Gerir a política do BitLocker para Windows 10 em Intune

Utilize Intune para configurar a encriptação bitLocker Drive em dispositivos que executam Windows 10.

O BitLocker está disponível em dispositivos que funcionam Windows 10 ou posteriormente. Algumas definições para o BitLocker requerem que o dispositivo tenha um TPM suportado.

Utilize um dos seguintes tipos de política para configurar o BitLocker nos seus dispositivos geridos

• Política de encriptação do disco de segurança endpoint para Windows 10 BitLocker. O perfil BitLocker na segurança Endpoint é um grupo focado de definições que se dedica a configurar o BitLocker.

  Ver as definições bitLocker que estão disponíveis nos perfis BitLocker a partir da política de encriptação do disco.

• Perfil de configuração do dispositivo para proteção de ponto final para Windows 10 BitLocker. As definições do BitLocker são uma das categorias de definições disponíveis para Windows 10 proteção do ponto final.

  Consulte as definições bitLocker que estão disponíveis para BitLocker em perfis de proteção de ponto final, formulário a política de configuração do dispositivo.

Dica

A Intune fornece um relatório de encriptação incorporado que apresenta detalhes sobre o estado de encriptação dos dispositivos, em todos os seus dispositivos geridos. Depois de o Intune encriptar um dispositivo Windows 10 com o BitLocker, pode visualizar e gerir as teclas de recuperação do BitLocker quando visualizar o relatório de encriptação.

Também pode aceder a informações importantes para o BitLocker a partir dos seus dispositivos, como se encontra na Azure Ative Directory (Azure AD). relatório de encriptação que apresenta detalhes sobre o estado de encriptação dos dispositivos, em todos os seus dispositivos geridos.

Permissões para gerir o BitLocker

Para gerir o BitLocker no Intune, a sua conta deve ter as permissões de controlo de acesso (RBAC) baseadas em funções aplicáveis.

Seguem-se as permissões BitLocker, que fazem parte da categoria de tarefas remotas, e as funções RBAC incorporadas que concedem a permissão:

• Girar teclas BitLocker
  • Operador de mesa de ajuda

Criar e implementar políticas

Utilize um dos seguintes procedimentos para criar o tipo de apólice que prefere.

Criar uma política de segurança de ponto final para o BitLocker

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione encriptação de disco de segurança endpoint > > Criar Política.

3. Defina as seguintes opções:

   1. Plataforma: Windows 10 ou mais tarde
   2. Perfil: BitLocker

   

4. Na página de definições de configuração, configurar as definições para o BitLocker satisfazer as necessidades do seu negócio.

   Se pretender ativar o BitLocker em silêncio, consulte o BitLocker em dispositivos,neste artigo para obter pré-requisitos adicionais e as configurações de definição específicas que deve utilizar.

   Selecione Seguinte.

5. Na página Âmbito (Tags), escolha Selecionar as etiquetas de âmbito para abrir o painel de tags Select para atribuir etiquetas de âmbito ao perfil.

   Selecione Seguinte para continuar.

6. Na página Atribuições, selecione os grupos que receberão este perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

   Selecione Seguinte.

7. Na página 'Rever + criar', quando terminar, escolha Criar. O novo perfil é apresentado na lista quando seleciona o tipo de política para o perfil que criou.

Criar um perfil de configuração do dispositivo para BitLocker

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione perfis > de configuração de dispositivos > Criar perfil.

3. Defina as seguintes opções:

   1. Plataforma: Windows 10 e mais tarde
   2. Tipo de perfil: Proteção de ponto final

   

4. Na página de definições de configuração, expanda Windows Encriptação.

   

5. Configurar as definições para o BitLocker satisfazer as suas necessidades comerciais.

   Se pretender ativar o BitLocker em silêncio, consulte o BitLocker em dispositivos,neste artigo para obter pré-requisitos adicionais e as configurações de definição específicas que deve utilizar.

6. Selecione Seguinte para continuar.

7. Configuração completa de definições adicionais e, em seguida, guarde o perfil.

Gerir o BitLocker

Para visualizar informações sobre dispositivos que recebem a política do BitLocker, consulte a encriptação do disco Monitor.

Ativar silenciosamente o BitLocker nos dispositivos

Pode configurar uma política BitLocker que ativa automaticamente e silenciosamente o BitLocker num dispositivo. Isto significa que o BitLocker permite com sucesso sem apresentar qualquer UI ao utilizador final, mesmo quando esse utilizador não é um Administrador local no dispositivo.

Pré-requisitos do dispositivo:

Um dispositivo deve satisfazer as seguintes condições para ser elegível para permitir silenciosamente o BitLocker:

• Se os utilizadores finais iniciarem sessão nos dispositivos como Administradores, o dispositivo deve ser executado Windows 10 versão 1803 ou posterior.
• Se os utilizadores finais iniciarem sessão nos dispositivos como Utilizadores Padrão, o dispositivo deve ser executado Windows 10 versão 1809 ou posterior.
• O dispositivo deve ser Azure AD Joined ou Hybrid Azure AD.
• O dispositivo deve conter pelo menos TPM (Módulo plataforma fidedigna) 1.2.
• O modo BIOS deve ser definido apenas para A UEFI nativo.

Configuração de política bitLocker:

As duas definições seguintes para as definições da base BitLocker devem ser configuradas na política bitLocker:

• Aviso para outra encriptação = de disco Bloco.
• Permitir que os utilizadores padrão permitam a encriptação durante a Azure AD Join = Permitir

A política BitLocker não deve exigir a utilização de um PIN de arranque ou de uma chave de arranque. Quando é necessária uma tecla de arranque PIN ou startup TPM, o BitLocker não pode ativar silenciosamente e requer interação do utilizador final. Este requisito é cumprido através das seguintes quatro definições de unidade BitLocker OS na mesma política:

• O arranque TPM compatível deve ser definido para Permitido ou Obrigatório
• PIN de arranque TPM compatível não deve ser definido para Exigir PIN de arranque com TPM
• A chave de arranque TPM compatível não deve ser definida para exigir chave de arranque com TPM
• Chave de arranque TPM compatível e PIN não devem ser definidos para Exigir chave de arranque e PIN com TPM

Nota

A ativação silenciosa do BitLocker encriptará apenas o espaço do disco usado.

Ver detalhes para chaves de recuperação

O Intune fornece acesso à lâmina Azure AD para o BitLocker para que possa ver os IDs da chave BitLocker e as teclas de recuperação para os seus dispositivos Windows 10, a partir do centro de administração Microsoft Endpoint Manager. Para ser acessível, o dispositivo deve ter as suas chaves escrocadas para Azure AD.

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione Dispositivos > Todos os dispositivos.

3. Selecione um dispositivo da lista e, em seguida, no Monitor, selecione As teclas de recuperação.

4. Tecla de recuperação do hit show. A seleção desta sessão gerará uma entrada de registo de auditoria na atividade 'KeyManagement'.

   Quando as chaves estão disponíveis no Azure AD, as seguintes informações estão disponíveis:

   • ID da chave BitLocker
   • Chave de recuperação bitLocker
   • Tipo de Unidade

   Quando as teclas não estiverem no AD Azure, o Intune apresentará nenhuma chave BitLocker encontrada para este dispositivo.

Nota

Atualmente, o Azure AD suporta um máximo de 200 teclas de recuperação BitLocker por dispositivo. Se atingir este limite, a encriptação silenciosa falhará devido à cópia de segurança falhada das chaves de recuperação antes de iniciar a encriptação no dispositivo.

As informações para o BitLocker são obtidas utilizando o prestador de serviços de configuração BitLocker (CSP). O BitLocker CSP é suportado na versão 1703 e posterior Windows 10, e para Windows 10 Pro versão 1809 e posterior.

Os administradores de TI precisam de ter uma permissão específica dentro Azure Ative Directory para poderem ver as teclas de recuperação bitLocker do dispositivo: microsoft.directory/bitlockerKeys/key/read . Existem algumas funções dentro do AZure AD que vêm com esta permissão, incluindo o Administrador de Dispositivos cloud, administrador de helpdesk, etc. Para obter mais informações sobre as funções da Azure AD que permissões, consulte descrições de papéis da AD Azure.

Todos os acessos às chaves de recuperação bitLocker são auditados. Para obter mais informações sobre as entradas em Registos de Auditoria, consulte os registos de auditoria do portal Azure.

Girar teclas de recuperação BitLocker

Pode utilizar uma ação do dispositivo Intune para rodar remotamente a chave de recuperação bitLocker de um dispositivo que executa Windows 10 versão 1909 ou posterior.

Pré-requisitos

Os dispositivos devem cumprir os seguintes requisitos para suportar a rotação da chave de recuperação BitLocker:

• Os dispositivos devem ser executados Windows 10 versão 1909 ou posterior

• Os dispositivos aderidos a AD e híbridos devem ter suporte para a rotação da chave ativada através da configuração da política bitLocker:

  • Rotação da palavra-passe de recuperação orientada pelo cliente para permitir a rotação em dispositivos ligados a AD Azure ou permitir a rotação em dispositivos AD e híbridos
  • Guarde as informações de recuperação do BitLocker para Azure Ative Directory para Ativado
  • Armazenar informações de recuperação em Azure Ative Directory antes de permitir que o BitLocker seja necessário

Para obter informações sobre as implementações e requisitos bitLocker, consulte o gráfico de comparação de implementação bitLocker.

Para rodar a chave de recuperação BitLocker

1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

2. Selecione Dispositivos > Todos os dispositivos.

3. Na lista de dispositivos que gere, selecione um dispositivo, selecione Mais e, em seguida, selecione a ação remota do dispositivo de rotação bitLocker.

4. Na página geral do dispositivo, selecione a rotação da chave BitLocker. Se não vir esta opção, selecione a elipse (...) para mostrar opções adicionais e, em seguida, selecione a ação remota do dispositivo de rotação bitLocker.

   

Passos seguintes

• Manage FileVault policy (Gerir a política FileVault)
• Monitorizar encriptação de discos
• Política de Resolução de Problemas BitLocker
• Questões conhecidas para impor políticas bitLocker com Intune