quản lý thiết bị Windows. Các chế độ cài đặt mà bạn chọn sẽ có hiệu lực nếu thiết bị đã bật tính năng mã hoá ổ đĩa BitLocker. Các chế độ cài đặt phổ biến nhất để định cấu hình là:

  • Mã hoá ổ đĩa
  • Xác thực bổ sung khi khởi động
  • Tuỳ chọn khôi phục khởi động trước
  • Mã hoá ổ đĩa cố định
  • Tuỳ chọn khôi phục ổ đĩa cố định
  • Mã hoá ổ đĩa di động

Trước khi bắt đầu

Bạn phải đăng ký cho các thiết bị tham gia chế độ quản lý thiết bị Windows để áp dụng các chế độ cài đặt này. Tìm hiểu thêm

Định cấu hình tính năng mã hoá ổ đĩa BitLocker

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đó Thiết bị di động và thiết bị đầu cuối sau đó Cài đặt sau đó Windows.

    Bạn phải có đặc quyền Dịch vụ và thiết bị của quản trị viên.

  2. Nhấp vào Cài đặt BitLocker.
  3. (Không bắt buộc) Để áp dụng chế độ cài đặt này cho một bộ phận hoặc một nhóm, hãy chọn một đơn vị tổ chức ở bên cạnh.
  4. Trong phần Mã hoá ổ đĩa, hãy chọn Đã bật trong danh sách các mục.
  5. Định cấu hình các tuỳ chọn:

    Mã hoá ổ đĩa

    • Tuỳ chọn mã hoá cho ổ đĩa hệ thống–Chọn phương thức mã hoá và độ mạnh của thuật toán mật mã khoá cho các ổ đĩa hệ điều hành.
    • Xác thực bổ sung khi khởi động–Chọn xem BitLocker có yêu cầu xác thực bổ sung mỗi lần máy tính khởi động hay không và chỉ định xem bạn có đang dùng Mô-đun nền tảng đáng tin cậy (TPM) hay không. Khi bật, bạn có thể đặt các tuỳ chọn sau:
      • Cho phép BitLocker không có TPM tương thích–Đánh dấu vào hộp này để yêu cầu mật khẩu hoặc ổ đĩa USB khi khởi động.
      • Định cấu hình cho quá trình khởi động TPM mà không cần mã PIN hoặc khoá–Bạn có thể yêu cầu TPM làm phương thức xác thực khi khởi động thay vì mã PIN hoặc khoá.
      • Mã PIN khởi động TPM–Bạn có thể yêu cầu nhập mã PIN gồm 6 đến 20 chữ số trước khi khởi động. Bạn cũng có thể định cấu hình độ dài tối thiểu của mã PIN.
      • Khoá khởi động TPM–Bạn có thể yêu cầu người dùng xác thực bằng khoá khởi động TPM để truy cập vào ổ đĩa. Khoá khởi động là một khoá USB có thông tin để mã hoá ổ đĩa. Khi khoá USB này được cắm vào thiết bị, quyền truy cập vào ổ đĩa sẽ được xác thực và bạn có thể truy cập vào ổ đĩa.
      • Mã PIN và khoá khởi động TPM–Bạn có thể yêu cầu cả khoá khởi động và mã PIN.
    • Tuỳ chọn khôi phục khởi động trước–Bật để đặt thông báo khôi phục hoặc tuỳ chỉnh URL được cung cấp trên màn hình khôi phục khoá khởi động trước khi ổ đĩa hệ điều hành bị khoá.
    • Tuỳ chọn khôi phục ổ đĩa hệ thống–Bật để đặt các tuỳ chọn để người dùng khôi phục dữ liệu từ ổ đĩa hệ điều hành được bảo vệ bằng BitLocker. Khi bật, bạn có thể đặt các tuỳ chọn sau:
      • Cho phép nhân viên hỗ trợ khôi phục dữ liệu–Nhân viên hỗ trợ khôi phục dữ liệu là những cá nhân mà chứng chỉ cơ sở hạ tầng khoá công khai (PKI) của họ được dùng để tạo trình bảo vệ khoá BitLocker. Khi được cho phép, những cá nhân này có thể dùng thông tin đăng nhập PKI của mình để mở khoá các ổ đĩa được bảo vệ bằng BitLocker.
      • Chỉ định mật khẩu khôi phục gồm 48 chữ số–Chọn xem người dùng được phép, bắt buộc hay không được phép tạo mật khẩu khôi phục gồm 48 chữ số.
      • Khoá khôi phục 256 bit–Chọn xem người dùng được phép, bắt buộc hay không được phép tạo khoá khôi phục 256 bit.
      • Ẩn các tùy chọn khôi phục khỏi trình hướng dẫn thiết lập BitLocker–Đánh dấu vào hộp này để ngăn người dùng chỉ định các tùy chọn khôi phục khi bật BitLocker.
      • Lưu thông tin khôi phục BitLocker vào Dịch vụ miền Active Directory–Khi đánh dấu vào hộp này, bạn có thể chọn thông tin khôi phục BitLocker cần lưu trữ trong Active Directory. Bạn có thể chọn Sao lưu gói khoá và mật khẩu khôi phục hoặc Chỉ sao lưu mật khẩu khôi phục. Khi bật, bạn có thể đặt các tuỳ chọn sau:
        • Không bật BitLocker cho đến khi thông tin khôi phục được lưu trữ trong Active Directory–Đánh dấu vào hộp này để ngăn người dùng bật BitLocker trừ phi máy tính được kết nối với miền và quá trình sao lưu thông tin khôi phục BitLocker vào Active Directory thành công.

    Mã hoá ổ đĩa cố định

    • Mã hoá ổ đĩa cố định–Bật để yêu cầu mã hoá ổ đĩa cố định trước khi cấp quyền ghi. Khi bật, bạn có thể đặt các tuỳ chọn sau:
      • Mã hoá ổ đĩa cố định–Chọn phương thức mã hoá và độ mạnh của thuật toán mật mã khoá cho ổ đĩa cố định.
      • Tuỳ chọn khôi phục ổ đĩa cố định–Bật để đặt các tuỳ chọn để người dùng khôi phục dữ liệu từ ổ đĩa cố định được bảo vệ bằng BitLocker. Khi bật, bạn có thể đặt các tuỳ chọn sau:
        • Cho phép nhân viên hỗ trợ khôi phục dữ liệu–Nhân viên hỗ trợ khôi phục dữ liệu là những cá nhân mà chứng chỉ cơ sở hạ tầng khoá công khai (PKI) của họ được dùng để tạo trình bảo vệ khoá BitLocker. Khi được cho phép, những cá nhân này có thể dùng thông tin đăng nhập PKI của mình để mở khoá các ổ đĩa được bảo vệ bằng BitLocker.
        • Mật khẩu khôi phục gồm 48 chữ số–Chọn xem người dùng được phép, bắt buộc hay không được phép tạo mật khẩu khôi phục gồm 48 chữ số.
        • Khoá khôi phục 256 bit–Chọn xem người dùng được phép, bắt buộc hay không được phép tạo khoá khôi phục 256 bit.
        • Ẩn các tùy chọn khôi phục khỏi trình hướng dẫn thiết lập BitLocker–Đánh dấu vào hộp này để ngăn người dùng chỉ định các tùy chọn khôi phục khi bật BitLocker.
        • Lưu thông tin khôi phục BitLocker vào Dịch vụ miền Active Directory–Khi đánh dấu vào hộp này, bạn có thể chọn thông tin khôi phục BitLocker cần lưu trữ trong Active Directory. Bạn có thể chọn Sao lưu gói khoá và mật khẩu khôi phục hoặc Chỉ sao lưu mật khẩu khôi phục. Khi bật, bạn có thể đặt các tuỳ chọn sau:
          • Không bật BitLocker cho đến khi thông tin khôi phục được lưu trữ trong Active Directory–Đánh dấu vào hộp này để ngăn người dùng bật BitLocker trừ phi máy tính được kết nối với miền và quá trình sao lưu thông tin khôi phục BitLocker vào Active Directory thành công.

    Mã hoá ổ đĩa di động

    • Mã hoá ổ đĩa di động–Bật để yêu cầu mã hoá tất cả ổ đĩa di động trước khi cấp quyền ghi. Khi bật, bạn có thể đặt các tuỳ chọn sau:
      • Mã hoá ổ đĩa di động–Chọn thuật toán mã hoá và độ mạnh của thuật toán mật mã khoá cho ổ đĩa di động.
      • Từ chối quyền ghi vào những thiết bị được định cấu hình trong một tổ chức khác–Khi đánh dấu vào hộp này, chỉ những ổ đĩa có trường nhận dạng khớp với trường nhận dạng của máy tính mới được cấp quyền ghi. Chính sách nhóm của tổ chức bạn xác định những trường này.
  6. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.

Các thay đổi có thể mất đến 24 giờ để có hiệu lực nhưng thường có hiệu lực nhanh hơn. Tìm hiểu thêm

Đặt chế độ mã hoá ổ đĩa thành Chưa định cấu hình

Nếu bạn chọn Chưa định cấu hình cho Mã hoá ổ đĩa, thì chính sách BitLocker mà bạn đặt trong Bảng điều khiển dành cho quản trị viên sẽ không còn được thực thi nữa. Trên thiết bị của người dùng, chính sách sẽ quay lại chế độ cài đặt trước đó. Nếu người dùng đã mã hoá thiết bị, thì sẽ không có thay đổi nào được thực hiện đối với thiết bị hoặc dữ liệu trên thiết bị.

Tắt tính năng mã hoá ổ đĩa BitLocker

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Thiết bị sau đó Thiết bị di động và thiết bị đầu cuối sau đó Cài đặt sau đó Windows.

    Bạn phải có đặc quyền Dịch vụ và thiết bị của quản trị viên.

  2. Nhấp vào Cài đặt BitLocker.
  3. Nếu bạn chỉ muốn tắt một hồ sơ cho một số người dùng, hãy chọn một đơn vị tổ chức trong danh sách ở bên trái. Nếu không, hồ sơ đó sẽ áp dụng cho tất cả mọi người.
  4. Trong phần Mã hoá ổ đĩa, hãy chọn Đã tắt trong danh sách các mục.
  5. Nhấp vào Lưu. Hoặc bạn có thể nhấp vào nút Ghi đè đối với một đơn vị tổ chức.

    Sau này, để khôi phục giá trị được kế thừa, hãy nhấp vào Kế thừa.


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.