Schijfversleutelingsbeleid voor eindpuntbeveiliging in Intune
Eindpuntbeveiliging Schijfversleutelingsprofielen richten zich alleen op de instellingen die relevant zijn voor een ingebouwde versleutelingsmethode voor apparaten, zoals FileVault, BitLocker en Versleuteling van persoonlijke gegevens (voor Windows). Met deze focus kunnen beveiligingsbeheerders eenvoudig instellingen voor schijfversleuteling beheren zonder door een groot aantal niet-gerelateerde instellingen te hoeven navigeren.
Hoewel u dezelfde apparaatinstellingen kunt configureren met behulp van Endpoint Protection-profielen voor apparaatconfiguratie, bevatten de apparaatconfiguratieprofielen andere categorieën instellingen. Deze andere instellingen zijn niet gerelateerd aan schijfversleuteling en kunnen de taak van het configureren van alleen schijfversleuteling bemoeilijken.
Zoek het eindpuntbeveiligingsbeleid voor schijfversleuteling onder Beheren in het knooppunt Eindpuntbeveiliging van het Microsoft Intune-beheercentrum.
Vereisten voor schijfversleutelingsbeleid
- macOS - macOS 10.13 of hoger
- Windows - Windows 10
- Windows - Windows 11
Op rollen gebaseerd toegangsbeheer (RBAC)
Zie Assign-role-based-access-controls-for-endpoint-security-policy voor hulp bij het toewijzen van het juiste machtigingsniveau en rechten voor het beheren van Intune schijfversleutelingsbeleid.
Schijfversleutelingsprofielen
macOS-profielen:
FileVault - FileVault biedt ingebouwde volledige schijfversleuteling voor macOS-apparaten.
FileVault-instellingen voor macOS beheren.
Zie FileVault-schijfversleuteling gebruiken voor macOS om een FileVault-profiel te maken.
Windows-profielen:
BitLocker - BitLocker-stationsversleuteling is een functie voor gegevensbeveiliging die is geïntegreerd met het besturingssysteem en de bedreigingen van gegevensdiefstal of blootstelling van verloren, gestolen of ongepast uit bedrijf genomen computers aanpakt.
Opmerking
Vanaf 19 juni 2023 is het BitLocker-profiel voor Windows bijgewerkt met de indeling voor instellingen, zoals te vinden in de instellingencatalogus. De nieuwe profielindeling bevat dezelfde instellingen als het oudere profiel. Met deze wijziging kunt u geen nieuwe versies van de oude profielen meer maken. Uw bestaande exemplaren van het oude profiel blijven beschikbaar om te gebruiken en te bewerken.
Met de nieuwe profielindeling publiceren we niet langer een speciale lijst met instellingen zoals gevonden in het profiel. Gebruik in plaats daarvan de koppeling Meer informatie in de gebruikersinterface tijdens het weergeven van informatie voor een instelling om BitLocker-CSP te openen in de Windows-documentatie, waar de instelling volledig wordt beschreven.
U kunt een lijst met instellingen in de oorspronkelijke BitLocker-profielen die vóór 19 juni 2023 zijn gemaakt, blijven vinden in BitLocker-instellingen in de documentatie Intune.
Persoonsgegevensversleuteling: PDE (Personal Data Encryption) versleutelt gegevens op mapniveau en is beschikbaar voor apparaten waarop Windows 11 versie 22H2 of hoger wordt uitgevoerd. PDE verschilt van BitLocker omdat bestanden worden versleuteld in plaats van hele volumes en schijven. PDE vindt plaats naast andere versleutelingsmethoden, zoals BitLocker. In tegenstelling tot BitLocker waarmee gegevensversleutelingssleutels worden vrijgegeven tijdens het opstarten, geeft PDE geen gegevensversleutelingssleutels vrij totdat een gebruiker zich aanmeldt met behulp van Windows Hello voor Bedrijven. PDE maakt gebruik van de PDE-CSP.
Zie de volgende artikelen in de Windows-beveiligingsdocumentatie voor meer informatie over PDE, met inbegrip van vereisten, gerelateerde vereisten en aanbevelingen:
Zie Schijfversleuteling voor Windows gebruiken om een BitLocker- of Personal Data Encryption-profiel te maken.
Apparaatversleuteling beheren
Nadat u beleid voor het versleutelen van een apparaatschijf hebt geïmplementeerd, raadpleegt u de volgende artikelen voor informatie over het beheren van versleuteling: