Настройка алгоритма шифрования BitLocker для устройств Autopilot
BitLocker автоматически шифрует внутренние диски во время работы при первом включении (OOBE) для устройств, которые поддерживают современный режим ожидания или соответствуют спецификации тестирования безопасности оборудования (HSTI). По умолчанию BitLocker использует 128-битное используемое пространство XTS-AES только для автоматического шифрования.
С помощью Windows Autopilot параметры шифрования BitLocker можно настроить для применения до запуска автоматического шифрования. Эта конфигурация гарантирует, что алгоритм или тип шифрования по умолчанию не применяются автоматически. Устройство, получающее эти параметры после шифрования, должно быть расшифровано перед изменением алгоритма шифрования.
BitLocker использует указанный алгоритм шифрования BitLocker при первом включении BitLocker. Во время Autopilot BitLocker будет включен после настройки устройства на странице состояния регистрации. Доступны следующие алгоритмы шифрования:
- AES-CBC 128-bit.
- AES-CBC 256-разрядная версия.
- XTS-AES 128-bit (по умолчанию).
- XTS-AES 256-разрядная версия.
Дополнительные сведения о рекомендуемых алгоритмах шифрования для использования см. в статье Поставщик службы конфигурации BitLocker (CSP).
Чтобы убедиться, что требуемый алгоритм шифрования BitLocker задан перед автоматическим шифрованием для устройств Autopilot, сделайте следующее:
Настройте параметры метода шифрования в политике шифрования дисков Endpoint Security. Параметры доступны в разделеШифрование> диска безопасности> конечных точекСоздание политики>Платформа = Windows 10 и более поздних версий, Тип профиля = BitLocker.
Назначьте политику группе устройств Autopilot. Политика шифрования должна быть назначена устройствам в группе, а не пользователям.
Включите страницу состояния регистрации Autopilot для этих устройств. Если эта функция не включена, политика не применяется до начала шифрования.
Существует два типа шифрования: полный диск или используемое только пространство. Конфигурация автоматического включения и аппаратной поддержки современного резервирования автоматически определяет тип используемого шифрования. Тип используемого шифрования можно применить, настроив параметр SystemDrivesEncryptionType . Как и алгоритм шифрования, BitLocker использует тип шифрования при первом включении BitLocker. Дополнительные сведения об ожидаемом поведении типа шифрования см. в разделе Управление политикой BitLocker.
Чтобы применить тип используемого шифрования диска, выполните следующие действия:
Настройте параметр Принудительное шифрование диска на дисках операционной системы в каталоге параметров. Этот параметр доступен в категории Административные шаблоны > Компоненты > Windows BitLocker Диски операционной системы шифрования > дисков в средстве выбора параметров.
Назначьте политику группе устройств Autopilot. Политика шифрования должна быть назначена устройствам в группе, а не пользователям.
Включите страницу состояния регистрации Autopilot для этих устройств. Если эта функция не включена, политика не применяется до начала шифрования.