รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter และ Frontline Standard; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ
ในฐานะผู้ดูแลระบบ คุณสามารถระบุวิธีเข้ารหัสสำหรับอุปกรณ์ Microsoft Windows 10 หรือ 11 ที่ลงทะเบียนในการจัดการอุปกรณ์ Windows ได้ ซึ่งการตั้งค่าที่คุณเลือกจะมีผลหากอุปกรณ์เปิดใช้การเข้ารหัสไดรฟ์ BitLocker การตั้งค่าทั่วไปที่กำหนดค่าได้มีดังนี้
- การเข้ารหัสไดรฟ์
- การตรวจสอบสิทธิ์เพื่อเริ่มต้นใช้งานเพิ่มเติม
- ตัวเลือกการกู้คืนก่อนเปิดเครื่อง
- การเข้ารหัสไดรฟ์แบบคงที่
- ตัวเลือกการกู้คืนไดรฟ์แบบคงที่
- การเข้ารหัสไดรฟ์แบบนำออกได้
ข้อควรทราบก่อนที่จะเริ่มต้น
อุปกรณ์ต้องได้รับการลงทะเบียนในการจัดการอุปกรณ์ Windows เพื่อให้การตั้งค่าเหล่านี้มีผล ดูข้อมูลเพิ่มเติม
กำหนดค่าการเข้ารหัสไดรฟ์ BitLocker
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์อุปกรณ์เคลื่อนที่และปลายทางการตั้งค่าWindows
- คลิกการตั้งค่า BitLocker
- หากต้องการใช้การตั้งค่ากับทุกคน ให้เลือกหน่วยขององค์กรระดับบนสุด หรือเลือกหน่วยขององค์กรระดับล่าง
- ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกเปิดใช้จากรายการ
- กำหนดค่าตัวเลือก (เปิดทั้งหมด) การเข้ารหัสไดรฟ์
- ตัวเลือกการเข้ารหัสสำหรับไดรฟ์ของระบบ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์ระบบปฏิบัติการ
- การตรวจสอบสิทธิ์การเริ่มต้นใช้งานเพิ่มเติม - เลือกว่า BitLocker ต้องมีการตรวจสอบสิทธิ์เพิ่มเติมทุกครั้งที่คอมพิวเตอร์เริ่มทำงานและคุณกำลังใช้ Trusted Platform Module (TPM) อยู่หรือไม่ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- อนุญาตให้ใช้ BitLocker โดยไม่ต้องมี TPM ที่เข้ากันได้ - เลือกช่องเพื่อกำหนดให้ต้องมีรหัสผ่านหรือไดรฟ์ USB สำหรับการเริ่มต้นใช้งาน
- กำหนดค่าการเริ่มต้นใช้งาน TPM โดยไม่ต้องมี PIN หรือคีย์ - คุณสามารถเลือกที่จะใช้ TPM เป็นการตรวจสอบสิทธิ์การเริ่มต้นใช้งานแทนที่จะใช้ PIN หรือคีย์
- PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถเลือกที่จะใช้ PIN 6 หลักถึง 20 หลักที่จะต้องป้อนก่อนการเริ่มต้นใช้งาน นอกจากนี้ คุณยังกำหนดค่าความยาวขั้นต่ำของ PIN ได้อีกด้วย
- คีย์สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ผู้ใช้ทำการตรวจสอบสิทธิ์โดยใช้คีย์สำหรับการเริ่มต้นใช้งาน TPM เพื่อเข้าถึงไดรฟ์ คีย์สำหรับการเริ่มต้นใช้งานคือคีย์ USB ที่มีข้อมูลสำหรับการเข้ารหัสไดรฟ์ เมื่อใส่คีย์ USB นี้เข้าไปในอุปกรณ์ ระบบจะตรวจสอบสิทธิ์เข้าถึงไดรฟ์และคุณจะเข้าถึงไดรฟ์ได้
- คีย์และ PIN สำหรับการเริ่มต้นใช้งาน TPM - คุณสามารถกำหนดให้ใช้ทั้งคีย์และ PIN สำหรับการเริ่มต้นใช้งาน
- ตัวเลือกการกู้คืนก่อนเปิดเครื่อง - เปิดใช้งานเพื่อตั้งค่าข้อความการกู้คืนหรือกำหนด URL ที่แสดงอยู่ในหน้าจอการกู้คืนคีย์ก่อนเปิดเครื่องเมื่อไดรฟ์ระบบปฏิบัติการถูกล็อก
- ตัวเลือกการกู้คืนไดรฟ์ของระบบ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์ของระบบปฏิบัติการที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
- ระบุรหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
- คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
- ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
- บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ
- การเข้ารหัสไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดให้เข้ารหัสไดรฟ์แบบคงที่ก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- การเข้ารหัสสำหรับไดรฟ์แบบคงที่ - เลือกวิธีการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบคงที่
- ตัวเลือกการกู้คืนไดรฟ์แบบคงที่ - เปิดใช้งานเพื่อกำหนดตัวเลือกในการกู้คืนข้อมูลจากไดรฟ์แบบคงที่ที่ป้องกันด้วย BitLocker ให้กับผู้ใช้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- อนุญาตตัวแทนกู้คืนข้อมูล - ตัวแทนกู้คืนข้อมูลคือบุคคลผู้เป็นเจ้าของใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้สร้างตัวป้องกันคีย์ BitLocker เมื่ออนุญาต บุคคลเหล่านี้จะใช้ข้อมูลเข้าสู่ระบบ PKI เพื่อปลดล็อกไดรฟ์ที่ป้องกันด้วย BitLocker ได้
- รหัสผ่านการกู้คืน 48 หลัก - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างรหัสผ่านการกู้คืน 48 หลัก
- คีย์การกู้คืน 256 บิต - เลือกว่าจะอนุญาต ไม่อนุญาต หรือบังคับให้ผู้ใช้สร้างคีย์การกู้คืน 256 บิต
- ซ่อนตัวเลือกการกู้คืนจากวิซาร์ดการตั้งค่า BitLocker - เลือกช่องเพื่อปิดกั้นไม่ให้ผู้ใช้ระบุตัวเลือกการกู้คืนเมื่อผู้ใช้เปิด BitLocker
- บันทึกข้อมูลการกู้คืน BitLocker ไปยังบริการโดเมน Active Directory - เมื่อเลือกตัวเลือกนี้ คุณจะเลือกได้ว่าข้อมูลการกู้คืนใดของ BitLocker ที่จะได้รับการจัดเก็บใน Active Directory คุณจะเลือกรหัสผ่านการกู้คืนและแพ็กเกจคีย์ หรือรหัสผ่านการกู้คืนสำรองเพียงอย่างเดียวก็ได้ เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- ไม่เปิดใช้ BitLocker จนกว่าจะจัดเก็บข้อมูลการกู้คืนไว้ใน Active Directory แล้ว - เลือกช่องนี้เพื่อป้องกันไม่ให้ผู้ใช้เปิดใช้ BitLocker เว้นแต่คอมพิวเตอร์จะเชื่อมต่อกับโดเมนและสำรองข้อมูลการกู้คืน BitLocker ไปยัง Active Directory ได้สำเร็จ
- การเข้ารหัสไดรฟ์แบบถอดได้ - เปิดใช้งานเพื่อกำหนดให้ไดรฟ์แบบถอดได้ทั้งหมดเข้ารหัสก่อนให้สิทธิ์การเขียน เมื่อเปิดใช้งานแล้ว คุณจะสามารถตั้งค่าดังนี้ได้
- การเข้ารหัสสำหรับไดรฟ์แบบถอดได้ - เลือกอัลกอริทึมการเข้ารหัสและระดับความปลอดภัยของการเข้ารหัสคีย์สำหรับไดรฟ์แบบถอดได้
- ปฏิเสธสิทธิ์การเขียนในอุปกรณ์ที่กำหนดค่าในองค์กรอื่น - เมื่อเลือกตัวเลือกนี้ ระบบจะให้สิทธิ์การเขียนเฉพาะไดรฟ์ที่มีฟิลด์ระบุตรงกันกับคอมพิวเตอร์เท่านั้น ช่องเหล่านี้จะกำหนดโดยนโยบายกลุ่มขององค์กร
- คลิกบันทึก หากกำหนดค่าหน่วยขององค์กรย่อยแล้ว คุณอาจรับค่าหรือลบล้างการตั้งค่าหน่วยขององค์กรระดับบนสุดได้
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
ตั้งค่าการเข้ารหัสไดรฟ์เป็น "ไม่ได้กำหนดค่า"
หากคุณเลือกไม่ได้กำหนดค่าสำหรับการเข้ารหัสไดรฟ์ นโยบาย BitLocker ที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบจะไม่มีผลอีกต่อไป ในอุปกรณ์ของผู้ใช้ นโยบายจะเปลี่ยนกลับไปเป็นการตั้งค่าเดิมก่อนหน้านี้ หากผู้ใช้เข้ารหัสอุปกรณ์ไว้ ระบบจะไม่ดำเนินการใดๆ กับอุปกรณ์หรือข้อมูลในอุปกรณ์
ปิดใช้การเข้ารหัสไดรฟ์ BitLocker
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู อุปกรณ์อุปกรณ์เคลื่อนที่และปลายทางการตั้งค่าWindows
- คลิกการตั้งค่า BitLocker
- หากต้องการปิดใช้โปรไฟล์สำหรับผู้ใช้บางราย ให้เลือกหน่วยขององค์กรจากรายการทางด้านซ้าย มิฉะนั้นระบบจะเปิดให้ผู้ใช้ทุกคน
- ในส่วนการเข้ารหัสไดรฟ์ ให้เลือกปิดใช้จากรายการ
- คลิกบันทึก หากกำหนดค่าหน่วยขององค์กรย่อยแล้ว คุณอาจรับค่าหรือลบล้างการตั้งค่าหน่วยขององค์กรระดับบนสุดได้
หัวข้อที่เกี่ยวข้อง
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง