跳至內容

加密:裝置加密

Device Encryption 使您能夠在 Windows 電腦上管理 BitLocker 磁碟機加密以及管理 Macs 上的 FileVault。對硬碟進行加密後,即使裝置丟失或被被盜,也可以保持資料安全。

您可以按照下列步驟設定加密:

  1. 使用標準 Windows 代理安裝程式(如果您具有所需的授權)時,Device Encryption 代理會在 Windows 電腦上自動安裝。您必須在 Mac 上手動安裝設備加密代理程式。
  2. 編輯 Device Encryption 基本原則,然後按下述將原則套用到使用者。
  3. 當這些使用者登入時,電腦會加密。

    注意

    FileVault 加密以使用者為基礎;每個端點的各個使用者必須開啟加密。

如需瞭解電腦如何加密的詳細資訊,請參閱 Device Encryption 管理員指南

注意

您可以將裝置加密套用到開機磁碟區和固定資料磁碟區,但不能套用到卸除式媒體。

如欲設定策略:

  • 編輯 Device Encryption 基本策略。請參閱編輯基本策略
  • 開啟策略的 設定 標籤,按照如下所述對其進行設定。

設定

Device Encryption 已開啟/關閉:套用該策略的使用者登入後,電腦將立刻被加密。

即使不包含在策略中的不同使用者登入,Windows 端點也將保持加密。

則警告

您必須對特定 macOS 端點的所有使用者應用加密策略,以確保其完全受到保護。

僅加密開機磁區:此選項可讓您僅加密開機磁區。資料磁區會被忽略。

進階 Windows 設定

需要啟動認證:此選項預設為開啟。透過 TPM+PIN、複雜密碼或 USB 金鑰強制執行驗證。如果關閉此項,則僅限 TPM 的登入防護將安裝在支援的電腦。如需瞭解有關驗證方法的更多資訊,請參閱 "Device Encryption 管理員指南"。

需要使用者提供新的驗證密碼/ PIN:此選項預設為關閉。在指定時間後強制變更 BitLocker 密碼或 PIN。使用者變更其密碼或 PIN 後,會記錄此事件。

注意

在端點上,該功能僅可用於 Central Device Encryption 2.0 或更新版本。

如果使用者關閉對話方塊而沒有輸入新密碼或 PIN,則電腦每次重新啟動後該對話方塊都會再次出現。使用者關閉對話方塊五次且未變更密碼或 PIN 之後,我們會記錄警示。

僅加密已用空間:此選項預設為關閉。允許您僅加密已用空間,而非加密整個磁碟機。您可以使用其來快速地進行初始加密(當策略首次套用於電腦時)。

則警告

如果僅加密已用空間,則電腦上的已刪除資料可能未加密,因此您僅應該在新安裝的電腦上執行此操作。

注意

此選項不會影響 Windows 7 端點。

用於安全共用的密碼保護檔案(僅限 Windows)

注意

在端點上,該功能僅可用於 Central Device Encryption 2.0 或更新版本。

您最多可以保護 50Mb 的文件。

啟用按右鍵內容功能表:若您開啟此選項,建立受密碼保護的檔案選項就會新增至檔案的右鍵功能表。使用者傳送敏感資料給貴企業網路以外的收件人時,可在電子郵件中附加受密碼保護的檔案。檔案會包含在內容加密的新 HTML 檔案中。

收件人雙擊檔案並輸入密碼後,即可開啟檔案。他們可以將收到的檔案寄回,亦可用相同密碼或新密碼保護檔案,或者建立新的受密碼保護檔案。

啟用 Outlook 載入項:此選項會將電子郵件加密附件新增至 Outlook。使用者可在 Outlook 功能區選擇保護附件,對附件進行保護。所有未受保護的附件,會包含在內容加密的新 HTML 附件中,並寄出電子郵件。

始終詢問如何處理附加檔案:若您開啟此選項,使用者必須選擇在訊息中含有附件時,應如何傳送附件。可選擇以受密碼保護或未受保護兩種方式傳送。

您可以輸入始終詢問如何處理附加檔案選項不適用的排除網域。例如,您組織的網域。若收件人屬於該網域,就不會詢問寄件人希望如何處理附件。

僅限輸入完整的網域名稱,並以英文逗號分隔。