กำหนดค่า BitLocker ในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus, Business Plus, Enterprise Standard และ Enterprise Plus, Education Standard, Education Plus และ Endpoint Education Upgrade, Enterprise Essentials และ Enterprise Essentials Plus, Cloud Identity Premium เปรียบเทียบรุ่น

ในฐานะผู้ดูแลระบบ คุณสามารถระบุวิธีเข้ารหัสสำหรับอุปกรณ์ Microsoft Windows 10 หรือ 11 ที่ลงทะเบียนในการจัดการอุปกรณ์ Windows ได้ ซึ่งการตั้งค่าที่คุณเลือกจะมีผลหากอุปกรณ์เปิดใช้การเข้ารหัสไดรฟ์ BitLocker การตั้งค่าที่พบบ่อยที่สุดที่ต้องกำหนดค่ามีดังนี้

• การเข้ารหัสไดรฟ์
• การตรวจสอบสิทธิ์เพื่อเริ่มต้นใช้งานเพิ่มเติม
• ตัวเลือกการกู้คืนก่อนเปิดเครื่อง
• การเข้ารหัสไดรฟ์แบบคงที่
• ตัวเลือกการกู้คืนไดรฟ์แบบคงที่
• การเข้ารหัสไดรฟ์แบบนำออกได้

ข้อควรทราบก่อนที่จะเริ่มต้น

อุปกรณ์ต้องได้รับการลงทะเบียนในการจัดการอุปกรณ์ Windows เพื่อให้การตั้งค่าเหล่านี้มีผล ดูข้อมูลเพิ่มเติม

กำหนดค่าการเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ อุปกรณ์เคลื่อนที่และปลายทาง การตั้งค่า Windows

   ไปที่ Windows

   คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กร ที่ด้านข้าง
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกเปิดใช้ จากรายการ
5. กำหนดค่าตัวเลือกต่างๆ ดังนี้

   การเข้ารหัสไดรฟ์

   • ตัวเลือกการเข้ารหัสสำหรับไดรฟ์ของระบบ–เลือกวิธีการเข้ารหัสและความแข็งแกร่งของการเข้ารหัสคีย์สำหรับไดรฟ์ระบบปฏิบัติการ
   • การตรวจสอบสิทธิ์เพื่อเริ่มต้นใช้งานเพิ่มเติม–เลือกว่า BitLocker ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมทุกครั้งที่คอมพิวเตอร์เริ่มทำงานและคุณกำลังใช้ Trusted Platform Module (TPM) อยู่หรือไม่ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตให้ใช้ BitLocker โดยไม่ต้องมี TPM ที่เข้ากันได้ - เลือกช่องเพื่อกำหนดให้ต้องมีรหัสผ่านหรือไดรฟ์ USB สำหรับการเริ่มต้นใช้งาน
     • กำหนดค่าการเริ่มต้นใช้งาน TPM โดยไม่ต้องมี PIN หรือคีย์ - คุณสามารถเลือกที่จะใช้ TPM เป็นการตรวจสอบสิทธิ์การเริ่มต้นใช้งานแทนที่จะใช้ PIN หรือคีย์
     • PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถเลือกที่จะใช้ PIN 6 หลักถึง 20 หลักที่จะต้องป้อนก่อนการเริ่มต้นใช้งาน นอกจากนี้ คุณยังกำหนดค่าความยาวขั้นต่ำของ PIN ได้อีกด้วย
     • คีย์สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ผู้ใช้ทำการตรวจสอบสิทธิ์โดยใช้คีย์สำหรับการเริ่มต้นใช้งาน TPM เพื่อเข้าถึงไดรฟ์ คีย์สำหรับการเริ่มต้นใช้งานคือคีย์ USB ที่มีข้อมูลสำหรับการเข้ารหัสไดรฟ์ เมื่อใส่คีย์ USB นี้เข้าไปในอุปกรณ์ ระบบจะตรวจสอบสิทธิ์เข้าถึงไดรฟ์และคุณจะเข้าถึงไดรฟ์ได้
     • คีย์และ PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ใช้ทั้งคีย์และ PIN สำหรับการเริ่มต้นใช้งาน
   • ตัวเลือกการกู้คืนก่อนเปิดเครื่อง - เปิดใช้งานเพื่อตั้งค่าข้อความการกู้คืนหรือกำหนด URL ที่แสดงอยู่ในหน้าจอการกู้คืนคีย์ก่อนเปิดเครื่องเมื่อไดรฟ์ระบบปฏิบัติการถูกล็อก
   • ตัวเลือกการกู้คืนไดรฟ์ของระบบ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์ของระบบปฏิบัติการที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตตัวแทนกู้คืนข้อมูล– ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
     • ระบุรหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
     • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
     • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
     • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบคงที่

   • การเข้ารหัสไดรฟ์แบบคงที่–เปิดใช้งานเพื่อกำหนดให้เข้ารหัสไดรฟ์แบบคงที่ก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบคงที่–เลือกวิธีการเข้ารหัสและความแรงของการเข้ารหัสคีย์สำหรับไดรฟ์แบบคงที่
     • ตัวเลือกการกู้คืนไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์แบบคงที่ที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • อนุญาตตัวแทนกู้คืนข้อมูล– ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
       • รหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
       • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
       • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
       • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
         • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบนำออกได้

   • การเข้ารหัสไดรฟ์แบบนำออกได้–เปิดใช้งานเพื่อกำหนดให้ไดรฟ์แบบนำออกได้ทั้งหมดเข้ารหัสก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบนำออกได้–เลือกอัลกอริทึมการเข้ารหัสและความแรงของการเข้ารหัสคีย์สำหรับไดรฟ์แบบนำออกได้
     • ปฏิเสธสิทธิ์เขียนในอุปกรณ์ที่กำหนดค่าในองค์กรอื่น–เมื่อเลือก จะให้สิทธิ์การเขียนเฉพาะไดรฟ์ที่มีช่องหมายเลขประจำตัวตรงกันกับคอมพิวเตอร์เท่านั้น ช่องเหล่านี้จะกำหนดโดยนโยบายกลุ่มขององค์กร
6. คลิกบันทึก หรือคลิกลบล้าง สำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตั้งค่าการเข้ารหัสไดรฟ์เป็น "ไม่ได้กำหนดค่า"

หากคุณเลือกไม่ได้กำหนดค่า สำหรับการเข้ารหัสไดรฟ์ นโยบาย BitLocker ที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบจะไม่มีผลอีกต่อไป นโยบายจะเปลี่ยนกลับเป็นการตั้งค่าเดิมในอุปกรณ์ของผู้ใช้ หากผู้ใช้เข้ารหัสอุปกรณ์ ระบบจะไม่ทำการเปลี่ยนแปลงใดๆ กับอุปกรณ์หรือข้อมูลในอุปกรณ์

ปิดใช้การเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ อุปกรณ์เคลื่อนที่และปลายทาง การตั้งค่า Windows

   ไปที่ Windows

   คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. หากต้องการปิดใช้โปรไฟล์สำหรับผู้ใช้บางราย ให้เลือกหน่วยขององค์กรจากรายการทางด้านซ้าย มิเช่นนั้น การตั้งค่านี้จะมีผลกับทุกคน
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกปิดใช้ จากรายการ
5. คลิกบันทึก หรือคลิกลบล้าง สำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

หัวข้อที่เกี่ยวข้อง

• เปิดใช้การจัดการอุปกรณ์ของ Windows
• ลงทะเบียนอุปกรณ์ในการจัดการอุปกรณ์ Windows

Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง