端點安全磁碟加密設定檔僅專注於與裝置內建加密方法相關的設定,例如 FileVault、BitLocker 以及 Windows) 的個人資料加密 (。 這種重點讓資安管理員能輕鬆管理磁碟加密設定,而不必在眾多無關設定中穿梭。
雖然你可以透過終端 保護 設定檔來設定相同的裝置設定,但裝置設定檔還包含其他類別的設定。 這些其他設定與磁碟加密無關,可能會使僅設定磁碟加密變得複雜。
在 Microsoft Intune 管理中心的端點安全節點中,於「管理」中找到磁碟加密的端點安全政策。
磁碟加密政策的前提條件
- macOS - macOS 10.13 或更新版本
- Windows - Windows
角色型存取控制 (RBAC)
關於如何分配管理 Intune 磁碟加密政策的正確權限與權限指引,請參閱端點安全性的基於角色存取控制。
磁碟加密配置檔
macOS 設定檔:
FileVault - FileVault 為 macOS 裝置提供內建的全磁碟加密功能。
管理 macOS 的 FileVault 設定 。
要建立 FileVault 設定檔,請參見 macOS 版 FileVault 磁碟加密。
Windows 設定檔:
BitLocker - BitLocker 磁碟加密是一項與作業系統整合的資料保護功能,能應對遺失、被竊或不當退役電腦的資料竊取或資料外洩威脅。
注意事項
自 2023 年 6 月 19 日起,Windows 版 BitLocker 設定檔更新為使用設定目錄中的設定格式。 新的設定檔格式包含與舊設定檔相同的設定。 此變更後,你無法再建立舊帳號的新版本。 你現有的舊個人檔案仍可使用和編輯。
在新的個人檔案格式下,我們不再公開個人資料中專門的設定清單。 相反地,在查看設定資訊時,請使用介面中的 「了解更多 」連結,在 Windows 文件中開啟 BitLocker CSP ,該設定有完整詳細說明。
你可以在 Intune 文件中的 BitLocker 設定中找到 2023 年 6 月 19 日前原始 BitLocker 設定檔的設定清單。
個人資料加密 - PDE (個人資料加密) 在資料夾層級加密資料,適用於運行 22H2 或更新版本Windows 11裝置。 PDE 與 BitLocker 的不同之處在於它加密的是檔案,而非整個磁碟區和磁碟。 偏微分方程是除了其他加密方法(如 BitLocker)之外的。 與在開機時釋出資料加密金鑰的 BitLocker 不同,PDE 只有在使用者使用 Windows Hello 企業版登入後才會釋出資料加密金鑰。 偏微分方程使用 偏微分方程式CSP。
欲了解更多關於偏微分方程的資訊,包括前置條件、相關需求及建議,請參閱 Windows 安全文件中的以下文章:
若要建立 BitLocker 或個人資料加密設定檔,請參見 「Windows 使用磁碟加密」。
管理裝置加密
在部署加密裝置磁碟的政策後,請參閱以下文章以了解加密管理的相關資訊: