共用方式為

Intune 中端點安全性的磁碟加密原則設定

檢視您可以在 Intune 端點安全性節點中設定磁碟 加密 原則的設定檔中設定的設定,做為 端點安全性原則的一部分。

重要事項

2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。

注意事項

從 2023 年 6 月 19 日開始,適用於 Windows 的 BitLocker 配置檔已更新為使用設定目錄中的設定格式。 新的配置檔格式包含與舊版配置檔相同的設定,但由於新格式,Intune 系統管理中心中的設定名稱已更新。 透過此變更,您無法再建立舊設定檔的新版本。 舊設定檔的現有執行個體仍可供使用和編輯。

本文中的設定詳細數據僅適用於 2023 年 6 月 19 日之前建立的 BitLocker 配置檔。

使用新的設定檔格式時,我們不再發佈設定檔中的專用設定清單。 相反地,請在檢視設定的資訊時,使用 UI 中的 [ 深入瞭解 ] 連結,在 Windows 檔中開啟 BitLocker CSP ,其中會完整詳細說明設定。

適用於:

  • macOS

  • Windows

    重要事項

    2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。

支援的平台和設定檔:

  • macOS:
    • 設定檔: FileVault
  • Windows:
    • 設定檔: BitLocker

FileVault

加密

啟用 FileVault

  • 未設定 (預設)

  • - 在執行 macOS 10.13 和更新版本的裝置上,使用 XTS-AES 128 搭配 FileVault 啟用完整磁碟加密。 當使用者登出裝置時,會啟用 FileVault。

    設定為 「是」時,您可以為 FileVault 設定更多設定。

    • 修復金鑰類型個人金鑰 修復金鑰是為裝置建立的。 設定個人金鑰的下列設定:

      • 個人復原金鑰輪替 指定裝置的個人修復金鑰輪替的頻率。 您可以選取預設值 [ 未設定],或 112 個月的值。
      • 個人復原金鑰的託管位置描述 指定給使用者的簡短訊息,說明他們如何擷取個人修復金鑰。 如果忘記密碼,當系統提示使用者輸入個人修復金鑰時,使用者會在登入畫面上看到此訊息。

    • 允許略過的次數 設定使用者在需要「檔案保險箱」登入之前,可以忽略啟用「檔案保險箱」提示的次數。

      • 未設定 (預設) - 在允許下次登入之前,需要在裝置上進行加密。
      • 110 - 允許使用者在要求裝置上加密之前忽略提示 1 到 10 次。
      • 無限制,一律提示 - 系統會提示使用者啟用 FileVault,但絕不需要加密。

    • 允許延遲直到登出為止

      • 未設定 (預設)
      • - 延遲啟用 FileVault 的提示,直到使用者登出為止。

    • 停用登出時的提示 防止使用者在登出時提示要求啟用 FileVault。當設定為 [停用] 時,登出時的提示會停用,而是在使用者登入時提示使用者。

      • 未設定 (預設)
      • - 停用登出時顯示的啟用 FileVault 的提示。

    • 隱藏復原金鑰 在加密期間,對 macOS 裝置的使用者隱藏個人復原金鑰。 加密磁碟之後,使用者可以使用任何裝置,透過 Intune 公司入口網站網站,或支援平台上的公司入口網站應用程式來檢視其個人修復金鑰。

      • 未設定 (預設)
      • - 在裝置加密期間隱藏個人修復金鑰。

BitLocker

注意事項

本文詳細說明您可以在 2023 年 6 月 19 日之前針對端點安全性磁碟加密原則的 Windows 10 和更新版本平臺建立的 BitLocker 配置檔中找到設定。 2023 年 6 月 19 日,Windows 10 和更新版本的配置檔已更新為使用設定目錄中的新設定格式。 透過此變更,您無法再建立舊設定檔的新版本,也不再開發它們。 雖然您無法再建立舊設定檔的新執行個體,但您可以繼續編輯和使用先前建立的執行個體。

對於使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其設定選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,會直接取自設定授權內容。 該內容可以提供有關在其適當上下文中使用設置的更多信息。 檢視設定資訊文字時,您可以使用其 「瞭解更多」 連結來開啟該內容。

下列 Windows 設定檔的設定詳細資料會套用至這些已取代的設定檔。

BitLocker – 基本設定

  • 為作業系統和固定資料磁碟機啟用完整磁碟加密 CSP: BitLocker - RequireDeviceEncryption

    如果磁碟機在套用此原則之前已加密,則不會採取任何額外動作。 如果加密方法和選項符合此原則的加密方法和選項,則組態應該會傳回成功。 如果就地 BitLocker 組態選項不符合此原則,組態可能會傳回錯誤。

    若要將此原則套用至已加密的磁碟,請解密磁碟驅動器,然後重新套用 MDM 原則。 Windows 預設值是不需要 BitLocker 磁碟機加密。 不過Microsoft Entra在加入和Microsoft帳戶 (MSA) 註冊/登入時,可以套用在 XTS-AES 128 位加密啟用 BitLocker。

    • 未設定 (預設) - 不會強制執行 BitLocker。
    • - 強制使用 BitLocker。

  • 要求儲存卡加密,僅限行動裝置 () CSP:BitLocker - RequireStorageCardEncryption

    此設定僅適用於 Windows Mobile 和 Mobile Enterprise SKU 裝置。

    • 未設定 (預設) - 設定會回到作業系統預設值,即不需要儲存卡加密。
    • - 行動裝置需要對儲存卡進行加密。

    注意事項

    Windows 10 行動裝置版Windows Phone 8.1 的支援已於 2020 年 8 月結束。

  • 隱藏有關第三方加密的提示 CSP: BitLocker - AllowWarningForOtherDiskEncryption

    如果在已由第三方加密產品加密的系統上啟用 BitLocker,可能會使裝置無法使用。 可能會發生數據丟失,您可能需要重新安裝 Windows。 強烈建議永遠不要在已安裝或啟用第三方加密的裝置上啟用 BitLocker。

    根據預設,BitLocker 安裝精靈會提示使用者確認沒有第三方加密。

    • 未設定 (預設) – BitLocker 安裝精靈會顯示警告,並提示使用者確認沒有第三方加密。
    • - 對使用者隱藏 BitLocker 安裝精靈提示。

    如果需要 BitLocker 無訊息啟用功能,則必須隱藏第三方加密警告,因為任何必要的提示都會中斷無訊息啟用工作流程。

    當設定為 時,您可以設定下列設定:

    • 允許標準使用者在 Autopilot 自動輔助駕駛期間啟用加密 CSP: BitLocker - AllowStandardUserEncryption

      • 未設定 (預設) – 設定會保留為用戶端預設值,這需要本機系統管理員存取權才能啟用 BitLocker。
      • - 在 Microsoft Entra 加入無訊息啟用案例期間,使用者不需要是本機系統管理員即可啟用 BitLocker。

      針對非無訊息啟用和 Windows Autopilot 案例,使用者必須是本機系統管理員,才能完成 BitLocker 安裝精靈。

  • 設定用戶端驅動的修復密碼輪替 CSP: BitLocker - ConfigureRecoveryPasswordRotation

    新增公司帳戶 (AWA,正式名稱為 Workplace Joined) 裝置不支援金鑰輪替。

    • 未設定 (預設) – 用戶端不會輪替 BitLocker 修復金鑰。
    • Disabled
    • Microsoft Entra 聯結的裝置
    • Microsoft Entra 混合式聯結裝置

BitLocker - 固定磁碟機設定

  • BitLocker 固定磁碟驅動器原則 CSP: BitLocker - EncryptionMethodByDriveType

    • 固定磁碟機復原 CSP: BitLocker - FixedDrivesRecoveryOptions

      控制在沒有必要啟動金鑰資訊的情況下,如何復原受 BitLocker 保護的固定資料磁碟驅動器。

      • 未設定 (預設) - 支援預設復原選項,包括資料復原代理程式 (DRA) 。 使用者可以指定復原選項,而且復原資訊不會備份至 Microsoft Entra。
      • 設定 — 啟用存取以設定各種磁碟機復原技術。

      當設定為 [設定] 時,可以使用下列設定:

      • 使用者建立修復金鑰

        • 已封鎖 (預設)
        • Required
        • 允許

      • 設定 BitLocker 復原套件

        • 密碼和金鑰 (預設) - 包含系統管理員和使用者用來解除鎖定受保護磁碟驅動器的 BitLocker 修復密碼,以及系統管理員在 Active Directory 中用於數據復原目的的修復金鑰套件。
        • 僅限密碼 - 需要時可能無法存取復原金鑰套件。

      • 要求裝置將復原資訊備份至 Microsoft Entra

        • 未設定 (預設) - 即使將修復金鑰備份至 Microsoft Entra ID 失敗,BitLocker 啟用也會完成。 這可能會導致不會在外部儲存任何回復資訊。
        • - BitLocker 不會完成啟用,直到修復金鑰成功儲存至 Microsoft Entra 為止。

      • 使用者建立修復密碼

        • 已封鎖 (預設)
        • Required
        • 允許

      • 在 BitLocker 設定期間隱藏復原選項

        • 未設定 (預設) - 允許使用者存取額外的復原選項。
        • - 封鎖終端使用者選擇額外的復原選項,例如在 BitLocker 安裝精靈期間列印復原金鑰。

      • 在恢復信息存儲後啟用 BitLocker

        • 未設定 (預設)
        • - 藉由將此設定為 [是],BitLocker 復原資訊會儲存至 Active Directory 網域服務。

      • 封鎖 DRA) (使用憑證型資料復原代理程式

        • 未設定 (預設) - 允許設定 DRA 的使用。 設定 DRA 需要企業 PKI 和群組原則物件來部署 DRA 代理程式和憑證。
        • - 封鎖使用 Data Recovery Agent (DRA) 來復原已啟用 BitLocker 的磁碟驅動器的能力。

    • 封鎖對不受 BitLocker 保護的固定資料磁碟驅動器的寫入存取 CSP: BitLocker - FixedDrivesRequireEncryptionBitLocker 固定磁碟驅動器原則 設定為 [設定] 時,此設定可供使用。

      • 未設定 (預設) - 資料可以寫入未加密的固定磁碟機。
      • - Windows 不允許將任何資料寫入未受 BitLocker 保護的固定磁碟驅動器。 如果固定磁碟驅動器未加密,使用者必須先完成磁碟驅動器的 BitLocker 安裝精靈,才能授與寫入存取權。

    • 設定固定資料磁碟機的加密方法 CSP: BitLocker - EncryptionMethodByDriveType

      設定固定資料磁碟機磁碟的加密方法和密碼強度。 XTS- AES 128位 元是Windows預設加密方法和建議值。

      • 未設定 (預設)
      • AES 128 位元 CBC
      • AES 256 位元 CBC
      • AES 128 位元 XTS
      • AES 256 位元 XTS

BitLocker - OS 磁碟機設定

  • BitLocker 系統磁碟機原則 CSP: BitLocker - EncryptionMethodByDriveType

    • 設定 (預設)
    • 未設定

    設定為 [設定] 時,您可以設定下列設定:

    • 需要啟動驗證 CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • 未設定 (預設)
      • - 在系統啟動時設定其他驗證需求,包括使用信任平台模組 (TPM) 或啟動 PIN 需求。

      當設定為 時,您可以設定下列設定:

      • 相容的 TPM 啟動 CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        建議需要 BitLocker 的 TPM。 此設定僅在第一次啟用 BitLocker 時適用,如果已啟用 BitLocker,則不會有任何作用。

        • 封鎖 (預設) - BitLocker 不會使用 TPM。
        • 必要 - 只有在 TPM 存在且可用時,才會啟用 BitLocker。
        • 允許 - BitLocker 會使用 TPM (如果存在)。

      • 相容的 TPM 啟動 PIN 碼CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 已封鎖 (預設) - 封鎖使用 PIN。
        • 必要 - 需要 PIN 和 TPM 才能啟用 BitLocker。
        • 允許 - BitLocker 會使用 TPM (如果存在),並允許使用者設定啟動 PIN。

        對於無訊息啟用案例,您必須將此設定為 [已封鎖]。 當需要使用者互動時,包含 Windows Autopilot) 的無訊息啟用案例 (將不會成功。

      • 相容的 TPM 啟動金鑰 CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 封鎖 (預設) - 封鎖啟動金鑰的使用。
        • 必要 - 需要啟動金鑰和 TPM 才能啟用 BitLocker。
        • 允許 - BitLocker 會使用 TPM (如果存在),並允許啟動金鑰 ((例如 USB 磁碟驅動器) 存在) 來解除鎖定磁碟驅動器。

        對於無訊息啟用案例,您必須將此設定為 [已封鎖]。 當需要使用者互動時,包含 Windows Autopilot) 的無訊息啟用案例 (將不會成功。

      • 相容的 TPM 啟動金鑰和 PIN CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 封鎖 (預設) - 封鎖使用啟動金鑰和 PIN 組合。
        • 必要 - 需要 BitLocker 具有啟動金鑰和 PIN 才能啟用。
        • 允許 - BitLocker 會使用 TPM (如果存在),並允許啟動金鑰) 和 PIN 組合。

        對於無訊息啟用案例,您必須將此設定為 [已封鎖]。 當需要使用者互動時,包含 Windows Autopilot) 的無訊息啟用案例 (將不會成功。

      • 在 TPM 不相容的裝置上停用 BitLocker CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        如果沒有 TPM,BitLocker 需要密碼或 USB 磁碟驅動器才能啟動。

        此設定僅在第一次啟用 BitLocker 時適用,如果已啟用 BitLocker,則不會有任何作用。

        • 未設定 (預設)
        • - 封鎖 BitLocker 在沒有相容 TPM 晶片的情況下設定。

      • 啟用開機前復原訊息和 url CSP: BitLocker - SystemDrivesRecoveryMessage設定

        • 未設定 (預設) – 使用預設的 BitLocker 開機前復原資訊。
        • — 啟用自訂開機前復原訊息和 URL 的設定,以協助使用者瞭解如何尋找其復原密碼。 當使用者在復原模式中鎖定電腦時,會看到開機前訊息和 URL。

        當設定為 時,您可以設定下列設定:

        • 開機前恢復消息 指定自訂開機前復原訊息。

        • 開機前復原 URL 指定自訂開機前復原 URL。

      • 系統磁碟機恢復 CSP: BitLocker - SystemDrivesRecoveryOptions

        • 未設定 (預設)
        • 設定 - 啟用其他設定的設定。

        當設定為 [設定] 時,可以使用下列設定:

        • 使用者建立修復金鑰

          • 已封鎖 (預設)
          • Required
          • 允許

        • 設定 BitLocker 復原套件

          • 密碼和金鑰 (預設) - 包含系統管理員和使用者用來解除鎖定受保護磁碟驅動器的 BitLocker 修復密碼,以及系統管理員用於 Active Directory 中) 數據復原目的的修復金鑰套件。
          • 僅限密碼 - 需要時可能無法存取復原金鑰套件。

        • 要求裝置將復原資訊備份至 Microsoft Entra

          • 未設定 (預設) - 即使將修復金鑰備份至 Microsoft Entra ID 失敗,BitLocker 啟用也會完成。 這可能會導致不會在外部儲存任何回復資訊。
          • - BitLocker 不會完成啟用,直到修復金鑰成功儲存至 Microsoft Entra 為止。

        • 使用者建立修復密碼

          • 已封鎖 (預設)
          • Required
          • 允許

        • 在 BitLocker 設定期間隱藏復原選項

          • 未設定 (預設) - 允許使用者存取額外的復原選項。
          • - 封鎖終端使用者選擇額外的復原選項,例如在 BitLocker 安裝精靈期間列印復原金鑰。

        • 在恢復信息存儲後啟用 BitLocker

          • 未設定 (預設)
          • - 藉由將此設定為 [是],BitLocker 復原資訊會儲存至 Active Directory 網域服務。

        • 封鎖 DRA) (使用憑證型資料復原代理程式

          • 未設定 (預設) - 允許設定 DRA 的使用。 設定 DRA 需要企業 PKI 和群組原則物件來部署 DRA 代理程式和憑證。
          • - 封鎖使用 Data Recovery Agent (DRA) 來復原已啟用 BitLocker 的磁碟驅動器的能力。

      • 最小 PIN 碼長度 CSP: BitLocker - SystemDrivesMinimumPINLength

        在啟用 BitLocker 期間需要 TPM + PIN 時,指定啟動 PIN 長度下限。 PIN 碼長度必須介於 4 到 20 位數之間。

        如果您未設定此設定,使用者可以設定任何長度的啟動 PIN 碼,介於 4 到 20 位數之間 ()

        此設定僅在第一次啟用 BitLocker 時適用,如果已啟用 BitLocker,則不會有任何作用。

    • 設定作業系統磁碟機的加密方法 CSP: BitLocker - EncryptionMethodByDriveType

      設定作業系統磁碟機的加密方法和密碼強度。 XTS- AES 128位 元是Windows預設加密方法和建議值。

      • 未設定 (預設)
      • AES 128 位元 CBC
      • AES 256 位元 CBC
      • AES 128 位元 XTS
      • AES 256 位元 XTS

BitLocker - 卸除式磁碟機設定

  • BitLocker 卸除式磁碟機原則 CSP: BitLocker - EncryptionMethodByDriveType

    • 未設定 (預設)
    • 設定

    設定為 [設定] 時,您可以設定下列設定。

    • 設定抽取式資料磁碟機的加密方法 CSP: BitLocker - EncryptionMethodByDriveType

      為抽取式資料磁碟機磁碟選取所需的加密方法。

      • 未設定 (預設)
      • AES 128 位元 CBC
      • AES 256 位元 CBC
      • AES 128 位元 XTS
      • AES 256 位元 XTS

    • 封鎖不受 BitLocker 保護的卸除式資料磁碟驅動器的寫入存取 CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未設定 (預設) - 資料可以寫入未加密的卸除式磁碟機。
      • - Windows 不允許將資料寫入未受 BitLocker 保護的卸除式磁碟驅動器。 如果插入的抽取式磁碟驅動器未加密,使用者必須先完成 BitLocker 安裝精靈,才能將寫入存取權授與磁碟驅動器。

    • 封鎖對其他組織中設定的裝置的寫入存取權 CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未設定 (預設) - 可以使用任何 BitLocker 加密磁碟驅動器。
      • - 封鎖抽取式磁碟機的寫入存取,除非它們已在貴組織擁有的電腦上加密。

後續步驟

磁碟加密的端點安全性原則

  • Last updated on