הגדרת BitLocker במכשירי Windows 10 או Windows 11

התכונה הזו נתמכת במהדורות הבאות: Frontline Starter,‏ Frontline Standard ו-Frontline Plus,‏ Business Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Enterprise Essentials ו-Enterprise Essentials Plus,‏ Cloud Identity Premium.  השוואה בין מהדורות

אדמינים יכולים לקבוע איך מכשירי Microsoft Windows 10 או 11 שרשומים לניהול מכשירי Windows יוצפנו. ההגדרות שתבחרו יחולו אם הצפנת הכונן באמצעות BitLocker מופעלת במכשיר. ההגדרות הנפוצות ביותר שצריך להגדיר הן:

• הצפנת כונן
• אימות נוסף בהפעלה
• אפשרויות שחזור לפני הפעלה
• הצפנת כוננים קבועים
• אפשרויות שחזור של כוננים קבועים
• הצפנת כוננים נשלפים

לפני שמתחילים

כדי שההגדרות האלה יחולו, צריך לרשום את המכשירים לניהול מכשירי Windows. מידע נוסף

הגדרה של הצפנת כונן באמצעות BitLocker

1. במסוף Google Admin, נכנסים לתפריט מכשירים ניידים ונקודות קצה הגדרות Windows. 

   מעבר ל-Windows

   כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.

2. לוחצים על הגדרות BitLocker.
3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
4. בקטע הצפנה ב-Drive, בוחרים באפשרות מופעלת מתוך רשימת הפריטים.
5. מגדירים את האפשרויות:

   הצפנת כונן

   • אפשרות הצפנה לכונני מערכת – בוחרים את שיטת ההצפנה ואת חוזק ההצפנה של המפתח לכוננים במערכת ההפעלה.
   • אימות נוסף בהפעלה – בוחרים אם BitLocker מחייב אימות נוסף בכל הפעלה של המחשב, ומציינים אם נעשה שימוש במודול פלטפורמה מהימנה (TPM). אחרי ההפעלה, אפשר להגדיר את האפשרויות הבאות:
     • מותר להשתמש ב-BitLocker ללא TPM תואם – מסמנים את התיבה כדי לדרוש סיסמה או כונן USB להפעלה.
     • הגדרת הפעלה באמצעות TPM וללא צורך בקוד אימות או מפתח – אתם יכולים לדרוש שימוש ב-TPM לאימות בהפעלה במקום קוד אימות או מפתח.
     • קוד אימות להפעלת TPM – אתם יכולים לדרוש הזנה של קוד אימות באורך 6 עד 20 ספרות לפני ההפעלה. אפשר גם להגדיר את האורך המינימלי של קוד האימות.
     • מפתח הפעלה של TPM – אתם יכולים לדרוש מהמשתמשים לאמת את עצמם באמצעות מפתח הפעלה של TPM כדי לגשת לכונן. מפתח הפעלה הוא מפתח USB עם הפרטים להצפנת הכונן. כאשר מחברים את מפתח ה-USB למכשיר, מתבצע אימות של הגישה לכונן ולאחר מכן אפשר יהיה לגשת אליו.
     • מפתח הפעלה וקוד אימות ל-TPM – אתם יכולים לדרוש שימוש גם במפתח הפעלה וגם בקוד אימות.
   • אפשרויות שחזור לפני הפעלה – אם האפשרות הזו מופעלת, אפשר להגדיר את הודעת השחזור או להתאים אישית את כתובת ה-URL שמופיעה במסך השחזור באמצעות מפתח קדם-הפעלה, כאשר כונן מערכת ההפעלה נעול.
   • אפשרויות שחזור של כונני מערכת – מפעילים את האפשרות הזו כדי להגדיר אפשרויות למשתמשים לשחזור נתונים מכוננים של מערכת הפעלה שמוגנים באמצעות BitLocker. אחרי ההפעלה, אפשר להגדיר את האפשרויות הבאות:
     • הפעלה של סוכן לשחזור נתונים – סוכנים לשחזור נתונים הם אנשים שמחזיקים באישורי PKI (תשתית של מפתחות ציבוריים) שמשמשים ליצירת כלי הגנה למפתחות BitLocker. אם מאפשרים זאת, אנשים אלה יכולים להשתמש בפרטי הכניסה ל-PKI כדי לבטל את הנעילה של כוננים שמוגנים באמצעות BitLocker.
     • יש לציין סיסמת שחזור באורך 48 ספרות – בוחרים אם משתמשים יכולים, נדרשים או לא יכולים ליצור סיסמת שחזור באורך 48 ספרות.
     • מפתח שחזור באורך 256 ביט – בוחרים אם משתמשים יכולים, נדרשים או לא יכולים ליצור מפתח שחזור באורך 256 ביט.
     • הסתרת אפשרויות השחזור מאשף ההגדרה של BitLocker – מסמנים את התיבה כדי למנוע מהמשתמשים לציין אפשרויות שחזור כשהם מפעילים את BitLocker.
     • שמירת פרטי השחזור של BitLocker בשירותי הדומיין של Active Directory – אם מסמנים את התיבה הזו, אפשר לבחור אילו פרטי שחזור של BitLocker לאחסן ב-Active Directory. אפשר לבחור באפשרות 'גיבוי של צמד הסיסמה והמפתח לשחזור' או באפשרות 'גיבוי רק של הסיסמה לשחזור'. אם מפעילים את ההגדרה, אפשר להגדיר את האפשרויות הבאות:
       • לפני הפעלת BitLocker, יש לאחסן את פרטי השחזור ב-Active Directory – מסמנים את התיבה כדי למנוע מהמשתמשים להפעיל את BitLocker לפני שהמחשב מחובר לדומיין ופרטי השחזור של BitLocker מגובים ל-Active Directory.

   הצפנת כוננים קבועים

   • הצפנת כוננים קבועים – אם מפעילים את ההגדרה הזו, הכוננים הקבועים צריכים להיות מוצפנים לפני שניתנת להם גישת כתיבה. אחרי ההפעלה, אפשר להגדיר את האפשרויות הבאות:
     • הצפנה של כוננים קבועים – בוחרים את שיטת ההצפנה ואת חוזק מצפין המפתחות לכוננים קבועים.
     • אפשרויות שחזור של כוננים קבועים – מפעילים את האפשרות הזו כדי להגדיר אפשרויות למשתמשים לשחזור נתונים מכוננים קבועים שמוגנים באמצעות BitLocker. אם מפעילים את ההגדרה, אפשר להגדיר את האפשרויות הבאות:
       • הפעלה של סוכן לשחזור נתונים – סוכנים לשחזור נתונים הם אנשים שמחזיקים באישורי PKI (תשתית של מפתחות ציבוריים) שמשמשים ליצירת כלי הגנה למפתחות BitLocker. אם מאפשרים זאת, אנשים אלה יכולים להשתמש בפרטי הכניסה ל-PKI כדי לבטל את הנעילה של כוננים שמוגנים באמצעות BitLocker.
       • סיסמת שחזור בת 48 ספרות – בוחרים אם משתמשים יכולים, נדרשים או לא יכולים ליצור סיסמת שחזור בת 48 ספרות.
       • מפתח שחזור באורך 256 ביט – בוחרים אם משתמשים יכולים, נדרשים או לא יכולים ליצור מפתח שחזור באורך 256 ביט.
       • הסתרת אפשרויות השחזור מאשף ההגדרה של BitLocker – מסמנים את התיבה כדי למנוע מהמשתמשים לציין אפשרויות שחזור כשהם מפעילים את BitLocker.
       • שמירת פרטי השחזור של BitLocker בשירותי הדומיין של Active Directory – אם מסמנים את התיבה הזו, אפשר לבחור אילו פרטי שחזור של BitLocker לאחסן ב-Active Directory. אפשר לבחור באפשרות 'גיבוי של צמד הסיסמה והמפתח לשחזור' או באפשרות 'גיבוי רק של הסיסמה לשחזור'. אחרי ההפעלה, אפשר להגדיר את האפשרויות הבאות:
         • לפני הפעלת BitLocker, יש לאחסן את פרטי השחזור ב-Active Directory – מסמנים את התיבה כדי למנוע מהמשתמשים להפעיל את BitLocker לפני שהמחשב מחובר לדומיין ופרטי השחזור של BitLocker מגובים ל-Active Directory.

   הצפנה של כוננים נשלפים

   • הצפנת כוננים נשלפים – מפעילים את ההגדרה כדי לדרוש שכל הכוננים הנשלפים יוצפנו לפני שתינתן להם גישת כתיבה. אחרי ההפעלה, אפשר להגדיר את האפשרויות הבאות:
     • הצפנה לכוננים נשלפים – בוחרים את אלגוריתם ההצפנה ואת חוזק מצפין המפתחות לכוננים נשלפים.
     • שלילה של גישת הכתיבה למכשירים שהוגדרו בארגון אחר – אם מסמנים את התיבה הזו, רק כוננים עם שדות זיהוי שתואמים את שדות הזיהוי שבמחשב יקבלו גישת כתיבה. השדות האלה מוגדרים על ידי המדיניות הקבוצתית של הארגון.
6. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

   אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

הגדרת הצפנת הכונן כ'לא הוגדרה'

אם בוחרים באפשרות לא הוגדר עבור הצפנה של Drive, מדיניות BitLocker שהגדרתם במסוף Admin לא נאכפת יותר. במכשירי המשתמשים, המדיניות חוזרת להגדרה שהייתה לה קודם. אם המשתמש הצפין את המכשיר, לא יבוצעו שינויים במכשיר או בנתונים שבו.

השבתה של הצפנת הכונן באמצעות BitLocker

1. במסוף Google Admin, נכנסים לתפריט מכשירים ניידים ונקודות קצה הגדרות Windows. 

   מעבר ל-Windows

   כדי לעשות את זה צריך הרשאת אדמין לשירותים ומכשירים.

2. לוחצים על הגדרות BitLocker.
3. אם רוצים להשבית פרופיל רק לחלק מהמשתמשים, בוחרים יחידה ארגונית מהרשימה בצד ימין. אחרת, הוא חל על כולם.
4. בקטע הצפנה ב-Drive, בוחרים באפשרות מושבת מתוך רשימת הפריטים.
5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

   אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

נושאים קשורים

• הפעלת ניהול מכשירי Windows
• רישום מכשיר לניהול מכשירי Windows

‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.