Настройка алгоритма шифрования BitLocker для устройств Autopilot
BitLocker автоматически шифрует внутренние диски в процессе запуска (OOBE) для устройств, которые поддерживают современный режим ожидания или соответствуют спецификации тестируемости безопасности оборудования (HSTI). По умолчанию BitLocker использует 128-битное используемое пространство XTS-AES только для автоматического шифрования.
С помощью Windows Autopilot можно настроить параметры шифрования BitLocker для применения перед запуском автоматического шифрования. Эта конфигурация гарантирует, что алгоритм или тип шифрования по умолчанию не применяются автоматически. Устройство, получающее эти параметры после автоматического шифрования, необходимо расшифровать перед изменением алгоритма шифрования.
Алгоритм шифрования
Алгоритм шифрования BitLocker используется при первом включении BitLocker. Во время Autopilot BitLocker будет включен после настройки устройства на странице состояния регистрации. Доступны следующие алгоритмы шифрования:
- AES-CBC 128-битная
- AES-CBC 256-битная
- XTS-AES 128-битная (по умолчанию)
- XTS-AES 256-битная
Дополнительные сведения о рекомендуемых алгоритмах шифрования см. в CSP BitLocker.
Чтобы убедиться, что нужный алгоритм шифрования BitLocker задан перед автоматическим шифрованием для устройств Autopilot, сделайте следующее:
Настройте параметры метода шифрования в политике шифрования дисков Endpoint Security. Параметры доступны в разделеШифрование> дисков безопасности конечных точек>Создание политики>Платформа = Windows 10 и более поздних версий, Тип профиля = BitLocker.
Назначьте политику группе устройств Autopilot. Политика шифрования должна быть назначена устройствам в группе, а не пользователям.
Включите страницу состояния регистрации Autopilot для этих устройств. Если вы не включите эту функцию, политика не будет применяться до начала шифрования.
Полное дисковое или используемое шифрование только занятого пространства
Существует два типа шифрования: полный диск или используемое только пространство. Тип шифрования автоматически определяется конфигурацией автоматического включения и аппаратной поддержкой современного режима ожидания. Его можно применить, настроив параметр SystemDrivesEncryptionType . Как и алгоритм шифрования, тип шифрования используется при первом включении BitLocker. Дополнительные сведения об ожидаемом поведении типа шифрования см. в разделе Управление политикой BitLocker.
Чтобы применить тип используемого шифрования диска, выполните следующие действия:
Настройте параметр Принудительное шифрование диска на дисках операционной системы в каталоге параметров. Этот параметр доступен в категории Административные шаблоны > Компоненты > Windows BitLocker Диски операционной системы шифрования > дисков в средстве выбора параметров.
Назначьте политику группе устройств Autopilot. Политика шифрования должна быть назначена устройствам в группе, а не пользователям.
Включите страницу состояния регистрации Autopilot для этих устройств. Если вы не включите эту функцию, политика не будет применяться до начала шифрования.
Требования
Поддерживаемая версия Windows.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по