Het BitLocker-versleutelingsalgoritmen instellen voor Autopilot-apparaten
BitLocker versleutelt automatisch interne stations tijdens de out-of-box experience (OOBE) voor apparaten die ondersteuning bieden voor Moderne stand-by of voldoen aan de Hardware Security Testability Specification (HSTI). Standaard gebruikt BitLocker XTS-AES 128-bits gebruikte ruimte alleen voor automatische versleuteling.
Met Windows Autopilot kunnen bitLocker-versleutelingsinstellingen worden geconfigureerd om toe te passen voordat automatische versleuteling wordt gestart. Deze configuratie zorgt ervoor dat het standaardversleutelingsalgoritmen of -type niet automatisch wordt toegepast. Een apparaat dat deze instellingen ontvangt na het versleutelen, moet automatisch worden ontsleuteld voordat het versleutelingsalgoritmen worden gewijzigd.
BitLocker gebruikt het opgegeven BitLocker-versleutelingsalgoritmen wanneer BitLocker voor het eerst wordt ingeschakeld. Tijdens Autopilot wordt BitLocker ingeschakeld na het instellingsgedeelte van het apparaat van de registratiestatuspagina. De volgende versleutelingsalgoritmen zijn beschikbaar:
- AES-CBC 128-bits.
- AES-CBC 256-bits.
- XTS-AES 128-bits (standaard).
- XTS-AES 256-bits.
Zie BitLocker Configuration Service Provider (CSP) voor meer informatie over de aanbevolen versleutelingsalgoritmen die moeten worden gebruikt.
Ga als volgt te werk om ervoor te zorgen dat het gewenste BitLocker-versleutelingsalgoritmen is ingesteld voordat automatische versleuteling plaatsvindt voor Autopilot-apparaten:
Configureer de instellingen voor de versleutelingsmethode in het endpoint security-schijfversleutelingsbeleid. De instellingen zijn beschikbaar onder Eindpuntbeveiliging>Schijfversleuteling>Beleidsplatform maken> = Windows 10 en hoger, Profieltype = BitLocker.
Wijs het beleid toe aan de Autopilot-apparaatgroep. Het versleutelingsbeleid moet worden toegewezen aan apparaten in de groep, niet aan gebruikers.
Schakel de pagina Autopilot-inschrijvingsstatus in voor deze apparaten. Als deze functie niet is ingeschakeld, is het beleid niet van toepassing voordat de versleuteling wordt gestart.
Er zijn twee typen versleuteling: volledige schijf of alleen gebruikte ruimte. Configuratie van stille inschakeling en hardwareondersteuning voor moderne stand-by bepaalt automatisch het type versleuteling dat wordt gebruikt. Het gebruikte type versleuteling kan worden afgedwongen door de instelling SystemDrivesEncryptionType te configureren. Net als het versleutelingsalgoritmen gebruikt BitLocker het versleutelingstype wanneer BitLocker voor het eerst wordt ingeschakeld. Zie BitLocker-beleid beheren voor meer informatie over het verwachte gedrag van het versleutelingstype.
Het gebruikte type stationsversleuteling afdwingen:
Configureer de instelling Stationsversleutelingstype afdwingen op stations van het besturingssysteem in de instellingencatalogus. Deze instelling is beschikbaar in de categorie Windows-onderdelen > voor Beheersjablonen > BitLocker-stationsversleuteling > besturingssysteemstations in de instellingenkiezer.
Wijs het beleid toe aan de Autopilot-apparaatgroep. Het versleutelingsbeleid moet worden toegewezen aan apparaten in de groep, niet aan gebruikers.
Schakel de pagina Autopilot-inschrijvingsstatus in voor deze apparaten. Als deze functie niet is ingeschakeld, is het beleid niet van toepassing voordat de versleuteling wordt gestart.