Compartilhar via


Política de criptografia de disco para segurança de ponto de extremidade no Intune

Segurança de ponto final Os perfis de encriptação de disco focam-se apenas nas definições relevantes para um método de encriptação incorporado de dispositivos, como FileVault, BitLocker e Encriptação de Dados Pessoais (para Windows). Este foco facilita a gestão das definições de encriptação de discos por parte dos administradores de segurança sem terem de navegar num anfitrião de definições não relacionadas.

Embora possa configurar as mesmas definições do dispositivo com perfis do Endpoint Protection para a configuração do dispositivo, os perfis de configuração do dispositivo incluem outras categorias de definições. Estas outras definições não estão relacionadas com a encriptação de discos e podem complicar a tarefa de configurar apenas a encriptação de disco.

Localize as políticas de segurança de ponto final para encriptação de disco em Gerir no nó de segurança do Ponto final do centro de administração do Microsoft Intune.

Pré-requisitos para a política de encriptação de discos

  • macOS – macOS 10.13 ou posterior
  • Windows - Windows 10
  • Windows - Windows 11

Controles de acesso baseados em função (RBAC)

Para obter orientações sobre como atribuir o nível certo de permissões e direitos para gerir Intune Política de encriptação de disco, veja Assign-role-based-access-controls-for-endpoint-security-policy.

Perfis de encriptação de discos

Perfis macOS:

Perfis do Windows:

  • BitLocker - A Encriptação de Unidade BitLocker é uma funcionalidade de proteção de dados que se integra com o sistema operativo e resolve as ameaças de roubo ou exposição de dados de computadores perdidos, roubados ou desativados de forma inadequada.

    Observação

    A partir de 19 de junho de 2023, o perfil do BitLocker para Windows foi atualizado para utilizar o formato de definições, conforme encontrado no Catálogo de Definições. O novo formato de perfil inclui as mesmas definições que o perfil mais antigo. Com esta alteração, já não pode criar novas versões dos perfis antigos. As instâncias existentes do perfil antigo permanecem disponíveis para utilização e edição.

    Com o novo formato de perfil, já não publicamos uma lista dedicada de definições, conforme encontrado no perfil. Em vez disso, utilize a ligação Saiba mais na IU enquanto visualiza as informações de uma definição, para abrir o CSP do BitLocker na documentação do Windows, onde a definição está detalhada na totalidade.

    Pode continuar a encontrar uma lista de definições nos perfis BitLocker originais criados antes de 19 de junho de 2023, nas definições do BitLocker na documentação do Intune.

  • Encriptação de Dados Pessoais – a Encriptação de Dados Pessoais (PDE) encripta dados ao nível da pasta e está disponível para dispositivos que executem Windows 11 versão 22H2 ou posterior. O PDE difere do BitLocker na forma como encripta ficheiros em vez de volumes e discos inteiros. O PDE ocorre além de outros métodos de encriptação, como o BitLocker. Ao contrário do BitLocker que liberta chaves de encriptação de dados no arranque, a PDE não liberta chaves de encriptação de dados até que um utilizador inicie sessão com Windows Hello para Empresas. A PDE utiliza o CSP PDE.

    Para obter mais informações sobre a PDE, incluindo pré-requisitos, requisitos relacionados e recomendações, consulte os seguintes artigos na documentação de segurança do Windows:

Para criar um perfil de Encriptação de Dados Pessoais ou BitLocker, veja Utilizar a encriptação de disco para Windows.

Gerir a encriptação de dispositivos

Depois de implementar a política para encriptar um disco de dispositivo, veja os seguintes artigos para obter informações sobre a gestão da encriptação:

Próximas etapas