Настройка BitLocker на устройствах с Windows 10 или 11.

Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Enterprise Essentials и Enterprise Essentials Plus; Cloud Identity Premium. Сравните свою версию .

Как администратор, вы можете указать, как будут шифроваться устройства Microsoft Windows 10 или 11, зарегистрированные в системе управления устройствами Windows. Выбранные вами параметры вступают в силу, если на устройстве включено шифрование дисков BitLocker. Наиболее распространенные параметры для настройки:

  • Шифрование диска
  • Дополнительная аутентификация при запуске
  • Параметры восстановления перед загрузкой
  • Шифрование фиксированных дисков
  • Варианты восстановления данных с жестких дисков
  • Шифрование съемных дисков

Прежде чем начать

Для применения этих настроек устройства должны быть зарегистрированы в системе управления устройствами Windows. Подробнее.

Настройка шифрования диска BitLocker

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Windows .

    Для этого требуются права администратора служб и устройств .

  2. Нажмите «Настройки BitLocker» .
  3. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  4. В разделе «Шифрование диска» выберите «Включено» из списка элементов.
  5. Настройте параметры:

    Шифрование диска

    • Параметр шифрования для системных дисков — выберите метод шифрования и уровень детализации ключа для системных дисков.
    • Дополнительная аутентификация при запуске — выберите, требует ли BitLocker дополнительную аутентификацию при каждом запуске компьютера, и укажите, используете ли вы модуль доверенной платформы (TPM). При включении этой опции можно установить следующие параметры:
      • Разрешить BitLocker без совместимого TPM — установите флажок, чтобы требовать либо пароль, либо USB-накопитель для запуска.
      • Настройка запуска TPM без PIN-кода или ключа — Вы можете использовать TPM в качестве средства аутентификации при запуске вместо PIN-кода или ключа.
      • Запуск TPM с помощью PIN-кода — перед запуском может потребоваться ввод от 6 до 20 цифр PIN-кода. Также можно настроить минимальную длину PIN-кода.
      • Загрузочный ключ TPM — Вы можете потребовать от пользователей аутентификации с помощью загрузочного ключа TPM для доступа к диску. Загрузочный ключ — это USB-ключ, содержащий информацию для шифрования диска. Когда этот USB-ключ вставляется в устройство, доступ к диску подтверждается, и диск становится доступным.
      • Ключ запуска и PIN-код TPM — может потребоваться как ключ запуска, так и PIN-код.
    • Параметры восстановления перед загрузкой — включите эту опцию, чтобы установить сообщение восстановления или настроить URL-адрес, отображаемый на экране восстановления ключа перед загрузкой, когда системный диск заблокирован.
    • Параметры восстановления системных дисков — включите эту опцию, чтобы задать параметры восстановления данных с системных дисков, защищенных BitLocker. При включении можно установить следующие параметры:
      • Разрешить доступ агентам восстановления данных — агентами восстановления данных являются лица, чьи сертификаты инфраструктуры открытых ключей (PKI) используются для создания защитного ключа BitLocker. При наличии разрешения эти лица могут использовать свои учетные данные PKI для разблокировки дисков, защищенных BitLocker.
      • Укажите 48-значный пароль восстановления — выберите, разрешено ли пользователям, требуется ли им или нет генерировать 48-значный пароль восстановления.
      • 256-битный ключ восстановления — выберите, разрешено ли пользователям, требуется ли им или нет генерировать 256-битный ключ восстановления.
      • Скрыть параметры восстановления из мастера настройки BitLocker — установите флажок, чтобы запретить пользователям указывать параметры восстановления при включении BitLocker.
      • Сохранять информацию для восстановления BitLocker в службах домена Active Directory — если этот параметр установлен, вы можете выбрать, какую информацию для восстановления BitLocker следует сохранять в Active Directory. Вы можете выбрать либо резервный пакет паролей и ключей для восстановления, либо только резервный пароль для восстановления. Если этот параметр включен, вы можете установить следующее:
        • Не включайте BitLocker, пока информация для восстановления не будет сохранена в Active Directory — установите этот флажок, чтобы запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование информации для восстановления BitLocker в Active Directory не будет выполнено успешно.

    Шифрование фиксированных дисков

    • Шифрование жестких дисков — включите эту опцию, чтобы требовать шифрования жестких дисков перед предоставлением доступа на запись. При включении можно установить следующие параметры:
      • Шифрование для стационарных накопителей — выберите метод шифрования и уровень криптографической стойкости для стационарных накопителей.
      • Параметры восстановления данных с жестких дисков — включите эту опцию, чтобы задать параметры восстановления данных с жестких дисков, защищенных BitLocker. При включении можно установить следующие параметры:
        • Разрешить доступ агентам восстановления данных — агентами восстановления данных являются лица, чьи сертификаты инфраструктуры открытых ключей (PKI) используются для создания защитного ключа BitLocker. При наличии разрешения эти лица могут использовать свои учетные данные PKI для разблокировки дисков, защищенных BitLocker.
        • 48-значный пароль восстановления — выберите, разрешено ли пользователям, требуется ли им или нет генерировать 48-значный пароль восстановления.
        • 256-битный ключ восстановления — выберите, разрешено ли пользователям, требуется ли им или нет генерировать 256-битный ключ восстановления.
        • Скрыть параметры восстановления из мастера настройки BitLocker — установите флажок, чтобы запретить пользователям указывать параметры восстановления при включении BitLocker.
        • Сохранять информацию для восстановления BitLocker в службах домена Active Directory — если этот параметр установлен, вы можете выбрать, какую информацию для восстановления BitLocker следует сохранять в Active Directory. Вы можете выбрать либо резервный пакет паролей и ключей для восстановления, либо только резервный пароль для восстановления. Если этот параметр включен, вы можете установить следующее:
          • Не включайте BitLocker, пока информация для восстановления не будет сохранена в Active Directory — установите этот флажок, чтобы запретить пользователям включать BitLocker, если компьютер не подключен к домену и резервное копирование информации для восстановления BitLocker в Active Directory не будет выполнено успешно.

    Шифрование съемного диска

    • Шифрование съемных дисков — включите эту опцию, чтобы требовать шифрования всех съемных дисков перед предоставлением доступа на запись. При включении можно установить следующие параметры:
      • Шифрование съемных накопителей — выберите алгоритм шифрования и уровень детализации ключа для съемных накопителей.
      • Запретить запись устройств, настроенных в другой организации . — Если этот флажок установлен, доступ на запись предоставляется только дискам, поля идентификации которых совпадают с полями идентификации компьютера. Эти поля определяются групповой политикой вашей организации.
  6. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Установите параметр «Шифрование диска» в значение «Не настроено».

Если вы выберете «Не настроено для шифрования диска» , политика BitLocker, установленная вами в консоли администратора, больше не будет применяться. На устройствах пользователей политика вернется к исходным настройкам. Если пользователь зашифровал устройство, никаких изменений ни в само устройство, ни в данные на нем не будет внесено.

Отключить шифрование диска BitLocker

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Мобильные устройства и конечные точки а потом Настройки а потом Windows .

    Для этого требуются права администратора служб и устройств .

  2. Нажмите «Настройки BitLocker» .
  3. Если вы хотите отключить профиль только для некоторых пользователей, выберите организационное подразделение из списка слева. В противном случае, это применится ко всем пользователям.
  4. В разделе «Шифрование диска» выберите «Отключено» из списка элементов.
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.