Device Encryption 策略
Device Encryption 使您能夠在 Windows 電腦上管理 BitLocker 磁碟機加密以及管理 Macs 上的 FileVault。對硬碟進行加密後,即使裝置丟失或被被盜,也可以保持資料安全。
注意
如果某個選項被鎖定,則您的合作夥伴或企業管理員已套用全域設定。
移至 我的產品 > Encryption > 原則 以管理裝置加密。
您可以按照下列步驟設定加密:
- 使用標準 Windows 代理安裝程式(如果您具有所需的授權)時,Device Encryption 代理會在 Windows 電腦上自動安裝。您必須在 Mac 上手動安裝設備加密代理程式。
-
按如下所述建立 Device Encryption 原則並將原則套用於使用者。
當這些使用者登入時,電腦會加密。
注意
FileVault 加密以使用者為基礎;每個端點的各個使用者必須開啟加密。
如需瞭解電腦如何加密的詳細資訊,請參閱 Device Encryption 管理員指南。
限制
您可以將裝置加密套用到開機磁碟區和固定資料磁碟區,但不能套用到卸除式媒體。
如欲設定原則,請依照以下動作執行:
- 單擊 添加策略 以創建設備加密策略。請參閱建立或編輯策略。
- 開啟策略的 設定 標籤,按照如下所述對其進行設定。確保原則已開啟。
設定
-
Device Encryption已開啟:套用該策略的使用者登入後,電腦將立刻被加密。
即使不包含在策略中的不同使用者登入,Windows 端點也將保持加密。
警告
您必須對特定 macOS 端點的所有使用者應用加密策略,以確保其完全受到保護。
-
僅加密開機磁區:此選項可讓您僅加密開機磁區。資料磁區會被忽略。
進階 Windows 設定
-
需要啟動認證:此選項預設為開啟。透過 TPM+PIN、複雜密碼或 USB 金鑰強制執行驗證。如果關閉此項,則僅限 TPM 的登入防護將安裝在支援的電腦。如需瞭解有關驗證方法的更多資訊,請參閱 Device Encryption 管理員指南。
-
需要使用者提供新的驗證密碼/ PIN:此選項預設為關閉。在指定時間後強制變更 BitLocker 密碼或 PIN。使用者變更其密碼或 PIN 後,會記錄此事件。
如果使用者關閉對話方塊而沒有輸入新密碼或 PIN,則電腦每次重新啟動後該對話方塊都會再次出現。使用者關閉對話方塊五次且未變更密碼或 PIN 之後,我們會記錄警示。
限制
在端點上,該功能僅可用於 Central Device Encryption 2.0 或更新版本。
-
僅加密已用空間:此選項預設為關閉。允許您僅加密已用空間,而非加密整個磁碟機。您可以使用其來快速地進行初始加密(當策略首次套用於電腦時)。
警告
如果僅加密已用空間,則電腦上的已刪除資料可能未加密,因此您僅應該在新安裝的電腦上執行此操作。
注意
此選項不會影響 Windows 7 端點。
用於安全共用的密碼保護檔案(僅限 Windows)
限制
在端點上,該功能僅可用於 Central Device Encryption 2.0 或更新版本。
您最多可以保護 50MB 的文件。
-
啟用按右鍵內容功能表:若您開啟此選項,建立受密碼保護的檔案選項就會新增至檔案的右鍵功能表。使用者傳送敏感資料給貴企業網路以外的收件人時,可在電子郵件中附加受密碼保護的檔案。檔案會包含在內容加密的新 HTML 檔案中。
收件人雙擊檔案並輸入密碼後,即可開啟檔案。他們可以將收到的檔案寄回,亦可用相同密碼或新密碼保護檔案,或者建立新的受密碼保護檔案。
-
啟用 Outlook 載入項:此選項會將電子郵件加密附件新增至 Outlook。使用者可在 Outlook 功能區選擇保護附件,對附件進行保護。所有未受保護的附件,會包含在內容加密的新 HTML 附件中,並寄出電子郵件。
-
始終詢問如何處理附加檔案:若您開啟此選項,使用者必須選擇在訊息中含有附件時,應如何傳送附件。可選擇以受密碼保護或未受保護兩種方式傳送。
您可以輸入始終詢問如何處理附加檔案選項不適用的排除網域。例如,您組織的網域。若收件人屬於該網域,就不會詢問寄件人希望如何處理附件。
僅限輸入完整的網域名稱,並以英文逗號分隔。