在 Windows 10 或 11 设备上配置 BitLocker

支持此功能的版本：一线员工入门版、一线员工标准版和一线员工 Plus 版；商务 Plus 版；企业标准版和企业 Plus 版；教育标准版、教育 Plus 版和端点教育升级版；企业基本功能版和企业基本功能 Plus 版；Cloud Identity 专业版。  版本对比

作为管理员，您可以指定已注册 Windows 设备管理服务的 Microsoft Windows 10 或 11 设备的加密方式。如果您选择的设置在设备上生效，则设备必须已启用 BitLocker 驱动器加密。最常配置的设置如下：

• 驱动器加密
• 启动时进行额外身份验证
• 预启动恢复选项
• 固定驱动器加密
• 固定驱动器恢复选项
• 可移动驱动器加密

准备工作

设备必须已注册 Windows 设备管理服务，才能应用这些设置。了解详情

配置 BitLocker 云端硬盘加密

1. 在 Google 管理控制台中，依次点击“菜单”图标 设备 移动设备和端点 设置 Windows。

   前往“Windows”页面

   需要拥有服务和设备管理员权限。

2. 点击 BitLocker 设置。
3. （可选）如要将设置应用于某个部门或团队，请在侧边选择一个组织部门。
4. 从驱动器加密下的选项列表中选择已启用。
5. 配置选项：

   驱动器加密

   • 系统盘加密选项 - 选择操作系统盘的加密方式和密钥强度。
   • 启动时进行额外身份验证 - 选择 BitLocker 是否要求在每次计算机启动时进行额外的身份验证，并指定您使用的是否为可信平台模块 (TPM)。启用后，您可以进行以下设置：
     • 允许使用无兼容 TPM 的 BitLocker - 勾选此复选框可要求启动时必须提供密码或 U 盘。
     • 配置无需 PIN 码或密钥的 TPM 启动模式 - 您可以要求启动时使用 TPM 进行身份验证，无需提供 PIN 码或密钥。
     • TPM 启动 PIN 码 - 您可以要求在启动前输入 6 位至 20 位的 PIN 码。您还可以配置 PIN 码长度下限。
     • TPM 启动密钥 - 您可以要求用户使用 TPM 启动密钥进行身份验证，以此访问驱动器。启动密钥是一种 USB 密钥，内含用于加密驱动器的信息。将此 USB 密钥插入设备时，对驱动器的访问请求就通过了身份验证，驱动器即可供访问。
     • TPM 启动密钥和 PIN 码 - 您可以要求同时使用启动密钥和 PIN 码。
   • 预启动恢复选项 - 您可以设置恢复消息或自定义当操作系统盘锁定时显示在预启动密钥恢复屏幕上的网址。
   • 系统盘恢复选项 - 您可以设置相关选项，以便控制用户如何从由 BitLocker 保护的操作系统盘恢复数据。启用后，您可以进行以下设置：
     • 允许数据恢复客服人员 - 数据恢复客服人员的公钥基础架构 (PKI) 证书已用于创建 BitLocker 密钥保护器。设置允许后，这类人员就可以使用他们的 PKI 凭据解锁受 BitLocker 保护的驱动器。
     • 指定 48 位恢复密码 - 选择是允许、强制要求还是禁止用户生成 48 位恢复密码。
     • 256 位恢复密钥 - 选择是允许、强制要求还是禁止用户生成 256 位恢复密钥。
     • 隐藏 BitLocker 设置向导中的恢复选项 - 勾选此复选框后，用户在启用 BitLocker 时就无法指定恢复选项。
     • 将 BitLocker 恢复信息保存至 Active Directory Domain Services - 勾选此选项后，您可以选择要将哪些 BitLocker 恢复信息存储在 Active Directory 中。您可以选择“备份恢复密码和密钥对”，也可以选择“仅备份恢复密码”。启用后，您可以进行以下设置：
       • 将恢复信息存储至 Active Directory 之前，不启用 BitLocker - 勾选此复选框可禁止用户启用 BitLocker，除非计算机已连接到网域，且 BitLocker 恢复信息成功备份到 Active Directory 中。

   固定驱动器加密

   • 固定驱动器加密 - 您可以要求固定驱动器必须加密，才能允许对它们进行写入访问。启用后，您可以进行以下设置：
     • 固定驱动器加密 - 选择固定驱动器的加密方式和密钥强度。
     • 固定驱动器恢复选项 - 您可以设置相关选项，以便控制用户如何从由 BitLocker 保护的固定驱动器恢复数据。启用后，您可以进行以下设置：
       • 允许数据恢复客服人员 - 数据恢复客服人员的公钥基础架构 (PKI) 证书已用于创建 BitLocker 密钥保护器。设置允许后，这类人员就可以使用他们的 PKI 凭据解锁受 BitLocker 保护的驱动器。
       • 48 位恢复密码 - 选择是允许、强制要求还是禁止用户生成 48 位恢复密码。
       • 256 位恢复密钥 - 选择是允许、强制要求还是禁止用户生成 256 位恢复密钥。
       • 隐藏 BitLocker 设置向导中的恢复选项 - 勾选此复选框后，用户在启用 BitLocker 时就无法指定恢复选项。
       • 将 BitLocker 恢复信息保存至 Active Directory Domain Services - 勾选此选项后，您可以选择要将哪些 BitLocker 恢复信息存储在 Active Directory 中。您可以选择“备份恢复密码和密钥对”，也可以选择“仅备份恢复密码”。启用后，您可以进行以下设置：
         • 将恢复信息存储至 Active Directory 之前，不启用 BitLocker - 勾选此复选框可禁止用户启用 BitLocker，除非计算机已连接到网域，且 BitLocker 恢复信息成功备份到 Active Directory 中。

   可移动驱动器加密

   • 可移动驱动器加密 - 您可以要求所有可移动驱动器必须加密，才能允许对它们进行写入访问。启用后，您可以进行以下设置：
     • 可移动驱动器加密选项 - 选择可移动驱动器的加密算法和密钥强度。
     • 拒绝对在其他组织中配置的硬盘进行写入访问 - 勾选此选项后，仅当硬盘的标识字段与计算机的标识字段匹配时，才可以对硬盘进行写入访问。这些字段由贵组织的群组政策定义。
6. 点击保存。或者，您也可以针对组织部门点击覆盖。

   如果之后要恢复继承的值，请点击继承。

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情

将云端硬盘加密设置为“未配置”

如果您在驱动器加密部分选择未配置，那么系统将不再强制执行您在管理控制台中设置的 BitLocker 政策。在用户的设备上，政策会还原成之前的设置。如果用户之前已加密设备，则其设备或设备上的数据不会发生任何更改。

停用 BitLocker 云端硬盘加密

1. 在 Google 管理控制台中，依次点击“菜单”图标 设备 移动设备和端点 设置 Windows。

   前往“Windows”页面

   需要拥有服务和设备管理员权限。

2. 点击 BitLocker 设置。
3. 如果您只想为部分用户停用配置文件，请从左侧列表中选择单位部门。否则，设置会应用于所有用户。
4. 从驱动器加密下的选项列表中选择已停用。
5. 点击保存。或者，您也可以针对组织部门点击覆盖。

   如果之后要恢复继承的值，请点击继承。

相关主题

• 启用 Windows 设备管理
• 为设备注册 Windows 设备管理服务

Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。