Zásady šifrování disků pro zabezpečení koncových bodů v Intune

Zabezpečení koncového bodu Profily šifrování disků se zaměřují jenom na nastavení, která jsou relevantní pro integrovanou metodu šifrování zařízení, jako jsou FileVault, BitLocker a Šifrování osobních dat (pro Windows). Díky tomuto zaměření můžou správci zabezpečení snadno spravovat nastavení šifrování disků, aniž by museli procházet řadu nesouvisejících nastavení.

I když můžete nakonfigurovat stejná nastavení zařízení pomocí profilů služby Endpoint Protection pro konfiguraci zařízení, konfigurační profily zařízení obsahují další kategorie nastavení. Tato další nastavení nesouvisejí s šifrováním disků a můžou komplikovat konfiguraci pouze šifrování disku.

Najděte zásady zabezpečení koncového bodu pro šifrování disků v části Spravovat v uzlu Zabezpečení koncového boduv Centru pro správu Microsoft Intune.

Požadavky na zásady šifrování disků

• macOS – macOS 10.13 nebo novější
• Windows – Windows 10
• Windows – Windows 11

Řízení přístupu na základě role (RBAC)

Pokyny k přiřazení správné úrovně oprávnění a práv ke správě zásad šifrování Intune disku najdete v tématu Assign-role-based-access-controls-for-endpoint-security-policy.

Profily šifrování disků

Profily macOS:

• FileVault – FileVault poskytuje integrované šifrování úplného disku pro zařízení s macOS.

  Správa nastavení FileVault pro macOS

  Pokud chcete vytvořit profil FileVault, přečtěte si téma Použití šifrování disku FileVault pro macOS.

Profily Windows:

• BitLocker – Nástroj BitLocker Drive Encryption je funkce ochrany dat, která se integruje s operačním systémem a řeší hrozby spojené s krádeží nebo odhalením dat ze ztracených, odcizených nebo nevhodně vyřazených počítačů z provozu.

  Poznámka

  Od 19. června 2023 se profil Nástroje BitLocker pro Windows aktualizoval tak, aby používal formát nastavení, který najdete v katalogu nastavení. Nový formát profilu obsahuje stejná nastavení jako starší profil. S touto změnou už nebudete moct vytvářet nové verze starých profilů. Vaše stávající instance starého profilu zůstanou dostupné k použití a úpravám.

  S novým formátem profilu už nebudeme publikovat vyhrazený seznam nastavení, který se nachází v profilu. Místo toho pomocí odkazu Další informace v uživatelském rozhraní při prohlížení informací o nastavení otevřete poskytovatele CSP nástroje BitLocker v dokumentaci k Windows, kde je nastavení podrobně popsáno.

  Seznam nastavení v původních profilech Nástroje BitLocker vytvořených před 19. červnem 2023 najdete v části Nastavení nástroje BitLocker v dokumentaci k Intune.

• Šifrování osobních dat – Šifrování osobních dat (PDE) šifruje data na úrovni složky a je dostupné pro zařízení, která používají Windows 11 verze 22H2 nebo novější. PdE se liší od BitLockeru tím, že šifruje soubory místo celých svazků a disků. PDE se vyskytuje kromě jiných metod šifrování, jako je BitLocker. Na rozdíl od BitLockeru, který vydává šifrovací klíče dat při spuštění, pde neuvolní šifrovací klíče dat, dokud se uživatel nepřihlásí pomocí Windows Hello pro firmy. PDE používá PDE CSP.

  Další informace o pde, včetně požadavků, souvisejících požadavků a doporučení, najdete v následujících článcích v dokumentaci k zabezpečení Windows:

  • Přehled PDE
  • Konfigurace PDE
  • Nejčastější dotazy k PDE

Pokud chcete vytvořit profil nástroje BitLocker nebo šifrování osobních dat, přečtěte si téma Použití šifrování disků ve Windows.

Správa šifrování zařízení

Po nasazení zásad pro šifrování disku zařízení najdete informace o správě šifrování v následujících článcích:

• Správa šifrování ve Windows
• Správa šifrování v macOS
• Monitorování šifrování zařízení

Další kroky

• Vytvoření šifrovacího profilu macOS
• Vytvoření šifrovacího profilu Windows