Bitlocker 策略关联与部署

在 BitLocker 模块中创建的策略必须与特定目标关联后才能进行部署。要了解有关创建和配置 BitLocker 策略的更多信息，请参阅此页面。本文档概述了创建和配置 BitLocker 策略以及自动化 BitLocker 部署的步骤。

创建策略后，请将其与特定目标关联。支持的目标类型包括静态计算机组（CG）、静态唯一 CG 和动态 CG。要详细了解自定义组及其配置，请参阅此页面。请按照以下步骤部署 BitLocker 策略：

1. 在 Endpoint Central Web 控制台中，导航到 BitLocker 模块下的“策略部署”。

2. 单击“关联策略”

   

3. 选择用于部署 BitLocker 策略的自定义组。 
   若要自动化 BitLocker 部署，请选择 所有计算机组。
   
   一旦有新计算机添加到网络中，它将自动加入此自定义组，从而启用 BitLocker 自动部署。

4. 选择要与该组关联的 BitLocker 策略。每个组只能关联一个策略。

   

5. 单击“部署”。该策略将在下一次刷新周期（90 分钟）期间部署；选择“立即部署”将会立刻部署该策略。

   注意：此选项的上限为 200 台计算机

部署后，您可以查看已关联计算机的列表及其策略部署状态。本部分还包括任何失败的备注或原因。请确保加密正在进行中或已完全完成。

您可以在受管计算机部分中检查每台计算机的加密状态。

如果某台计算机在策略成功部署后仍然处于完全未加密状态，可能有两个原因：加密设置要求用户输入 PIN 或密码短语，或者该计算机是非 TPM 设备，而这种情况下必须使用密码短语。加密失败也可能源于环境问题，这将引出下一部分——加密先决条件。

在加密先决条件部分中，您可以查看由于 BIOS 模式不兼容、WMI 失败或 TPM 所有权问题等错误而无法继续加密的计算机。每种情况都有相关记录，并提供了修复步骤。这些计算机也会根据错误类型进行区分。

只有在密码设置完成后，加密过程才会开始。创建密码的条件如下：

1. TPM 和 PIN
   长度：6—20 个字符
   复杂度：
   • 必须仅包含数字（0—9）。
   • 不得包含连续 3 个或更多数字的序列（例如：123、789）。
   • 不得包含长度为 2 的重复序列（例如：1212、2222）。
2. TPM 和增强型 PIN
   长度：6—20 个字符
   复杂度：
   • 必须至少包含 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符。
   • 不得包含连续 3 个或更多字符的序列，且不区分大小写（例如：123、abc、xYz）。
   • 不得包含长度为 2 的重复序列，且不区分大小写（例如：1212、2222、abab、yZyz）。
3. 密码短语
   长度：8—255 个字符
   复杂度：
   • 必须至少包含 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符。
   • 不得包含连续 3 个或更多字符的序列，且不区分大小写（例如：123、abc、xYz）。
   • 不得包含长度为 2 的重复序列，且不区分大小写（例如：1212、2222、abab、yZyz）。

加密完成后，每次启动时都必须输入该密码。

如果您还有其他问题，请参阅我们的常见问题部分以获取更多信息。