Lemeztitkosítási szabályzat a végpontbiztonsághoz a Intune
Végpontbiztonság A lemeztitkosítási profilok csak azokra a beállításokra összpontosítanak, amelyek az eszközök beépített titkosítási módszeréhez kapcsolódnak, például a FileVault, a BitLocker és a Személyes adattitkosítás (Windows esetén). Ezzel a fókuszsal a biztonsági rendszergazdák egyszerűen kezelhetik a lemeztitkosítási beállításokat anélkül, hogy nem kapcsolódó beállítások között kellene navigálniuk.
Bár ugyanazokat az eszközbeállításokat az Endpoint Protection-profilok használatával konfigurálhatja az eszközkonfigurációhoz, az eszközkonfigurációs profilok más beállításkategóriákat is tartalmaznak. Ezek a beállítások nem kapcsolódnak a lemeztitkosításhoz, és bonyolíthatják a csak a lemeztitkosítás konfigurálásának feladatát.
Keresse meg a lemeztitkosítás végpontbiztonsági szabályzatait a Felügyelet területen, a Microsoft Intune Felügyeleti központVégpontbiztonsági csomópontjában.
A lemeztitkosítási szabályzat előfeltételei
- macOS – macOS 10.13 vagy újabb
- Windows – Windows 10
- Windows – Windows 11
Szerepköralapú hozzáférés-vezérlés (RBAC)
A lemeztitkosítási szabályzat Intune kezeléséhez szükséges engedélyek és jogosultságok megfelelő szintjének hozzárendelésével kapcsolatos útmutatásért lásd: Assign-role-based-access-controls-for-endpoint-security-policy.
Lemeztitkosítási profilok
macOS-profilok:
FileVault – A FileVault beépített teljes lemezes titkosítást biztosít macOS-eszközökhöz.
A MacOS FileVault-beállításainak kezelése.
FileVault-profil létrehozásához lásd: A FileVault lemeztitkosítás használata macOS rendszeren.
Windows-profilok:
BitLocker – A BitLocker meghajtótitkosítás egy adatvédelmi funkció, amely integrálható az operációs rendszerrel, és kezeli az adatlopás vagy az elveszett, ellopott vagy nem megfelelően leszerelt számítógépek veszélyeit.
Megjegyzés:
2023. június 19-től a Windows BitLocker profilja a Beállítások katalógusban található beállításformátum használatára frissült. Az új profilformátum ugyanazokat a beállításokat tartalmazza, mint a régebbi profil. Ezzel a módosítással már nem hozhatja létre a régi profilok új verzióit. A régi profil meglévő példányai továbbra is használhatók és szerkeszthetők maradnak.
Az új profilformátummal már nem teszünk közzé a profilban található beállítások dedikált listáját. Ehelyett használja a felhasználói felületen a További információ hivatkozást egy beállítás információinak megtekintésekor, és nyissa meg a BitLocker CSP-t a Windows dokumentációjában, ahol a beállítás részletes.
A beállítások listáját továbbra is megtalálhatja a 2023. június 19. előtt létrehozott eredeti BitLocker-profilokban a Intune dokumentációJának BitLocker-beállításai között.
Személyes adattitkosítás – A személyes adattitkosítás (PDE) mappaszinten titkosítja az adatokat, és a 22H2-es vagy újabb verziójú Windows 11 eszközökhöz érhető el. A PDE abban különbözik a BitLockertől, hogy teljes kötetek és lemezek helyett fájlokat titkosít. A PDE más titkosítási módszerek, például a BitLocker mellett történik. A BitLockertől eltérően, amely rendszerindításkor adja ki az adattitkosítási kulcsokat, a PDE addig nem ad ki adattitkosítási kulcsokat, amíg a felhasználó be nem jelentkezik Vállalati Windows Hello. A PDE a PDE CSP-t használja.
A PDE-ről , beleértve az előfeltételeket, a kapcsolódó követelményeket és javaslatokat, a Windows biztonsági dokumentációjának alábbi cikkeiben talál további információt:
BitLocker- vagy személyes adattitkosítási profil létrehozásához lásd: Lemeztitkosítás használata Windowshoz.
Eszköztitkosítás kezelése
Miután telepítette az eszközlemez titkosítására vonatkozó szabályzatot, a titkosítás kezelésével kapcsolatos információkért tekintse meg a következő cikkeket:
- Titkosítás kezelése Windows rendszeren
- Titkosítás kezelése macOS rendszeren
- Eszköztitkosítás monitorozása