Enkripsi Bitlocker menggunakan AAD / MDM untuk Cloud Data Security

Dengan fitur baru Windows 10, produktivitas pengguna telah meningkatkan lompatan dan batas. Itu karena Windows 10 memperkenalkan pendekatannya sebagai `Mobile first, Cloud first`. Ini tidak lain adalah integrasi perangkat seluler dengan teknologi cloud. Windows 10 memberikan manajemen data modern menggunakan solusi manajemen perangkat berbasis cloud seperti Microsoft Enterprise Mobility Suite (EMS) . Dengan ini, pengguna dapat mengakses data mereka dari mana saja dan kapan saja. Namun, data semacam ini juga membutuhkan keamanan yang baik, yang dimungkinkan dengan Bitlocker .

Enkripsi Bitlocker untuk keamanan data cloud

Konfigurasi enkripsi Bitlocker sudah tersedia di perangkat seluler Windows 10. Namun, perangkat ini harus memiliki kemampuan InstantGo untuk mengotomatisasi konfigurasi. Dengan InstantGo, pengguna dapat mengotomatiskan konfigurasi pada perangkat serta mencadangkan kunci pemulihan ke akun AD Azure pengguna.

Tapi sekarang perangkat tidak akan memerlukan kemampuan InstantGo lagi. Dengan Windows 10 Creators Update, semua perangkat Windows 10 akan memiliki wizard di mana pengguna diminta untuk memulai enkripsi Bitlocker terlepas dari perangkat keras yang digunakan. Ini terutama hasil dari umpan balik pengguna tentang konfigurasi, di mana mereka ingin enkripsi ini otomatis tanpa pengguna melakukan apa pun. Jadi, sekarang enkripsi Bitlocker telah menjadi otomatis dan perangkat keras yang terpisah.

Bagaimana cara kerja enkripsi Bitlocker

Ketika pengguna akhir mendaftarkan perangkat dan merupakan admin lokal, TriggerBitlocker MSI melakukan hal berikut:

• Mengerahkan tiga file ke C: Program Files (x86) BitLockerTrigger
• Mengimpor tugas terjadwal baru berdasarkan pada Enable_Bitlocker.xml yang sudah ada

Tugas terjadwal akan dijalankan setiap hari pukul 2 siang dan akan melakukan hal berikut:

• Jalankan Enable_Bitlocker.vbs yang tujuan utamanya adalah untuk memanggil Enable_BitLocker.ps1 dan pastikan untuk menjalankan diminimalkan.
• Pada gilirannya, Enable_BitLocker.ps1 akan mengenkripsi drive lokal dan simpan kunci pemulihan ke Azure AD dan OneDrive for Business (jika dikonfigurasi)
  • Kunci pemulihan hanya disimpan ketika entah berubah atau tidak menampilkan

Pengguna yang bukan bagian dari grup admin lokal, harus mengikuti prosedur yang berbeda. Secara default, pengguna pertama yang bergabung dengan perangkat ke Azure AD adalah anggota grup admin lokal. Jika pengguna kedua, yang merupakan bagian dari penyewa AAD yang sama, log on ke perangkat, itu akan menjadi pengguna standar.

Pembiasan ini diperlukan ketika akun Pengelola Pendaftaran Perangkat menangani Azure AD bergabung sebelum menyerahkan melalui perangkat ke pengguna akhir. Untuk pengguna tersebut dimodifikasi MSI (TriggerBitlockerUser) telah diberikan tim Windows. Ini sedikit berbeda dari pengguna admin lokal:

Tugas terjadwal BitlockerTrigger akan berjalan dalam Konteks Sistem dan akan:

• Salin kunci pemulihan ke akun Azure AD dari pengguna yang bergabung dengan perangkat ke AAD.
• Salin kunci pemulihan ke Systemdrive temp (biasanya C: Temp) untuk sementara.

Script baru MoveKeyToOD4B.ps1 diperkenalkan dan berjalan setiap hari melalui tugas terjadwal yang disebut MoveKeyToOD4B . Tugas terjadwal ini berjalan dalam konteks pengguna. Kunci pemulihan akan dipindahkan dari systemdrive temp ke folder OneDrive for Business recovery.

Untuk skenario admin non-lokal, pengguna harus menggunakan file TriggerBitlockerUser melalui Intune ke grup akhir -pakai. Ini tidak diterapkan ke grup / akun Pengelola Pendaftaran Perangkat yang digunakan untuk menggabungkan perangkat ke Azure AD.

Untuk mendapatkan akses ke kunci pemulihan, pengguna harus pergi ke salah satu lokasi berikut:

• Akun AD Azure
• Folder pemulihan di OneDrive for Business (jika dikonfigurasi).

Pengguna disarankan untuk mengambil kunci pemulihan melalui //myapps.microsoft.com dan arahkan ke profil mereka, atau di folder OneDrive for Business recovery.

Untuk informasi lebih lanjut tentang cara mengaktifkan enkripsi Bitlocker, baca blog lengkap di Microsoft TechNet.