Impostazione dell'algoritmo di crittografia BitLocker per i dispositivi Autopilot

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

BitLocker crittografa automaticamente le unità interne durante l'esperienza predefinita (Configurazione guidata) per i dispositivi che supportano Modern Standby o soddisfano la specifica HSTI (Hardware Security Testability Specification). Per impostazione predefinita, BitLocker usa la crittografia del solo spazio utilizzato con XTS-AES a 128 bit per la crittografia automatica.

Con Windows Autopilot è possibile configurare le impostazioni di crittografia di BitLocker da applicare prima dell'avvio della crittografia automatica. Questa configurazione assicura che l'algoritmo o il tipo di crittografia predefinito non venga applicato automaticamente. Un dispositivo che riceve queste impostazioni dopo la crittografia automatica dovrà essere decrittografato prima di modificare l'algoritmo di crittografia.

Algoritmo di crittografia

L'algoritmo di crittografia BitLocker viene utilizzato alla prima abilitazione di BitLocker. Durante Autopilot, BitLocker verrà abilitato dopo la parte relativa alla configurazione del dispositivo della pagina di stato della registrazione. Sono disponibili gli algoritmi di crittografia seguenti:

• AES-CBC a 128 bit
• AES-CBC a 256 bit
• XTS-AES a 128 bit (impostazione predefinita)
• XTS-AES a 256 bit

Per ulteriori informazioni sugli algoritmi di crittografia consigliati, vedere BitLocker CSP.

Per assicurarsi che l'algoritmo di crittografia BitLocker desiderato sia impostato prima che si verifichi la crittografia automatica per i dispositivi Autopilot:

1. Configurare le impostazioni del metodo di crittografia nei criteri di crittografia dei dischi di Endpoint Security. Le impostazioni sono disponibili in Endpoint Security Disk encryption Create policy Platform = Windows 10 e versioni successive, Profile type = BitLocker.The settings are available under Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 and later, Profile type = BitLocker.

2. Assegnare i criteri al gruppo di dispositivi Autopilot. I criteri di crittografia devono essere assegnati ai dispositivi del gruppo, non agli utenti.

3. Abilitare la pagina dello stato di registrazione di Autopilot per questi dispositivi. Se non si abilita questa funzionalità, il criterio non verrà applicato prima dell'avvio della crittografia.

Crittografia completa del disco o del solo spazio utilizzato

Esistono due tipi di crittografia, il disco completo o solo spazio usato. Il tipo di crittografia viene determinato automaticamente dalla configurazione dell'abilitazione invisibile all'utente e dal supporto hardware per lo standby moderno. È possibile applicarla configurando l'impostazione SystemDrivesEncryptionType . Analogamente all'algoritmo di crittografia, il tipo di crittografia viene usato quando BitLocker è abilitato per la prima volta. Per altre informazioni sul comportamento previsto dei tipi di crittografia, vedere Gestire i criteri di BitLocker.

Per applicare il tipo di crittografia dell'unità usata:

1. Configurare l'impostazione Imponi tipo di crittografia unità nelle unità del sistema operativo nel catalogo delle impostazioni. Questa impostazione è disponibile nella categoria Modelli amministrativi Componenti >> di Windows BitLocker Unità crittografia > unità Unità del sistema operativo dalla selezione impostazioni.

2. Assegnare i criteri al gruppo di dispositivi Autopilot. I criteri di crittografia devono essere assegnati ai dispositivi del gruppo, non agli utenti.

3. Abilitare la pagina dello stato di registrazione di Autopilot per questi dispositivi. Se non si abilita questa funzionalità, il criterio non verrà applicato prima dell'avvio della crittografia.

Requisiti

Versione supportata di Windows.

Passaggi successivi

• Panoramica di BitLocker
• Gestire i criteri di BitLocker per i dispositivi Windows con Intune