กำหนดค่า BitLocker ในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถระบุวิธีเข้ารหัสสำหรับอุปกรณ์ Microsoft Windows 10 หรือ 11 ที่ลงทะเบียนในการจัดการอุปกรณ์ Windows ได้ ซึ่งการตั้งค่าที่คุณเลือกจะมีผลหากอุปกรณ์เปิดใช้การเข้ารหัสไดรฟ์ BitLocker การตั้งค่าทั่วไปที่กำหนดค่าได้มีดังนี้

• การเข้ารหัสไดรฟ์
• การตรวจสอบสิทธิ์เพื่อเริ่มต้นใช้งานเพิ่มเติม
• ตัวเลือกการกู้คืนก่อนเปิดเครื่อง
• การเข้ารหัสไดรฟ์แบบคงที่
• ตัวเลือกการกู้คืนไดรฟ์แบบคงที่
• การเข้ารหัสไดรฟ์แบบถอดออกได้

ก่อนเริ่มต้น

อุปกรณ์ต้องได้รับการลงทะเบียนในการจัดการอุปกรณ์ Windows เพื่อให้การตั้งค่าเหล่านี้มีผล ดูข้อมูลเพิ่มเติม

กำหนดค่าการเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ มือถือและอุปกรณ์ปลายทาง การตั้งค่า Windows 

   ไปที่ Windows

   คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกเปิดใช้จากรายการ
5. กำหนดค่าตัวเลือก

   การเข้ารหัสไดรฟ์

   • ตัวเลือกการเข้ารหัสสำหรับไดรฟ์ของระบบ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์ระบบปฏิบัติการ
   • การตรวจสอบสิทธิ์การเริ่มต้นใช้งานเพิ่มเติม - เลือกว่า BitLocker ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมทุกครั้งที่คอมพิวเตอร์เริ่มทำงานและคุณกำลังใช้ Trusted Platform Module (TPM) อยู่หรือไม่ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตให้ใช้ BitLocker โดยไม่ต้องมี TPM ที่เข้ากันได้ - เลือกช่องเพื่อกำหนดให้ต้องมีรหัสผ่านหรือไดรฟ์ USB สำหรับการเริ่มต้นใช้งาน
     • กำหนดค่าการเริ่มต้นใช้งาน TPM โดยไม่ต้องมี PIN หรือคีย์ - คุณสามารถเลือกที่จะใช้ TPM เป็นการตรวจสอบสิทธิ์การเริ่มต้นใช้งานแทนที่จะใช้ PIN หรือคีย์
     • PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถเลือกที่จะใช้ PIN 6 หลักถึง 20 หลักที่จะต้องป้อนก่อนการเริ่มต้นใช้งาน นอกจากนี้ คุณยังกำหนดค่าความยาวขั้นต่ำของ PIN ได้อีกด้วย
     • คีย์สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ผู้ใช้ทำการตรวจสอบสิทธิ์โดยใช้คีย์สำหรับการเริ่มต้นใช้งาน TPM เพื่อเข้าถึงไดรฟ์ คีย์สำหรับการเริ่มต้นใช้งานคือคีย์ USB ที่มีข้อมูลสำหรับการเข้ารหัสไดรฟ์ เมื่อใส่คีย์ USB นี้เข้าไปในอุปกรณ์ ระบบจะตรวจสอบสิทธิ์เข้าถึงไดรฟ์และคุณจะเข้าถึงไดรฟ์ได้
     • คีย์และ PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ใช้ทั้งคีย์และ PIN สำหรับการเริ่มต้นใช้งาน
   • ตัวเลือกการกู้คืนก่อนเปิดเครื่อง - เปิดใช้งานเพื่อตั้งค่าข้อความการกู้คืนหรือกำหนด URL ที่แสดงอยู่ในหน้าจอการกู้คืนคีย์ก่อนเปิดเครื่องเมื่อไดรฟ์ระบบปฏิบัติการถูกล็อก
   • ตัวเลือกการกู้คืนไดรฟ์ของระบบ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์ของระบบปฏิบัติการที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
     • ระบุรหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
     • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
     • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
     • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบคงที่

   • การเข้ารหัสไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดให้เข้ารหัสไดรฟ์แบบคงที่ก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบคงที่ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบคงที่
     • ตัวเลือกการกู้คืนไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์แบบคงที่ที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
       • อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
       • รหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
       • คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
       • ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
       • บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
         • ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ

   การเข้ารหัสไดรฟ์แบบถอดออกได้

   • การเข้ารหัสไดรฟ์แบบถอดได้ - เปิดใช้งานเพื่อกำหนดให้ไดรฟ์แบบถอดได้ทั้งหมดเข้ารหัสก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
     • การเข้ารหัสสำหรับไดรฟ์แบบถอดได้ - เลือกอัลกอริทึมการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบถอดได้
     • ปฏิเสธสิทธิ์การเขียนในอุปกรณ์ที่กำหนดค่าในองค์กรอื่น - เมื่อเลือกตัวเลือกนี้ ระบบจะให้สิทธิ์การเขียนเฉพาะไดรฟ์ที่มีฟิลด์ระบุตรงกันกับคอมพิวเตอร์เท่านั้น ช่องเหล่านี้จะกำหนดโดยนโยบายกลุ่มขององค์กร
6. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

ตั้งค่าการเข้ารหัสไดรฟ์เป็น "ไม่ได้กำหนดค่า"

หากคุณเลือกไม่ได้กำหนดค่าสำหรับการเข้ารหัสไดรฟ์ นโยบาย BitLocker ที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบจะไม่มีผลอีกต่อไป ในอุปกรณ์ของผู้ใช้ นโยบายจะเปลี่ยนกลับไปเป็นการตั้งค่าเดิมก่อนหน้านี้ หากผู้ใช้เข้ารหัสอุปกรณ์ไว้ ระบบจะไม่ดำเนินการใดๆ กับอุปกรณ์หรือข้อมูลในอุปกรณ์

ปิดใช้การเข้ารหัสไดรฟ์ BitLocker

1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู อุปกรณ์ มือถือและอุปกรณ์ปลายทาง การตั้งค่า Windows 

   ไปที่ Windows

   คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

2. คลิกการตั้งค่า BitLocker
3. หากต้องการปิดใช้โปรไฟล์สำหรับผู้ใช้บางราย ให้เลือกหน่วยขององค์กรจากรายการทางด้านซ้าย มิฉะนั้นระบบจะเปิดให้ผู้ใช้ทุกคน
4. ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกปิดใช้จากรายการ
5. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

   หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

หัวข้อที่เกี่ยวข้อง

• เปิดใช้การจัดการอุปกรณ์ของ Windows
• ลงทะเบียนอุปกรณ์ในการจัดการอุปกรณ์ Windows

Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง