Con Windows Autopilot, le impostazioni di crittografia di BitLocker possono essere configurate per l'applicazione prima dell'avvio della crittografia automatica. Questa configurazione assicura che l'algoritmo o il tipo di crittografia predefinito non venga applicato automaticamente. Un dispositivo che riceve queste impostazioni dopo la crittografia automatica deve essere decrittografato prima di modificare l'algoritmo di crittografia.
Algoritmo di crittografia
BitLocker usa l'algoritmo di crittografia BitLocker specificato quando BitLocker è abilitato per la prima volta. Durante Autopilot, BitLocker verrà abilitato dopo la parte relativa alla configurazione del dispositivo della pagina di stato della registrazione. Sono disponibili gli algoritmi di crittografia seguenti:
AES-CBC a 128 bit.
AES-CBC a 256 bit.
XTS-AES a 128 bit (impostazione predefinita).
XTS-AES a 256 bit.
Per altre informazioni sugli algoritmi di crittografia consigliati da usare, vedere Provider di servizi di configurazione BitLocker (CSP).
Per assicurarsi che l'algoritmo di crittografia BitLocker desiderato sia impostato prima che si verifichi la crittografia automatica per i dispositivi Autopilot:
Configurare le impostazioni del metodo di crittografia nei criteri di crittografia dei dischi di Endpoint Security. Le impostazioni sono disponibili in Endpoint Security Disk encryption Create policy Platform = Windows 10 e versioni successive, Profile type = BitLocker.The settings are available under Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 and later, Profile type = BitLocker.
Assegnare i criteri al gruppo di dispositivi Autopilot. I criteri di crittografia devono essere assegnati ai dispositivi del gruppo, non agli utenti.
Abilitare la pagina dello stato di registrazione di Autopilot per questi dispositivi. Se questa funzionalità non è abilitata, i criteri non vengono applicati prima dell'avvio della crittografia.
Crittografia completa del disco o del solo spazio utilizzato
Esistono due tipi di crittografia, il disco completo o solo spazio usato. La configurazione dell'abilitazione invisibile all'utente e del supporto hardware per lo standby moderno determina automaticamente il tipo di crittografia usata. Il tipo di crittografia usato può essere applicato configurando l'impostazione SystemDrivesEncryptionType . Analogamente all'algoritmo di crittografia, BitLocker usa il tipo di crittografia quando BitLocker è abilitato per la prima volta. Per altre informazioni sul comportamento previsto dei tipi di crittografia, vedere Gestire i criteri di BitLocker.
Per applicare il tipo di crittografia dell'unità usata:
Configurare l'impostazione Imponi tipo di crittografia unità nelle unità del sistema operativo nel catalogo delle impostazioni. Questa impostazione è disponibile nella categoria Modelli amministrativi Componenti >> di Windows BitLocker Unità crittografia > unità Unità del sistema operativo dalla selezione impostazioni.
Assegnare i criteri al gruppo di dispositivi Autopilot. I criteri di crittografia devono essere assegnati ai dispositivi del gruppo, non agli utenti.
Abilitare la pagina dello stato di registrazione di Autopilot per questi dispositivi. Se questa funzionalità non è abilitata, i criteri non vengono applicati prima dell'avvio della crittografia.
Pianificare ed eseguire una strategia di distribuzione degli endpoint, usando elementi essenziali della gestione moderna, approcci di co-gestione e l’integrazione di Microsoft Intune.