Ange BitLocker-krypteringsalgoritmen för Autopilot-enheter
BitLocker krypterar automatiskt interna enheter under OOBE (Out Of Box Experience) för enheter som stöder modernt vänteläge eller uppfyller HSTI (Hardware Security Testability Specification). Som standard använder BitLocker endast XTS-AES 128-bitars använt utrymme för automatisk kryptering.
Med Windows Autopilot kan du konfigurera BitLocker-krypteringsinställningar så att de tillämpas innan den automatiska krypteringen startar. Den här konfigurationen ser till att standardkrypteringsalgoritmen eller typen inte tillämpas automatiskt. En enhet som tar emot de här inställningarna efter krypteringen automatiskt måste dekrypteras innan krypteringsalgoritmen ändras.
Krypteringsalgoritm
BitLocker-krypteringsalgoritmen används när BitLocker först aktiveras. Under Autopilot aktiveras BitLocker efter enhetsinstallationsdelen av registreringsstatussidan. Följande krypteringsalgoritmer är tillgängliga:
- AES-CBC 128-bitars
- AES-CBC 256-bitars
- XTS-AES 128-bitars (standard)
- XTS-AES 256-bitars
Mer information om de rekommenderade krypteringsalgoritmerna som ska användas finns i BitLocker CSP.
Så här kontrollerar du att den BitLocker-krypteringsalgoritm som du vill använda är inställd innan automatisk kryptering sker för Autopilot-enheter:
Konfigurera krypteringsmetodinställningarna i diskkrypteringsprincipen endpoint Security. Inställningarna är tillgängliga underDiskkryptering> för slutpunktssäkerhet>Skapa principplattform> = Windows 10 och senare, Profiltyp = BitLocker.
Tilldela principen till din Autopilot-enhetsgrupp. Krypteringsprincipen måste tilldelas till enheter i gruppen, inte användare.
Aktivera sidan Autopilot-registreringsstatus för dessa enheter. Om du inte aktiverar den här funktionen gäller inte principen innan krypteringen startar.
Fullständig disk eller använd kryptering med endast utrymme
Det finns två typer av kryptering, fullständig disk eller endast använt utrymme. Typen av kryptering bestäms automatiskt av konfiguration av tyst aktivering och maskinvarustöd för modernt vänteläge. Du kan framtvinga det genom att konfigurera inställningen SystemDrivesEncryptionType . Precis som krypteringsalgoritmen används krypteringstypen när BitLocker först aktiveras. Mer information om förväntat beteende för krypteringstyp finns i Hantera BitLocker-princip.
Så här framtvingar du vilken typ av enhetskryptering som används:
Konfigurera inställningen Framtvinga enhetskrypteringstyp på operativsystemenheter i inställningskatalogen. Den här inställningen är tillgänglig i kategorin Administrativa mallar Windows-komponenter >> BitLocker-diskkryptering > av operativsystemenheter från inställningsväljaren.
Tilldela principen till din Autopilot-enhetsgrupp. Krypteringsprincipen måste tilldelas till enheter i gruppen, inte användare.
Aktivera sidan Autopilot-registreringsstatus för dessa enheter. Om du inte aktiverar den här funktionen gäller inte principen innan krypteringen startar.
Krav
En version av Windows som stöds.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för