Partilhar via

Definições de política de encriptação de disco para segurança de ponto final em Intune

  • Artigo

Ver as definições que pode configurar nos perfis da política de encriptação do disco no nó de segurança Endpoint de Intune como parte de uma política de segurança endpoint.

Plataformas e perfis suportados:

  • macOS:
    • Perfil: FileVault
  • Windows 10 e mais tarde:
    • Perfil: BitLocker

FileVault

Encriptação

Ativar o FileVault

  • Não configurado (padrão)

  • Sim - Ativar a Encriptação completa do disco utilizando o XTS-AES 128 com o FileVault em dispositivos que executam o macOS 10.13 e posteriormente. O FileVault é ativado quando o utilizador assina fora do dispositivo.

    Quando definido para Sim, pode configurar definições adicionais para FileVault.

    • Tipo chave de recuperação As chaves de recuperação de chaves pessoais são criadas para dispositivos. Configure as seguintes definições para a chave pessoal:

      • Rotação da chave de recuperação pessoal
        Especifique com que frequência a chave de recuperação pessoal de um dispositivo irá rodar. Pode selecionar o padrão de Não configurado, ou um valor de 1 a 12 meses.
      • Descrição da localização da localização do depósito da chave de recuperação pessoal
        Especifique uma mensagem curta para o utilizador que explique como podem recuperar a sua chave de recuperação pessoal. O utilizador vê esta mensagem no seu sinal no ecrã quando solicitado a introduzir a sua chave de recuperação pessoal se uma palavra-passe for esquecida.

    • Número de vezes permitido para contornar
      Descreva o número de vezes que um utilizador pode ignorar as solicitações para ativar o FileVault antes de o FileVault ser necessário para que o utilizador faça o seu sismo.

      • Não configurado (predefinido)- A encriptação no dispositivo é necessária antes da próxima insessão ser permitida.
      • 1 a 10 - Deixe que o utilizador ignore a solicitação de 1 a 10 vezes antes de necessitar de encriptação no dispositivo.
      • Sem limite, sempre rápido - O utilizador é solicitado para ativar o FileVault, mas a encriptação nunca é necessária.

    • Permitir o adiamento até assinar

      • Não configurado (padrão)
      • Sim - Adie o pedido para ativar o FileVault até que o utilizador se assine.

    • Desativar o pedido na assinatura
      Evite o pedido ao utilizador que solicita que ativa o FileVault quando assinarem. Quando definido para Desativar, a solicitação na sedção é desativada e, em vez disso, o utilizador é solicitado quando iniciar a sação.

      • Não configurado (padrão)
      • Sim - Desative a solicitação para ativar o FileVault que aparece na sferição.

    • Ocultar chave de recuperação
      Esconda a chave de recuperação pessoal do utilizador do dispositivo macOS durante a encriptação. Depois de o disco ser encriptado, um utilizador pode utilizar qualquer dispositivo para visualizar a sua chave de recuperação pessoal através do website Portal da Empresa do Intune ou da aplicação do portal da empresa numa plataforma suportada.

      • Não configurado (padrão)
      • Sim - Esconda a chave de recuperação pessoal durante a encriptação do dispositivo.

BitLocker

BitLocker – Definições Base

  • Ativar a encriptação completa do disco para os unidades de dados fixas e de soss ou de dados fixos
    CSP: BitLocker - Requerdeencrição

    Se a unidade foi encriptada antes desta política aplicada, não são tomadas medidas adicionais. Se o método de encriptação e as opções corresponderem à desta política, a configuração deverá devolver o sucesso. Se uma opção de configuração BitLocker no local não corresponder a esta política, a configuração provavelmente retornará um erro.

    Para aplicar esta política a um disco já encriptado, desencriptar a unidade e reaplicar a política do MDM. Windows padrão é não requerer encriptação de unidade BitLocker. No entanto, no registo/encriptação automática de conta Ad AD Azure (MSA) pode aplicar-se permitindo a encriptação do BitLocker XTS-AES de 128 bits.

    • Não configurado (padrão)- Não ocorre aplicação bitLocker.
    • Sim - Imponha o uso do BitLocker.

  • Exigir cartões de armazenamento para ser encriptado (apenas para dispositivos móveis)
    CSP: BitLocker - RequerEstorageCardEncryption

    Esta definição aplica-se apenas aos dispositivos SKU Windows Mobile e Mobile Enterprise.

    • Não configurado (predefinição)- A definição retorna ao padrão de SISTEMA, que é não exigir encriptação do cartão de armazenamento.
    • Sim - A encriptação nos cartões de armazenamento é necessária para dispositivos móveis.

    Nota

    O apoio à Windows 10 Mobile e Windows Phone 8,1 terminou em agosto de 2020.

  • Ocultar o pedido sobre encriptação de terceiros
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    Se o BitLocker estiver ativado num sistema que já está encriptado por um produto de encriptação de terceiros, poderá tornar o dispositivo inutilizável. A perda de dados pode ocorrer e poderá ser necessário reinstalar Windows. É altamente sugerido nunca ativar o BitLocker num dispositivo que tenha encriptação de terceiros instalada ou ativada.

    Por predefinição, o assistente de configuração BitLocker solicita aos utilizadores que confirmem que não existe encriptação de terceiros.

    • Não configurado (predefinido) – O assistente de configuração BitLocker apresenta um aviso e pede aos utilizadores que confirmem que não existe encriptação de terceiros.
    • Sim - Ocultar o pedido de assistentes de configuração BitLocker dos utilizadores.

    Se forem necessárias funcionalidades de ativação silenciosas do BitLocker, o aviso de encriptação de terceiros deve ser ocultado, uma vez que qualquer necessidade de pausas rápidas de modo de funcionamento silencioso.

    Quando definido para Sim, pode então configurar a seguinte definição:

    • Permitir que os utilizadores padrão permitam a encriptação durante o Autopilot
      CSP: BitLocker - AllowStandardUserEncryption

      • Não configurado (predefinição)– A definição é deixada como padrão do cliente, que é exigir acesso administrativo local para ativar o BitLocker.
      • Sim - Durante Azure Ative Directory a Join (AADJ) ativa cenários silenciosos, os utilizadores não precisam de ser administradores locais para ativar o BitLocker.

      Para a ativação não silenciosa e para os cenários do Autopilot, o utilizador deve ser um administrador local para completar o assistente de configuração BitLocker.

  • Configure a rotação da palavra-passe de recuperação orientada para o cliente
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    Os dispositivos Add Work Account (AWA, formalmente Workplace Joined) não são suportados para a rotação da chave.

    • Não configurado (padrão)– O cliente não roda as teclas de recuperação BitLocker.
    • Desativado
    • Dispositivos ad-ad Azure
    • Azure AD e dispositivos híbridos

BitLocker - Unidade Fixa Definições

  • Política de unidade fixa BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Recuperação de unidade fixa
      CSP: BitLocker - FixedDrivesRecoveryOptions

      Controle como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações necessárias para a chave de arranque.

      • Não configuradas (predefinição)- As opções de recuperação predefinidas são suportadas, incluindo o agente de recuperação de dados (DRA). O utilizador final pode especificar opções de recuperação e as informações de recuperação não são suportadas até Azure Ative Directory.
      • Configure – Permitir o acesso à configuração de várias técnicas de recuperação de unidades.

      Quando definido para configurar as seguintes definições estão disponíveis:

      • Criação de chave de recuperação do utilizador

        • Bloqueado (padrão)
        • Obrigatório
        • Permitido

      • Pacote de recuperação de BitLocker configurar

        • Palavra-passe e Chave (predefinição)- Inclua tanto a palavra-passe de recuperação bitLocker que é usada pelos administradores e utilizadores para desbloquear unidades protegidas, como pacotes de chaves de recuperação que são utilizados pelos administradores para fins de recuperação de dados) no Ative Directory.
        • Apenas palavra-passe - Os pacotes de chaves de recuperação podem não estar acessíveis quando necessário.

      • Exigir que o dispositivo apoie informações de recuperação para o Azure Ad

        • Não configurado (predefinido)- A ativação do BitLocker será completada mesmo que a cópia de segurança da chave de recuperação para Azure AD falhe. Isto pode resultar em nenhuma informação de recuperação armazenada externamente.
        • Sim - O BitLocker não completará a ativação até que as chaves de recuperação tenham sido guardadas com sucesso para Azure Ative Directory.

      • Criação de senha de recuperação de utilizadores

        • Bloqueado (padrão)
        • Obrigatório
        • Permitido

      • Ocultar opções de recuperação durante a configuração do BitLocker

        • Não configurado (predefinição)- Permita ao utilizador aceder a opções de recuperação extra.
        • Sim - Bloqueie o utilizador final de escolher opções de recuperação extra, tais como a impressão de chaves de recuperação durante o assistente de configuração BitLocker.

      • Ativar bitLocker após informações de recuperação para armazenar

        • Não configurado (padrão)
        • Sim

      • Bloquear a utilização de um agente de recuperação de dados baseado em certificados (DRA)

        • Não configurado (predefinição)- Permitir a utilização de DRA a ser configurado. A criação da DRA requer uma empresa PKI e Grupo Policy Objects para implantar o agente e certificados DRA.
        • Sim - Bloqueie a capacidade de utilizar o Agente de Recuperação de Dados (DRA) para recuperar unidades ativadas bitLocker.

    • Bloquear escrever acesso a unidades de dados fixas não protegidas pelo BitLocker
      CSP: BitLocker - FixedDrivesRequireEncryption
      Esta definição está disponível quando a política de unidade fixa bitLocker estiver definida para configurar.

      • Não configurados (predefinido)- Os dados podem ser escritos para unidades fixas não encriptadas.
      • Sim - Windows não permitirá que quaisquer dados sejam escritos para unidades fixas que não estejam protegidas por BitLocker. Se uma unidade fixa não estiver encriptada, o utilizador terá de completar o assistente de configuração BitLocker para a unidade antes de ser concedido o acesso à escrita.

    • Configure o método de encriptação para unidades de dados fixas
      CSP: BitLocker - EncryptionMethodByDriveType

      Configure o método de encriptação e a força de cifra para discos de unidades de dados fixos. XTS- AES 128-bit é o método de encriptação padrão Windows e o valor recomendado.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker - OS Drive Definições

  • Política de unidade do sistema BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Configure (padrão)
    • Não configurado

    Quando definido para configurar, pode configurar as seguintes definições:

    • Autenticação de arranque necessária
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • Não configurado (padrão)
      • Sim - Configurar os requisitos adicionais de autenticação no arranque do sistema, incluindo a utilização de requisitos de Plataforma Fidedigna (TPM) ou PIN de arranque.

      Quando definido para Sim, pode configurar as seguintes definições:

      • Startup TPM compatível
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        Recomenda-se que exija um TPM para o BitLocker. Esta definição só se aplica quando ativar primeiro o BitLocker e não tem qualquer efeito se o BitLocker já estiver ativado.

        • Bloqueado (predefinido)- O BitLocker não utiliza o TPM.
        • Obrigatório - O BitLocker só permite se um TPM estiver presente e utilizável.
        • Permitido - BitLocker usa o TPM se estiver presente.

      • PIN de arranque TPM compatível
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinição)- Bloqueie a utilização de um PIN.
        • Obrigatório - Exija que um PIN e TPM estejam presentes para ativar o BitLocker.
        • Permitido - O BitLocker utiliza o TPM se estiver presente e permite que um PIN de arranque seja configurado pelo utilizador.

        Para cenários silenciosos, deve definir isto para Bloqueado. Os cenários de ativação silenciosa (incluindo o Autopilot) não serão bem sucedidos quando for necessária a interação do utilizador.

      • Chave de arranque TPM compatível
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinido)- Bloqueie a utilização de teclas de arranque.
        • Obrigatório - Exija uma chave de arranque e TPM esteja presente para ativar o BitLocker.
        • Permitido - O BitLocker utiliza o TPM se estiver presente e permite que uma chave de arranque (como uma unidade USB) esteja presente para desbloquear as unidades.

        Para cenários silenciosos, deve definir isto para Bloqueado. Os cenários de ativação silenciosa (incluindo o Autopilot) não serão bem sucedidos quando for necessária a interação do utilizador.

      • Chave de arranque TPM compatível e PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinido)- Bloqueie a utilização de uma chave de arranque e de uma combinação PIN.
        • Obrigatório - Exija que o BitLocker tenha uma chave de arranque e PIN presente para ficar ativado.
        • Permitido - BitLocker utiliza o TPM se estiver presente e permite uma chave de arranque) e combinação PIN.

        Para cenários silenciosos, deve definir isto para Bloqueado. Os cenários de ativação silenciosa (incluindo o Autopilot) não serão bem sucedidos quando for necessária a interação do utilizador.

      • Desative o BitLocker em dispositivos onde o TPM é incompatível
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        Se não houver TPM presente, o BitLocker requer uma palavra-passe ou uma unidade USB para arranque.

        Esta definição só se aplica quando ativar primeiro o BitLocker e não tem qualquer efeito se o BitLocker já estiver ativado.

        • Não configurado (padrão)
        • Sim - Bloquear o BitLocker de ser configurado sem um chip TPM compatível.

      • Ativar a mensagem de recuperação pré-propriedade e url
        CSP: BitLocker - SystemDrivesRecoveryMessageconfigure

        • Não configurado (predefinido)– Utilize as informações de recuperação do BitLocker pre-boot pre-boot.
        • Sim – Ative a configuração de uma mensagem de recuperação e URL personalizados para ajudar os seus utilizadores a entender como encontrar a sua senha de recuperação. A mensagem de pré-arranque e URL são vistas pelos utilizadores quando estão bloqueadas fora do seu PC em modo de recuperação.

        Quando definido para Sim, pode configurar as seguintes definições:

        • Mensagem de recuperação pré-bo
          Especifique uma mensagem de recuperação personalizada antes do arranque.

        • Url de recuperação pré-bo
          Especifique um URL de recuperação pré-arranque personalizado.

      • Recuperação de unidade de sistema
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • Não configurado (padrão)
        • Configurar - Ativar a configuração de definições adicionais.

        Quando definido para configurar as seguintes definições estão disponíveis:

        • Criação de chave de recuperação do utilizador

          • Bloqueado (padrão)
          • Obrigatório
          • Permitido

        • Pacote de recuperação de BitLocker configurar

          • Palavra-passe e Chave (predefinição)- Inclua tanto a palavra-passe de recuperação bitLocker que é usada pelos administradores e utilizadores para desbloquear unidades protegidas, como pacotes de chaves de recuperação que são utilizados pelos administradores para fins de recuperação de dados) no Ative Directory.
          • Apenas palavra-passe - Os pacotes de chaves de recuperação podem não estar acessíveis quando necessário.

        • Exigir que o dispositivo apoie informações de recuperação para o Azure Ad

          • Não configurado (predefinido)- A ativação do BitLocker será completada mesmo que a cópia de segurança da chave de recuperação para Azure AD falhe. Isto pode resultar em nenhuma informação de recuperação armazenada externamente.
          • Sim - O BitLocker não completará a ativação até que as chaves de recuperação tenham sido guardadas com sucesso para Azure Ative Directory.

        • Criação de senha de recuperação de utilizadores

          • Bloqueado (padrão)
          • Obrigatório
          • Permitido

        • Ocultar opções de recuperação durante a configuração do BitLocker

          • Não configurado (predefinição)- Permita ao utilizador aceder a opções de recuperação extra.
          • Sim - Bloqueie o utilizador final de escolher opções de recuperação extra, tais como a impressão de chaves de recuperação durante o assistente de configuração BitLocker.

        • Ativar bitLocker após informações de recuperação para armazenar

          • Não configurado (padrão)
          • Sim

        • Bloquear a utilização de um agente de recuperação de dados baseado em certificados (DRA)

          • Não configurado (predefinição)- Permitir a utilização de DRA a ser configurado. A criação da DRA requer uma empresa PKI e Grupo Policy Objects para implantar o agente e certificados DRA.
          • Sim - Bloqueie a capacidade de utilizar o Agente de Recuperação de Dados (DRA) para recuperar unidades ativadas bitLocker.

      • Comprimento mínimo do PIN
        CSP: BitLocker - SystemDrivesMinimumPINLength

        Especifique o comprimento PIN de arranque mínimo quando tPM + PIN for necessário durante a ativação bitLocker. O comprimento do PIN deve estar entre 4 e 20 dígitos.

        Se não configurar esta definição, os utilizadores podem configurar um PIN de arranque de qualquer comprimento (entre 4 e 20 dígitos)

        Esta definição só se aplica quando ativar primeiro o BitLocker e não tem qualquer efeito se o BitLocker já estiver ativado.

    • Configure o método de encriptação para unidades do Sistema Operativo
      CSP: BitLocker - EncryptionMethodByDriveType

      Configure o método de encriptação e a força de cifra para unidades de SISTEMA. XTS- AES 128-bit é o método de encriptação padrão Windows e o valor recomendado.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker - Unidade Amovível Definições

  • Política de unidade amovível BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Não configurado (padrão)
    • Configurar

    Quando definido para configurar, pode configurar as seguintes definições.

    • Configure o método de encriptação para unidades de dados amovíveis
      CSP: BitLocker - EncryptionMethodByDriveType

      Selecione o método de encriptação desejado para discos de unidades de dados amovíveis.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

    • Bloquear escrever acesso a unidades de dados amovíveis não protegidas pelo BitLocker
      CSP: BitLocker - RemovableDrivesRequireencryption

      • Não configurados (predefinido)- Os dados podem ser escritos para unidades amovíveis não encriptadas.

      • Sim - Windows não permite que os dados sejam escritos para unidades amovíveis que não estejam protegidas pelo BitLocker. Se uma unidade amovível inserida não estiver encriptada, o utilizador deve completar o assistente de configuração BitLocker antes de o acesso de escrita ser concedido para conduzir.

      • Bloquear escrever acesso a unidades de dados amovíveis não protegidas pelo BitLocker
        CSP: BitLocker - RemovableDrivesRequireencryption

        • Não configurado (padrão)- Qualquer unidade encriptada BitLocker pode ser utilizada.
        • Sim - Bloqueie o acesso a unidades amovíveis a menos que sejam encriptadas num computador propriedade da sua organização.

Passos seguintes

Política de segurança de ponto final para encriptação de disco