Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Funkcja BitLocker automatycznie szyfruje dyski wewnętrzne w środowisku out-of-box (OOBE) dla urządzeń, które obsługują nowoczesną rezerwę lub spełniają specyfikację hsti (Hardware Security Testability Specification). Domyślnie funkcja BitLocker używa 128-bitowego używanego miejsca XTS-AES tylko do automatycznego szyfrowania.
Za pomocą rozwiązania Windows Autopilot można skonfigurować ustawienia szyfrowania funkcji BitLocker do zastosowania przed rozpoczęciem automatycznego szyfrowania. Ta konfiguracja zapewnia, że domyślny algorytm lub typ szyfrowania nie jest stosowany automatycznie. Urządzenie, które odbiera te ustawienia po automatycznym szyfrowaniu, musi zostać odszyfrowane przed zmianą algorytmu szyfrowania.
Algorytm szyfrowania
Funkcja BitLocker używa określonego algorytmu szyfrowania funkcji BitLocker po pierwszym włączeniu funkcji BitLocker. Podczas pracy z rozwiązaniem Windows Autopilot funkcja BitLocker zostanie włączona po części dotyczącej konfiguracji urządzenia na stronie stanu rejestracji. Dostępne są następujące algorytmy szyfrowania:
- AES-CBC 128-bitowy.
- AES-CBC 256-bitowy.
- XTS-AES 128-bitowy (domyślny).
- XTS-AES 256-bitowy.
Aby uzyskać więcej informacji na temat zalecanych algorytmów szyfrowania do użycia, zobacz Dostawca usług konfiguracji funkcji BitLocker (CSP).
Pełny dysk lub używane szyfrowanie tylko do miejsca
Istnieją dwa typy szyfrowania, pełny dysk lub używany tylko miejsce. Konfiguracja włączania w trybie dyskretnym i obsługa sprzętu dla nowoczesnej rezerwy automatycznie określa typ używanego szyfrowania. Typ używanego szyfrowania można wymusić, konfigurując ustawienie SystemDrivesEncryptionType . Podobnie jak w przypadku algorytmu szyfrowania funkcja BitLocker używa typu szyfrowania po pierwszym włączeniu funkcji BitLocker. Aby uzyskać więcej informacji na temat oczekiwanego zachowania typu szyfrowania, zobacz Zarządzanie zasadami funkcji BitLocker.
Konfigurowanie zasad funkcji BitLocker dla urządzeń z rozwiązaniem Windows Autopilot
Aby upewnić się, że zarówno żądany algorytm szyfrowania funkcji BitLocker, jak i szyfrowanie są ustawione przed automatycznym szyfrowaniem dla urządzeń z rozwiązaniem Windows Autopilot, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego usługi Microsoft Intune.
Na ekranie głównym wybierz pozycję Zabezpieczenia punktu końcowego w okienku po lewej stronie.
W zabezpieczeniach punktu końcowego | Ekran przeglądu , rozwiń węzeł Zarządzaj, a następnie wybierz pozycję Szyfrowanie dysków.
W zabezpieczeniach punktu końcowego | Ekran szyfrowania dysku . Wybierz pozycję + Utwórz zasady.
Na stronie Tworzenie profilu , która zostanie otwarta:
W obszarze Platforma wybierz pozycję Windows.
W obszarze Profil wybierz pozycję BitLocker.
Wybierz przycisk Utwórz .
Na stronie Podstawy na ekranie Tworzenie zasad wprowadź nazwę i opcjonalny opis, a następnie wybierz przycisk Dalej .
Na stronie Ustawienia konfiguracji skonfiguruj odpowiednie ustawienia funkcji BitLocker, w tym ustawienia metody szyfrowania oraz szyfrowania i typu szyfrowania :
Metoda szyfrowania i szyfrowanie
Rozwiń sekcję Szyfrowanie dysków funkcji BitLocker .
W obszarze Wybierz metodę szyfrowania dysku i siłę szyfrowania wybierz pozycję Włączone.
Dla każdego z typów dysków (stałe dyski danych, dysk systemu operacyjnego, wymienne dyski danych) wybierz żądaną metodę szyfrowania i szyfrowanie z menu rozwijanego. Wartość domyślna dla każdego typu to XTS-AES 128-bitowa.
Typ szyfrowania
Rozwiń sekcję Dyski systemu operacyjnego .
W obszarze Wymuszanie typu szyfrowania dysków na dyskach systemu operacyjnego wybierz pozycję Włączone.
W obszarze Wybierz typ szyfrowania dysku wybierz żądany typ szyfrowania, Pełne szyfrowanie lub Szyfrowanie tylko miejsce używane z menu rozwijanego. Wartość domyślna to Zezwalaj użytkownikowi na wybór.
Gdy wszystkie ustawienia funkcji BitLocker zostaną skonfigurowane zgodnie z potrzebami, wybierz przycisk Dalej .
Na stronie Tagi zakresu wybierz przycisk Dalej .
Uwaga
Tagi zakresu są opcjonalne. Jeśli należy określić niestandardowy tag zakresu, zrób to na tej stronie. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.
Na stronie Przypisania użyj pola wyszukiwania Wyszukaj według nazwy grupy... w celu znalezienia i dodania grupy urządzeń rozwiązania Windows Autopilot. Po dodaniu grupy urządzeń rozwiązania Windows Autopilot i umieszczeniu jej na liście w obszarze Grupa upewnij się, że typ obiektu docelowego ma wartość Dołącz, a następnie wybierz przycisk Dalej . Aby uzyskać więcej informacji na temat przypisywania zasad, zobacz Przypisywanie zasad w usłudze Microsoft Intune.
Ważna
Upewnij się, że grupa urządzeń rozwiązania Windows Autopilot wybrana w tym kroku jest grupą urządzeń, a nie grupą użytkowników.
Na stronie Przeglądanie i tworzenie przejrzyj ustawienia, aby sprawdzić, czy zostały skonfigurowane zgodnie z potrzebami, a następnie wybierz przycisk Zapisz .
Skonfiguruj i przypisz stronę Ze stanem rejestracji dla urządzenia z rozwiązaniem Windows Autopilot. Jeśli protokół ESP nie jest włączony, zasady funkcji BitLocker nie mają zastosowania przed rozpoczęciem szyfrowania. Aby uzyskać więcej informacji, zobacz jeden z następujących artykułów:
- Strona stanu rejestracji rozwiązania Windows Autopilot.
- Sprzężanie Microsoft Entra sterowane przez użytkownika: skonfiguruj i przypisz stronę ze stanem rejestracji (ESP).
- Sprzężanie hybrydowe oparte na użytkownikach Microsoft Entra: skonfiguruj i przypisz stronę ze stanem rejestracji (ESP).
- Wstępne aprowizowanie Microsoft Entra dołączenia: skonfiguruj i przypisz stronę ze stanem rejestracji (ESP).
- Wstępne aprowizowanie Microsoft Entra przyłączania hybrydowego: skonfiguruj i przypisz stronę ze stanem rejestracji (ESP).
- Tryb samodzielnego wdrażania: skonfiguruj i przypisz stronę ze stanem rejestracji (ESP).