Поделиться через

Параметры политики шифрования дисков для безопасности конечных точек в Intune

  • Статья

Просмотрите параметры, которые можно настроить в профилях политики шифрования дисков в узле безопасность конечной точки Intune в рамках политики безопасности конечной точки.

Применимо к:

  • macOS
  • Windows 10
  • Windows 11

Поддерживаемые платформы и профили:

  • macOS
    • Профиль: FileVault
  • Windows 10 и более поздних версий:
    • Профиль: BitLocker

FileVault

Шифрование

Включение FileVault

  • Не настроено (по умолчанию)

  • Да . Включение полного шифрования дисков с помощью XTS-AES 128 с FileVault на устройствах под управлением macOS 10.13 и более поздних версий. FileVault включается, когда пользователь выходит из устройства.

    Если задано значение Да, можно настроить дополнительные параметры для FileVault.

    • Тип ключа восстановления Для устройств создаются личные ключи восстановления. Настройте следующие параметры для личного ключа:

      • Смена личного ключа восстановления
        Укажите частоту смены личного ключа восстановления для устройства. Можно выбрать значение по умолчанию Не настроено или значение от 1 до 12 месяцев.
      • Описание расположения депонирования личного ключа восстановления
        Укажите пользователю короткое сообщение, в которое будет показано, как получить личный ключ восстановления. Пользователь увидит это сообщение на экране входа, когда ей будет предложено ввести личный ключ восстановления, если пароль забыт.

    • Количество раз, разрешенных для обхода
      Задайте количество случаев, когда пользователь может игнорировать запросы на включение FileVault, прежде чем FileVault потребуется для входа пользователя.

      • Не настроено (по умолчанию) — шифрование на устройстве требуется, прежде чем будет разрешен следующий вход.
      • От 1 до 10 — разрешить пользователю игнорировать запрос от 1 до 10 раз, прежде чем требовать шифрования на устройстве.
      • Нет ограничений, всегда запрашивает — пользователю предлагается включить FileVault, но шифрование никогда не требуется.

    • Разрешить отсрочку до выхода

      • Не настроено (по умолчанию)
      • Да — отложите запрос на включение FileVault до выхода пользователя.

    • Отключение запроса при выходе из системы
      Запретить пользователю запрос на включение FileVault при выходе. Если задано значение Отключить, запрос при выходе отключается, а вместо этого пользователю будет предложено выполнить вход.

      • Не настроено (по умолчанию)
      • Да . Отключите запрос на включение FileVault, который отображается при выходе.

    • Скрытие ключа восстановления
      Скрытие личного ключа восстановления от пользователя устройства macOS во время шифрования. После шифрования диска пользователь может использовать любое устройство для просмотра личного ключа восстановления с помощью веб-сайта Корпоративный портал Intune или приложения корпоративного портала на поддерживаемой платформе.

      • Не настроено (по умолчанию)
      • Да — скрытие личного ключа восстановления во время шифрования устройства.

BitLocker

Примечание.

В этой статье описаны параметры, которые можно найти в профилях BitLocker, созданных до 19 июня 2023 г. для Windows 10 и более поздних версий для политики шифрования дисков безопасности конечных точек. 19 июня 2023 г. профиль Windows 10 и более поздних версий был обновлен для использования нового формата параметров в каталоге параметров. Благодаря этому изменению вы больше не сможете создавать новые версии старого профиля, и они больше не разрабатываются. Хотя вы больше не можете создавать новые экземпляры старого профиля, вы можете продолжать редактировать и использовать созданные ранее экземпляры.

Для профилей, использующих новый формат параметров, Intune больше не ведет список всех параметров по имени. Вместо этого имя каждого параметра, его параметры конфигурации и пояснительный текст, который отображается в центре администрирования Microsoft Intune, берутся непосредственно из достоверного содержимого параметров. Это содержимое может предоставить дополнительные сведения об использовании параметра в правильном контексте. При просмотре текста со сведениями о параметрах можно использовать ссылку Подробнее , чтобы открыть это содержимое.

Следующие сведения о параметрах для профилей Windows применяются к этим устаревшим профилям.

BitLocker — базовые параметры

  • Включение полного шифрования дисков для ОС и фиксированных дисков данных
    CSP: BitLocker — RequireDeviceEncryption

    Если диск был зашифрован до применения этой политики, никаких дополнительных действий не выполняется. Если метод и параметры шифрования совпадают с методами этой политики, настройка должна вернуться успешно. Если параметр конфигурации BitLocker на месте не соответствует этой политике, конфигурация, скорее всего, вернет ошибку.

    Чтобы применить эту политику к уже зашифрованным дискам, расшифруйте диск и повторно примените политику MDM. Windows по умолчанию не требует шифрования диска BitLocker. Однако при Microsoft Entra присоединении и регистрации учетной записи Майкрософт (MSA) может применяться автоматическое шифрование BitLocker при 128-разрядном шифровании XTS-AES.

    • Не настроено (по умолчанию) — принудительное применение BitLocker не выполняется.
    • Да — принудительное использование BitLocker.

  • Требовать шифрование карт памяти (только для мобильных устройств)
    CSP: BitLocker — RequireStorageCardEncryption

    Этот параметр применяется только к устройствам SKU Windows Mobile и Mobile Enterprise.

    • Не настроено (по умолчанию) — параметр возвращает значение по умолчанию ос, которое не требует шифрования карта хранилища.
    • Да . Шифрование на картах памяти требуется для мобильных устройств.

    Примечание.

    Поддержка Windows 10 Mobile и Windows Phone 8.1 прекращена в августе 2020 г.

  • Скрыть запрос о стороннем шифровании
    CSP: BitLocker — AllowWarningForOtherDiskEncryption

    Если BitLocker включен в системе, которая уже зашифрована сторонним продуктом шифрования, это может привести к тому, что устройство будет непригодным для использования. Может произойти потеря данных, и вам может потребоваться переустановить Windows. Настоятельно рекомендуется никогда не включать BitLocker на устройстве с установленным или включенным сторонним шифрованием.

    По умолчанию мастер настройки BitLocker предлагает пользователям подтвердить отсутствие стороннего шифрования.

    • Не настроено (по умолчанию) — мастер настройки BitLocker отображает предупреждение и предлагает пользователям подтвердить отсутствие стороннего шифрования.
    • Да . Скрытие запроса мастера настройки BitLocker от пользователей.

    Если требуются функции автоматического включения BitLocker, предупреждение о шифровании стороннего производителя должно быть скрыто, так как все необходимые запросы прерывают рабочие процессы автоматического включения.

    Если задано значение Да, можно настроить следующий параметр:

    • Разрешить стандартным пользователям включать шифрование во время Autopilot
      CSP: BitLocker — AllowStandardUserEncryption

      • Не настроено (по умолчанию) — параметр остается по умолчанию для клиента, то есть для включения BitLocker требуется доступ локального администратора.
      • Да. Во время Microsoft Entra присоединения к сценариям автоматического включения пользователям не нужно быть локальными администраторами, чтобы включить BitLocker.

      Для сценариев автоматического включения и Autopilot пользователь должен быть локальным администратором, чтобы завершить мастер настройки BitLocker.

  • Настройка смены паролей восстановления на основе клиента
    CSP: BitLocker — ConfigureRecoveryPasswordRotation

    Устройства с добавлением рабочей учетной записи (AWA, формально присоединенные к рабочей области) не поддерживают смену ключей.

    • Не настроено (по умолчанию) — клиент не будет менять ключи восстановления BitLocker.
    • Disabled
    • Microsoft Entra присоединенных устройств
    • Microsoft Entra устройства с гибридным присоединением

BitLocker — фиксированные параметры диска

  • Политика BitLocker в отношении встроенных дисков
    CSP: BitLocker — EncryptionMethodByDriveType

    • Исправлено восстановление диска
      CSP: BitLocker — FixedDrivesRecoveryOptions

      Управление восстановлением фиксированных дисков данных, защищенных BitLocker, при отсутствии необходимых сведений о ключе запуска.

      • Не настроено (по умолчанию) — поддерживаются параметры восстановления по умолчанию, включая агент восстановления данных (DRA). Конечный пользователь может указать параметры восстановления, а сведения о восстановлении не резервируются до Microsoft Entra.
      • Настройка — предоставление доступа для настройки различных методов восстановления диска.

      Если задано значение Настроить , доступны следующие параметры:

      • Создание пользователем ключа восстановления

        • Заблокировано (по умолчанию)
        • Required
        • Разрешены

      • Настройка пакета восстановления BitLocker

        • Пароль и ключ (по умолчанию). Включите пароль восстановления BitLocker, который используется администраторами и пользователями для разблокировки защищенных дисков, а также пакеты ключей восстановления, используемые администраторами для восстановления данных в Active Directory.
        • Только пароль . Пакеты ключей восстановления могут быть недоступны при необходимости.

      • Требовать от устройства резервного копирования сведений о восстановлении в Microsoft Entra

        • Не настроено (по умолчанию) — включение BitLocker завершится, даже если резервное копирование ключа восстановления в Microsoft Entra ID завершается сбоем. Это может привести к тому, что сведения о восстановлении не будут храниться извне.
        • Да. BitLocker не завершит включение до тех пор, пока ключи восстановления не будут успешно сохранены в Microsoft Entra.

      • Создание пользователем пароля восстановления

        • Заблокировано (по умолчанию)
        • Required
        • Разрешены

      • Скрытие параметров восстановления во время установки BitLocker

        • Не настроено (по умолчанию) — разрешить пользователю доступ к дополнительным параметрам восстановления.
        • Да — запретить пользователю выбирать дополнительные параметры восстановления, такие как печать ключей восстановления, во время мастера настройки BitLocker.

      • Включение BitLocker после хранения сведений о восстановлении

        • Не настроено (по умолчанию)
        • Да . Если задать для этого параметра значение Да, сведения о восстановлении BitLocker будут сохранены в доменные службы Active Directory.

      • Блокировка использования агента восстановления данных на основе сертификатов (DRA)

        • Не настроено (по умолчанию) — разрешено использовать DRA. Для настройки DRA требуется корпоративный PKI и объекты групповая политика для развертывания агента и сертификатов DRA.
        • Да — запретить возможность использования агента восстановления данных (DRA) для восстановления дисков с поддержкой BitLocker.

    • Блокировка доступа на запись к фиксированным дискам с данными, не защищенным BitLocker
      CSP: BitLocker — FixedDrivesRequireEncryption
      Этот параметр доступен, если для фиксированной политики диска BitLocker задано значение Настройка.

      • Не настроено (по умолчанию) — данные могут быть записаны на нешифрованные фиксированные диски.
      • Да . Windows не разрешает запись данных на фиксированные диски, которые не защищены BitLocker. Если фиксированный диск не зашифрован, пользователю потребуется завершить мастер настройки BitLocker для диска, прежде чем будет предоставлен доступ на запись.

    • Настройка метода шифрования для фиксированных дисков данных
      CSP: BitLocker — EncryptionMethodByDriveType

      Настройте метод шифрования и надежность шифра для фиксированных дисков с данными. XTS— AES 128-бит — это метод шифрования Windows по умолчанию и рекомендуемое значение.

      • Не настроено (по умолчанию)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker — параметры диска ОС

  • Политика BitLocker в отношении системных дисков
    CSP: BitLocker — EncryptionMethodByDriveType

    • Настройка (по умолчанию)
    • Не настроено

    Если задано значение Настроить , можно настроить следующие параметры:

    • Требуется проверка подлинности при запуске
      CSP: BitLocker — SystemDrivesRequireStartupAuthentication

      • Не настроено (по умолчанию)
      • Да . Настройте дополнительные требования к проверке подлинности при запуске системы, включая использование доверенного платформенного модуля (TPM) или требования к ПИН-коду запуска.

      Если задано значение Да , можно настроить следующие параметры:

      • Запуск совместимого доверенного платформенного модуля
        CSP: BitLocker — SystemDrivesRequireStartupAuthentication

        Рекомендуется требовать TPM для BitLocker. Этот параметр применяется только при первом включении BitLocker и не действует, если BitLocker уже включен.

        • Заблокировано (по умолчанию) — BitLocker не использует TPM.
        • Обязательный . BitLocker включается только в том случае, если TPM присутствует и доступен для использования.
        • Разрешено . BitLocker использует TPM, если он присутствует.

      • ПИН-код запуска совместимого доверенного платформенного модуля
        CSP: BitLocker — SystemDrivesRequireStartupAuthentication

        • Заблокировано (по умолчанию) — блокирует использование ПИН-кода.
        • Обязательный . Требуется наличие ПИН-кода и доверенного платформенного модуля для включения BitLocker.
        • Разрешено . BitLocker использует доверенный платформенный платформенный модуль, если он присутствует, и позволяет пользователю настроить ПИН-код запуска.

        Для сценариев автоматического включения необходимо задать значение Заблокировано. Сценарии автоматического включения (включая Autopilot) не будут успешными, если требуется взаимодействие с пользователем.

      • Ключ запуска совместимого доверенного платформенного модуля
        CSP: BitLocker — SystemDrivesRequireStartupAuthentication

        • Заблокировано (по умолчанию) — запретить использование ключей запуска.
        • Обязательный — требуется ключ запуска и TPM, чтобы включить BitLocker.
        • Разрешено . BitLocker использует доверенный платформенный модуль, если он присутствует и позволяет использовать ключ запуска (например, USB-накопитель) для разблокировки дисков.

        Для сценариев автоматического включения необходимо задать значение Заблокировано. Сценарии автоматического включения (включая Autopilot) не будут успешными, если требуется взаимодействие с пользователем.

      • Совместимый ключ запуска доверенного платформенного модуля и ПИН-код
        CSP: BitLocker — SystemDrivesRequireStartupAuthentication

        • Заблокировано (по умолчанию) — блокирует использование сочетания ключа запуска и ПИН-кода.
        • Обязательный . Требуется, чтобы в BitLocker присутствовал ключ запуска и ПИН-код, чтобы включить его.
        • Разрешено . BitLocker использует доверенный платформенный модуль, если он присутствует и разрешает сочетание ключа запуска) и ПИН-кода.

        Для сценариев автоматического включения необходимо задать значение Заблокировано. Сценарии автоматического включения (включая Autopilot) не будут успешными, если требуется взаимодействие с пользователем.

      • Отключение BitLocker на устройствах, где TPM несовместим
        CSP: BitLocker — SystemDrivesRequireStartupAuthentication

        Если TPM отсутствует, bitLocker требуется пароль или USB-накопитель для запуска.

        Этот параметр применяется только при первом включении BitLocker и не действует, если BitLocker уже включен.

        • Не настроено (по умолчанию)
        • Да — блокировать настройку BitLocker без совместимой микросхемы доверенного платформенного модуля.

      • Включение сообщения и URL-адреса восстановления перед загрузки
        CSP: BitLocker — SystemDrivesRecoveryMessageconfigure

        • Не настроено (по умолчанию) — используйте сведения о предзагрузочном восстановлении BitLocker по умолчанию.
        • Да — включите настройку пользовательского сообщения о восстановлении перед загрузкой и URL-адреса, чтобы помочь пользователям понять, как найти пароль восстановления. Сообщение о предварительной загрузке и URL-адрес отображаются пользователями, когда они заблокированы на компьютере в режиме восстановления.

        Если задано значение Да , можно настроить следующие параметры:

        • Сообщение о восстановлении перед загрузки
          Укажите пользовательское сообщение о восстановлении перед загрузкой.

        • URL-адрес восстановления перед загрузки
          Укажите пользовательский URL-адрес восстановления перед загрузкой.

      • Восстановление системного диска
        CSP: BitLocker — SystemDrivesRecoveryOptions

        • Не настроено (по умолчанию)
        • Настройка — включение настройки дополнительных параметров.

        Если задано значение Настроить , доступны следующие параметры:

        • Создание пользователем ключа восстановления

          • Заблокировано (по умолчанию)
          • Required
          • Разрешены

        • Настройка пакета восстановления BitLocker

          • Пароль и ключ (по умолчанию) — включите пароль восстановления BitLocker, используемый администраторами и пользователями для разблокировки защищенных дисков, и пакеты ключей восстановления, используемые администраторами для восстановления данных) в Active Directory.
          • Только пароль . Пакеты ключей восстановления могут быть недоступны при необходимости.

        • Требовать от устройства резервного копирования сведений о восстановлении в Microsoft Entra

          • Не настроено (по умолчанию) — включение BitLocker завершится, даже если резервное копирование ключа восстановления в Microsoft Entra ID завершается сбоем. Это может привести к тому, что сведения о восстановлении не будут храниться извне.
          • Да. BitLocker не завершит включение до тех пор, пока ключи восстановления не будут успешно сохранены в Microsoft Entra.

        • Создание пользователем пароля восстановления

          • Заблокировано (по умолчанию)
          • Required
          • Разрешены

        • Скрытие параметров восстановления во время установки BitLocker

          • Не настроено (по умолчанию) — разрешить пользователю доступ к дополнительным параметрам восстановления.
          • Да — запретить пользователю выбирать дополнительные параметры восстановления, такие как печать ключей восстановления, во время мастера настройки BitLocker.

        • Включение BitLocker после хранения сведений о восстановлении

          • Не настроено (по умолчанию)
          • Да . Если задать для этого параметра значение Да, сведения о восстановлении BitLocker будут сохранены в доменные службы Active Directory.

        • Блокировка использования агента восстановления данных на основе сертификатов (DRA)

          • Не настроено (по умолчанию) — разрешено использовать DRA. Для настройки DRA требуется корпоративный PKI и объекты групповая политика для развертывания агента и сертификатов DRA.
          • Да — запретить возможность использования агента восстановления данных (DRA) для восстановления дисков с поддержкой BitLocker.

      • Minimum PIN length (Минимальная длина ПИН).
        CSP: BitLocker — SystemDrivesMinimumPINLength

        Укажите минимальную длину ПИН-кода запуска, если во время включения BitLocker требуется доверенный платформенный модуль + ПИН-код. Длина ПИН-кода должна составлять от 4 до 20 цифр.

        Если этот параметр не настроен, пользователи могут настроить ПИН-код запуска любой длины (от 4 до 20 цифр).

        Этот параметр применяется только при первом включении BitLocker и не действует, если BitLocker уже включен.

    • Настройка метода шифрования для дисков операционной системы
      CSP: BitLocker — EncryptionMethodByDriveType

      Настройте метод шифрования и надежность шифра для дисков ОС. XTS— AES 128-бит — это метод шифрования Windows по умолчанию и рекомендуемое значение.

      • Не настроено (по умолчанию)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

BitLocker — параметры съемных дисков

  • Политика BitLocker в отношении съемных дисков
    CSP: BitLocker — EncryptionMethodByDriveType

    • Не настроено (по умолчанию)
    • Настройка

    Если задано значение Настроить , можно настроить следующие параметры.

    • Настройка метода шифрования для съемных дисков с данными
      CSP: BitLocker — EncryptionMethodByDriveType

      Выберите нужный метод шифрования для съемных дисков данных.

      • Не настроено (по умолчанию)
      • AES 128bit CBC
      • AES 256bit CBC
      • AES 128bit XTS
      • AES 256bit XTS

    • Блокировка доступа на запись к съемным дискам с данными, не защищенным BitLocker
      CSP: BitLocker — RemovableDrivesRequireEncryption

      • Не настроено (по умолчанию) — данные можно записывать на незашифрованные съемные диски.
      • Да . Windows не разрешает запись данных на съемные диски, которые не защищены BitLocker. Если вставленный съемный диск не зашифрован, пользователь должен завершить мастер настройки BitLocker, прежде чем будет предоставлен доступ на запись на диск.

    • Блокировка доступа на запись к устройствам, настроенным в другой организации
      CSP: BitLocker — RemovableDrivesRequireEncryption

      • Не настроено (по умолчанию) — можно использовать любой зашифрованный диск BitLocker.
      • Да — блокировать доступ на запись к съемным дискам, если они не были зашифрованы на компьютере, принадлежавшем вашей организации.

Дальнейшие действия

Политика безопасности конечной точки для шифрования дисков