Configurações de política de criptografia de disco para segurança de ponto de extremidade no Intune

  • Artigo

Exiba as configurações que você pode configurar em perfis para a política de Criptografia de Disco no nó de segurança do Ponto de Extremidade do Intune como parte de uma política de segurança do Ponto de Extremidade.

Aplicável a:

  • macOS
  • Windows 10/11

Plataformas e perfis com suporte:

  • macOS:
    • Perfil: FileVault
  • Windows 10 e posterior:
    • Perfil: BitLocker

FileVault

Criptografia

Habilitar FileVault

  • Não configurado (padrão)

  • Sim – Habilitar a Criptografia de Disco Completo usando o XTS-AES 128 com FileVault em dispositivos que executam o macOS 10.13 e posterior. FileVault é habilitado quando o usuário sai do dispositivo.

    Quando definido como Sim, você pode configurar configurações adicionais para FileVault.

    • Tipo de chave de recuperaçãoChaves de recuperação de chave pessoal são criadas para dispositivos. Configure as seguintes configurações para a chave pessoal:

      • Rotação de chave de recuperação pessoal
        Especifique com que frequência a chave de recuperação pessoal de um dispositivo será girada. Você pode selecionar o padrão de Não configurado ou um valor de 1 a 12 meses.
      • Descrição do local do escrow da chave de recuperação pessoal
        Especifique uma mensagem curta para o usuário que explica como ele pode recuperar sua chave de recuperação pessoal. O usuário vê essa mensagem na tela de entrada quando solicitado a inserir sua chave de recuperação pessoal se uma senha for esquecida.

    • Número de vezes permitido para ignorar
      Defina o número de vezes que um usuário pode ignorar prompts para habilitar FileVault antes que FileVault seja necessário para que o usuário entre.

      • Não configurado (padrão) – a criptografia no dispositivo é necessária antes que a próxima entrada seja permitida.
      • 1 a 10 – Permitir que um usuário ignore o prompt de 1 a 10 vezes antes de exigir criptografia no dispositivo.
      • Sem limite, sempre prompt – o usuário é solicitado a habilitar o FileVault, mas a criptografia nunca é necessária.

    • Permitir adiamento até sair

      • Não configurado (padrão)
      • Sim – adie o prompt para habilitar o FileVault até que o usuário saia.

    • Desabilitar prompt na saída
      Evite o prompt para o usuário que solicita que ele habilite FileVault quando ele sair. Quando definido como Desabilitar, o prompt na saída é desabilitado e, em vez disso, o usuário é solicitado quando ele entra.

      • Não configurado (padrão)
      • Sim – desabilite o prompt para habilitar o FileVault que aparece na saída.

    • Ocultar chave de recuperação
      Ocultar a chave de recuperação pessoal do usuário do dispositivo macOS durante a criptografia. Depois que o disco é criptografado, um usuário pode usar qualquer dispositivo para exibir sua chave de recuperação pessoal por meio do site Portal da Empresa do Intune ou aplicativo do portal da empresa em uma plataforma com suporte.

      • Não configurado (padrão)
      • Sim – ocultar a chave de recuperação pessoal durante a criptografia do dispositivo.

BitLocker

Observação

Este artigo detalha as configurações que você pode encontrar nos perfis do BitLocker criados antes de 19 de junho de 2023 para a Windows 10 e plataforma posterior para a política de criptografia de disco de segurança do ponto de extremidade. Em 19 de junho de 2023, o perfil Windows 10 e posterior foi atualizado para usar um novo formato de configurações, conforme encontrado no Catálogo de Configurações. Com essa alteração, você não pode mais criar novas versões do perfil antigo e elas não estão mais sendo desenvolvidas. Embora você não possa mais criar novas instâncias do perfil mais antigo, você pode continuar editando e usando instâncias dele que você criou anteriormente.

Para perfis que usam o novo formato de configurações, o Intune não mantém mais uma lista de cada configuração por nome. Em vez disso, o nome de cada configuração, suas opções de configuração e seu texto explicativo que você vê no centro de administração Microsoft Intune são retirados diretamente do conteúdo autoritativo das configurações. Esse conteúdo pode fornecer mais informações sobre o uso da configuração em seu contexto apropriado. Ao exibir um texto de informações de configurações, você pode usar o link Saiba mais para abrir esse conteúdo.

Os detalhes das configurações a seguir para perfis do Windows se aplicam a esses perfis preteridos.

BitLocker – Configurações básicas

  • Habilitar a criptografia de disco completa para sistema operacional e unidades de dados fixas
    CSP: BitLocker – RequireDeviceEncryption

    Se a unidade foi criptografada antes da aplicação dessa política, nenhuma ação extra será tomada. Se o método de criptografia e as opções corresponderem ao dessa política, a configuração deverá retornar o sucesso. Se uma opção de configuração do BitLocker no local não corresponder a essa política, a configuração provavelmente retornará um erro.

    Para aplicar essa política a um disco já criptografado, descriptografe a unidade e reaplicar a política MDM. O padrão do Windows é não exigir a criptografia de unidade do BitLocker. No entanto, em Microsoft Entra ingressar e a criptografia automática de registro/logon da Microsoft Account (MSA) pode ser aplicada habilitando o BitLocker na criptografia XTS-AES de 128 bits.

    • Não configurado (padrão) – nenhuma aplicação do BitLocker ocorre.
    • Sim – impor o uso do BitLocker.

  • Exigir que os cartões de armazenamento sejam criptografados (somente móveis)
    CSP: BitLocker – RequireStorageCardEncryption

    Essa configuração só se aplica a dispositivos SKU do Windows Mobile e Mobile Enterprise.

    • Não configurada (padrão) – a configuração retorna ao sistema operacional padrão, que é não exigir criptografia de cartão de armazenamento.
    • Sim – A criptografia em cartões de armazenamento é necessária para dispositivos móveis.

    Observação

    O suporte para Windows 10 Mobile e Windows Phone 8.1 terminou em agosto de 2020.

  • Ocultar prompt sobre criptografia de terceiros
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Se o BitLocker estiver habilitado em um sistema que já está criptografado por um produto de criptografia de terceiros, ele poderá tornar o dispositivo inutilizável. A perda de dados pode ocorrer e talvez seja necessário reinstalar o Windows. É altamente sugerido nunca habilitar o BitLocker em um dispositivo que tenha criptografia de terceiros instalada ou habilitada.

    Por padrão, o assistente de instalação do BitLocker solicita aos usuários que confirmem que nenhuma criptografia de terceiros está em vigor.

    • Não configurado (padrão) – o assistente de instalação do BitLocker exibe um aviso e solicita aos usuários que confirmem que nenhuma criptografia de terceiros está presente.
    • Sim – Ocultar o prompt de assistentes de instalação do BitLocker dos usuários.

    Se os recursos de habilitação silenciosa do BitLocker forem necessários, o aviso de criptografia de terceiros deve estar oculto, pois qualquer prompt interrompe os fluxos de trabalho de habilitação silenciosos necessários.

    Quando definido como Sim, você pode configurar a seguinte configuração:

    • Permitir que usuários padrão habilitem a criptografia durante o Autopilot
      CSP: BitLocker – AllowStandardUserEncryption

      • Não configurado (padrão) – A configuração é deixada como padrão do cliente, que é exigir acesso de administrador local para habilitar o BitLocker.
      • Sim – durante Microsoft Entra ingressar em cenários de habilitação silenciosa, os usuários não precisam ser administradores locais para habilitar o BitLocker.

      Para cenários de habilitação não silencioso e autopilot, o usuário deve ser um administrador local para concluir o assistente de instalação do BitLocker.

  • Configurar a rotação de senha de recuperação orientada pelo cliente
    CSP: BitLocker – ConfigureRecoveryPasswordRotation

    Não há suporte para adicionar dispositivos AWA (Conta de Trabalho, formalmente Ingressados no Local de Trabalho) para rotação de chaves.

    • Não configurado (padrão) – o cliente não girará as chaves de recuperação do BitLocker.
    • Disabled
    • Microsoft Entra dispositivos ingressados
    • Microsoft Entra dispositivos híbridos ingressados

BitLocker – Configurações de unidade fixa

  • Política da unidade fixa do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Recuperação de unidade fixa
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Controle como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias.

      • Não configurado (padrão) – há suporte para as opções de recuperação padrão, incluindo o DRA (agente de recuperação de dados). O usuário final pode especificar opções de recuperação e as informações de recuperação não têm backup para Microsoft Entra.
      • Configurar – Habilitar o acesso para configurar várias técnicas de recuperação de unidade.

      Quando definido como Configurar as seguintes configurações estão disponíveis:

      • Criação de usuário da chave de recuperação

        • Bloqueado (padrão)
        • Required
        • Permitido

      • Configurar o pacote de recuperação do BitLocker

        • Senha e chave (padrão) – inclua a senha de recuperação do BitLocker usada por administradores e usuários para desbloquear unidades protegidas e pacotes de chave de recuperação que são usados por administradores para fins de recuperação de dados no Active Directory.
        • Somente senha – os pacotes de chave de recuperação podem não estar acessíveis quando necessário.

      • Exigir que o dispositivo faça backup das informações de recuperação para Microsoft Entra

        • Não configurado (padrão) – a habilitação do BitLocker será concluída mesmo se o backup da chave de recuperação para Microsoft Entra ID falhar. Isso pode resultar em nenhuma informação de recuperação sendo armazenada externamente.
        • Sim – o BitLocker não concluirá a habilitação até que as chaves de recuperação tenham sido salvas com êxito para Microsoft Entra.

      • Criação de usuário da senha de recuperação

        • Bloqueado (padrão)
        • Required
        • Permitido

      • Ocultar opções de recuperação durante a instalação do BitLocker

        • Não configurado (padrão) – permitir que o usuário acesse opções extras de recuperação.
        • Sim – bloqueie o usuário final de escolher opções extras de recuperação, como imprimir chaves de recuperação durante o assistente de instalação do BitLocker.

      • Habilitar o BitLocker após as informações de recuperação para armazenar

        • Não configurado (padrão)
        • Sim – Definindo isso como Sim, as informações de recuperação do BitLocker serão salvas para Active Directory Domain Services.

      • Bloquear o uso do DRA (agente de recuperação de dados baseado em certificado)

        • Não configurado (padrão) – permitir que o uso do DRA seja configurado. A configuração do DRA requer um PKI corporativo e objetos Política de Grupo para implantar o agente e certificados DRA.
        • Sim – bloqueie a capacidade de usar o DRA (Agente de Recuperação de Dados) para recuperar unidades habilitadas para BitLocker.

    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
      CSP: BitLocker – FixedDrivesRequireEncryption
      Essa configuração está disponível quando a política de unidade fixa do BitLocker é definida como Configurar.

      • Não configurado (padrão) – os dados podem ser gravados em unidades fixas não criptografadas.
      • Sim – o Windows não permitirá que nenhum dado seja gravado em unidades fixas que não estejam protegidas pelo BitLocker. Se uma unidade fixa não for criptografada, o usuário precisará concluir o assistente de instalação do BitLocker para a unidade antes que o acesso à gravação seja concedido.

    • Configurar o método de criptografia para unidades de dados fixas
      CSP: BitLocker – EncryptionMethodByDriveType

      Configure o método de criptografia e a força da codificação para discos fixos de unidades de dados. XTS- AES de 128 bits é o método de criptografia padrão do Windows e o valor recomendado.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker – Configurações da unidade do sistema operacional

  • Política da unidade de sistema do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Configurar (padrão)
    • Não configurado

    Quando definido como Configurar , você pode configurar as seguintes configurações:

    • Autenticação de inicialização necessária
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Não configurado (padrão)
      • Sim – configure os requisitos adicionais de autenticação na inicialização do sistema, incluindo o uso de TPM (Trusted Platform Module) ou os requisitos de PIN de inicialização.

      Quando definido como Sim , você pode configurar as seguintes configurações:

      • Inicialização TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        É recomendável exigir um TPM para BitLocker. Essa configuração só se aplica ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver habilitado.

        • Bloqueado (padrão) – o BitLocker não usa o TPM.
        • Obrigatório – o BitLocker habilita somente se um TPM estiver presente e utilizável.
        • Permitido – o BitLocker usa o TPM se estiver presente.

      • PIN de inicialização TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloqueie o uso de um PIN.
        • Obrigatório – exigir que um PIN e TPM estejam presentes para habilitar o BitLocker.
        • Permitido – o BitLocker usa o TPM se estiver presente e permite que um PIN de inicialização seja configurado pelo usuário.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Cenários de habilitação silenciosa (incluindo o Autopilot) não serão bem-sucedidos quando a interação do usuário for necessária.

      • Chave de inicialização TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloquear o uso de chaves de inicialização.
        • Obrigatório – Exigir uma chave de inicialização e TPM estar presente para habilitar o BitLocker.
        • Permitido – o BitLocker usa o TPM se estiver presente e permitir que uma chave de inicialização (como uma unidade USB) esteja presente para desbloquear as unidades.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Cenários de habilitação silenciosa (incluindo o Autopilot) não serão bem-sucedidos quando a interação do usuário for necessária.

      • Chave de inicialização TPM compatível e PIN
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloqueie o uso de uma chave de inicialização e uma combinação de PIN.
        • Obrigatório – Exigir que o BitLocker tenha uma chave de inicialização e um PIN presente para ficar habilitado.
        • Permitido – o BitLocker usa o TPM se estiver presente e permitir uma chave de inicialização) e a combinação de PIN.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Cenários de habilitação silenciosa (incluindo o Autopilot) não serão bem-sucedidos quando a interação do usuário for necessária.

      • Desabilitar o BitLocker em dispositivos em que o TPM é incompatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Se nenhum TPM estiver presente, o BitLocker exigirá uma senha ou unidade USB para inicialização.

        Essa configuração só se aplica ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver habilitado.

        • Não configurado (padrão)
        • Sim – impedir que o BitLocker seja configurado sem um chip TPM compatível.

      • Habilitar a mensagem e a url de recuperação de pré-inicialização
        CSP: BitLocker – SystemDrivesRecoveryMessageconfigure

        • Não configurado (padrão) – use as informações padrão de recuperação de pré-inicialização do BitLocker.
        • Sim – habilite a configuração de uma mensagem e URL de recuperação de pré-inicialização personalizadas para ajudar os usuários a entender como encontrar a senha de recuperação. A mensagem de pré-inicialização e a URL são vistas pelos usuários quando são bloqueados fora do computador no modo de recuperação.

        Quando definido como Sim , você pode configurar as seguintes configurações:

        • Mensagem de recuperação de pré-inicialização
          Especifique uma mensagem de recuperação de pré-inicialização personalizada.

        • Url de recuperação de pré-inicialização
          Especifique uma URL de recuperação de pré-inicialização personalizada.

      • Recuperação da unidade do sistema
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Não configurado (padrão)
        • Configurar – Habilitar a configuração de configurações adicionais.

        Quando definido como Configurar as seguintes configurações estão disponíveis:

        • Criação de usuário da chave de recuperação

          • Bloqueado (padrão)
          • Required
          • Permitido

        • Configurar o pacote de recuperação do BitLocker

          • Senha e chave (padrão) – inclua a senha de recuperação do BitLocker usada por administradores e usuários para desbloquear unidades protegidas e pacotes de chave de recuperação que são usados por administradores para fins de recuperação de dados) no Active Directory.
          • Somente senha – os pacotes de chave de recuperação podem não estar acessíveis quando necessário.

        • Exigir que o dispositivo faça backup das informações de recuperação para Microsoft Entra

          • Não configurado (padrão) – a habilitação do BitLocker será concluída mesmo se o backup da chave de recuperação para Microsoft Entra ID falhar. Isso pode resultar em nenhuma informação de recuperação sendo armazenada externamente.
          • Sim – o BitLocker não concluirá a habilitação até que as chaves de recuperação tenham sido salvas com êxito para Microsoft Entra.

        • Criação de usuário da senha de recuperação

          • Bloqueado (padrão)
          • Required
          • Permitido

        • Ocultar opções de recuperação durante a instalação do BitLocker

          • Não configurado (padrão) – permitir que o usuário acesse opções extras de recuperação.
          • Sim – bloqueie o usuário final de escolher opções extras de recuperação, como imprimir chaves de recuperação durante o assistente de instalação do BitLocker.

        • Habilitar o BitLocker após as informações de recuperação para armazenar

          • Não configurado (padrão)
          • Sim – Definindo isso como Sim, as informações de recuperação do BitLocker serão salvas para Active Directory Domain Services.

        • Bloquear o uso do DRA (agente de recuperação de dados baseado em certificado)

          • Não configurado (padrão) – permitir que o uso do DRA seja configurado. A configuração do DRA requer um PKI corporativo e objetos Política de Grupo para implantar o agente e certificados DRA.
          • Sim – bloqueie a capacidade de usar o DRA (Agente de Recuperação de Dados) para recuperar unidades habilitadas para BitLocker.

      • Tamanho mínimo do PIN
        CSP: BitLocker – SystemDrivesMinimumPINLength

        Especifique o comprimento mínimo do PIN de inicialização quando O TPM + PIN for necessário durante a habilitação do BitLocker. O comprimento pin deve estar entre 4 e 20 dígitos.

        Se você não configurar essa configuração, os usuários poderão configurar um PIN de inicialização de qualquer comprimento (entre 4 e 20 dígitos)

        Essa configuração só se aplica ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver habilitado.

    • Configurar o método de criptografia para unidades do Sistema Operacional
      CSP: BitLocker – EncryptionMethodByDriveType

      Configure o método de criptografia e a força de codificação para unidades do sistema operacional. XTS- AES de 128 bits é o método de criptografia padrão do Windows e o valor recomendado.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker – Configurações de unidade removível

  • Política da unidade removível do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Não configurado (padrão)
    • Configurar

    Quando definido como Configurar , você pode configurar as seguintes configurações.

    • Configurar o método de criptografia para unidades de dados removíveis
      CSP: BitLocker – EncryptionMethodByDriveType

      Selecione o método de criptografia desejado para discos removíveis de unidades de dados.

      • Não configurado (padrão)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Não configurado (padrão) – os dados podem ser gravados em unidades removíveis não criptografadas.
      • Sim – o Windows não permite que os dados sejam gravados em unidades removíveis que não estejam protegidas pelo BitLocker. Se uma unidade removível inserida não for criptografada, o usuário deverá concluir o assistente de instalação do BitLocker antes que o acesso de gravação seja concedido à unidade.

    • Bloquear o acesso de gravação a dispositivos configurados em outra organização
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Não configurado (padrão) – qualquer unidade criptografada do BitLocker pode ser usada.
      • Sim – bloquear o acesso de gravação a unidades removíveis, a menos que elas sejam criptografadas em um computador de propriedade da sua organização.

Próximas etapas

Política de segurança do ponto de extremidade para criptografia de disco