กำหนดค่า BitLocker ในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus, Business Plus, Enterprise Standard และ Enterprise Plus, Education Standard, Education Plus และ Endpoint Education Upgrade, Enterprise Essentials และ Enterprise Essentials Plus, Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถระบุวิธีเข้ารหัสสำหรับอุปกรณ์ Microsoft Windows 10 หรือ 11 ที่ลงทะเบียนในการจัดการอุปกรณ์ Windows ได้ ซึ่งการตั้งค่าที่คุณเลือก จะมีผลหากอุปกรณ์เปิดใช้การเข้ารหัสไดรฟ์ BitLocker การตั้งค่าทั่วไปที่กำหนดค่าได้มีดังนี้

• การเข้ารหัสไดรฟ์
• การตรวจสอบสิทธิ์เพื่อเริ่มต้นใช้งานเพิ่มเติม
• ตัวเลือกการกู้คืนก่อนเปิดเครื่อง
• การเข้ารหัสไดรฟ์แบบคงที่
• ตัวเลือกการกู้คืนไดรฟ์แบบคงที่
• การเข้ารหัสไดรฟ์แบบนำออกได้

ข้อควรทราบก่อนที่จะเริ่มต้น

อุปกรณ์ต้องได้รับการลงทะเบียนในการจัดการอุปกรณ์ Windows เพื่อให้การตั้งค่าเหล่านี้มีผล ดูข้อมูลเพิ่มเติม

กำหนดค่าการเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ มือถือและอุปกรณ์ปลายทาง การตั้งค่า Windows 

   ไปที่ Windows

   คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกเปิดใช้จากรายการ
5. กำหนดค่าตัวเลือก

   การเข้ารหัสไดรฟ์

   • ตัวเลือกการเข้ารหัสสำหรับไดรฟ์ของระบบ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์ระบบปฏิบัติการ
   • การตรวจสอบสิทธิ์การเริ่มต้นใช้งานเพิ่มเติม - เลือกว่า BitLocker ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมทุกครั้งที่คอมพิวเตอร์เริ่มทำงานและคุณกำลังใช้ Trusted Platform Module (TPM) อยู่หรือไม่ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตให้ใช้ BitLocker โดยไม่ต้องมี TPM ที่เข้ากันได้ - เลือกช่องเพื่อกำหนดให้ต้องมีรหัสผ่านหรือไดรฟ์ USB สำหรับการเริ่มต้นใช้งาน
     • กำหนดค่าการเริ่มต้นใช้งาน TPM โดยไม่ต้องมี PIN หรือคีย์ - คุณสามารถเลือกที่จะใช้ TPM เป็นการตรวจสอบสิทธิ์การเริ่มต้นใช้งานแทนที่จะใช้ PIN หรือคีย์
     • PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถเลือกที่จะใช้ PIN 6 หลักถึง 20 หลักที่จะต้องป้อนก่อนการเริ่มต้นใช้งาน นอกจากนี้ คุณยังกำหนดค่าความยาวขั้นต่ำของ PIN ได้อีกด้วย
     • คีย์สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ผู้ใช้ทำการตรวจสอบสิทธิ์โดยใช้คีย์สำหรับการเริ่มต้นใช้งาน TPM เพื่อเข้าถึงไดรฟ์ คีย์สำหรับการเริ่มต้นใช้งานคือคีย์ USB ที่มีข้อมูลสำหรับการเข้ารหัสไดรฟ์ เมื่อใส่คีย์ USB นี้เข้าไปในอุปกรณ์ ระบบจะตรวจสอบสิทธิ์เข้าถึงไดรฟ์และคุณจะเข้าถึงไดรฟ์ได้
     • คีย์และ PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ใช้ทั้งคีย์และ PIN สำหรับการเริ่มต้นใช้งาน
   • ตัวเลือกการกู้คืนก่อนเปิดเครื่อง - เปิดใช้งานเพื่อตั้งค่าข้อความการกู้คืนหรือกำหนด URL ที่แสดงอยู่ในหน้าจอการกู้คืนคีย์ก่อนเปิดเครื่องเมื่อไดรฟ์ระบบปฏิบัติการถูกล็อก
   • ตัวเลือกการกู้คืนไดรฟ์ของระบบ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์ของระบบปฏิบัติการที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
     • ระบุรหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
     • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
     • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
     • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบคงที่

   • การเข้ารหัสไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดให้เข้ารหัสไดรฟ์แบบคงที่ก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบคงที่ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบคงที่
     • ตัวเลือกการกู้คืนไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์แบบคงที่ที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
       • รหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
       • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
       • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
       • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
         • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบถอดออกได้

   • การเข้ารหัสไดรฟ์แบบถอดได้ - เปิดใช้งานเพื่อกำหนดให้ไดรฟ์แบบถอดได้ทั้งหมดเข้ารหัสก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบถอดได้ - กำหนดค่าอัลกอริทึมการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบถอดได้
     • ปฏิเสธสิทธิ์เขียนในอุปกรณ์ที่กำหนดค่าในองค์กรอื่น - เมื่อเลือก จะให้สิทธิ์การเขียนเฉพาะไดรฟ์ที่มีช่องหมายเลขประจำตัวตรงกันกับคอมพิวเตอร์เท่านั้น ช่องเหล่านี้จะกำหนดโดยนโยบายกลุ่มขององค์กร
6. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาน้อยกว่านั้น ดูข้อมูลเพิ่มเติม

ตั้งค่าการเข้ารหัสไดรฟ์เป็น "ไม่ได้กำหนดค่า"

หากคุณเลือกไม่ได้กำหนดค่าสำหรับการเข้ารหัสไดรฟ์ นโยบาย BitLocker ที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบจะไม่มีผลอีกต่อไป ในอุปกรณ์ของผู้ใช้ นโยบายจะเปลี่ยนกลับไปเป็นการตั้งค่าเดิมก่อนหน้านี้ หากผู้ใช้เข้ารหัสอุปกรณ์ไว้ ระบบจะไม่ดำเนินการใดๆ กับอุปกรณ์หรือข้อมูลในอุปกรณ์

ปิดใช้การเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ มือถือและอุปกรณ์ปลายทาง การตั้งค่า Windows 

   ไปที่ Windows

   คุณต้องมีสิทธิ์ผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. หากต้องการปิดใช้โปรไฟล์สำหรับผู้ใช้บางราย ให้เลือก หน่วยขององค์กรจากรายการทางด้านซ้าย มิฉะนั้นระบบจะเปิดให้ผู้ใช้ทุกคน
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกปิดใช้จากรายการ
5. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

หัวข้อที่เกี่ยวข้อง

• เปิดใช้การจัดการอุปกรณ์ของ Windows
• ลงทะเบียนอุปกรณ์ในการจัดการอุปกรณ์ Windows

Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง