Настройка алгоритма шифрования BitLocker для устройств Windows Autopilot

BitLocker автоматически шифрует внутренние диски во время работы при первом включении (OOBE) для устройств, которые поддерживают современный режим ожидания или соответствуют спецификации тестирования безопасности оборудования (HSTI). По умолчанию BitLocker использует 128-битное используемое пространство XTS-AES только для автоматического шифрования.

С помощью Windows Autopilot параметры шифрования BitLocker можно настроить для применения до запуска автоматического шифрования. Эта конфигурация гарантирует, что алгоритм или тип шифрования по умолчанию не применяются автоматически. Устройство, получающее эти параметры после шифрования, должно быть расшифровано перед изменением алгоритма шифрования.

Алгоритм шифрования

BitLocker использует указанный алгоритм шифрования BitLocker при первом включении BitLocker. В Windows Autopilot BitLocker будет включен после настройки устройства на странице состояния регистрации. Доступны следующие алгоритмы шифрования:

• AES-CBC 128-bit.
• AES-CBC 256-разрядная версия.
• XTS-AES 128-bit (по умолчанию).
• XTS-AES 256-разрядная версия.

Дополнительные сведения о рекомендуемых алгоритмах шифрования для использования см. в статье Поставщик службы конфигурации BitLocker (CSP).

Полное дисковое или используемое шифрование только занятого пространства

Существует два типа шифрования: полный диск или используемое только пространство. Конфигурация автоматического включения и аппаратной поддержки современного резервирования автоматически определяет тип используемого шифрования. Тип используемого шифрования можно применить, настроив параметр SystemDrivesEncryptionType . Как и алгоритм шифрования, BitLocker использует тип шифрования при первом включении BitLocker. Дополнительные сведения об ожидаемом поведении типа шифрования см. в разделе Управление политикой BitLocker.

Настройка политики BitLocker для устройств Windows Autopilot

Чтобы убедиться, что нужный алгоритм шифрования BitLocker и шифрование заданы перед автоматическим шифрованием для устройств Windows Autopilot, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.

2. На начальном экране выберите Безопасность конечных точек в области слева.

3. В разделе Безопасность конечных точек | Экран "Обзор" , разверните узел Управление, а затем выберите Шифрование дисков.

4. В разделе Безопасность конечных точек | Экран шифрования диска . Выберите + Создать политику.

5. На открывающейся странице Создание профиля :

   1. В разделе Платформа выберите Windows.

   2. В разделе Профиль выберите BitLocker.

   3. Нажмите кнопку Создать.

6. На странице Основные сведения на экране Создание политики введите имя и необязательное описание, а затем нажмите кнопку Далее .

7. На странице Параметры конфигурации настройте различные параметры BitLocker, включая параметры метода шифрования и шифра итипа шифрования :

   • Метод шифрования и шифр

     1. Разверните раздел Шифрование диска BitLocker .

     2. В поле Выбор метода шифрования диска и надежности шифра выберите Включено.

     3. Для каждого из типов дисков (фиксированные диски с данными, диск операционной системы, съемные диски с данными) выберите нужный метод шифрования и шифр в раскрывающемся меню. По умолчанию для каждого типа используется XTS-AES 128-bit.

   • Тип шифрования

     1. Разверните раздел Диски операционной системы .

     2. Для параметра Принудительно использовать тип шифрования диска на дисках операционной системы выберите Включено.

     3. В поле Выберите тип шифрования диска в раскрывающемся меню выберите нужный тип шифрования( Полное шифрование или Шифрование только используемого пространства). Значение по умолчанию — Разрешить пользователю выбирать.

   После настройки всех параметров BitLocker нажмите кнопку Далее .

8. На странице Теги области нажмите кнопку Далее .

   Примечание.

   Теги области являются необязательными. Если необходимо указать настраиваемый тег область, сделайте это на этой странице. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

9. На странице Назначения используйте поле поиска Поиск по имени группы... для поиска и добавления группы устройств Windows Autopilot. После добавления группы устройств Windows Autopilot в разделе Группа убедитесь, что для целевого типа задано значение Включить, а затем нажмите кнопку Далее . Дополнительные сведения о назначении политики см. в статье Назначение политик в Microsoft Intune.

   Важно!

   Убедитесь, что выбранная на этом шаге группа устройств Windows Autopilot является группой устройств, а не группой пользователей.

10. На странице Просмотр и создание просмотрите параметры, чтобы убедиться, что они настроены должным образом, а затем нажмите кнопку Сохранить .

11. Настройте и назначьте страницу состояния регистрации (ESP) для устройства Windows Autopilot. Если ESP не включен, политика BitLocker не применяется до запуска шифрования. Дополнительные сведения см. в одной из следующих статей:

    • Страница состояния регистрации Windows Autopilot.
    • Присоединение к Microsoft Entra, управляемое пользователем. Настройте и назначьте страницу состояния регистрации (ESP).
    • Управляемое пользователем Microsoft Entra гибридное присоединение. Настройте и назначьте страницу состояния регистрации (ESP).
    • Предварительная подготовка Microsoft Entra присоединения. Настройте и назначьте страницу состояния регистрации (ESP).
    • Предварительная подготовка Microsoft Entra гибридного соединения. Настройте и назначьте страницу состояния регистрации (ESP).
    • Режим самостоятельного развертывания. Настройте и назначьте страницу состояния регистрации (ESP).

Связанные материалы

• Общие сведения о BitLocker.
• Управление политикой BitLocker для устройств Windows с помощью Intune.