Compartilhar via

Encriptar dispositivos Windows com o BitLocker com Intune

Utilize Microsoft Intune para configurar a encriptação BitLocker em dispositivos com o Windows e a Encriptação de Dados Pessoais (PDE) em dispositivos que executem Windows 11 Versão 22H2 ou posterior. Este artigo abrange a encriptação BitLocker padrão e os cenários de encriptação BitLocker silenciosos.

Importante

A 14 de outubro de 2025, Windows 10 atingido o fim do suporte e não receberá atualizações de qualidade e funcionalidades. Windows 10 é uma versão permitida no Intune. Os dispositivos com esta versão ainda podem inscrever-se no Intune e utilizar funcionalidades elegíveis, mas a funcionalidade não será garantida e poderá variar.

Dica

Algumas configurações do BitLocker requerem que o dispositivo tenha um TPM com suporte.

Cenários de encriptação do BitLocker

Intune suporta duas abordagens de encriptação BitLocker principais:

  • Standard encriptação BitLocker – os utilizadores podem ver pedidos e interagir com o processo de encriptação. Fornece flexibilidade para a seleção do tipo de encriptação e a gestão de chaves de recuperação direcionada para o utilizador.

  • Encriptação BitLocker Silenciosa – encriptação automática sem interação do utilizador ou privilégios administrativos necessários no dispositivo. Ideal para organizações que pretendem garantir que todos os dispositivos geridos são encriptados sem depender da ação do utilizador final.

Dica

Intune fornece um relatório de encriptação incorporado que apresenta detalhes sobre a encriptação status de dispositivos em todos os seus dispositivos geridos. Após o Intune criptografar um dispositivo Windows com o BitLocker, você poderá ver e gerenciar as chaves de recuperação do BitLocker ao exibir o relatório de criptografia.

Pré-requisitos

Licenciamento e edições do Windows

Para as edições do Windows que suportam a gestão do BitLocker, consulte Requisitos de licenciamento e edição do Windows na documentação do Windows.

Controlos de acesso baseados em funções

Para gerir o BitLocker no Intune, tem de ser atribuída a uma conta uma função de controlo de acesso baseado em funções (RBAC) Intune que inclua a permissão Tarefas remotas com a opção Rodar BitLockerKeys (pré-visualização) definida como Sim.

Pode adicionar esta permissão às suas próprias funções RBAC personalizadas ou utilizar uma das seguintes funções RBAC incorporadas:

  • Operador do Suporte Técnico
  • Administrador de Segurança de Ponto Final

Planeamento da recuperação

Antes de ativar o BitLocker, compreenda e planeie opções de recuperação que satisfaçam as necessidades da sua organização. Para obter mais informações, veja Descrição geral da recuperação do BitLocker na documentação de segurança do Windows.

Tipos de política para encriptação BitLocker

Escolha entre os seguintes tipos de política Intune para configurar a encriptação BitLocker:

Segurança de pontos finais > A política de encriptação de discos fornece uma configuração do BitLocker focada e específica da segurança:

  • Perfil bitLocker – definições dedicadas para configurar a encriptação BitLocker. Para obter mais informações, veja o CSP do BitLocker.
  • Perfil de Encriptação de Dados Pessoais – configure a PDE para encriptação ao nível do ficheiro que funciona juntamente com o BitLocker para segurança em camadas. Para obter mais informações, veja O CSP de PDE.

Política de configuração do dispositivo

Configuração do dispositivo > O perfil de proteção de pontos finais inclui definições do BitLocker como parte de uma configuração de proteção de ponto final mais abrangente. Veja as definições disponíveis no BitLocker em perfis de proteção de ponto final.

Observação

Limitações do Catálogo de Definições: o Catálogo de Definições não inclui os controlos de autenticação de arranque do TPM necessários para a ativação fiável do BitLocker silencioso. Utilize políticas de segurança de pontos finais ou de configuração de dispositivos para cenários do BitLocker.

Configurar a encriptação BitLocker padrão

Standard encriptação BitLocker permite a interação do utilizador e fornece flexibilidade para a configuração de encriptação.

Criar política de segurança de ponto final

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

  3. Configure as seguintes opções:

    • Plataforma: Windows
    • Perfil: Escolher o BitLocker ou a Encriptação de Dados Pessoais

    Captura de ecrã da superfície de seleção do perfil de encriptação do Windows.

  4. Na página Definições de configuração , configure as definições do BitLocker para satisfazer as suas necessidades empresariais:

    • Configurar métodos de encriptação para o SO, unidades fixas e amovíveis.
    • Defina opções de recuperação (requisitos de palavra-passe e chave).
    • Configure a autenticação de arranque do TPM conforme necessário.

    Selecione Avançar.

  5. Na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

    Selecione Avançar para continuar.

  6. Na página Atribuições , selecione os grupos que recebem este perfil. Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  7. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar política de configuração de dispositivos

Dica

O procedimento seguinte configura o BitLocker através de um modelo de configuração de dispositivo para o Endpoint Protection. Para configurar a Encriptação de Dados Pessoais, utilize o catálogo de definições de configuração do dispositivo e a categoria PDE .

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos> GerirConfiguração> deDispositivos> No separador Políticas, selecione Criar.

  3. Configure as seguintes opções:

    • Plataforma: Windows 10 e posterior
    • Tipo de perfil: selecione Modelos>Proteção de ponto final e, em seguida, selecione Criar.

    Captura de ecrã do caminho para o modelo do Endpoint Protection.

  4. Na página Definições de configuração , expanda Encriptação do Windows e configure as definições do BitLocker para satisfazer as suas necessidades empresariais.

    Selecione as configurações de criptografia do Windows

    Se quiser ativar o BitLocker automaticamente, consulte Configurar a encriptação BitLocker silenciosa neste artigo para obter pré-requisitos adicionais e as configurações de definições específicas que tem de utilizar.

  5. Selecione Avançar para continuar.

  6. Conclua a configuração de outras definições conforme necessário para a sua organização.

  7. Conclua o processo de criação de políticas ao atribuí-lo a grupos de dispositivos adequados e guarde o perfil.

Configurar a encriptação BitLocker silenciosa

A encriptação BitLocker silenciosa encripta automaticamente os dispositivos sem interação do utilizador, proporcionando uma experiência de encriptação totalmente integrada para ambientes geridos.

Pré-requisitos para encriptação silenciosa

Requisitos do dispositivo

Um dispositivo tem de cumprir as seguintes condições para ativação automática do BitLocker:

  • Sistema Operativo:

    • Se os utilizadores finais iniciarem sessão como Administradores: Windows 10 versão 1803 ou posterior ou Windows 11
    • Se os utilizadores finais iniciarem sessão como Utilizadores Standard: Windows 10 versão 1809 ou posterior ou Windows 11

  • Configuração do dispositivo:

Observação

Quando o BitLocker é ativado automaticamente, o sistema utiliza automaticamente a encriptação de disco completa em dispositivos de reserva não modernos e utiliza apenas a encriptação de espaço em dispositivos de reserva modernos. O tipo de encriptação depende das capacidades de hardware e não pode ser personalizado para cenários de encriptação silenciosa.

Para saber mais sobre o modo de espera moderno, consulte O que é o modo de espera moderno na documentação de hardware do Windows.

Importante

Antes de implementar políticas BitLocker silenciosas, realize uma avaliação completa do seu ambiente:

  • Identificar software de encriptação existente – utilize ferramentas de inventário ou deteção de dispositivos para identificar dispositivos com encriptação de terceiros (McAfee, Symantec, Check Point, etc.).
  • Planear a estratégia de migração – desenvolva procedimentos para remover com segurança a encriptação existente antes da implementação do BitLocker.
  • Testar em grupos piloto – valide o comportamento silencioso do BitLocker em dispositivos representativos antes de uma implementação abrangente.
  • Preparar procedimentos de reversão – tenha planos de recuperação e reversão prontos em caso de conflitos de encriptação.

As políticas BitLocker silenciosas ignoram os avisos dos utilizadores sobre a encriptação existente, tornando a avaliação de pré-implementação fundamental para evitar a perda de dados.

Definições necessárias para encriptação silenciosa

Configure as seguintes definições consoante o tipo de política escolhido:

Política de segurança de ponto final para BitLocker silencioso

Para a política de encriptação de Disco de segurança de Ponto Final, configure estas definições no perfil do BitLocker:

  • Exigir Encriptação = de DispositivoAtivado

  • Permitir aviso para outra encriptação = de discoDesativado

    Captura de ecrã de duas definições do BitLocker necessárias para ativar a encriptação silenciosa.

Aviso

Definir Permitir Aviso Para Outra Encriptação de Disco para Desativado significa que o BitLocker continua com a encriptação mesmo quando outro software de encriptação de disco é detetado. Isto pode levar a:

  • Perda de dados de métodos de encriptação em conflito
  • Instabilidade do sistema e falhas de arranque
  • Cenários de recuperação complexos com várias camadas de encriptação

Antes de implementar políticas BitLocker silenciosas, certifique-se de que o seu ambiente não tem software de encriptação de terceiros instalado. Considere utilizar relatórios de inventário de dispositivos para identificar dispositivos com software de encriptação existente.

Importante

Depois de definir Permitir Aviso para Outra Encriptação de Disco para Desativado, fica disponível outra definição:

  • Permitir Standard Encriptação = de Utilizador Ativada

Esta definição é necessária se os dispositivos forem utilizados por utilizadores padrão (não administradores). Permite que a política RequireDeviceEncryption funcione mesmo quando o utilizador com sessão iniciada atual é um utilizador padrão.

Além das definições necessárias, considere configurar a Rotação de Palavras-passe de Recuperação para ativar a rotação automática de palavras-passe de recuperação.

Política de configuração do dispositivo para BitLocker silencioso

Para Configuração do dispositivo Política de proteção de ponto final, configure estas definições no modelo do Endpoint Protection:

  • Aviso para outra encriptação = de discoBloquear
  • Permitir que os utilizadores padrão ativem a encriptação durante a associação = Microsoft EntraPermitir
  • Criação de chave = de recuperação pelo utilizadorPermitir ou Não permitir chave de recuperação de 256 bits
  • Criação de palavra-passe de recuperação por parte do utilizador = Permitir ou Exigir palavra-passe de recuperação de 48 dígitos

Aviso

Definir Aviso para outra encriptação de disco para Bloquear suprime avisos sobre software de encriptação existente e permite que o BitLocker prossiga automaticamente. Isto cria os mesmos riscos descritos para as políticas de segurança de pontos finais. Verifique se o ambiente está livre de encriptação de terceiros antes da implementação.

Autenticação de arranque do TPM para encriptação silenciosa

Para que o BitLocker silencioso funcione, os dispositivos não podem exigir o PIN de arranque ou a chave de arranque do TPM, uma vez que requerem interação do utilizador.

Configurar as definições do TPM

Configure as definições de autenticação de arranque do TPM para impedir a interação do utilizador:

Política de segurança de ponto final – no perfil do BitLocker em Unidades do Sistema Operativo, primeiro defina Exigir autenticação adicional no arranque como Ativado. Depois de ativada, ficam disponíveis as seguintes definições de TPM:

  • Configurar o PIN = de arranque do TPMNão permitir o PIN de arranque com o TPM
  • Configurar a chave = de arranque do TPMNão permitir a chave de arranque com o TPM
  • Configurar o PIN = e a chave de arranque do TPMNão permitir a chave de arranque e o PIN com o TPM
  • Configurar o arranque = do TPMPermitir TPM ou Exigir TPM

Política de configuração do dispositivo – no modelo de proteção de ponto final em Encriptação do Windows:

  • Arranque compatível do TPM = Permitir TPM ou Exigir TPM
  • PIN = de arranque do TPM compatívelNão permitir o PIN de arranque com o TPM
  • Chave de arranque do TPM compatível = Não permitir a chave de arranque com o TPM
  • Chave de arranque e PIN = do TPM compatíveisNão permitir a chave de arranque e o PIN com o TPM

Aviso

Tenha em atenção as políticas que permitem a utilização de um PIN ou chave de arranque do TPM. Por exemplo, a Linha de base de segurança para Microsoft Defender pode ativar o PIN e a chave de arranque do TPM por predefinição, o que bloqueia a ativação silenciosa. Reveja as configurações de linha de base para conflitos e reconfigure ou exclua os dispositivos conforme necessário.

Comportamento do tipo de encriptação

O tipo de encriptação (disco completo vs. apenas espaço utilizado) é determinado pelos seguintes detalhes:

  1. Capacidades de hardware – se o dispositivo suporta o modo de espera moderno.
  2. Configuração de encriptação silenciosa – se a ativação silenciosa está configurada.
  3. Definição SystemDrivesEncryptionType – se estiver explicitamente configurada.

Comportamento padrão

Quando SystemDrivesEncryptionType não está configurado:

  • Dispositivos de reserva modernos com encriptação silenciosa = Encriptação apenas de espaço utilizado.
  • Dispositivos de reserva não modernos com encriptação silenciosa = Encriptação de disco completa.
  • Standard encriptação (não silenciosa) = O utilizador pode escolher ou definir uma política.

Verificar as capacidades do dispositivo

Para marcar se um dispositivo suportar o modo de espera moderno, execute a partir de uma linha de comandos:

powercfg /a

Captura de tela do prompt de comando exibindo a saída do comando powercfg com o estado em espera S0 disponível.

Capacidade de reserva moderna: mostra que a Rede de Espera (S0 Inativa de Baixa Potência) está disponível. Não é compatível com reserva moderna: mostra que a Rede De Espera (S0 Inativa de Baixa Potência) Não é suportada.

Captura de ecrã da linha de comandos a mostrar a saída do comando powercfg com o estado de Espera S0 indisponível.

Verificar o tipo de encriptação

Para marcar o tipo de encriptação atual, execute a partir de uma linha de comandos elevada:

manage-bde -status c:

O campo "Estado de Conversão" mostra o Espaço Utilizado Apenas Encriptado ou Totalmente Encriptado.

Captura de tela do prompt de comando administrativo mostrando a saída de manage-bde com o status de conversão refletindo totalmente criptografado.

Captura de tela do prompt de comando administrativo mostrando a saída de manage-bde com o status de conversão refletindo a criptografia somente de espaço usado.

Para exibir informações sobre dispositivos que recebem a política do BitLocker, confira Monitorar criptografia de disco.

Controlar o tipo de encriptação com o Catálogo de Definições

Para alterar o tipo de encriptação do disco entre a encriptação de disco completa e a encriptação apenas de espaço utilizado, utilize a definição Impor tipo de encriptação de unidade em unidades do sistema operativo no Catálogo de Definições:

  1. Criar uma política de Catálogo de Definições
  2. Navegue para Componentes> do WindowsUnidade BitLocker>Unidade Operativo Unidades de Sistema Operativo
  3. Selecione e defina Impor tipo de encriptação de unidade nas unidades do sistema operativo como Ativado para adicionar Selecionar o tipo de encriptação: (Dispositivo). Em seguida, configure Selecionar o Tipo de encriptação: (Dispositivo) para Encriptação completa ou encriptação Apenas Espaço Utilizado.

Captura de ecrã do catálogo de definições do Intune a mostrar Impor o tipo de encriptação de unidade em unidades do sistema operativo

Encriptação de Dados Pessoais (PDE)

A Encriptação de Dados Pessoais (PDE) fornece encriptação ao nível do ficheiro que complementa o BitLocker:

A Encriptação de Dados Pessoais difere do BitLocker, na qual encripta ficheiros em vez de volumes e discos inteiros. A PDE ocorre além de outros métodos de encriptação, como o BitLocker. Ao contrário do BitLocker que liberta chaves de encriptação de dados no arranque, a PDE não liberta chaves de encriptação de dados até que um utilizador inicie sessão com Windows Hello para Empresas.

  • A PDE encripta ficheiros em vez de volumes e discos inteiros.
  • Funciona juntamente com o BitLocker para segurança em camadas – o PDE não substitui o BitLocker.
  • Requer Windows Hello para Empresas início de sessão para libertar chaves de encriptação.
  • Disponível no Windows 11 22H2 ou posterior.

Para obter mais informações, veja O CSP de PDE.

Para configurar o PDE, utilize:

  • Política de segurança de ponto final com o perfil de Encriptação de Dados Pessoais .
  • Catálogo de Definições com a categoria PDE .

Monitorizar e gerir o BitLocker

Ver status de encriptação

  1. No centro de administração do Microsoft Intune, selecione Relatório deEncriptação doMonitor> de Dispositivos>.

  2. Reveja a encriptação status de dispositivos que receberam políticas BitLocker.

  3. Aceda às chaves de recuperação bitLocker e às informações de conformidade do dispositivo.

Gestão de chaves de recuperação

Ver chaves de recuperação para dispositivos geridos Intune

Intune fornece acesso ao nó de Microsoft Entra do BitLocker para que possa ver os IDs de Chave do BitLocker e as chaves de recuperação para os seus dispositivos Windows a partir do centro de administração do Microsoft Intune.

Para ver as chaves de recuperação:

  1. Entre no Centro de administração do Microsoft Intune.
  2. Selecione Dispositivos>Todos os dispositivos.
  3. Selecione um dispositivo na lista e, em Monitorar, selecione Chaves de recuperação.
  4. Selecione Mostrar Chave de Recuperação. Isto gera uma entrada de registo de auditoria na atividade "KeyManagement".

Quando as chaves estão disponíveis no Microsoft Entra ID, são apresentadas as seguintes informações:

  • ID de chave do BitLocker
  • Chave de recuperação do BitLocker
  • Tipo de Unidade de Disco

Quando as chaves não estão no Microsoft Entra ID, Intune apresenta Nenhuma chave BitLocker encontrada para este dispositivo.

Observação

Microsoft Entra ID suporta um máximo de 200 chaves de recuperação BitLocker por dispositivo. Se atingir este limite, a encriptação silenciosa falha devido à falha da cópia de segurança das chaves de recuperação antes de iniciar a encriptação no dispositivo.

Permissões necessárias: os administradores de TI precisam da microsoft.directory/bitlockerKeys/key/read permissão no Microsoft Entra ID para ver as chaves de recuperação bitLocker do dispositivo. Esta permissão está incluída nestas funções de Microsoft Entra:

  • Administrador de Dispositivos na Cloud
  • Administrador da Assistência Técnica
  • Administrador Global

Para obter mais informações sobre Microsoft Entra permissões de função, veja Microsoft Entra funções incorporadas.

Registo de auditoria: todos os acessos à chave de recuperação BitLocker são auditados. Para obter mais informações, veja portal do Azure registos de auditoria.

Importante

Se eliminar o objeto Intune de um dispositivo associado Microsoft Entra protegido pelo BitLocker, a eliminação aciona uma sincronização de dispositivos Intune e remove os protetores de chave para o volume do sistema operativo. Isto deixa o BitLocker num estado suspenso nesse volume.

Exibir as chaves de recuperação para dispositivos conectados ao locatário

Ao utilizar o cenário de anexação de inquilinos, Microsoft Intune podem apresentar dados de chave de recuperação para dispositivos ligados ao inquilino.

Requisitos:

  • Configuration Manager sites têm de executar a versão 2107 ou posterior
  • Para sites com o 2107, instale o update rollup KB11121541 para Microsoft Entra suporte de dispositivos associados
  • A sua conta Intune tem de ter permissões RBAC Intune para ver chaves BitLocker
  • Tem de estar associado a um utilizador no local com a Função de Coleção Configuration Manager e a Permissão de Chave de Recuperação Ler BitLocker

Para obter mais informações, consulte Configurar a administração baseada em função para o Configuration Manager.

Rotacionar as chaves de recuperação do BitLocker

Você pode usar uma ação de dispositivo do Intune para rotacionar remotamente a chave de recuperação do BitLocker de um dispositivo executando o Windows 10 versão 1909 ou posterior ou Windows 11.

Pré-requisitos para a rotação de chaves:

  • Os dispositivos precisam estar executando o Windows 10 versão 1909 ou posterior ou o Windows 11.

  • Microsoft Entra dispositivos associados e associados híbridos têm de ter a rotação de chaves ativada através da política BitLocker:

    • Rotação = de palavras-passe de recuperação orientada pelo clienteAtivar a rotação em dispositivos associados Microsoft Entra ou Ativar a rotação em dispositivos associados Microsoft Entra ID e híbridos
    • Guardar informações de recuperação do BitLocker em Microsoft Entra ID = Enabled
    • Armazenar informações de recuperação no Microsoft Entra ID antes de ativar o BitLocker = Necessário

Para rodar a chave de recuperação BitLocker:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Selecione um dispositivo na lista.

  4. Selecione a ação remota de rotação de teclas BitLocker . Se não estiver visível, selecione as reticências (...) e, em seguida, selecione Rotação de teclas BitLocker.

    Captura de ecrã do caminho para selecionar a ação de rotação de chaves biLocker

Para obter mais informações sobre as implementações e requisitos do BitLocker, veja o gráfico de comparação de implementações do BitLocker.

Recuperação self-service

Para ajudar os utilizadores finais a obter as chaves de recuperação sem chamar o suporte técnico, Intune permite cenários self-service através da aplicação Portal da Empresa e de outros métodos.

Opções de acesso self-service:

  • Portal da Empresa aplicação: os utilizadores podem aceder às chaves de recuperação bitLocker através da aplicação Portal da Empresa
  • Portal A Minha Conta: disponível em account.microsoft.com para dispositivos associados Microsoft Entra
  • Microsoft Entra ID: Acesso direto para dispositivos associados Microsoft Entra

Controlos administrativos para acesso self-service:

  1. Botão de alternar ao nível do inquilino: determina se os utilizadores não administradores podem utilizar a gestão personalizada para recuperar chaves BitLocker:

    • Predefinição: Não (permite que todos os utilizadores recuperem as chaves)
    • Sim: impede os utilizadores não administradores de verem chaves BitLocker para os seus próprios dispositivos
    • Configurar nas definições do dispositivo Microsoft Entra

  2. Integração do Acesso Condicional: utilize políticas de Acesso Condicional para exigir dispositivos conformes para o acesso à chave de recuperação BitLocker:

    • Configurar a opção Exigir dispositivo conforme na política de Acesso Condicional
    • Os dispositivos não conformes não conseguem aceder às chaves de recuperação bitLocker
    • As chaves de recuperação bitLocker são tratadas como recursos empresariais sujeitos ao Acesso Condicional

  3. Registo de auditoria para gestão personalizada: todos os acessos a chaves de recuperação de utilizadores são registados:

    • Registos de auditoria Microsoft Entra registados na categoria Gestão de Chaves
    • Tipo de atividade: Ler chave BitLocker
    • Inclui o Nome Principal de Utilizador e o ID da chave
    • Para obter mais informações, veja Microsoft Entra registos de auditoria

Solução de problemas

Problemas comuns do BitLocker silencioso

Problema: o BitLocker requer a interação do utilizador apesar da configuração silenciosa

  • Solução: verifique se o PIN de arranque do TPM ou as definições de chave não estão ativadas. Verifique se existem políticas de linha de base de segurança em conflito.

Problema: Os dispositivos não cumprem os pré-requisitos para ativação automática

  • Solução: verifique se os dispositivos cumprem todos os pré-requisitos do dispositivo, incluindo a versão do TPM, o modo UEFI e Microsoft Entra associar status.

Problema: o BitLocker não encripta automaticamente

  • Solução: Verifique os registos de eventos do Windows quanto a erros relacionados com o BitLocker. Verifique se o Arranque Seguro está ativado e se o WinRE está configurado corretamente.

Problema: os conflitos de políticas impedem a ativação silenciosa

Resolução de problemas da chave de recuperação

Para ativação automática do BitLocker, as chaves de recuperação são automaticamente criadas para Microsoft Entra ID quando ocorre a encriptação. Verificar:

  1. Os dispositivos são Microsoft Entra associados com êxito (necessário para a cópia de segurança automática)
  2. Nenhum conflito de política impede o processo de cópia de segurança automática
  3. A chave de recuperação está a funcionar através do relatório de encriptação

Próximas etapas

  • Last updated on