Condividi tramite

Impostazione dell'algoritmo di crittografia BitLocker per i dispositivi Windows Autopilot

BitLocker crittografa automaticamente le unità interne durante l'esperienza predefinita (Configurazione guidata) per i dispositivi che supportano Modern Standby o soddisfano la specifica HSTI (Hardware Security Testability Specification). Per impostazione predefinita, BitLocker usa la crittografia del solo spazio utilizzato con XTS-AES a 128 bit per la crittografia automatica.

Con Windows Autopilot, le impostazioni di crittografia di BitLocker possono essere configurate per l'applicazione prima dell'avvio della crittografia automatica. Questa configurazione assicura che l'algoritmo o il tipo di crittografia predefinito non venga applicato automaticamente. Un dispositivo che riceve queste impostazioni dopo la crittografia automatica deve essere decrittografato prima di modificare l'algoritmo di crittografia.

Algoritmo di crittografia

BitLocker usa l'algoritmo di crittografia BitLocker specificato quando BitLocker è abilitato per la prima volta. Durante Windows Autopilot, BitLocker verrà abilitato dopo la parte relativa alla configurazione del dispositivo della pagina di stato della registrazione. Sono disponibili gli algoritmi di crittografia seguenti:

  • AES-CBC a 128 bit.
  • AES-CBC a 256 bit.
  • XTS-AES a 128 bit (impostazione predefinita).
  • XTS-AES a 256 bit.

Per altre informazioni sugli algoritmi di crittografia consigliati da usare, vedere Provider di servizi di configurazione BitLocker (CSP).

Crittografia completa del disco o del solo spazio utilizzato

Esistono due tipi di crittografia, il disco completo o solo spazio usato. La configurazione dell'abilitazione invisibile all'utente e del supporto hardware per lo standby moderno determina automaticamente il tipo di crittografia usata. Il tipo di crittografia usato può essere applicato configurando l'impostazione SystemDrivesEncryptionType . Analogamente all'algoritmo di crittografia, BitLocker usa il tipo di crittografia quando BitLocker è abilitato per la prima volta. Per altre informazioni sul comportamento previsto dei tipi di crittografia, vedere Gestire i criteri di BitLocker.

Configurare un criterio di BitLocker per i dispositivi Windows Autopilot

Per assicurarsi che l'algoritmo di crittografia BitLocker desiderato e la crittografia siano impostati prima che si verifichi la crittografia automatica per i dispositivi Windows Autopilot, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Nella schermata Home selezionare Sicurezza degli endpoint nel riquadro sinistro.

  3. Nella sicurezza degli endpoint | Schermata panoramica , espandere Gestisci e quindi selezionare Crittografia dischi.

  4. Nella sicurezza degli endpoint | Schermata di crittografia del disco . Selezionare + Crea criterio.

  5. Nella pagina Crea un profilo visualizzata:

    1. In Piattaforma selezionare Windows.

    2. In Profilo selezionare BitLocker.

    3. Selezionare il pulsante Crea .

  6. Nella pagina Informazioni di base della schermata Crea criteri immettere un nome e una descrizione facoltativa e quindi selezionare il pulsante Avanti .

  7. Nella pagina Impostazioni di configurazione configurare le varie impostazioni di BitLocker in base alle esigenze, incluse le impostazioni del metodo di crittografia e della crittografia e del tipo di crittografia :

    • Metodo di crittografia e crittografia

      1. Espandere la sezione Crittografia unità BitLocker .

      2. Per Scegliere il metodo di crittografia dell'unità e il livello di crittografia selezionare Abilitato.

      3. Per ognuno dei tipi di unità (unità dati fisse, unità del sistema operativo, unità dati rimovibili), selezionare il metodo di crittografia desiderato e la crittografia dal menu a discesa. Il valore predefinito per ogni tipo è XTS-AES a 128 bit.

    • Tipo di crittografia

      1. Espandere la sezione Unità del sistema operativo .

      2. Per Imponi tipo di crittografia unità nelle unità del sistema operativo selezionare Abilitato.

      3. Per Selezionare il tipo di crittografia dell'unità selezionare il tipo di crittografia desiderato, Crittografia completa o Crittografia solo spazio usato, dal menu a discesa. L'impostazione predefinita è Consenti all'utente di scegliere.

    Dopo aver configurato tutte le impostazioni di BitLocker come desiderato, selezionare il pulsante Avanti .

  8. Nella pagina Tag ambito selezionare il pulsante Avanti .

    Nota

    I tag di ambito sono facoltativi. Se è necessario specificare un tag di ambito personalizzato, eseguire questa operazione in questa pagina. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  9. Nella pagina Assegnazioni usare la casella di ricerca Cerca per nome gruppo... per trovare e aggiungere il gruppo di dispositivi Windows Autopilot. Dopo aver aggiunto il gruppo di dispositivi Windows Autopilot ed essere stato elencato in Gruppo, verificare che Il tipo di destinazione sia impostato su Includi e quindi selezionare il pulsante Avanti . Per altre informazioni sull'assegnazione di un criterio, vedere Assegnare criteri in Microsoft Intune.

    Importante

    Assicurarsi che il gruppo di dispositivi Windows Autopilot selezionato in questo passaggio sia un gruppo di dispositivi e non un gruppo di utenti.

  10. Nella pagina Rivedi e crea esaminare le impostazioni per verificare che siano configurate come desiderato e quindi selezionare il pulsante Salva .

  11. Configurare e assegnare una pagina stato di registrazione (ESP) per il dispositivo Windows Autopilot. Se un esp non è abilitato, i criteri di BitLocker non vengono applicati prima dell'avvio della crittografia. Per altre informazioni, vedere uno degli articoli seguenti:

Contenuto correlato