پیکربندی BitLocker در دستگاه‌های ویندوز ۱۰ یا ۱۱

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Starter، Frontline Standard و Frontline Plus؛ Business Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard، Education Plus و Endpoint Education Upgrade؛ Enterprise Essentials و Enterprise Essentials Plus؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

به عنوان مدیر سیستم، می‌توانید نحوه رمزگذاری دستگاه‌های مایکروسافت ویندوز ۱۰ یا ۱۱ که در مدیریت دستگاه ویندوز ثبت شده‌اند را مشخص کنید. تنظیماتی که انتخاب می‌کنید در صورتی اعمال می‌شوند که رمزگذاری درایو BitLocker در دستگاه فعال باشد. رایج‌ترین تنظیماتی که باید پیکربندی شوند عبارتند از:

• رمزگذاری درایو
• احراز هویت اضافی برای شروع
• گزینه‌های بازیابی پیش از بوت
• رمزگذاری ثابت درایوها
• گزینه‌های بازیابی درایوهای ثابت
• رمزگذاری درایوهای قابل جابجایی

قبل از اینکه شروع کنی

برای اعمال این تنظیمات، دستگاه‌ها باید در مدیریت دستگاه ویندوز ثبت شده باشند. اطلاعات بیشتر

رمزگذاری درایو BitLocker را پیکربندی کنید

1. در کنسول مدیریت گوگل، به منو بروید دستگاه‌ها موبایل و نقاط پایانی تنظیمات ویندوز

   به ویندوز بروید

   نیاز به داشتن امتیاز مدیر سرویس‌ها و دستگاه‌ها دارد.

2. روی تنظیمات BitLocker کلیک کنید.
3. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
4. در قسمت رمزگذاری درایو ، از لیست موارد، گزینه فعال (Enabled) را انتخاب کنید.
5. گزینه‌ها را پیکربندی کنید:

   رمزگذاری درایو

   • گزینه رمزگذاری برای درایوهای سیستم - روش رمزگذاری و قدرت رمز کلید را برای درایوهای سیستم عامل انتخاب کنید.
   • احراز هویت اضافی هنگام راه‌اندازی - انتخاب کنید که آیا BitLocker هر بار که کامپیوتر روشن می‌شود نیاز به احراز هویت اضافی داشته باشد یا خیر و مشخص کنید که آیا از ماژول پلتفرم قابل اعتماد (TPM) استفاده می‌کنید یا خیر. وقتی فعال باشد، می‌توانید موارد زیر را تنظیم کنید:
     • اجازه دادن به BitLocker بدون TPM سازگار - کادر را علامت بزنید تا نیاز به رمز عبور یا درایو USB برای راه اندازی لازم باشد.
     • پیکربندی راه‌اندازی TPM بدون پین یا کلید - می‌توانید به جای پین یا کلید، از TPM به عنوان احراز هویت راه‌اندازی استفاده کنید.
     • پین راه‌اندازی TPM – می‌توانید قبل از راه‌اندازی، یک پین ۶ رقمی تا ۲۰ رقمی را وارد کنید. همچنین می‌توانید حداقل طول پین را پیکربندی کنید.
     • کلید راه‌اندازی TPM – شما می‌توانید از کاربران بخواهید برای دسترسی به یک درایو، با کلید راه‌اندازی TPM احراز هویت کنند. کلید راه‌اندازی، یک کلید USB است که حاوی اطلاعات لازم برای رمزگذاری درایو است. وقتی این کلید USB وارد دستگاه می‌شود، دسترسی به درایو احراز هویت شده و درایو قابل دسترسی می‌شود.
     • کلید راه‌اندازی TPM و پین - می‌توانید هم کلید راه‌اندازی و هم پین را درخواست کنید.
   • گزینه‌های بازیابی پیش از بوت - برای تنظیم پیام بازیابی یا سفارشی‌سازی URL ارائه شده در صفحه بازیابی کلید پیش از بوت، زمانی که درایو سیستم عامل قفل است، فعال کنید.
   • گزینه‌های بازیابی درایوهای سیستم - برای تنظیم گزینه‌هایی برای کاربران جهت بازیابی داده‌ها از درایوهای سیستم عامل محافظت‌شده توسط BitLocker، این گزینه را فعال کنید. وقتی فعال باشد، می‌توانید موارد زیر را تنظیم کنید:
     • اجازه به عامل بازیابی اطلاعات – عامل‌های بازیابی اطلاعات افرادی هستند که گواهی‌های زیرساخت کلید عمومی (PKI) آنها برای ایجاد محافظ کلید BitLocker استفاده می‌شود. در صورت مجاز بودن، این افراد می‌توانند از اعتبارنامه‌های PKI خود برای باز کردن قفل درایوهای محافظت شده توسط BitLocker استفاده کنند.
     • رمز عبور بازیابی ۴۸ رقمی را مشخص کنید - انتخاب کنید که آیا کاربران مجاز به ایجاد رمز عبور بازیابی ۴۸ رقمی هستند، یا لازم است این کار را انجام دهند یا خیر.
     • کلید بازیابی ۲۵۶ بیتی – انتخاب کنید که آیا کاربران مجاز، ملزم یا مجاز به تولید کلید بازیابی ۲۵۶ بیتی هستند.
     • گزینه‌های بازیابی را از جادوگر راه‌اندازی BitLocker پنهان کنید - کادر را علامت بزنید تا کاربران هنگام فعال کردن BitLocker نتوانند گزینه‌های بازیابی را مشخص کنند.
     • ذخیره اطلاعات بازیابی BitLocker در سرویس‌های دامنه Active Directory - وقتی علامت زده شود، می‌توانید انتخاب کنید که کدام اطلاعات بازیابی BitLocker در Active Directory ذخیره شود. می‌توانید رمز عبور بازیابی پشتیبان و بسته کلید یا فقط رمز عبور بازیابی پشتیبان را انتخاب کنید. وقتی فعال شود، می‌توانید موارد زیر را تنظیم کنید:
       • BitLocker را تا زمانی که اطلاعات بازیابی در Active Directory ذخیره نشده است، فعال نکنید - کادر را علامت بزنید تا از فعال کردن BitLocker توسط کاربران جلوگیری شود، مگر اینکه کامپیوتر به دامنه متصل باشد و پشتیبان‌گیری از اطلاعات بازیابی BitLocker در Active Directory با موفقیت انجام شود.

   رمزگذاری ثابت درایوها

   • رمزگذاری درایوهای ثابت - فعال کردن این گزینه به شما امکان می‌دهد درایوهای ثابت را قبل از اعطای دسترسی نوشتن رمزگذاری کنید. وقتی این گزینه فعال باشد، می‌توانید موارد زیر را تنظیم کنید:
     • رمزگذاری برای درایوهای ثابت - روش رمزگذاری و قدرت رمز کلید را برای درایوهای ثابت انتخاب کنید.
     • گزینه‌های بازیابی درایوهای ثابت - برای تنظیم گزینه‌هایی برای کاربران جهت بازیابی داده‌ها از درایوهای ثابت محافظت‌شده توسط BitLocker، این گزینه را فعال کنید. وقتی فعال باشد، می‌توانید موارد زیر را تنظیم کنید:
       • اجازه به عامل بازیابی اطلاعات – عامل‌های بازیابی اطلاعات افرادی هستند که گواهی‌های زیرساخت کلید عمومی (PKI) آنها برای ایجاد محافظ کلید BitLocker استفاده می‌شود. در صورت مجاز بودن، این افراد می‌توانند از اعتبارنامه‌های PKI خود برای باز کردن قفل درایوهای محافظت شده توسط BitLocker استفاده کنند.
       • رمز عبور بازیابی ۴۸ رقمی - انتخاب کنید که آیا کاربران مجاز به ایجاد رمز عبور بازیابی ۴۸ رقمی هستند، یا تولید آن الزامی است یا خیر.
       • کلید بازیابی ۲۵۶ بیتی – انتخاب کنید که آیا کاربران مجاز، ملزم یا مجاز به تولید کلید بازیابی ۲۵۶ بیتی هستند.
       • گزینه‌های بازیابی را از جادوگر راه‌اندازی BitLocker پنهان کنید - کادر را علامت بزنید تا کاربران هنگام فعال کردن BitLocker نتوانند گزینه‌های بازیابی را مشخص کنند.
       • ذخیره اطلاعات بازیابی BitLocker در سرویس‌های دامنه Active Directory - وقتی علامت زده شود، می‌توانید انتخاب کنید که کدام اطلاعات بازیابی BitLocker در Active Directory ذخیره شود. می‌توانید رمز عبور بازیابی پشتیبان و بسته کلید یا فقط رمز عبور بازیابی پشتیبان را انتخاب کنید. وقتی فعال شود، می‌توانید موارد زیر را تنظیم کنید:
         • BitLocker را تا زمانی که اطلاعات بازیابی در Active Directory ذخیره نشده است، فعال نکنید - کادر را علامت بزنید تا از فعال کردن BitLocker توسط کاربران جلوگیری شود، مگر اینکه کامپیوتر به دامنه متصل باشد و پشتیبان‌گیری از اطلاعات بازیابی BitLocker در Active Directory با موفقیت انجام شود.

   رمزگذاری درایو قابل جابجایی

   • رمزگذاری درایوهای قابل جابجایی - فعال کردن این گزینه به شما امکان می‌دهد قبل از دسترسی نوشتن، تمام درایوهای قابل جابجایی رمزگذاری شوند. وقتی فعال باشد، می‌توانید موارد زیر را تنظیم کنید:
     • رمزگذاری برای درایوهای قابل جابجایی - الگوریتم رمزگذاری و قدرت رمز کلید را برای درایوهای قابل جابجایی انتخاب کنید.
     • عدم دسترسی نوشتن به دستگاه‌های پیکربندی‌شده در سازمان دیگر - در صورت انتخاب، فقط درایوهایی که فیلدهای شناسایی آنها با فیلدهای شناسایی رایانه مطابقت دارد، دسترسی نوشتن دریافت می‌کنند. این فیلدها توسط سیاست گروهی سازمان شما تعریف می‌شوند.
6. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

   برای بازیابی مقدار ارث‌بری شده در آینده، روی «به ارث بردن» کلیک کنید.

تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر

رمزگذاری درایو را روی «پیکربندی نشده» تنظیم کنید

اگر گزینه‌ی «برای رمزگذاری درایو پیکربندی نشده است » را انتخاب کنید، سیاست BitLocker که در کنسول مدیریت تنظیم کرده‌اید دیگر اجرا نمی‌شود. در دستگاه‌های کاربر، این سیاست به تنظیمات قبلی خود برمی‌گردد. اگر کاربر دستگاه را رمزگذاری کرده باشد، هیچ تغییری در دستگاه یا داده‌های روی دستگاه ایجاد نمی‌شود.

غیرفعال کردن رمزگذاری درایو BitLocker

1. در کنسول مدیریت گوگل، به منو بروید دستگاه‌ها موبایل و نقاط پایانی تنظیمات ویندوز

   به ویندوز بروید

   نیاز به داشتن امتیاز مدیر سرویس‌ها و دستگاه‌ها دارد.

2. روی تنظیمات BitLocker کلیک کنید.
3. اگر می‌خواهید یک پروفایل را فقط برای برخی از کاربران غیرفعال کنید، یک واحد سازمانی را از لیست سمت چپ انتخاب کنید. در غیر این صورت، این گزینه برای همه اعمال می‌شود.
4. در قسمت رمزگذاری درایو ، از لیست موارد، گزینه غیرفعال (Disabled) را انتخاب کنید.
5. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

   برای بازیابی مقدار ارث‌بری شده در آینده، روی «به ارث بردن» کلیک کنید.

مباحث مرتبط

• مدیریت دستگاه ویندوز را فعال کنید
• ثبت دستگاه در مدیریت دستگاه ویندوز

گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.