New-CMBMSOSDEncryptionPolicy
建立原則來管理是否要使用 BitLocker 加密 OS 磁碟驅動器。
語法
New-CMBMSOSDEncryptionPolicy
[-PolicyState <State>]
[-RequireTpm]
[-MinimumPinLength <UInt32>]
[-Protector <TpmProtector>]
[-DisableWildcardHandling]
[-ForceWildcardHandling]
[<CommonParameters>] Description
使用此 Cmdlet 來建立原則,以管理是否要使用 BitLocker 加密 OS 磁碟驅動器。
如果您想要在沒有 信賴平臺模組的 計算機上使用 BitLocker (TPM) ,請勿使用 -RequireTpm 參數。 在此模式中,BitLocker 需要裝置啟動時的密碼。 如果您忘記密碼,請使用 BitLocker 複原選項來存取磁碟驅動器。
在具有相容 TPM 的計算機上,BitLocker 可以在裝置啟動時使用兩種驗證方法。 此行為可為加密數據提供額外的保護。 當計算機啟動時,它只能使用 TPM 進行驗證,也可以要求輸入個人識別碼 (PIN) 。
提示
為了提高安全性,當您使用 TPM + PIN 保護裝置啟用裝置時,請考慮停用系統>電源管理>睡眠設定中的下列組策略設定:
允許在睡眠 (插入時 (S1-S3) 待命狀態)
在電池) 上睡眠 (時,允許 S1-S3 () 待命狀態
範例
範例 1:建立需要具有 PIN 的 TPM 的新原則
此範例會建立使用下列屬性啟用的新原則:
- 需要 TPM
- 需要具有 TPM 的 PIN
- PIN 至少必須是16個數位
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin範例 2:僅建立 TPM 的新原則
此範例會建立已啟用且只需要 TPM 的新原則。
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly參數
-DisableWildcardHandling
此參數會將通配符視為常值字元值。 您無法將其與 ForceWildcardHandling 結合。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-ForceWildcardHandling
此參數會處理通配符,並可能導致非預期的行為 (不建議) 。 您無法將其與 DisableWildcardHandling 結合。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-MinimumPinLength
如果您需要 PIN,此值是使用者可以指定的最短長度。 當電腦開機以解除鎖定磁碟驅動器時,用戶會輸入此 PIN。 根據預設,PIN 長度下限為 4。 將值從 4 設定為 20。
| 類型: | UInt32 |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-PolicyState
使用此參數來設定原則。
Enabled:如果您啟用此原則,用戶必須將OS磁碟驅動器置於BitLocker 保護之下,並加密磁碟驅動器。Disabled:如果您停用此原則,使用者就無法將OS磁碟驅動器置於 BitLocker 保護之下。 如果您在 OS 磁碟驅動器加密之後套用此原則,BitLocker 會解密磁碟驅動器。NotConfigured:如果您未設定此原則,則操作系統磁碟驅動器上不需要 BitLocker。
| 類型: | State |
| 接受的值: | Enabled, Disabled, NotConfigured |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-Protector
使用此參數來指定 OS 磁碟驅動器的保護裝置:
TpmOnly:僅使用 TPM 作為保護裝置TpmAndPin:搭配 TPM 使用 PIN
| 類型: | TpmProtector |
| 接受的值: | TpmOnly, TpmAndPin |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
-RequireTpm
新增此參數以設定原則,要求裝置具有相容的 TPM。
| 類型: | SwitchParameter |
| Position: | Named |
| 預設值: | None |
| 必要: | False |
| 接受管線輸入: | False |
| 接受萬用字元: | False |
輸入
None
輸出
Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject