New-CMBMSOSDEncryptionPolicy

创建策略来管理是否使用 BitLocker 加密 OS 驱动器。

语法

New-CMBMSOSDEncryptionPolicy
   [-PolicyState <State>]
   [-RequireTpm]
   [-MinimumPinLength <UInt32>]
   [-Protector <TpmProtector>]
   [-DisableWildcardHandling]
   [-ForceWildcardHandling]
   [<CommonParameters>]

说明

使用此 cmdlet 创建策略来管理是否使用 BitLocker 加密 OS 驱动器。

如果要在没有 受信任的平台模块 (TPM) 的计算机上使用 BitLocker,请不要使用 -RequireTpm 参数。 在此模式下,设备启动时,BitLocker 需要密码。 如果忘记了密码,请使用 BitLocker 恢复选项来访问驱动器。

在具有兼容 TPM 的计算机上,BitLocker 可以在设备启动时使用两种身份验证方法。 此行为为加密数据提供了额外的保护。 计算机启动时,它只能使用 TPM 进行身份验证,也可以要求输入个人标识号 (PIN) 。

提示

为提高安全性,启用具有 TPM + PIN 保护程序的设备时,请考虑在 “系统>电源管理>睡眠设置”中禁用以下组策略设置:

  • 睡眠时允许待机状态 (S1-S3) (插入)

  • 在电池) (睡眠时允许 (S1-S3) 待机状态

示例

示例 1:创建需要具有 PIN 的 TPM 的新策略

此示例创建一个使用以下属性启用的新策略:

  • 需要 TPM
  • 需要具有 TPM 的 PIN
  • PIN 需要至少为 16 个数字
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin

示例 2:仅为 TPM 创建新策略

此示例创建一个已启用且只需要 TPM 的新策略。

New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly

参数

-DisableWildcardHandling

此参数将通配符视为文本字符值。 不能将其与 ForceWildcardHandling 组合使用。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-ForceWildcardHandling

此参数处理通配符,并可能导致意外行为, (不建议) 。 不能将其与 DisableWildcardHandling 组合使用。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-MinimumPinLength

如果需要 PIN,此值是用户可以指定的最短长度。 当计算机启动以解锁驱动器时,用户输入此 PIN。 默认情况下,最小 PIN 长度为 4。 将值从 4 设置为 20

类型:UInt32
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-PolicyState

使用此参数配置策略。

  • Enabled:如果启用此策略,用户必须将 OS 驱动器置于 BitLocker 保护下,并加密驱动器。

  • Disabled:如果禁用此策略,则用户无法将 OS 驱动器置于 BitLocker 保护之下。 如果在 OS 驱动器加密后应用此策略,BitLocker 会解密该驱动器。

  • NotConfigured:如果未配置此策略,则 OS 驱动器上不需要 BitLocker。

类型:State
接受的值:Enabled, Disabled, NotConfigured
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-Protector

使用此参数为 OS 驱动器指定保护程序:

  • TpmOnly:仅使用 TPM 作为保护程序

  • TpmAndPin:将 PIN 与 TPM 配合使用

类型:TpmProtector
接受的值:TpmOnly, TpmAndPin
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

-RequireTpm

添加此参数可将策略配置为要求设备具有兼容的 TPM。

类型:SwitchParameter
Position:Named
默认值:None
必需:False
接受管道输入:False
接受通配符:False

输入

None

输出

Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject