要求设备加密

提示用户启用设备加密。根据 Windows 版本和系统配置，可能会询问用户：

– 确认未启用其他提供商的加密。

– 要关闭 BitLocker 驱动器加密，然后再打开 BitLocker。

操作系统驱动器的加密方法

移动数据驱动器的加密方法

允许在非管理员用户登录时运行加密功能

仅支持已加入 Azure Active Directory 的设备

静音加密

如果选择 “要求设备加密”，AppTec360 管理服务将自动对设备驱动器进行静默加密。

加密固定硬盘

任何可用的固定数据驱动器也将加密，并使用存储在操作系统驱动器上的密钥进行 “自动解锁 “保护。

阻止没有兼容 TPM 的 BitLocker

TPM 和 PIN

TPM、密钥和 PIN 码

如果需要使用 PIN 和 USB 闪存驱动器（密钥），用户必须使用命令行工具 “manage-bde “而不是 BitLocker 驱动器加密设置向导来设置 BitLocker。

最少字符数

启动前恢复信息选项

自定义恢复 URL

基于块证书的数据恢复代理

指定数据恢复代理是否可用于受 BitLocker 保护的操作系统硬盘。

在使用数据恢复代理之前，必须在组策略管理控制台或本地组策略编辑器的公钥策略项目中添加该代理。

有关添加数据恢复代理的详细信息，请参阅 Microsoft TechNet 上的《BitLocker 驱动器加密部署指南》。

BitLocker 恢复密钥设置

AD DS BitLocker 恢复存储配置

存储密钥包有助于从物理损坏的硬盘中恢复数据。

固定硬盘恢复选项

此设置可让您控制在没有所需凭证的情况下如何恢复受 BitLocker 保护的固定硬盘。

此设置在设置 BitLocker 时应用。

默认情况下，允许使用基于证书的数据恢复代理，恢复选项可由用户指定，包括恢复密码和恢复密钥，恢复信息不会备份到 AD DS。

BitLocker 恢复密码设置

将 BitLocker 恢复信息保存到 Active Directory 域服务中

要求将恢复数据存储到 AD DS

防止用户启用 BitLocker，除非计算机已连接到域，且 BitLocker 恢复信息已成功备份到 AD DS。

注意：恢复密码会自动生成。

拒绝写入未受保护的移动硬盘

拒绝写入不受 Bitlocker 保护的可移动数据驱动器。注意：如果组策略中已启用 “可移动磁盘：拒绝写入访问”，则此策略设置将被忽略。