Ange BitLocker-krypteringsalgoritmen för Autopilot-enheter
BitLocker krypterar automatiskt interna enheter under den färdiga upplevelsen (OOBE) för enheter som stöder modernt vänteläge eller uppfyller HSTI (Hardware Security Testability Specification). Som standard använder BitLocker endast XTS-AES 128-bitars använt utrymme för automatisk kryptering.
Med Windows Autopilot kan BitLocker-krypteringsinställningar konfigureras så att de tillämpas innan automatisk kryptering startar. Den här konfigurationen ser till att standardkrypteringsalgoritmen eller typen inte tillämpas automatiskt. En enhet som tar emot de här inställningarna efter krypteringen måste dekrypteras automatiskt innan krypteringsalgoritmen ändras.
Krypteringsalgoritm
BitLocker använder den angivna BitLocker-krypteringsalgoritmen när BitLocker först aktiveras. Under Autopilot aktiveras BitLocker efter enhetsinstallationsdelen av registreringsstatussidan. Följande krypteringsalgoritmer är tillgängliga:
- AES-CBC 128-bitars.
- AES-CBC 256-bitars.
- XTS-AES 128-bitars (standard).
- XTS-AES 256-bitars.
Mer information om de rekommenderade krypteringsalgoritmerna som ska användas finns i BitLocker Configuration Service Provider (CSP).
Så här kontrollerar du att den önskade BitLocker-krypteringsalgoritmen har angetts innan automatisk kryptering sker för Autopilot-enheter:
Konfigurera krypteringsmetodinställningarna i diskkrypteringsprincipen endpoint Security. Inställningarna är tillgängliga under Endpoint Security>Diskkryptering>Skapa principplattform> = Windows 10 och senare, Profiltyp = BitLocker.
Tilldela principen till Autopilot-enhetsgruppen. Krypteringsprincipen måste tilldelas till enheter i gruppen, inte användare.
Aktivera sidan Autopilot-registreringsstatus för dessa enheter. Om den här funktionen inte är aktiverad gäller inte principen innan krypteringen startar.
Fullständig disk eller använd kryptering med endast utrymme
Det finns två typer av kryptering, fullständig disk eller endast använt utrymme. Konfiguration av tyst aktivering och maskinvarustöd för modernt vänteläge avgör automatiskt vilken typ av kryptering som används. Den typ av kryptering som används kan tillämpas genom att konfigurera inställningen SystemDrivesEncryptionType . Precis som krypteringsalgoritmen använder BitLocker krypteringstypen när BitLocker först aktiveras. Mer information om förväntat beteende för krypteringstyp finns i Hantera BitLocker-princip.
Så här framtvingar du vilken typ av enhetskryptering som används:
Konfigurera inställningen Framtvinga enhetskrypteringstyp på operativsystemenheter i inställningskatalogen. Den här inställningen är tillgänglig i kategorin Administrativa mallar Windows-komponenter >> BitLocker-diskkryptering > av operativsystemenheter från inställningsväljaren.
Tilldela principen till Autopilot-enhetsgruppen. Krypteringsprincipen måste tilldelas till enheter i gruppen, inte användare.
Aktivera sidan Autopilot-registreringsstatus för dessa enheter. Om den här funktionen inte är aktiverad gäller inte principen innan krypteringen startar.