Definir o algoritmo de encriptação BitLocker para dispositivos Autopilot
O BitLocker encripta automaticamente unidades internas durante a experiência inicial (OOBE) para dispositivos que suportam o Modo de Espera Moderno ou cumprem a Especificação de Testabilidade de Segurança de Hardware (HSTI). Por padrão, o BitLocker usa o espaço usado de 128 bits XTS-AES somente para criptografia automática.
Com o Windows Autopilot, as definições de encriptação bitLocker podem ser configuradas para serem aplicadas antes do início da encriptação automática. Esta configuração garante que o algoritmo ou tipo de encriptação predefinido não é aplicado automaticamente. Um dispositivo que recebe estas definições depois de encriptar automaticamente tem de ser desencriptado antes de alterar o algoritmo de encriptação.
Algoritmo de encriptação
O BitLocker utiliza o algoritmo de encriptação BitLocker especificado quando o BitLocker é ativado pela primeira vez. Durante o Autopilot, o BitLocker será ativado após a parte de configuração do dispositivo da página de estado da inscrição. Estão disponíveis os seguintes algoritmos de encriptação:
- AES-CBC de 128 bits.
- AES-CBC de 256 bits.
- XTS-AES de 128 bits (predefinição).
- XTS-AES de 256 bits.
Para obter mais informações sobre os algoritmos de encriptação recomendados a utilizar, veja Fornecedor de Serviços de Configuração (CSP) do BitLocker.
Para se certificar de que o algoritmo de encriptação BitLocker pretendido está definido antes da encriptação automática ocorrer para dispositivos Autopilot:
Configure as definições do método de encriptação na política de encriptação de discos do Endpoint Security. As definições estão disponíveis emEncriptação> do Disco de Segurança> de Ponto FinalCriar política>Plataforma = Windows 10 e posterior, Tipo de perfil = BitLocker.
Atribua a política ao grupo de dispositivos autopilot. A política de encriptação tem de ser atribuída a dispositivos no grupo e não a utilizadores.
Ative a página de estado de inscrição do Autopilot para estes dispositivos. Se esta funcionalidade não estiver ativada, a política não se aplica antes do início da encriptação.
Disco completo ou criptografia somente de espaço usado
Existem dois tipos de encriptação, disco completo ou apenas espaço utilizado. A configuração da ativação automática e do suporte de hardware para o modo de espera moderno determina automaticamente o tipo de encriptação utilizada. O tipo de encriptação utilizado pode ser imposto ao configurar a definição SystemDrivesEncryptionType . Tal como o algoritmo de encriptação, o BitLocker utiliza o tipo de encriptação quando o BitLocker é ativado pela primeira vez. Para obter mais informações sobre o comportamento do tipo de encriptação esperado, veja Gerir a política BitLocker.
Para impor o tipo de encriptação de unidade utilizado:
Configure a definição Impor tipo de encriptação de unidade nas unidades do sistema operativo no catálogo de definições. Esta definição está disponível na categoria Componentes Administrativos de Componentes >> do Windows BitLocker Unidade > unidade Unidade Operativo Unidades de Sistema Operativo do seletor de definições.
Atribua a política ao grupo de dispositivos autopilot. A política de encriptação tem de ser atribuída a dispositivos no grupo e não a utilizadores.
Ative a página de estado de inscrição do Autopilot para estes dispositivos. Se esta funcionalidade não estiver ativada, a política não se aplica antes do início da encriptação.