Nastavení zásad šifrování disků pro zabezpečení koncových bodů v Intune

  • Článek

Podívejte se na nastavení, která můžete nakonfigurovat v profilech pro zásady šifrování disku v uzlu Zabezpečení koncového bodu v Intune jako součást zásad zabezpečení koncového bodu.

Platí pro:

  • macOS
  • Windows 10/11

Podporované platformy a profily:

  • macOS:
    • Profil: FileVault
  • Windows 10 a novější:
    • Profil: BitLocker

FileVault

Šifrování

Povolit FileVault

  • Nenakonfigurováno (výchozí)

  • Ano – Na zařízeních se systémem macOS 10.13 a novějším povolte úplné šifrování disku pomocí XTS-AES 128 se službou FileVault. Funkce FileVault je povolená, když se uživatel odhlásí od zařízení.

    Když nastavíte ano, můžete pro FileVault nakonfigurovat další nastavení.

    • Typ obnovovacího klíče Pro zařízení se vytvoří obnovovací klíče osobního klíče. Nakonfigurujte pro osobní klíč následující nastavení:

      • Obměně osobního obnovovacího klíče
        Určete, jak často se bude osobní obnovovací klíč zařízení obměňovat. Můžete vybrat výchozí hodnotu Nenakonfigurováno nebo hodnotu 112 měsíců.
      • Popis umístění úschovy osobního obnovovacího klíče
        Zadejte krátkou zprávu pro uživatele, která vysvětluje, jak může načíst osobní obnovovací klíč. Uživatel uvidí tuto zprávu na přihlašovací obrazovce po zobrazení výzvy k zadání osobního obnovovacího klíče, pokud heslo zapomene.

    • Počet povolených vynechání
      Nastavte, kolikrát může uživatel ignorovat výzvy k povolení funkce FileVault, než se vyžaduje FileVault, aby se mohl přihlásit.

      • Nenakonfigurováno (výchozí) – Před povolením dalšího přihlášení se vyžaduje šifrování na zařízení.
      • 110 – Umožňuje uživateli ignorovat výzvu 1 až 10krát, než bude vyžadovat šifrování na zařízení.
      • Bez omezení, vždy se zobrazí výzva – Uživateli se zobrazí výzva k povolení funkce FileVault, ale šifrování se nikdy nevyžaduje.

    • Povolit odložení do odhlášení

      • Nenakonfigurováno (výchozí)
      • Ano – pozdržte výzvu k povolení služby FileVault, dokud se uživatel neodhlásí.

    • Zakázat výzvu při odhlášení
      Zabrání zobrazení výzvy uživateli, který požádá o povolení služby FileVault, když se odhlásí. Pokud je nastavená možnost Zakázat, výzva při odhlášení je zakázaná a místo toho se uživateli zobrazí výzva při přihlášení.

      • Nenakonfigurováno (výchozí)
      • Ano – zakažte výzvu k povolení funkce FileVault, která se zobrazí při odhlášení.

    • Skrýt obnovovací klíč
      Během šifrování skryjte osobní obnovovací klíč před uživatelem zařízení s macOS. Po zašifrování disku může uživatel pomocí libovolného zařízení zobrazit svůj osobní obnovovací klíč prostřednictvím webu Portál společnosti Intune nebo aplikace portálu společnosti na podporované platformě.

      • Nenakonfigurováno (výchozí)
      • Ano – Skryjte osobní obnovovací klíč během šifrování zařízení.

Bitlocker

Poznámka

Tento článek podrobně popisuje nastavení, která najdete v profilech Nástroje BitLocker vytvořených před 19. červnem 2023 pro Windows 10 a novější platformu pro zásady šifrování disků zabezpečení koncového bodu. 19. června 2023 se profil Windows 10 a novější aktualizoval tak, aby používal nový formát nastavení, který najdete v katalogu nastavení. Díky této změně už nebudete moct vytvářet nové verze starého profilu a už se nevyvíjí. I když už nemůžete vytvářet nové instance staršího profilu, můžete pokračovat v úpravách a používání jeho instancí, které jste vytvořili dříve.

U profilů, které používají nový formát nastavení, už Intune neudržuje seznam jednotlivých nastavení podle názvu. Místo toho se názvy jednotlivých nastavení, jejich možnosti konfigurace a vysvětlující text, který se zobrazí v centru pro správu Microsoft Intune, převzaty přímo z autoritativního obsahu nastavení. Tento obsah může poskytnout další informace o použití nastavení ve správném kontextu. Při prohlížení textu s informacemi o nastavení můžete tento obsah otevřít pomocí odkazu Další informace .

Následující podrobnosti o nastavení profilů Windows platí pro tyto zastaralé profily.

BitLocker – základní nastavení

  • Povolení šifrování celého disku pro operační systém a pevné datové jednotky
    CSP: BitLocker – RequireDeviceEncryption

    Pokud byla jednotka zašifrovaná před uplatněním této zásady, neprovedou se žádné další akce. Pokud metoda šifrování a možnosti odpovídají této zásadě, měla by konfigurace vrátit úspěch. Pokud místní možnost konfigurace nástroje BitLocker neodpovídá této zásadě, konfigurace pravděpodobně vrátí chybu.

    Pokud chcete tuto zásadu použít na již šifrovaný disk, dešifrujte jednotku a znovu použijte zásadu MDM. Systém Windows ve výchozím nastavení nevyžaduje šifrování jednotky nástrojem BitLocker. Na Microsoft Entra připojení a registraci účtu Microsoft (MSA) a automatické šifrování může použít povolení nástroje BitLocker u 128bitového šifrování XTS-AES.

    • Nenakonfigurováno (výchozí) – Neprobíhá žádné vynucování nástroje BitLocker.
    • Ano – vynucujte používání nástroje BitLocker.

  • Vyžadovat šifrování paměťových karet (jenom mobilní zařízení)
    CSP: BitLocker – RequireStorageCardEncryption

    Toto nastavení platí jenom pro zařízení se skladovou položkou Windows Mobile a Mobile Enterprise.

    • Nenakonfigurováno (výchozí) – Nastavení se vrátí do výchozího nastavení operačního systému, které nevyžaduje šifrování paměťové karty.
    • Ano – u mobilních zařízení se vyžaduje šifrování na paměťových kartách.

    Poznámka

    Podpora pro Windows 10 Mobile a Windows Phone 8.1 skončila v srpnu 2020.

  • Skrýt výzvu k šifrování třetí strany
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Pokud je nástroj BitLocker povolený v systému, který už je šifrovaný šifrovacím produktem jiného výrobce, může zařízení být nepoužitelné. Může dojít ke ztrátě dat a možná budete muset přeinstalovat Windows. Důrazně doporučujeme nikdy nepovolovat nástroj BitLocker na zařízení s nainstalovaným nebo povoleným šifrováním třetích stran.

    Průvodce nastavením bitlockeru ve výchozím nastavení vyzve uživatele, aby potvrdili, že není k dispozici žádné šifrování třetích stran.

    • Nenakonfigurováno (výchozí) – Průvodce nastavením nástroje BitLocker zobrazí upozornění a vyzve uživatele, aby potvrdili, že neexistuje šifrování třetí strany.
    • Ano – Skryjte uživatelům výzvu průvodce nastavením nástroje BitLocker.

    Pokud jsou vyžadovány funkce tichého povolení nástroje BitLocker, musí být upozornění šifrování třetí strany skryté, protože všechny požadované výzvy přeruší pracovní postupy tichého povolení.

    Pokud je nastavená možnost Ano, můžete nakonfigurovat následující nastavení:

    • Povolit standardním uživatelům povolit šifrování během Autopilotu
      CSP: BitLocker – AllowStandardUserEncryption

      • Nenakonfigurováno (výchozí) – Nastavení je ponecháno jako výchozí nastavení klienta, které vyžaduje přístup místního správce k povolení nástroje BitLocker.
      • Ano – během Microsoft Entra scénářů tichého povolení nemusí být uživatelé místní správci, aby povolili Nástroj BitLocker.

      V případě bezobslužných scénářů povolení a Autopilotu musí být uživatel místním správcem, aby mohl dokončit průvodce nastavením nástroje BitLocker.

  • Konfigurace obměně hesel pro obnovení na základě klienta
    CSP: BitLocker – ConfigureRecoveryPasswordRotation

    Zařízení s přidáním pracovního účtu (AWA, formálně připojená k pracovišti) nejsou pro obměnu klíčů podporovaná.

    • Nenakonfigurováno (výchozí) – Klient neobmění obnovovací klíče nástroje BitLocker.
    • Zakázáno
    • Microsoft Entra připojená zařízení
    • Microsoft Entra hybridních zařízení

BitLocker – pevné nastavení jednotky

  • Zásady pevných jednotek nástroje BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Oprava obnovení jednotky
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Řídit způsob obnovení pevných datových jednotek chráněných bitlockerem v případě, že nejsou k dispozici požadované informace o spouštěcím klíči.

      • Nenakonfigurováno (výchozí) – Podporují se výchozí možnosti obnovení, včetně agenta obnovení dat (DRA). Koncový uživatel může zadat možnosti obnovení a informace o obnovení se nezálohují do Microsoft Entra.
      • Konfigurovat – Povolte přístup ke konfiguraci různých technik obnovení jednotek.

      Při nastavení na Konfigurovat jsou k dispozici následující nastavení:

      • Vytvoření obnovovacího klíče uživatelem

        • Blokované (výchozí)
        • Povinný
        • Povoleno

      • Konfigurace balíčku pro obnovení nástroje BitLocker

        • Heslo a klíč (výchozí) – Zahrňte jak heslo nástroje BitLocker pro obnovení, které používají správci a uživatelé k odemknutí chráněných jednotek, tak balíčky obnovovacích klíčů, které správci používají pro účely obnovení dat ve službě Active Directory.
        • Pouze heslo – Balíčky obnovovacích klíčů nemusí být v případě potřeby přístupné.

      • Vyžadovat, aby zařízení zálohovaly informace o obnovení do Microsoft Entra

        • Nenakonfigurováno (výchozí) – Povolení nástroje BitLocker se dokončí i v případě, že se nezdaří zálohování obnovovacího klíče do Microsoft Entra ID. To může vést k tomu, že se externě neukládají žádné informace o obnovení.
        • Ano – Nástroj BitLocker nedokončí povolení, dokud se obnovovací klíče úspěšně neuloží do Microsoft Entra.

      • Vytvoření hesla pro obnovení uživatelem

        • Blokované (výchozí)
        • Povinný
        • Povoleno

      • Skrytí možností obnovení během instalace nástroje BitLocker

        • Nenakonfigurováno (výchozí) – Povolí uživateli přístup k dalším možnostem obnovení.
        • Ano – Zablokuje koncovému uživateli výběr dalších možností obnovení, jako je tisk obnovovacích klíčů, během průvodce nastavením nástroje BitLocker.

      • Povolení ukládání informací nástroje BitLocker po obnovení

        • Nenakonfigurováno (výchozí)
        • Ano – Když tuto možnost nastavíte na Ano, informace o obnovení nástroje BitLocker se uloží do Active Directory Domain Services.

      • Blokování použití agenta obnovení dat založeného na certifikátech (DRA)

        • Nenakonfigurováno (výchozí) – Povolí nastavení použití dra. Nastavení dra vyžaduje podnikovou infrastrukturu veřejných klíčů a objektů Zásady skupiny k nasazení agenta DRA a certifikátů.
        • Ano – Zablokujte možnost použití agenta obnovení dat (DRA) k obnovení jednotek s povoleným nástrojem BitLocker.

    • Blokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker
      CSP: BitLocker – FixedDrivesRequireEncryption
      Toto nastavení je dostupné, když je zásada pevných jednotek nástroje BitLocker nastavená na Konfigurovat.

      • Nenakonfigurováno (výchozí) – Data je možné zapisovat na nešifrované pevné jednotky.
      • Ano – Systém Windows nepovolí zápis dat na pevné jednotky, které nejsou chráněné nástrojem BitLocker. Pokud pevná jednotka není zašifrovaná, bude uživatel muset před udělením přístupu k zápisu dokončit průvodce nastavením nástroje BitLocker pro danou jednotku.

    • Konfigurace metody šifrování pro pevné datové jednotky
      CSP: BitLocker – EncryptionMethodByDriveType

      Nakonfigurujte metodu šifrování a sílu šifry pro disky s pevnými datovými jednotkami. XTS – 128bitová verze AES je výchozí metoda šifrování Windows a doporučená hodnota.

      • Nenakonfigurováno (výchozí)
      • AES 128bitová verze CBC
      • AES 256bitová verze CBC
      • AES 128bitová verze XTS
      • AES 256bitová verze XTS

BitLocker – Nastavení jednotky operačního systému

  • Zásady systémové jednotky nástroje BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Konfigurace (výchozí)
    • Nenakonfigurováno

    Pokud je nastavená možnost Konfigurovat , můžete nakonfigurovat následující nastavení:

    • Vyžaduje se ověřování při spuštění.
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Nenakonfigurováno (výchozí)
      • Ano – Nakonfigurujte další požadavky na ověřování při spuštění systému, včetně použití čipu TPM (Trusted Platform Module) nebo požadavků na spouštěcí PIN kód.

      Když nastavíte ano, můžete nakonfigurovat následující nastavení:

      • Kompatibilní spuštění čipu TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Doporučuje se vyžadovat čip TPM pro BitLocker. Toto nastavení platí jenom při prvním povolení nástroje BitLocker a nemá žádný vliv, pokud je nástroj BitLocker už povolený.

        • Blokované (výchozí) – BitLocker nepoužívá čip TPM.
        • Povinné – BitLocker povolí pouze v případě, že je čip TPM k dispozici a je použitelný.
        • Povoleno – BitLocker použije čip TPM, pokud je k dispozici.

      • Kompatibilní spouštěcí PIN kód TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blokované (výchozí) – Zablokuje použití PIN kódu.
        • Povinné – Vyžaduje přítomnost PIN kódu a čipu TPM, aby bylo možné povolit Nástroj BitLocker.
        • Povoleno – BitLocker použije čip TPM, pokud je k dispozici, a povolí konfiguraci spouštěcího PIN kódu uživatelem.

        V případě scénářů s tichým povolením musíte tuto možnost nastavit na Hodnotu Blokované. Scénáře s tichým povolením (včetně Autopilotu) nebudou úspěšné, pokud je vyžadována interakce uživatele.

      • Kompatibilní spouštěcí klíč TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blokované (výchozí) – Zablokuje použití spouštěcích klíčů.
        • Povinné – Vyžaduje, aby byl k dispozici spouštěcí klíč a čip TPM pro povolení nástroje BitLocker.
        • Povoleno – BitLocker použije čip TPM, pokud je k dispozici, a povolí, aby byl k odemknutí jednotek dostupný spouštěcí klíč (například jednotka USB).

        V případě scénářů s tichým povolením musíte tuto možnost nastavit na Hodnotu Blokované. Scénáře s tichým povolením (včetně Autopilotu) nebudou úspěšné, pokud je vyžadována interakce uživatele.

      • Kompatibilní spouštěcí klíč a PIN kód TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blokované (výchozí) – Zablokuje použití kombinace spouštěcího klíče a PIN kódu.
        • Povinné – Vyžaduje, aby bitlocker měl spouštěcí klíč a PIN kód, aby byl povolený.
        • Povoleno – BitLocker používá čip TPM, pokud je k dispozici, a povoluje kombinaci spouštěcího klíče) a PIN kódu.

        V případě scénářů s tichým povolením musíte tuto možnost nastavit na Hodnotu Blokované. Scénáře s tichým povolením (včetně Autopilotu) nebudou úspěšné, pokud je vyžadována interakce uživatele.

      • Zakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Pokud čip TPM neexistuje, BitLocker vyžaduje pro spuštění heslo nebo USB flash disk.

        Toto nastavení platí jenom při prvním povolení nástroje BitLocker a nemá žádný vliv, pokud je nástroj BitLocker už povolený.

        • Nenakonfigurováno (výchozí)
        • Ano – Zablokuje konfiguraci nástroje BitLocker bez kompatibilního čipu TPM.

      • Povolení zprávy a adresy URL pro obnovení před restartováním
        CSP: BitLocker – Konfigurace SystemDrivesRecoveryMessage

        • Nenakonfigurováno (výchozí) – Použijte výchozí informace o obnovení nástroje BitLocker před spuštěním.
        • Ano – Povolte konfiguraci vlastní zprávy o obnovení před spuštěním a adresy URL, abyste uživatelům pomohli pochopit, jak najít heslo pro obnovení. Zprávu před spuštěním a adresu URL uvidí uživatelé, když mají počítač uzamčený v režimu obnovení.

        Když nastavíte ano, můžete nakonfigurovat následující nastavení:

        • Zpráva o obnovení před restartováním
          Zadejte vlastní zprávu o obnovení před spuštěním.

        • Adresa URL pro obnovení před restartováním
          Zadejte vlastní adresu URL pro obnovení před spuštěním.

      • Obnovení systémové jednotky
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Nenakonfigurováno (výchozí)
        • Konfigurace – Povolí konfiguraci dalších nastavení.

        Při nastavení na Konfigurovat jsou k dispozici následující nastavení:

        • Vytvoření obnovovacího klíče uživatelem

          • Blokované (výchozí)
          • Povinný
          • Povoleno

        • Konfigurace balíčku pro obnovení nástroje BitLocker

          • Heslo a klíč (výchozí) – Zahrňte heslo pro obnovení nástroje BitLocker, které používají správci a uživatelé k odemknutí chráněných jednotek, a balíčky obnovovacích klíčů, které správci používají pro účely obnovení dat), ve službě Active Directory.
          • Pouze heslo – Balíčky obnovovacích klíčů nemusí být v případě potřeby přístupné.

        • Vyžadovat, aby zařízení zálohovaly informace o obnovení do Microsoft Entra

          • Nenakonfigurováno (výchozí) – Povolení nástroje BitLocker se dokončí i v případě, že se nezdaří zálohování obnovovacího klíče do Microsoft Entra ID. To může vést k tomu, že se externě neukládají žádné informace o obnovení.
          • Ano – Nástroj BitLocker nedokončí povolení, dokud se obnovovací klíče úspěšně neuloží do Microsoft Entra.

        • Vytvoření hesla pro obnovení uživatelem

          • Blokované (výchozí)
          • Povinný
          • Povoleno

        • Skrytí možností obnovení během instalace nástroje BitLocker

          • Nenakonfigurováno (výchozí) – Povolí uživateli přístup k dalším možnostem obnovení.
          • Ano – Zablokuje koncovému uživateli výběr dalších možností obnovení, jako je tisk obnovovacích klíčů, během průvodce nastavením nástroje BitLocker.

        • Povolení ukládání informací nástroje BitLocker po obnovení

          • Nenakonfigurováno (výchozí)
          • Ano – Když tuto možnost nastavíte na Ano, informace o obnovení nástroje BitLocker se uloží do Active Directory Domain Services.

        • Blokování použití agenta obnovení dat založeného na certifikátech (DRA)

          • Nenakonfigurováno (výchozí) – Povolí nastavení použití dra. Nastavení dra vyžaduje podnikovou infrastrukturu veřejných klíčů a objektů Zásady skupiny k nasazení agenta DRA a certifikátů.
          • Ano – Zablokujte možnost použití agenta obnovení dat (DRA) k obnovení jednotek s povoleným nástrojem BitLocker.

      • Minimální délka PIN kódu
        CSP: BitLocker – SystemDrivesMinimumPINLength

        Zadejte minimální délku spouštěcího PIN kódu, pokud se při povolování BitLockeru vyžaduje čip TPM + PIN. Délka PIN kódu musí být mezi 4 a 20 číslicemi.

        Pokud toto nastavení nenakonfigurujete, můžou uživatelé nakonfigurovat spouštěcí PIN kód libovolné délky (mezi 4 a 20 číslicemi).

        Toto nastavení platí jenom při prvním povolení nástroje BitLocker a nemá žádný vliv, pokud je nástroj BitLocker už povolený.

    • Konfigurace metody šifrování pro jednotky s operačním systémem
      CSP: BitLocker – EncryptionMethodByDriveType

      Nakonfigurujte metodu šifrování a sílu šifry pro jednotky s operačním systémem. XTS – 128bitová verze AES je výchozí metoda šifrování Windows a doporučená hodnota.

      • Nenakonfigurováno (výchozí)
      • AES 128bitová verze CBC
      • AES 256bitová verze CBC
      • AES 128bitová verze XTS
      • AES 256bitová verze XTS

BitLocker – vyměnitelná nastavení jednotky

  • Zásady vyměnitelné jednotky nástroje BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Nenakonfigurováno (výchozí)
    • Konfigurace

    Pokud je nastavená možnost Konfigurovat , můžete nakonfigurovat následující nastavení.

    • Konfigurace metody šifrování pro vyměnitelné datové jednotky
      CSP: BitLocker – EncryptionMethodByDriveType

      Vyberte požadovanou metodu šifrování pro vyměnitelné datové disky.

      • Nenakonfigurováno (výchozí)
      • AES 128bitová verze CBC
      • AES 256bitová verze CBC
      • AES 128bitová verze XTS
      • AES 256bitová verze XTS

    • Blokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker
      CSP: BitLocker – VyměnitelnédriveRequireEncryption

      • Nenakonfigurováno (výchozí) – Data je možné zapisovat na nešifrované vyměnitelné jednotky.
      • Ano – Systém Windows neumožňuje zápis dat na vyměnitelné jednotky, které nejsou chráněné nástrojem BitLocker. Pokud vložená vyměnitelná jednotka není zašifrovaná, musí uživatel před udělením oprávnění k zápisu k jednotce dokončit průvodce nastavením nástroje BitLocker.

    • Blokování přístupu k zápisu do zařízení nakonfigurovaných v jiné organizaci
      CSP: BitLocker – VyměnitelnédriveRequireEncryption

      • Nenakonfigurováno (výchozí) – Je možné použít libovolnou šifrovanou jednotku nástroje BitLocker.
      • Ano – Blokovat přístup k zápisu k vyměnitelným jednotkám, pokud nebyly zašifrované na počítači vlastněnému vaší organizací.

Další kroky

Zásady zabezpečení koncového bodu pro šifrování disků