Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
BitLocker versleutelt automatisch interne stations tijdens de out-of-box experience (OOBE) voor apparaten die ondersteuning bieden voor Moderne stand-by of voldoen aan de Hardware Security Testability Specification (HSTI). Standaard gebruikt BitLocker XTS-AES 128-bits gebruikte ruimte alleen voor automatische versleuteling.
Met Windows Autopilot kunnen bitLocker-versleutelingsinstellingen worden geconfigureerd om toe te passen voordat automatische versleuteling wordt gestart. Deze configuratie zorgt ervoor dat het standaardversleutelingsalgoritmen of -type niet automatisch wordt toegepast. Een apparaat dat deze instellingen ontvangt na het versleutelen, moet automatisch worden ontsleuteld voordat het versleutelingsalgoritmen worden gewijzigd.
Coderingsalgoritme
BitLocker gebruikt het opgegeven BitLocker-versleutelingsalgoritmen wanneer BitLocker voor het eerst wordt ingeschakeld. Tijdens Windows Autopilot wordt BitLocker ingeschakeld na het installatiegedeelte van het apparaat van de registratiestatuspagina. De volgende versleutelingsalgoritmen zijn beschikbaar:
- AES-CBC 128-bits.
- AES-CBC 256-bits.
- XTS-AES 128-bits (standaard).
- XTS-AES 256-bits.
Zie BitLocker Configuration Service Provider (CSP) voor meer informatie over de aanbevolen versleutelingsalgoritmen die moeten worden gebruikt.
Volledige schijf of gebruikte versleuteling met alleen ruimte
Er zijn twee typen versleuteling: volledige schijf of alleen gebruikte ruimte. Configuratie van stille inschakeling en hardwareondersteuning voor moderne stand-by bepaalt automatisch het type versleuteling dat wordt gebruikt. Het gebruikte type versleuteling kan worden afgedwongen door de instelling SystemDrivesEncryptionType te configureren. Net als het versleutelingsalgoritmen gebruikt BitLocker het versleutelingstype wanneer BitLocker voor het eerst wordt ingeschakeld. Zie BitLocker-beleid beheren voor meer informatie over het verwachte gedrag van het versleutelingstype.
Een BitLocker-beleid configureren voor Windows Autopilot-apparaten
Volg deze stappen om ervoor te zorgen dat zowel het gewenste BitLocker-versleutelingsalgoritmen als de versleuteling zijn ingesteld voordat automatische versleuteling plaatsvindt voor Windows Autopilot-apparaten:
Meld u aan bij het Microsoft Intune-beheercentrum.
Selecteer in het startschermEindpuntbeveiliging in het linkerdeelvenster.
In eindpuntbeveiliging | Scherm Overzicht , vouw Beheren uit en selecteer vervolgens Schijfversleuteling.
In eindpuntbeveiliging | Scherm Schijfversleuteling . Selecteer + Beleid maken.
Op de pagina Een profiel maken die wordt geopend:
Selecteer windows onder Platform.
Selecteer onder Profielde optie BitLocker.
Selecteer de knop Maken .
Voer op de pagina Basisbeginselen van het scherm Beleid maken een naam en optionele beschrijving in en selecteer vervolgens de knop Volgende .
Configureer op de pagina Configuratie-instellingen de verschillende BitLocker-instellingen naar wens, waaronder de instellingen versleutelingsmethode en codering en versleutelingstype :
Versleutelingsmethode en codering
Vouw de sectie BitLocker-stationsversleuteling uit .
Selecteer Ingeschakeld voor Stationsversleutelingsmethode en coderingssterkte kiezen.
Voor elk van de stationstypen (Vaste gegevensstations, Besturingssysteemstation, Verwisselbare gegevensstations) selecteert u de gewenste versleutelingsmethode en codering in de vervolgkeuzelijst. De standaardinstelling voor elk type is XTS-AES 128-bits.
Versleutelingstype
Vouw de sectie Besturingssysteemstations uit .
Selecteer Ingeschakeldvoor Type stationsversleuteling afdwingen op stations van het besturingssysteem.
Selecteer bij Selecteer het type stationsversleuteling het gewenste versleutelingstype, Volledige versleuteling of Alleen gebruikte ruimte-versleuteling, in de vervolgkeuzelijst. De standaardwaarde is Gebruiker toestaan te kiezen.
Zodra alle BitLocker-instellingen naar wens zijn geconfigureerd, selecteert u de knop Volgende .
Selecteer op de pagina Bereiktags de knop Volgende .
Opmerking
Bereiktags zijn optioneel. Als er een aangepaste bereiktag moet worden opgegeven, doet u dit op deze pagina. Zie Op rollen gebaseerd toegangsbeheer en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.
Gebruik op de pagina Toewijzingen het zoekvak Zoeken op groepsnaam... om de Windows Autopilot-apparaatgroep te zoeken en toe te voegen. Zodra de Windows Autopilot-apparaatgroep is toegevoegd en wordt vermeld onder Groep, controleert u of Doeltype is ingesteld op Opnemen en selecteert u vervolgens de knop Volgende . Zie Beleid toewijzen in Microsoft Intune voor meer informatie over het toewijzen van een beleid.
Belangrijk
Zorg ervoor dat de Windows Autopilot-apparaatgroep die in deze stap is geselecteerd, een apparaatgroep is en geen gebruikersgroep.
Controleer op de pagina Controleren en maken de instellingen om te controleren of ze naar wens zijn geconfigureerd en selecteer vervolgens de knop Opslaan .
Configureer en wijs een pagina Inschrijvingsstatus (ESP) toe voor het Windows Autopilot-apparaat. Als een ESP niet is ingeschakeld, is het BitLocker-beleid niet van toepassing voordat de versleuteling wordt gestart. Zie een van de volgende artikelen voor meer informatie:
- Pagina Status van Windows Autopilot-inschrijving.
- Door de gebruiker gestuurde Microsoft Entra join: configureer en wijs de inschrijvingsstatuspagina (ESP) toe.
- Door de gebruiker gestuurde Microsoft Entra hybrid join: configureer en wijs de inschrijvingsstatuspagina (ESP) toe.
- Pre-provisioning Microsoft Entra join: configureer en wijs de inschrijvingsstatuspagina (ESP) toe.
- Pre-provisioning Microsoft Entra hybrid join: configureer en wijs de inschrijvingsstatuspagina (ESP) toe.
- Zelf-implementerende modus: configureer en wijs de statuspagina van de inschrijving (ESP) toe.