Het BitLocker-versleutelingsalgoritmen instellen voor Autopilot-apparaten
BitLocker versleutelt automatisch interne stations tijdens de out-of-box experience (OOBE) voor apparaten die moderne stand-by ondersteunen of voldoen aan de Hardware Security Testability Specification (HSTI). Standaard gebruikt BitLocker XTS-AES 128-bits gebruikte ruimte alleen voor automatische versleuteling.
Met Windows Autopilot kunt u BitLocker-versleutelingsinstellingen configureren om toe te passen voordat automatische versleuteling wordt gestart. Deze configuratie zorgt ervoor dat het standaardversleutelingsalgoritmen of -type niet automatisch wordt toegepast. Een apparaat dat deze instellingen ontvangt na het automatisch versleutelen, moet worden ontsleuteld voordat het versleutelingsalgoritmen worden gewijzigd.
Coderingsalgoritme
Het BitLocker-versleutelingsalgoritmen wordt gebruikt wanneer BitLocker voor het eerst wordt ingeschakeld. Tijdens Autopilot wordt BitLocker ingeschakeld na het instellingsgedeelte van het apparaat van de registratiestatuspagina. De volgende versleutelingsalgoritmen zijn beschikbaar:
- AES-CBC 128-bits
- AES-CBC 256-bits
- XTS-AES 128-bits (standaard)
- XTS-AES 256-bits
Zie BitLocker CSP voor meer informatie over de aanbevolen versleutelingsalgoritmen die moeten worden gebruikt.
Ga als volgt te werk om ervoor te zorgen dat het gewenste BitLocker-versleutelingsalgoritmen is ingesteld voordat automatische versleuteling plaatsvindt voor Autopilot-apparaten:
Configureer de instellingen voor de versleutelingsmethode in het endpoint security-schijfversleutelingsbeleid. De instellingen zijn beschikbaar onder Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 en hoger, Profile type = BitLocker.
Wijs het beleid toe aan uw Autopilot-apparaatgroep. Het versleutelingsbeleid moet worden toegewezen aan apparaten in de groep, niet aan gebruikers.
Schakel de pagina Autopilot-inschrijvingsstatus in voor deze apparaten. Als u deze functie niet inschakelt, wordt het beleid niet toegepast voordat de versleuteling wordt gestart.
Volledige schijf of gebruikte versleuteling met alleen ruimte
Er zijn twee typen versleuteling: volledige schijf of alleen gebruikte ruimte. Het type versleuteling wordt automatisch bepaald door de configuratie van stille inschakeling en hardwareondersteuning voor moderne stand-by. U kunt dit afdwingen door de instelling SystemDrivesEncryptionType te configureren. Net als het versleutelingsalgoritmen wordt het versleutelingstype gebruikt wanneer BitLocker voor het eerst wordt ingeschakeld. Zie BitLocker-beleid beheren voor meer informatie over het verwachte gedrag van het versleutelingstype.
Het gebruikte type stationsversleuteling afdwingen:
Configureer de instelling Stationsversleutelingstype afdwingen op stations van het besturingssysteem in de instellingencatalogus. Deze instelling is beschikbaar in de categorie Windows-onderdelen > voor Beheersjablonen > BitLocker-stationsversleuteling > besturingssysteemstations in de instellingenkiezer.
Wijs het beleid toe aan uw Autopilot-apparaatgroep. Het versleutelingsbeleid moet worden toegewezen aan apparaten in de groep, niet aan gebruikers.
Schakel de pagina Autopilot-inschrijvingsstatus in voor deze apparaten. Als u deze functie niet inschakelt, wordt het beleid niet toegepast voordat de versleuteling wordt gestart.
Vereisten
Een ondersteunde versie van Windows.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor