Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
BitLocker krypterar automatiskt interna enheter under den färdiga upplevelsen (OOBE) för enheter som stöder modernt vänteläge eller uppfyller HSTI (Hardware Security Testability Specification). Som standard använder BitLocker endast XTS-AES 128-bitars använt utrymme för automatisk kryptering.
Med Windows Autopilot kan BitLocker-krypteringsinställningar konfigureras så att de tillämpas innan automatisk kryptering startar. Den här konfigurationen ser till att standardkrypteringsalgoritmen eller typen inte tillämpas automatiskt. En enhet som tar emot de här inställningarna efter krypteringen måste dekrypteras automatiskt innan krypteringsalgoritmen ändras.
Krypteringsalgoritm
BitLocker använder den angivna BitLocker-krypteringsalgoritmen när BitLocker först aktiveras. Under Windows Autopilot aktiveras BitLocker efter enhetsinstallationsdelen av registreringsstatussidan. Följande krypteringsalgoritmer är tillgängliga:
- AES-CBC 128-bitars.
- AES-CBC 256-bitars.
- XTS-AES 128-bitars (standard).
- XTS-AES 256-bitars.
Mer information om de rekommenderade krypteringsalgoritmerna som ska användas finns i BitLocker Configuration Service Provider (CSP).
Fullständig disk eller använd kryptering med endast utrymme
Det finns två typer av kryptering, fullständig disk eller endast använt utrymme. Konfiguration av tyst aktivering och maskinvarustöd för modernt vänteläge avgör automatiskt vilken typ av kryptering som används. Den typ av kryptering som används kan tillämpas genom att konfigurera inställningen SystemDrivesEncryptionType . Precis som krypteringsalgoritmen använder BitLocker krypteringstypen när BitLocker först aktiveras. Mer information om förväntat beteende för krypteringstyp finns i Hantera BitLocker-princip.
Konfigurera en BitLocker-princip för Windows Autopilot-enheter
Följ dessa steg för att se till att både den önskade BitLocker-krypteringsalgoritmen och krypteringen har angetts innan automatisk kryptering sker för Windows Autopilot-enheter:
Logga in på Microsoft Intune administrationscenter.
På startskärmen väljer du Slutpunktssäkerhet i den vänstra rutan.
I slutpunktssäkerhet | Översiktsskärmen , expandera Hantera och välj sedan Diskkryptering.
I slutpunktssäkerhet | Diskkrypteringsskärmen . Välj + Skapa princip.
På sidan Skapa en profil som öppnas:
Under Plattform väljer du Windows.
Under Profil väljer du BitLocker.
Välj knappen Skapa .
På sidan Grundläggande inställningar på skärmen Skapa princip anger du ett Namn och en valfri Beskrivning och väljer sedan knappen Nästa .
På sidan Konfigurationsinställningar konfigurerar du de olika BitLocker-inställningarna efter behov, inklusive inställningar för krypteringsmetod och chiffer och krypteringstyp :
Krypteringsmetod och chiffer
Expandera avsnittet BitLocker-diskkryptering .
För Välj enhetskrypteringsmetod och chifferstyrka väljer du Aktiverad.
För var och en av enhetstyperna (fasta dataenheter, operativsystemenhet, flyttbara dataenheter) väljer du önskad krypteringsmetod och chiffer i den nedrullningsbara menyn. Standardvärdet för varje typ är XTS-AES 128-bitars.
Krypteringstyp
Expandera avsnittet Operativsystemenheter .
För Framtvinga enhetskrypteringstyp på operativsystemenheter väljer du Aktiverad.
För Välj typ av enhetskryptering väljer du önskad krypteringstyp, antingen Fullständig kryptering eller Kryptering med endast använt utrymme, i den nedrullningsbara menyn. Standardvärdet är Tillåt användare att välja.
När alla BitLocker-inställningar har konfigurerats som önskat väljer du knappen Nästa .
På sidan Omfångstaggar väljer du knappen Nästa .
Obs!
Omfångstaggar är valfria. Om du behöver ange en anpassad omfångstagg gör du det på den här sidan. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.
På sidan Tilldelningar använder du sökrutan Sök efter gruppnamn... för att hitta och lägga till Windows Autopilot-enhetsgruppen. När Windows Autopilot-enhetsgruppen har lagts till och visas under Grupp kontrollerar du att Måltyp är inställd på Inkludera och väljer sedan knappen Nästa . Mer information om hur du tilldelar en princip finns i Tilldela principer i Microsoft Intune.
Viktigt
Kontrollera att den Windows Autopilot-enhetsgrupp som valts i det här steget är en enhetsgrupp och inte en användargrupp.
På sidan Granska + skapa granskar du inställningarna för att kontrollera att de har konfigurerats som önskat och väljer sedan knappen Spara .
Konfigurera och tilldela en registreringsstatussida (ESP) för Windows Autopilot-enheten. Om en ESP inte är aktiverad gäller inte BitLocker-principen innan krypteringen startar. Mer information finns i någon av följande artiklar:
- Statussida för Windows Autopilot-registrering.
- Användardriven Microsoft Entra koppling: Konfigurera och tilldela registreringsstatussidan (ESP).
- Användardriven Microsoft Entra hybridanslutning: Konfigurera och tilldela registreringsstatussidan (ESP).
- Företablering Microsoft Entra anslutning: Konfigurera och tilldela registreringsstatussidan (ESP).
- Företablering Microsoft Entra hybridanslutning: Konfigurera och tilldela registreringsstatussidan (ESP).
- Självdistribueringsläge: Konfigurera och tilldela registreringsstatussidan (ESP).