Compartilhar via

Definições de política de encriptação de discos para segurança de pontos finais no Intune

  • Artigo

Veja as definições que pode configurar em perfis para a política de Encriptação de Discos no nó de segurança ponto final do Intune como parte de uma política de segurança de Ponto final.

Observação

A partir de 19 de junho de 2023, o perfil do BitLocker para Windows foi atualizado para utilizar o formato de definições, conforme encontrado no Catálogo de Definições. O novo formato de perfil inclui as mesmas definições que o perfil mais antigo, mas devido ao novo formato, os nomes das definições no centro de administração do Intune foram atualizados. Com esta alteração, já não pode criar novas versões do perfil antigo. As instâncias existentes do perfil antigo permanecem disponíveis para utilização e edição.

Os detalhes das definições neste artigo aplicam-se apenas aos perfis BitLocker criados antes de 19 de junho de 2023.

Com o novo formato de perfil, já não publicamos uma lista dedicada de definições, conforme encontrado no perfil. Em vez disso, utilize a ligação Saiba mais na IU enquanto visualiza as informações de uma definição, para abrir o CSP do BitLocker na documentação do Windows, onde a definição está detalhada na totalidade.

Aplicável a:

  • macOS
  • Windows 10
  • Windows 11

Plataformas e perfis suportados:

  • macOS:
    • Perfil: FileVault
  • Windows 10 e posterior:
    • Perfil: BitLocker

FileVault

Criptografia

Ativar FileVault

  • Não configurado (predefinição)

  • Sim - Ative a Encriptação de Disco Completa com XTS-AES 128 com FileVault em dispositivos com o macOS 10.13 e posterior. O FileVault é ativado quando o utilizador termina sessão no dispositivo.

    Quando definido como Sim, pode configurar mais definições para FileVault.

    • Tipo de chave de recuperação As chaves de recuperação de chaves pessoais são criadas para dispositivos. Configure as seguintes definições para a chave pessoal:

      • Rotação da chave de recuperação pessoal
        Especifique a frequência com que a chave de recuperação pessoal de um dispositivo irá rodar. Pode selecionar a predefinição Não configurado ou um valor de 1 a 12 meses.
      • Descrição da localização da caução da chave de recuperação pessoal
        Especifique uma breve mensagem para o utilizador que explica como pode obter a chave de recuperação pessoal. O utilizador vê esta mensagem no ecrã de início de sessão quando lhe for pedido para introduzir a chave de recuperação pessoal se uma palavra-passe for esquecida.

    • Número de vezes que é permitido ignorar
      Defina o número de vezes que um utilizador pode ignorar pedidos para ativar o FileVault antes de o FileVault ser necessário para o utilizador iniciar sessão.

      • Não configurado (predefinição) – a encriptação no dispositivo é necessária antes de o início de sessão seguinte ser permitido.
      • 1 a 10 - Permita que um utilizador ignore o pedido de 1 a 10 vezes antes de exigir a encriptação no dispositivo.
      • Sem limite, perguntar sempre – é pedido ao utilizador para ativar o FileVault, mas a encriptação nunca é necessária.

    • Permitir diferimento até terminar sessão

      • Não configurado (predefinição)
      • Sim – adie o pedido para ativar o FileVault até o utilizador sair.

    • Desativar pedido ao terminar sessão
      Impeça o pedido ao utilizador que pede que ative o FileVault quando terminar sessão. Quando definida como Desativar, o pedido de início de sessão é desativado e, em vez disso, é pedido ao utilizador quando inicia sessão.

      • Não configurado (predefinição)
      • Sim - Desative o pedido para ativar o FileVault que aparece no início de sessão.

    • Ocultar chave de recuperação
      Oculte a chave de recuperação pessoal do utilizador do dispositivo macOS durante a encriptação. Depois de encriptar o disco, um utilizador pode utilizar qualquer dispositivo para ver a chave de recuperação pessoal através do site do Portal da Empresa do Intune ou da aplicação do portal da empresa numa plataforma suportada.

      • Não configurado (predefinição)
      • Sim – oculte a chave de recuperação pessoal durante a encriptação do dispositivo.

BitLocker

Observação

Este artigo detalha as definições que pode encontrar nos perfis BitLocker criados antes de 19 de junho de 2023 para a plataforma Windows 10 e posterior para a política de encriptação de disco de segurança de ponto final. A 19 de junho de 2023, o perfil do Windows 10 e posterior foi atualizado para utilizar um novo formato de definições, conforme encontrado no Catálogo de Definições. Com esta alteração, já não pode criar novas versões do perfil antigo e estas já não estão a ser desenvolvidas. Embora já não possa criar novas instâncias do perfil mais antigo, pode continuar a editar e utilizar instâncias do mesmo que criou anteriormente.

Para perfis que utilizam o novo formato de definições, o Intune já não mantém uma lista de cada definição por nome. Em vez disso, o nome de cada definição, as opções de configuração e o texto explicativo que vê no centro de administração do Microsoft Intune são retirados diretamente do conteúdo autoritativo das definições. Esse conteúdo pode fornecer mais informações sobre a utilização da definição no contexto adequado. Ao visualizar um texto de informações sobre definições, pode utilizar a respetiva ligação Saiba mais para abrir esse conteúdo.

Os detalhes das definições seguintes para perfis do Windows aplicam-se a esses perfis preteridos.

BitLocker – Definições Base

  • Ativar a encriptação de disco completa para o SO e unidades de dados fixas
    CSP: BitLocker – RequireDeviceEncryption

    Se a unidade tiver sido encriptada antes desta política ser aplicada, não será efetuada qualquer ação adicional. Se o método de encriptação e as opções corresponderem ao desta política, a configuração deverá devolver êxito. Se uma opção de configuração bitLocker no local não corresponder a esta política, a configuração irá provavelmente devolver um erro.

    Para aplicar esta política a um disco já encriptado, desencripte a unidade e volte a aplicar a política de MDM. A predefinição do Windows é não exigir encriptação de unidade BitLocker. No entanto, na associação ao Microsoft Entra e na encriptação automática de registo/início de sessão da Conta Microsoft (MSA) pode aplicar-se a ativação do BitLocker na encriptação XTS-AES de 128 bits.

    • Não configurado (predefinição) – não ocorre nenhuma imposição do BitLocker.
    • Sim - Impor a utilização do BitLocker.

  • Exigir que os cartões de armazenamento sejam encriptados (apenas para dispositivos móveis)
    CSP: BitLocker – RequireStorageCardEncryption

    Esta definição aplica-se apenas a dispositivos Windows Mobile e Mobile Enterprise SKU.

    • Não configurado (predefinição) – a definição regressa à predefinição do SO, que é não exigir a encriptação do cartão de armazenamento.
    • Sim – a encriptação em cartões de armazenamento é necessária para dispositivos móveis.

    Observação

    O suporte para o Windows 10 Mobile e Windows Phone 8.1 terminou em agosto de 2020.

  • Ocultar pedido sobre encriptação de terceiros
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Se o BitLocker estiver ativado num sistema que já esteja encriptado por um produto de encriptação de terceiros, poderá tornar o dispositivo inutilizável. A perda de dados pode ocorrer e poderá ter de reinstalar o Windows. É altamente sugerido nunca ativar o BitLocker num dispositivo que tenha a encriptação de terceiros instalada ou ativada.

    Por predefinição, o assistente de configuração do BitLocker pede aos utilizadores que confirmem que não existe encriptação de terceiros.

    • Não configurado (predefinição) – o assistente de configuração do BitLocker apresenta um aviso e pede aos utilizadores para confirmarem que não existe encriptação de terceiros.
    • Sim – oculte o pedido dos assistentes de configuração do BitLocker dos utilizadores.

    Se forem necessárias funcionalidades de ativação automática do BitLocker, o aviso de encriptação de terceiros tem de ser ocultado, uma vez que qualquer pedido necessário interrompe os fluxos de trabalho de ativação silenciosa.

    Quando definido como Sim, pode configurar a seguinte definição:

    • Permitir que os utilizadores padrão ativem a encriptação durante o Autopilot
      CSP: BitLocker – AllowStandardUserEncryption

      • Não configurado (predefinição) – a definição é deixada como predefinição do cliente, que consiste em exigir acesso de administrador local para ativar o BitLocker.
      • Sim - Durante a associação ao Microsoft Entra cenários de ativação automática, os utilizadores não precisam de ser administradores locais para ativar o BitLocker.

      Para cenários de ativação não silenciosa e do Autopilot, o utilizador tem de ser um administrador local para concluir o assistente de configuração do BitLocker.

  • Configurar a rotação de palavras-passe de recuperação orientada pelo cliente
    CSP: BitLocker – ConfigurarRecoveryPasswordRotation

    A adição de dispositivos de Conta Profissional (AWA, formalmente Associada à Área de Trabalho) não é suportada para rotação de chaves.

    • Não configurado (predefinição) – o cliente não roda as chaves de recuperação bitLocker.
    • Disabled
    • Dispositivos ingressados no Microsoft Entra
    • Dispositivos associados híbridos do Microsoft Entra

BitLocker - Definições de Unidade Fixa

  • Política da unidade fixa do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Correção da recuperação da unidade
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Controle a forma como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações de chave de arranque necessárias.

      • Não configurado (predefinição) – as opções de recuperação predefinidas são suportadas, incluindo o agente de recuperação de dados (DRA). O utilizador final pode especificar opções de recuperação e as informações de recuperação não têm cópia de segurança no Microsoft Entra.
      • Configurar – ative o acesso para configurar várias técnicas de recuperação de unidades.

      Quando definida como Configurar as seguintes definições, estão disponíveis:

      • Criação de chave de recuperação pelo utilizador

        • Bloqueado (predefinição)
        • Required
        • Permitido

      • Configurar o pacote de recuperação BitLocker

        • Palavra-passe e Chave (predefinição) – inclua a palavra-passe de recuperação bitLocker utilizada pelos administradores e utilizadores para desbloquear unidades protegidas e pacotes de chaves de recuperação que são utilizados pelos administradores para fins de recuperação de dados no Active Directory.
        • Apenas palavra-passe – os pacotes de chaves de recuperação podem não estar acessíveis quando necessário.

      • Exigir que o dispositivo faça uma cópia de segurança das informações de recuperação para o Microsoft Entra

        • Não configurado (predefinição) – a ativação do BitLocker será concluída mesmo que a cópia de segurança da chave de recuperação para o ID do Microsoft Entra falhe. Isto pode fazer com que não sejam armazenadas informações de recuperação externamente.
        • Sim – o BitLocker não concluirá a ativação até que as chaves de recuperação tenham sido guardadas com êxito no Microsoft Entra.

      • Criação de palavra-passe de recuperação por parte do utilizador

        • Bloqueado (predefinição)
        • Required
        • Permitido

      • Ocultar opções de recuperação durante a configuração do BitLocker

        • Não configurado (predefinição) – permita que o utilizador aceda a opções de recuperação extra.
        • Sim – impeça o utilizador final de escolher opções de recuperação adicionais, como imprimir chaves de recuperação durante o assistente de configuração do BitLocker.

      • Ativar o BitLocker após as informações de recuperação para armazenar

        • Não configurado (predefinição)
        • Sim - Ao definir esta opção como Sim, as informações de recuperação do BitLocker serão guardadas nos Serviços de Domínio do Active Directory.

      • Bloquear a utilização do agente de recuperação de dados baseado em certificados (DRA)

        • Não configurado (predefinição) – permita a configuração da utilização do DRA. A configuração do DRA requer uma PKI empresarial e Objetos de Política de Grupo para implementar o agente DRA e os certificados.
        • Sim – bloqueie a capacidade de utilizar o Agente de Recuperação de Dados (DRA) para recuperar unidades ativadas pelo BitLocker.

    • Bloquear o acesso de escrita a unidades de dados fixas não protegidas pelo BitLocker
      CSP: BitLocker – FixedDrivesRequireEncryption
      Esta definição está disponível quando a política de unidade fixa bitLocker está definida como Configurar.

      • Não configurado (predefinição) – os dados podem ser escritos em unidades fixas não encriptadas.
      • Sim – o Windows não permite que quaisquer dados sejam escritos em unidades fixas que não estejam protegidas pelo BitLocker. Se uma unidade fixa não estiver encriptada, o utilizador terá de concluir o assistente de configuração do BitLocker para a unidade antes de ser concedido acesso de escrita.

    • Configurar o método de encriptação para unidades de dados fixas
      CSP: BitLocker – EncryptionMethodByDriveType

      Configure o método de encriptação e a força da cifra para discos de unidades de dados fixas. XTS– AES de 128 bits é o método de encriptação predefinido do Windows e o valor recomendado.

      • Não configurado (predefinição)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • XTS AES de 128 bits
      • AES 256 bits XTS

BitLocker - Definições da Unidade do SO

  • Política da unidade de sistema do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Configurar (predefinição)
    • Não configurado

    Quando definido como Configurar , pode configurar as seguintes definições:

    • Autenticação de arranque necessária
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Não configurado (predefinição)
      • Sim - Configure os requisitos de autenticação adicionais no arranque do sistema, incluindo a utilização do Trusted Platform Module (TPM) ou os requisitos de PIN de arranque.

      Quando definido como Sim , pode configurar as seguintes definições:

      • Arranque compatível do TPM
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        É recomendado exigir um TPM para o BitLocker. Esta definição só se aplica quando ativa o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver ativado.

        • Bloqueado (predefinição) – o BitLocker não utiliza o TPM.
        • Obrigatório – o BitLocker só é ativado se um TPM estiver presente e utilizável.
        • Permitido – o BitLocker utiliza o TPM se estiver presente.

      • PIN de arranque do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinição) – bloqueie a utilização de um PIN.
        • Obrigatório – exigir que um PIN e um TPM estejam presentes para ativar o BitLocker.
        • Permitido – o BitLocker utiliza o TPM se estiver presente e permite que um PIN de arranque seja configurado pelo utilizador.

        Para cenários de ativação automática, tem de definir esta opção como Bloqueado. Os cenários de ativação automática (incluindo o Autopilot) não serão bem-sucedidos quando a interação do utilizador for necessária.

      • Chave de arranque do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinição) – bloqueie a utilização de chaves de arranque.
        • Obrigatório – exija que uma chave de arranque e o TPM estejam presentes para ativar o BitLocker.
        • Permitido – o BitLocker utiliza o TPM se estiver presente e permite que uma chave de arranque (como uma pen USB) esteja presente para desbloquear as unidades.

        Para cenários de ativação automática, tem de definir esta opção como Bloqueado. Os cenários de ativação automática (incluindo o Autopilot) não serão bem-sucedidos quando a interação do utilizador for necessária.

      • Chave de arranque e PIN do TPM compatíveis
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (predefinição) – bloqueie a utilização de uma chave de arranque e uma combinação de PIN.
        • Obrigatório – exigir que o BitLocker tenha uma chave de arranque e um PIN presentes para ficarem ativados.
        • Permitido – o BitLocker utiliza o TPM se estiver presente e permite uma chave de arranque) e a combinação de PIN.

        Para cenários de ativação automática, tem de definir esta opção como Bloqueado. Os cenários de ativação automática (incluindo o Autopilot) não serão bem-sucedidos quando a interação do utilizador for necessária.

      • Desativar o BitLocker em dispositivos em que o TPM seja incompatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Se não existir nenhum TPM, o BitLocker requer uma palavra-passe ou uma pen USB para o arranque.

        Esta definição só se aplica quando ativa o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver ativado.

        • Não configurado (predefinição)
        • Sim – impeça o BitLocker de ser configurado sem um chip TPM compatível.

      • Ativar a mensagem de recuperação e o URL de pré-arranque
        CSP: BitLocker - SystemDrivesRecoveryMessageconfigure

        • Não configurado (predefinição) – utilize as informações de recuperação pré-arranque do BitLocker predefinidas.
        • Sim – ative a configuração de um URL e mensagem de recuperação de pré-arranque personalizados para ajudar os seus utilizadores a compreender como encontrar a palavra-passe de recuperação. A mensagem de pré-arranque e o URL são vistos pelos utilizadores quando estão bloqueados fora do PC no modo de recuperação.

        Quando definido como Sim , pode configurar as seguintes definições:

        • Mensagem de recuperação pré-arranque
          Especifique uma mensagem de recuperação de pré-arranque personalizada.

        • Url de recuperação pré-arranque
          Especifique um URL de recuperação pré-arranque personalizado.

      • Recuperação da unidade de sistema
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Não configurado (predefinição)
        • Configurar – ative a configuração de definições adicionais.

        Quando definida como Configurar as seguintes definições, estão disponíveis:

        • Criação de chave de recuperação pelo utilizador

          • Bloqueado (predefinição)
          • Required
          • Permitido

        • Configurar o pacote de recuperação BitLocker

          • Palavra-passe e Chave (predefinição) – inclua a palavra-passe de recuperação bitLocker utilizada pelos administradores e utilizadores para desbloquear unidades protegidas e pacotes de chaves de recuperação que são utilizados pelos administradores para fins de recuperação de dados) no Active Directory.
          • Apenas palavra-passe – os pacotes de chaves de recuperação podem não estar acessíveis quando necessário.

        • Exigir que o dispositivo faça uma cópia de segurança das informações de recuperação para o Microsoft Entra

          • Não configurado (predefinição) – a ativação do BitLocker será concluída mesmo que a cópia de segurança da chave de recuperação para o ID do Microsoft Entra falhe. Isto pode fazer com que não sejam armazenadas informações de recuperação externamente.
          • Sim – o BitLocker não concluirá a ativação até que as chaves de recuperação tenham sido guardadas com êxito no Microsoft Entra.

        • Criação de palavra-passe de recuperação por parte do utilizador

          • Bloqueado (predefinição)
          • Required
          • Permitido

        • Ocultar opções de recuperação durante a configuração do BitLocker

          • Não configurado (predefinição) – permita que o utilizador aceda a opções de recuperação extra.
          • Sim – impeça o utilizador final de escolher opções de recuperação adicionais, como imprimir chaves de recuperação durante o assistente de configuração do BitLocker.

        • Ativar o BitLocker após as informações de recuperação para armazenar

          • Não configurado (predefinição)
          • Sim - Ao definir esta opção como Sim, as informações de recuperação do BitLocker serão guardadas nos Serviços de Domínio do Active Directory.

        • Bloquear a utilização do agente de recuperação de dados baseado em certificados (DRA)

          • Não configurado (predefinição) – permita a configuração da utilização do DRA. A configuração do DRA requer uma PKI empresarial e Objetos de Política de Grupo para implementar o agente DRA e os certificados.
          • Sim – bloqueie a capacidade de utilizar o Agente de Recuperação de Dados (DRA) para recuperar unidades ativadas pelo BitLocker.

      • Tamanho mínimo do PIN
        CSP: BitLocker - SystemDrivesMinimumPINLength

        Especifique o comprimento mínimo do PIN de arranque quando o TPM + PIN é necessário durante a ativação do BitLocker. O comprimento do PIN tem de ter entre 4 e 20 dígitos.

        Se não configurar esta definição, os utilizadores podem configurar um PIN de arranque de qualquer comprimento (entre 4 e 20 dígitos)

        Esta definição só se aplica quando ativa o BitLocker pela primeira vez e não tem efeito se o BitLocker já estiver ativado.

    • Configurar o método de encriptação para unidades do Sistema Operativo
      CSP: BitLocker – EncryptionMethodByDriveType

      Configure o método de encriptação e a força da cifra para as unidades de SO. XTS– AES de 128 bits é o método de encriptação predefinido do Windows e o valor recomendado.

      • Não configurado (predefinição)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • XTS AES de 128 bits
      • AES 256 bits XTS

BitLocker – Definições de Unidade Amovível

  • Política da unidade removível do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Não configurado (predefinição)
    • Configurar

    Quando definido como Configurar , pode configurar as seguintes definições.

    • Configurar o método de encriptação para unidades de dados amovíveis
      CSP: BitLocker – EncryptionMethodByDriveType

      Selecione o método de encriptação pretendido para discos de unidades de dados amovíveis.

      • Não configurado (predefinição)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • XTS AES de 128 bits
      • AES 256 bits XTS

    • Bloquear o acesso de escrita a unidades de dados amovíveis não protegidas pelo BitLocker
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Não configurado (predefinição) – os dados podem ser escritos em unidades amovíveis não encriptadas.
      • Sim - O Windows não permite que os dados sejam escritos em unidades amovíveis que não estão protegidas pelo BitLocker. Se uma unidade amovível inserida não estiver encriptada, o utilizador tem de concluir o assistente de configuração do BitLocker antes de ser concedido acesso de escrita à unidade.

    • Bloquear o acesso de escrita a dispositivos configurados noutra organização
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Não configurado (predefinição) – qualquer unidade encriptada BitLocker pode ser utilizada.
      • Sim – bloqueie o acesso de escrita a unidades amovíveis, a menos que tenham sido encriptadas num computador pertencente à sua organização.

Próximas etapas

Política de segurança de ponto final para encriptação de disco