Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O BitLocker encripta automaticamente unidades internas durante a experiência inicial (OOBE) para dispositivos que suportam o Modo de Espera Moderno ou cumprem a Especificação de Testabilidade de Segurança de Hardware (HSTI). Por padrão, o BitLocker usa o espaço usado de 128 bits XTS-AES somente para criptografia automática.
Com o Windows Autopilot, as definições de encriptação bitLocker podem ser configuradas para serem aplicadas antes do início da encriptação automática. Esta configuração garante que o algoritmo ou tipo de encriptação predefinido não é aplicado automaticamente. Um dispositivo que recebe estas definições depois de encriptar automaticamente tem de ser desencriptado antes de alterar o algoritmo de encriptação.
Algoritmo de encriptação
O BitLocker utiliza o algoritmo de encriptação BitLocker especificado quando o BitLocker é ativado pela primeira vez. Durante o Windows Autopilot, o BitLocker será ativado após a parte de configuração do dispositivo da página status inscrição. Estão disponíveis os seguintes algoritmos de encriptação:
- AES-CBC de 128 bits.
- AES-CBC de 256 bits.
- XTS-AES de 128 bits (predefinição).
- XTS-AES de 256 bits.
Para obter mais informações sobre os algoritmos de encriptação recomendados a utilizar, veja Fornecedor de Serviços de Configuração (CSP) do BitLocker.
Disco completo ou criptografia somente de espaço usado
Existem dois tipos de encriptação, disco completo ou apenas espaço utilizado. A configuração da ativação automática e do suporte de hardware para o modo de espera moderno determina automaticamente o tipo de encriptação utilizada. O tipo de encriptação utilizado pode ser imposto ao configurar a definição SystemDrivesEncryptionType . Tal como o algoritmo de encriptação, o BitLocker utiliza o tipo de encriptação quando o BitLocker é ativado pela primeira vez. Para obter mais informações sobre o comportamento do tipo de encriptação esperado, veja Gerir a política BitLocker.
Configurar uma política BitLocker para dispositivos Windows Autopilot
Para se certificar de que o algoritmo de encriptação BitLocker pretendido e a encriptação estão definidos antes de ocorrer a encriptação automática para dispositivos Windows Autopilot, siga estes passos:
No ecrã Principal , selecione Segurança do ponto final no painel esquerdo.
Na segurança do Ponto Final | Ecrã Descrição geral , expanda Gerir e, em seguida, selecione Encriptação de discos.
Na segurança do Ponto Final | Ecrã de encriptação de disco. Selecione + Criar Política.
Na página Criar um perfil que é aberta:
Em Plataforma, selecione Windows.
Em Perfil, selecione BitLocker.
Selecione o botão Criar.
Na página Noções básicas do ecrã Criar Política , introduza um Nome e uma Descrição opcional e, em seguida, selecione o botão Seguinte .
Na página Definições de configuração , configure as várias definições do BitLocker conforme pretendido, incluindo o método encriptação e as definições de tipo cifra e Encriptação :
Método de encriptação e cifra
Expanda a secção Encriptação de Unidade BitLocker .
Em Escolher o método de encriptação de unidade e a força da cifra, selecione Ativado.
Para cada um dos tipos de unidade (Unidades de dados fixas, Unidade do sistema operativo, Unidades de dados amovíveis), selecione o método de encriptação pretendido e cifra no menu pendente. A predefinição para cada tipo é XTS-AES de 128 bits.
Tipo de encriptação
Expanda a secção Unidades do Sistema Operativo .
Para Impor tipo de encriptação de unidade em unidades do sistema operativo, selecione Ativado.
Em Selecionar o tipo de encriptação de unidade, selecione o tipo de encriptação pretendido, encriptação completa ou encriptação Apenas Espaço Utilizado, no menu pendente. A predefinição é Permitir que o utilizador escolha.
Assim que todas as definições do BitLocker estiverem configuradas conforme pretendido, selecione o botão Seguinte .
Na página Etiquetas de âmbito , selecione o botão Seguinte .
Observação
As etiquetas de âmbito são opcionais . Se for necessário especificar uma etiqueta de âmbito personalizado, faça-o nesta página. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.
Na página Atribuições , utilize a caixa de pesquisa Procurar por nome de grupo... para localizar e adicionar o grupo de dispositivos Do Windows Autopilot. Assim que o grupo de dispositivos Windows Autopilot for adicionado e estiver listado em Grupo, certifique-se de que o Tipo de destino está definido como Incluir e, em seguida, selecione o botão Seguinte . Para obter mais informações sobre a atribuição de uma política, veja Atribuir políticas no Microsoft Intune.
Importante
Certifique-se de que o grupo de dispositivos Windows Autopilot selecionado neste passo é um grupo de dispositivos e não um grupo de utilizadores.
Na página Rever + criar , reveja as definições para verificar se estão configuradas conforme pretendido e, em seguida, selecione o botão Guardar .
Configure e atribua uma página de Estado de Inscrição (ESP) para o dispositivo Windows Autopilot. Se um ESP não estiver ativado, a política BitLocker não se aplica antes do início da encriptação. Para obter mais informações, veja um dos seguintes artigos:
- Página de Estado da Inscrição do Windows Autopilot.
- Associação Microsoft Entra orientada pelo utilizador: configure e atribua a Página de Estado de Inscrição (ESP).
- Associação híbrida Microsoft Entra orientada pelo utilizador: configure e atribua a Página de Estado de Inscrição (ESP).
- Pré-aprovisionar Microsoft Entra associação: configure e atribua a Página de Estado da Inscrição (ESP).
- Pré-aprovisionar Microsoft Entra associação híbrida: configure e atribua a Página de Estado de Inscrição (ESP).
- Modo de implementação automática: configure e atribua a Página de Estado da Inscrição (ESP).