在 Windows 10 或 11 裝置上設定 BitLocker

支援這項功能的版本：Frontline Starter 和 Frontline Standard；Business Plus；Enterprise Standard 和 Enterprise Plus；Education Standard、Education Plus 和 Endpoint Education Upgrade；Enterprise Essentials 和 Enterprise Essentials Plus；Cloud Identity 進階版。  版本比較

管理員可以為已註冊 Windows 裝置管理服務的 Microsoft Windows 10 或 11 裝置指定加密方式。如果裝置已開啟 BitLocker 磁碟機加密功能，您選擇的設定就會生效。最常見的設定有：

• 磁碟機加密
• 其他啟動驗證方式
• 開機前復原選項
• 固定式磁碟機加密
• 固定式磁碟機復原選項
• 卸除式磁碟機加密

事前準備

如要套用這些設定，請先為裝置註冊 Windows 裝置管理服務。瞭解詳情

設定 BitLocker 磁碟機加密方式

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「行動裝置和端點」「設定」「Windows」。
3. 按一下 [BitLocker 設定]。
4. 如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
5. 在「磁碟機加密」下方的項目清單中選取「已啟用」。
6. 設定選項 (全部展開)：磁碟機加密
   • 系統磁碟機的加密選項：為作業系統磁碟機選擇加密方式和金鑰加密強度。
   • 其他啟動驗證方式：選擇 BitLocker 是否會在電腦每次啟動時要求以其他方式進行驗證，以及是否使用可信任平台模組 (TPM)。啟用後，您可以進行以下設定：
     • 允許不含相容 TPM 的 BitLocker：勾選這個方塊即可要求啟動時使用者必須輸入密碼或插入 USB 隨身碟。
     • 設定 TPM 啟動 (不需要 PIN 碼或金鑰)：您可以要求以 TPM 做為啟動驗證方式，而非透過 PIN 碼或金鑰進行驗證。
     • TPM 啟動 PIN 碼：啟動前必須輸入 6 至 20 位數的 PIN 碼。您也可以設定 PIN 碼長度下限。
     • TPM 啟動金鑰：您可以要求使用者以 TPM 啟動金鑰做為驗證方式來存取磁碟機。啟動金鑰是 USB 金鑰，內含用於加密磁碟機的資訊。將這個 USB 金鑰插入裝置後，系統會驗證您對磁碟機的存取權，然後開放存取磁碟機。
     • TPM 啟動金鑰和 PIN 碼：您可以要求同時使用啟動金鑰和 PIN 碼。
   • 開機前復原選項：啟用後即可設定復原訊息或自訂網址。這段訊息或網址會在作業系統磁碟機遭到鎖定時，顯示於開機前的金鑰復原畫面上。
   • 系統磁碟機復原選項：啟用後即可設定選項，讓使用者從受 BitLocker 保護的作業系統磁碟機中復原資料。啟用後，您可以進行以下設定：
     • 允許資料修復代理人：資料修復代理人是指使用公用金鑰基礎架構 (PKI) 憑證建立 BitLocker 金鑰保護工具的人員；如果啟用這項設定，這些代理人便可使用自己的 PKI 憑證解鎖受 BitLocker 保護的磁碟機。
     • 指定 48 位數的復原密碼：選擇這項設定可控管使用者是否能夠或必須產生 48 位數的復原密碼。
     • 256 位元的備援金鑰：選擇這項設定可控管使用者是否能夠或必須產生 256 位元的備援金鑰。
     • 在 BitLocker 設定精靈中隱藏復原選項：勾選這個方塊即可禁止使用者在開啟 BitLocker 時指定復原選項。
     • 將 BitLocker 復原資訊儲存至 Active Directory Domain Services：勾選這個方塊即可選擇要將哪些 BitLocker 復原資訊儲存在 Active Directory 中。您可以選取 [備份復原密碼及金鑰封裝] 或 [僅備份復原密碼]。啟用後，您可以進行以下設定：
       • 將復原資訊儲存至 Active Directory 前，不允許啟用 BitLocker：勾選這個方塊可禁止使用者在電腦未連線至網域或是 BitLocker 復原資訊未成功備份至 Active Directory 的情況下啟用 BitLocker。
   固定式磁碟機加密
   • 固定式磁碟機加密：啟用這項設定後，系統就只會在固定式磁碟機都經過加密的情況下才授予寫入權限。啟用後，您可以進行以下設定：
     • 固定式磁碟機的加密方式：為固定式磁碟機指定加密方式和金鑰加密強度。
     • 固定式磁碟機復原選項：啟用後即可設定選項，讓使用者從受 BitLocker 保護的固定式磁碟機中復原資料。啟用後，您可以進行以下設定：
       • 允許資料修復代理人：資料修復代理人是指使用公用金鑰基礎架構 (PKI) 憑證建立 BitLocker 金鑰保護工具的人員；如果啟用這項設定，這些代理人便可使用自己的 PKI 憑證解鎖受 BitLocker 保護的磁碟機。
       • 48 位數的復原密碼：選擇這項設定可控管使用者是否能夠或必須產生 48 位數的復原密碼。
       • 256 位元的備援金鑰：選擇這項設定可控管使用者是否能夠或必須產生 256 位元的備援金鑰。
       • 在 BitLocker 設定精靈中隱藏復原選項：勾選這個方塊即可禁止使用者在開啟 BitLocker 時指定復原選項。
       • 將 BitLocker 復原資訊儲存至 Active Directory Domain Services：勾選這個方塊即可選擇要將哪些 BitLocker 復原資訊儲存在 Active Directory 中。您可以選取 [備份復原密碼及金鑰封裝] 或 [僅備份復原密碼]。啟用後，您可以進行以下設定：
         • 將復原資訊儲存至 Active Directory 前，不允許啟用 BitLocker：勾選這個方塊可禁止使用者在電腦未連線至網域或是 BitLocker 復原資訊未成功備份至 Active Directory 的情況下啟用 BitLocker。
   卸除式磁碟機加密
   • 卸除式磁碟機加密：啟用這項設定後，系統就只會在卸除式磁碟機都經過加密的情況下才授予寫入權限。啟用後，您可以設定下列項目：
     • 卸除式磁碟機的加密方法：為卸除式磁碟機選擇加密演算法和金鑰加密強度。
     • 拒絕其他機構中所設裝置的寫入權限：勾選這個方塊後，只有在磁碟機的識別欄位與電腦的識別欄位相符時，系統才會將寫入權限授予磁碟機。這些欄位是由貴機構的群組政策所定義。
7. 按一下 [儲存]。如果您已設定某個子機構單位，或許可以沿用或覆寫上層機構單位的設定。

變更最多可能需要 24 小時才會生效，但通常不會這麼久。瞭解詳情

將磁碟機加密方式設為「未設定」

如果您在「磁碟機加密」部分選取「未設定」，系統便不會再強制執行您在管理控制台中設定的 BitLocker 政策。在使用者裝置上，系統會將該政策還原為先前的設定。如果使用者先前已為該裝置進行加密，系統就不會對該裝置或裝置中的資料做出任何變更。

停用 BitLocker 磁碟機加密

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「行動裝置和端點」「設定」「Windows」。
3. 按一下 [BitLocker 設定]。
4. 如果您只想為部分使用者停用設定檔，請在左側清單中選擇所需機構單位，否則這項設定將套用到所有使用者的帳戶。
5. 在「磁碟機加密」下方的項目清單中選取「已停用」。
6. 按一下 [儲存]。如果您已設定某個子機構單位，或許可以沿用或覆寫上層機構單位的設定。

相關主題

• 啟用 Windows 裝置管理服務
• 為裝置註冊 Windows 裝置管理服務