Gestire i criteri di BitLocker per i dispositivi Windows con Intune
Usare Intune per configurare Crittografia unità BitLocker nei dispositivi che eseguono Windows 10/11.
BitLocker è disponibile nei dispositivi che eseguono Windows 10/11. Alcune impostazioni per BitLocker richiedono che il dispositivo disponga di un TPM supportato.
Usare uno dei tipi di criteri seguenti per configurare BitLocker nei dispositivi gestiti:
Criteri di crittografia dei dischi di sicurezza degli endpoint per BitLocker. Il profilo BitLocker in Sicurezza degli endpoint è un gruppo incentrato di impostazioni dedicato alla configurazione di BitLocker.
Vedere le impostazioni di BitLocker disponibili nei profili BitLocker del criterio di crittografia dei dischi.
Profilo di configurazione del dispositivo per Endpoint Protection per BitLocker. Le impostazioni di BitLocker sono una delle categorie di impostazioni disponibili per la protezione degli endpoint di Windows 10/11.
Vedere le impostazioni di BitLocker disponibili per BitLocker nei profili di protezione degli endpoint del criterio di configurazione del dispositivo.
Consiglio
Intune fornisce un report di crittografia predefinito che presenta i dettagli sullo stato di crittografia dei dispositivi, in tutti i dispositivi gestiti. Dopo la crittografia di un dispositivo Windows con BitLocker da parte di Intune, è possibile visualizzare e gestire le chiavi di ripristino di BitLocker quando si visualizza il report di crittografia.
È anche possibile accedere a informazioni importanti per BitLocker dai dispositivi, come indicato in Azure Active Directory (Azure AD).
Autorizzazioni per gestire BitLocker
Per gestire BitLocker in Intune, l'account deve disporre delle autorizzazioni applicabili Intune controllo degli accessi in base al ruolo.
Di seguito sono riportate le autorizzazioni di BitLocker, che fanno parte della categoria Attività remote, e i ruoli predefiniti del controllo degli accessi in base al ruolo che concedono l'autorizzazione:
- Ruotare le chiavi di BitLocker
- Operatore help desk
Creare e distribuire criteri
Utilizzare una delle procedure seguenti per creare il tipo di criterio preferito.
Creare criteri di sicurezza degli endpoint per BitLocker
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Endpoint security> Disk encryptionCreate Policy (Crea criteri dicrittografia> dei dischi).
Impostare le opzioni seguenti:
- Piattaforma: Windows 10/11
- Profilo: BitLocker
Nella pagina Impostazioni di configurazione configurare le impostazioni per BitLocker per soddisfare le esigenze aziendali.
Selezionare Avanti.
Nella pagina Ambito (tag) scegliere Seleziona tag di ambito per aprire il riquadro Seleziona tag per assegnare tag di ambito al profilo.
Selezionare Avanti per continuare.
Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.
Selezionare Avanti.
Al termine, nella pagina Rivedi e crea scegliere Crea. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.
Creare un profilo di configurazione del dispositivo per BitLocker
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Dispositivi>Profili di configurazione>Crea profilo.
Impostare le opzioni seguenti:
- Piattaforma: Windows 10/11
- Tipo di profilo: Endpoint Protection
Nella pagina Impostazioni di configurazione espandere Crittografia Windows.
Configurare le impostazioni per BitLocker per soddisfare le esigenze aziendali.
Se si vuole abilitare BitLocker in modo invisibile all'utente, vedere Abilitare automaticamente BitLocker nei dispositivi, in questo articolo per altri prerequisiti e le configurazioni di impostazione specifiche che è necessario usare.
Selezionare Avanti per continuare.
Completare la configurazione delle impostazioni aggiuntive e quindi salvare il profilo.
Gestire BitLocker
Per visualizzare informazioni sui dispositivi che ricevono i criteri BitLocker, vedere Monitorare la crittografia del disco.
Abilitare automaticamente BitLocker nei dispositivi
È possibile configurare un criterio di BitLocker per abilitare automaticamente e in modo invisibile all'utente BitLocker in un dispositivo. Ciò significa che BitLocker viene abilitato correttamente senza presentare alcuna interfaccia utente all'utente finale, anche quando l'utente non è un amministratore locale nel dispositivo. È possibile usare il profilo BitLocker da un criterio di crittografia del disco di sicurezza degli endpoint o il modello di endpoint protection da un criterio di configurazione del dispositivo.
I dispositivi devono soddisfare i prerequisiti seguenti, ricevere le impostazioni applicabili per abilitare BitLocker automaticamente e non avere impostazioni incompatibili per il PIN o la chiave di avvio del TPM.
Prerequisiti del dispositivo
Un dispositivo deve soddisfare le condizioni seguenti per essere idoneo per l'abilitazione automatica di BitLocker:
- Se gli utenti finali accedono ai dispositivi come amministratori, il dispositivo deve eseguire Windows 10 versione 1803 o successiva o Windows 11.
- Se gli utenti finali accedono ai dispositivi come utenti standard, il dispositivo deve eseguire Windows 10 versione 1809 o successiva o Windows 11.
- Il dispositivo deve essere aggiunto ad Azure AD o aggiunto ad Azure AD ibrido.
- Il dispositivo deve contenere almeno TPM (Trusted Platform Module) 1.2.
- La modalità BIOS deve essere impostata solo su UEFI nativo.
Impostazioni necessarie per abilitare BitLocker automaticamente
A seconda del tipo di criterio usato per abilitare in modo invisibile all'utente BitLocker, configurare le impostazioni seguenti.
Criteri di crittografia dei dischi di sicurezza degli endpoint : configurare le impostazioni seguenti nel profilo BitLocker:
- Nascondi richiesta di crittografia = di terze parti Sì
- Consentire agli utenti standard di abilitare la crittografia durante Autopilot = Sì
- Richiedere la creazione di file di = chiave Consentito o bloccato
- Creazione password = di ripristino Consentito o obbligatorio
Avviso
Nei criteri di sicurezza degli endpoint alcune di queste impostazioni non sono visibili se *Autenticazione di avvio obbligatoria, Ripristino unità di sistema o Ripristino unità fissa sono impostate su Non configurato
Criteri di configurazione del dispositivo : configurare le impostazioni seguenti nel modello di Endpoint Protection o in un profilo di impostazioni personalizzato :
- Avviso per la crittografia = di altri dischi Blocca.
- Consentire agli utenti standard di abilitare la crittografia durante l'aggiunta ad = Azure AD Consentire
- Creazione della chiave = di ripristino da parte dell'utenteConsenti o Non consentire la chiave di ripristino a 256 bit
- Creazione della password = di ripristino da parte dell'utenteConsenti o Richiedi password di ripristino a 48 cifre
Consiglio
Anche se le etichette e le opzioni delle impostazioni nei due tipi di criteri seguenti sono diverse l'una dall'altra, entrambi applicano la stessa configurazione ai CSP di crittografia Windows che gestiscono BitLocker nei dispositivi Windows.
PIN o chiave di avvio TPM
Un dispositivo non deve essere impostato per richiedere un PIN di avvio o una chiave di avvio.
Quando è necessario un PIN di avvio TPM o una chiave di avvio in un dispositivo, BitLocker non può abilitare automaticamente nel dispositivo e richiede invece l'interazione dell'utente finale. Le impostazioni per configurare il PIN o la chiave di avvio TPM sono disponibili sia nel modello di Endpoint Protection che nei criteri di BitLocker. Per impostazione predefinita, questi criteri non configurano queste impostazioni.
Di seguito sono riportate le impostazioni rilevanti per ogni tipo di profilo:
Criteri di crittografia dei dischi di sicurezza degli endpoint : nel profilo BitLocker sono disponibili le impostazioni seguenti nella categoria Impostazioni unità BitLocker - Sistema operativo quando i criteri di unità di sistema BitLocker sono impostati su Configura e quindi l'autenticazione di avvio richiesta è impostata su Sì.
- Avvio TPM compatibile : configurare questa opzione come Consentito o Obbligatorio
- PIN di avvio TPM compatibile - Configurare questa opzione come Bloccato
- Chiave di avvio TPM compatibile - Configurare questa opzione come Bloccata
- Chiave di avvio TPM compatibile e PIN - Configurare questa opzione come Bloccata
Criteri di configurazione del dispositivo : nel modello di Endpoint Protection sono disponibili le impostazioni seguenti nella categoria Crittografia Windows :
- Avvio TPM compatibile : configurare questa opzione come Consenti TPM o Richiedi TPM
- PIN di avvio TPM compatibile : configurare questa opzione come Non consentire il PIN di avvio con TPM
- Chiave di avvio TPM compatibile : configurare questa opzione come Non consentire la chiave di avvio con TPM
- Chiave di avvio E PIN TPM compatibili : configurare questa opzione come Non consentire la chiave di avvio e il PIN con TPM
Avviso
Sebbene né i criteri di sicurezza degli endpoint né i criteri di configurazione del dispositivo configurino le impostazioni TPM per impostazione predefinita, alcune versioni della baseline di sicurezza per Microsoft Defender per endpoint configureranno sia il PIN di avvio TPM compatibile che la chiave di avvio TPM compatibile per impostazione predefinita. Queste configurazioni potrebbero bloccare l'abilitazione invisibile all'utente di BitLocker.
Se si distribuisce questa baseline nei dispositivi in cui si vuole abilitare BitLocker in modo invisibile all'utente, esaminare le configurazioni di base per individuare eventuali conflitti. Per rimuovere i conflitti, riconfigurare le impostazioni nelle baseline per rimuovere il conflitto o rimuovere i dispositivi applicabili dalla ricezione delle istanze di base che configurano le impostazioni TPM che bloccano l'abilitazione invisibile all'utente di BitLocker.
Crittografia solo disco completo e spazio usato
Tre impostazioni determinano se un'unità del sistema operativo verrà crittografata usando solo lo spazio usato o la crittografia completa del disco:
- Indica se l'hardware del dispositivo è in grado di supportare lo standby moderno
- Indica se l'abilitazione invisibile all'utente è stata configurata per BitLocker
- ('Avviso per la crittografia di altri dischi' = Blocca o 'Nascondi richiesta di crittografia di terze parti' = Sì)
- Configurazione di SystemDrivesEncryptionType
- (Applicare il tipo di crittografia delle unità nelle unità del sistema operativo)
Supponendo che SystemDrivesEncryptionType non sia stato configurato, di seguito è riportato il comportamento previsto. Quando l'abilitazione invisibile all'utente è configurata in un dispositivo di standby moderno, l'unità del sistema operativo verrà crittografata usando la crittografia solo dello spazio usato. Quando l'abilitazione invisibile all'utente viene configurata in un dispositivo che non è in grado di usare lo standby moderno, l'unità del sistema operativo verrà crittografata usando la crittografia completa del disco. Il risultato è lo stesso se si usano criteri di crittografia del disco di Endpoint Security per BitLocker o un profilo di configurazione del dispositivo per Endpoint Protection per BitLocker. Se è necessario uno stato finale diverso, è possibile controllare il tipo di crittografia configurando SystemDrivesEncryptionType usando il catalogo delle impostazioni, come illustrato di seguito.
Per verificare se l'hardware è in grado di supportare lo standby moderno, eseguire il comando seguente da un prompt dei comandi:
powercfg /a
Se il dispositivo supporta lo standby moderno, mostrerà che Standby (S0 Low Power Idle) Network Connected è disponibile
Se il dispositivo non supporta lo standby moderno, ad esempio una macchina virtuale, mostrerà che Standby (S0 Low Power Idle) Network Connected non è supportato
Per verificare il tipo di crittografia, eseguire il comando seguente da un prompt dei comandi con privilegi elevati (amministratore):
manage-bde -status c:
Il campo "Stato di conversione" rifletterà il tipo di crittografia come Solo spazio usato crittografato o Completamente crittografato.
Per modificare il tipo di crittografia del disco tra la crittografia completa del disco e la crittografia solo spazio usata, usare l'impostazione "Imponi tipo di crittografia unità nelle unità del sistema operativo" nel catalogo delle impostazioni.
Visualizzare i dettagli per le chiavi di ripristino
Intune consente di accedere al pannello Azure AD per BitLocker in modo da poter visualizzare gli ID chiave e le chiavi di ripristino di BitLocker per i dispositivi Windows 10/11 dall'interfaccia di amministrazione Microsoft Intune. Il supporto per la visualizzazione delle chiavi di ripristino può estendersi anche ai dispositivi collegati al tenant.
Per essere accessibile, le chiavi del dispositivo devono essere depositate in Azure AD.
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Dispositivi>Tutti i dispositivi.
Selezionare un dispositivo dall'elenco e quindi in Monitoraggio selezionare Chiavi di ripristino.
Premere Mostra chiave di ripristino. Se si seleziona questa opzione, verrà generata una voce del log di controllo nell'attività 'KeyManagement'.
Quando le chiavi sono disponibili in Azure AD, sono disponibili le informazioni seguenti:
- ID chiave BitLocker
- Chiave di ripristino di BitLocker
- Tipo di unità
Quando le chiavi non sono in Azure AD, Intune visualizzerà Nessuna chiave BitLocker trovata per questo dispositivo.
Nota
Attualmente, Azure AD supporta un massimo di 200 chiavi di ripristino di BitLocker per dispositivo. Se si raggiunge questo limite, la crittografia invisibile all'utente avrà esito negativo a causa del backup non riuscito delle chiavi di ripristino prima di avviare la crittografia nel dispositivo.
Le informazioni per BitLocker vengono ottenute usando il provider di servizi di configurazione BitLocker (CSP). BitLocker CSP è supportato in Windows 10 versione 1703 e successive, Windows 10 Pro versione 1809 e successive e Windows 11.
Gli amministratori IT devono disporre di un'autorizzazione specifica all'interno di Azure Active Directory per poter visualizzare le chiavi di ripristino di BitLocker del dispositivo: microsoft.directory/bitlockerKeys/key/read. In Azure AD sono disponibili alcuni ruoli con questa autorizzazione, tra cui Amministratore del dispositivo cloud, Amministratore helpdesk e così via. Per altre informazioni sui ruoli di Azure AD che dispongono delle autorizzazioni, vedere Descrizioni dei ruoli di Azure AD.
Tutti gli accessi alla chiave di ripristino di BitLocker vengono controllati. Per altre informazioni sulle voci del log di controllo, vedere portale di Azure log di controllo.
Nota
Se si elimina l'oggetto Intune per un dispositivo aggiunto ad Azure AD protetto da BitLocker, l'eliminazione attiva una sincronizzazione del dispositivo Intune e rimuove le protezioni chiave per il volume del sistema operativo. La rimozione della protezione della chiave lascia BitLocker in uno stato sospeso su tale volume. Ciò è necessario perché le informazioni di ripristino di BitLocker per i dispositivi aggiunti ad Azure AD sono collegate all'oggetto computer di Azure AD e l'eliminazione potrebbe non consentire il ripristino da un evento di ripristino di BitLocker.
Visualizzare le chiavi di ripristino per i dispositivi collegati al tenant
Dopo aver configurato lo scenario di collegamento del tenant, Microsoft Intune possibile visualizzare i dati della chiave di ripristino per i dispositivi collegati al tenant.
Per supportare la visualizzazione delle chiavi di ripristino per i dispositivi collegati al tenant, i siti Configuration Manager devono eseguire la versione 2107 o successiva. Per i siti che eseguono 2107, è necessario installare un aggiornamento cumulativo per supportare i dispositivi aggiunti ad Azure AD: vedere KB11121541.
Per visualizzare le chiavi di ripristino, l'account Intune deve disporre delle autorizzazioni di controllo degli accessi in base al ruolo Intune per visualizzare le chiavi di BitLocker e deve essere associato a un utente locale che dispone delle autorizzazioni correlate per Configuration Manager del ruolo raccolta, con autorizzazione di lettura Autorizzazione > lettura chiave di ripristino BitLocker. Per altre informazioni, vedere Configurare l'amministrazione basata su ruoli per Configuration Manager.
Ruotare le chiavi di ripristino di BitLocker
È possibile usare un'azione del dispositivo Intune per ruotare in remoto la chiave di ripristino di BitLocker di un dispositivo che esegue Windows 10 versione 1909 o successiva e Windows 11.
Prerequisiti
I dispositivi devono soddisfare i prerequisiti seguenti per supportare la rotazione della chiave di ripristino di BitLocker:
I dispositivi devono essere eseguiti Windows 10 versione 1909 o successiva oppure Windows 11
I dispositivi aggiunti ad Azure AD e aggiunti a un ibrido devono avere il supporto per la rotazione delle chiavi abilitata tramite la configurazione dei criteri di BitLocker:
- Rotazione delle password di ripristino guidata dal client per abilitare la rotazione nei dispositivi aggiunti ad Azure AD o abilitare la rotazione nei dispositivi aggiunti ad Azure AD e ibrido
- Salvare le informazioni di ripristino di BitLocker in Azure Active Directory in Abilitato
- Archiviare le informazioni di ripristino in Azure Active Directory prima di abilitare BitLocker su Required
Per informazioni sulle distribuzioni e i requisiti di BitLocker, vedere il grafico di confronto delle distribuzioni di BitLocker.
Per ruotare la chiave di ripristino di BitLocker
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Dispositivi>Tutti i dispositivi.
Nell'elenco dei dispositivi gestiti selezionare un dispositivo, selezionare Altro e quindi selezionare l'azione remota del dispositivo di rotazione della chiave BitLocker .
Nella pagina Panoramica del dispositivo selezionare la rotazione della chiave BitLocker. Se questa opzione non viene visualizzata, selezionare i puntini di sospensione (...) per visualizzare le opzioni aggiuntive e quindi selezionare l'azione remota del dispositivo di rotazione della chiave BitLocker .
