Bu yazımda sizlere Microsoft Intune ile yönettiğiniz kullanıcılarınızın cihazlarındaki diskleri BitLocker uygulamasını kullanarak nasıl şifreleyebileceğiniz hakkında bilgi vermeye çalışacağım. BitLocker sürücü şifrelemesi, Microsoft Windows işletim sistemleri tarafından sunulan ve kullanıcıların sabit sürücülerindeki verileri şifrelemelerine olanak sağlayan bir teknolojidir. BitLocker, işletim sistemi sürücüleri, çıkarılabilir ortam sürücüleri ve sabit veri sürücüleri için şifrelemeyi desteklemektedir. BitLocker hassas verilerin daha iyi korunması için 256 bit şifreleme kullanımını da desteklemektedir. Windows BitLocker’ı kullanarak sanal veya fiziksel diskleri kolayca şifreleyebilirsiniz. BitLocker’ı merkezi olarak yönetmek veya yapılandırmak için Group policy ya da System Center Configuration Manager aracını kullanabilirken artık Microsoft Intune’u da kullanabilirsiniz . Azure Active Directory‘e join olan Windows 10 cihazlarında BitLocker’ı yönetmek için Microsoft Intune‘u kullanabilirsiniz. Microsoft Intune ile bir Windows 10 cihazını BitLocker ile şifreledikten sonra şifreleme raporunu görüntülerken, BitLocker kurtarma anahtarlarını görüntüleyebilir ve alabilirsiniz. Microsoft Intune içerisinde BitLocker’ı yönetmek için hesabınızın ilgili Intune rol tabanlı erişim denetimi (RBAC) izinlere sahip olması gerekir. Son kullanıcıların cihazlarında BitLocker uygulamasını etkinleştirmek için bazı ön gereksinimleri sağlaması gerekmektedir. Bunlardan kısaca bahsetmek gerekirse;
- Son kullanıcılar cihazlarında yönetici olarak oturum açarlarsa, cihazın Windows 10 sürümü 1803 veya üstünü çalıştırması,
- Son kullanıcılar cihazlarında standart kullanıcı olarak oturum açarlarsa, cihazın Windows 10 sürümü 1809 veya üstünü çalıştırması,
- Cihazın Azure Active Directory’e join olmuş olması,
- Cihazın TPM 2.0 platformuna sahip olması,
- BIOS modunun yalnızca yerel UEFI olarak ayarlanması gereklidir.
Microsoft Intune içerisinde kullanıcı cihazlarına BitLocker uygulamasının aktif edilmesi için ilgili yapılandırma politikasını uygulamanız yeterli olacaktır. BitLocker uygulaması ile ilgili bu kadar bilgi verdikten sonra artık Intune üzerinde bu ayarı nasıl yapılandıracaksınız ona göz atalım.
İlgili profil yapılandırması için Microsoft Endpoint Manager Admin Center ekranında Devices bölümüne, daha sonra Configuration Profiles seçeneğine tıklayalım.
Resim-1
Configuration Profiles ekranında ( + Create Profile) seçeneğini seçip, platform ve profile type bilgilerini girip, Create butonu ile ilgili profile yapısını oluşturabilirsiniz.
Platform: Windows 10 and later
Profile Type: Endpoint Protection
Resim-2
Endpoint Protection ekranında, Name bölümünde ilgili politikanın adını, Description bölümünde ise politikanız ile ilgili kısa bir tanım bilgisi girebilirsiniz. Next butonu ile ilerleyebilirsiniz.
Resim-3
Configuration Settings ekranında Windows Encryption bölümünde BitLocker ile ilgili tüm politika ayarlarını görebilirsinz. Ardından BitLocker Base Settings & BitLocker OS Drive Settings ayarları kullanarak ortamınıza göre ilgili standartları uygulayabilirsiniz.
Resim-4
Windows Encryption ekranında
Encrypt Devices (Require): Bu ayarı aktifleştirerek ilgili BitLocker ayarını etkinleştirebilirsiniz.
Warning for other disk encryption (Block) : BitLocker’ı etkinleştirmeden önce üçüncü taraf disk şifrelemesinin kontrol edildiğine dair kulanıcının uyarı mesajı alınmasını engelleyebilir ya da mesajı görmesini sağlayabilirsiniz.
Allow standard users to enable encryption during Azure AD Join (Allow): BitLocker ayarını çıkarılabilir sürücülerde kullanmak istiyorsanız ve kullanıcılarınız yönetici değilse bu ayar önem arz ediyor.
Configure encryption methods: Varsayılan şifreleme methodlarını kullanmak istemiyorsanız bu ayarı etkinleştirmeniz gerekiyor.
Resim-5
BitLocker OS Drive Settings ekranında işletim sistemi açılırken ek kimlik doğrulama seçenekleri ile ilgili ayarları bu bölümden yapabilirsiniz.
Resim-6
BitLocker fixed data-drive settings ekranında, BitLocker sabit sürücü politikası ile ilgili ayarları yapılandırabilirsiniz.
Fixed Drive Recovery: Çeşitli başlangıç anahtarı bilgilerinin olmaması durumunda BitLocker korumalı sabit veri sürücülerinin nasıl kurtarılacağını kontrol edebilirsiniz. İlgili seçeneği etkinleştirerek çeşitli sürücü kurtarma tekniklerini yapılandırabilirsiniz.
Write access to fixed data drives not protected by BitLocker (Block): Windows hiçbir verinin BitLocker korumalı olmayan sabit sürücülere yazılmasına izin vermez. Sabit bir sürücü şifrelenmemişse, yazma erişimi verilmeden önce kullanıcının sürücüsü için BitLocker kurulum sihirbazının tamamlanması gerekecektir. Bu ayarın yapılandırılmamış olarak ayarlanması, verilerin şifrelenmemiş sabit sürücülere yazılmasına izin verir.
Save BitLocker recovery information to Azure Active Directory (Enable): Varsayılan olarak Azure AD’ye join olan bir cihaz, kurtarma anahtarının Azure AD’deki cihaz nesnesinde depolanmasını sağlar.
Resim-7
Store recovery information in Azure Active Directory before enabling BitLocker (Require): Sürücüleri BitLocker ile şifrelemek, Windows dizüstü bilgisayarları verilerin hırsızlığına ve kötüye kullanımına karşı korumak için önemlidir. Bununla birlikte, kullanıcılar kendilerini kitlemeleri durumunda, onlara yardımcı olacak tek şey kurtarma anahtarıdır. Sistem yöneticileri bu anahtarları Active Directory’de saklayabilir ve gerektiğinde geri alabilirler.
İlgili ayarları yapılandırdıktan sonra Next butonunu kullanarak ilerleyebilirsiniz.
Scope Tags ekranında RBAC yapılandırması ile rol bazlı yetkilendirmeler yapabilirsiniz. İlgili Scope Tag işlemini tamamladıktan sonra Next butonu ile ilerleyelim. Assignment bölümünde ilgili politikayı hangi cihaz grubuna atamak istiyorsanız o grubu seçmelisiniz. İlgili grubu seçip, Next butonu ile ilerleyelim. Review + Create ekranında ilgili politika oluşturma işlemini tamamlayabilirsiniz.
Resim-8
İlgili BitLocker politikasını oluşturup, belirlediğiniz kullanıcı gruplarına uyguladıktan sonra Microsoft Endpoint Manager Admin Center ekranında Devices bölümüne gidip, Configuration sekmesi altında Encryption Report seçeneğine tıklayalım. Encryption Report bölümünde hangi cihazların disklerinin şifrelenip şifrelenmediğini görebilirsiniz.
Faydalı Olması Dileğiyle …
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Microsoft Intune, Mobile Device Management, Mobile Application Management, Microsoft Endpoint Manager Admin Center, Configuration Profiles, BitLocker Encryption, Group Policy, System Center Configuraton Manager, Azure Active Directory, AAD Join, Endpoint Protection, Encryption Report, Windows Encryption, BitLocker Base Settings & BitLocker OS Drive Settings
