Dela via


Referens för BitLocker-inställningar

Gäller för: Configuration Manager (aktuell gren)

BitLocker-hanteringsprinciper i Configuration Manager innehåller följande principgrupper:

  • Konfiguration
  • Operativsystemenhet
  • Fast enhet
  • Flyttbar enhet
  • Klienthantering

I följande avsnitt beskrivs och föreslås konfigurationer för inställningarna i varje grupp.

Konfiguration

Inställningarna på den här sidan konfigurerar globala BitLocker-krypteringsalternativ.

Enhetskrypteringsmetod och chifferstyrka

Föreslagen konfiguration: Aktiverad med standardmetoden eller högre krypteringsmetod.

Obs!

Sidan Konfigurationsegenskaper innehåller två grupper med inställningar för olika versioner av Windows. Det här avsnittet beskriver dem båda.

Windows 8.1-enheter

För Windows 8.1-enheter aktiverar du alternativet för enhetskrypteringsmetod och chifferstyrka och väljer någon av följande krypteringsmetoder:

  • AES 128-bitars med diffusor
  • AES 256-bitars med spridare
  • AES 128-bitars (standard)
  • AES 256-bitars

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMBLEncryptionMethodPolicy.

Windows 10 eller senare enheter

För Windows 10 eller senare enheter aktiverar du alternativet för enhetskrypteringsmetod och chifferstyrka (Windows 10 eller senare). Välj sedan någon av följande krypteringsmetoder för OS-enheter, fasta dataenheter och flyttbara dataenheter:

  • AES-CBC 128-bitars
  • AES-CBC 256-bitars
  • XTS-AES 128-bitars (standard)
  • XTS-AES 256-bitars

Tips

BitLocker använder Advanced Encryption Standard (AES) som krypteringsalgoritm med konfigurerbara nyckellängder på 128 eller 256 bitar. På Windows 10 eller senare enheter stöder AES-kryptering chifferblocklänkning (CBC) eller XTS (ciphertext stealing).

Om du behöver använda en flyttbar enhet på enheter som inte kör Windows 10 använder du AES-CBC.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMBLEncryptionMethodWithXts.

Allmänna användningsanteckningar för enhetskryptering och chifferstyrka

  • Om du inaktiverar eller inte konfigurerar de här inställningarna använder BitLocker standardkrypteringsmetoden.

  • Configuration Manager tillämpar de här inställningarna när du aktiverar BitLocker.

  • Om enheten redan är krypterad eller pågår ändras inte enhetens enhetskryptering vid eventuella ändringar av dessa principinställningar.

  • Om du använder standardvärdet kan rapporten BitLocker Computer Compliance visa chifferstyrkan som okänd. Du kan undvika det här problemet genom att aktivera den här inställningen och ange ett explicit värde för chifferstyrkan.

Förhindra överskrivning av minne vid omstart

Föreslagen konfiguration: Inte konfigurerad

Konfigurera den här principen för att förbättra omstartsprestandan utan att skriva över BitLocker-hemligheter i minnet vid omstart.

När du inte konfigurerar den här principen tar BitLocker bort sina hemligheter från minnet när datorn startas om.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMNoOverwritePolicy.

Verifiera regelefterlevnad för smartkortscertifikatanvändning

Föreslagen konfiguration: Inte konfigurerad

Konfigurera den här principen för att använda smartkortscertifikatbaserat BitLocker-skydd. Ange sedan certifikatets objektidentifierare.

När du inte konfigurerar den här principen använder BitLocker standardobjektidentifieraren 1.3.6.1.4.1.311.67.1.1 för att ange ett certifikat.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMScCompliancePolicy.

Unika identifierare för organisationen

Föreslagen konfiguration: Inte konfigurerad

Konfigurera den här principen för att använda en certifikatbaserad dataåterställningsagent eller BitLocker To Go-läsare.

När du inte konfigurerar den här principen använder BitLocker inte fältet Identifiering .

Om din organisation kräver högre säkerhetsmått konfigurerar du fältet Identifiering . Ange det här fältet på alla MÅL-USB-enheter och justera det med den här inställningen.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMUidPolicy.

OS-enhet

Inställningarna på den här sidan konfigurerar krypteringsinställningarna för den enhet där Windows är installerat.

Inställningar för kryptering av operativsystemenhet

Föreslagen konfiguration: Aktiverad

Om du aktiverar den här inställningen måste användaren skydda OS-enheten och BitLocker krypterar enheten. Om du inaktiverar den kan användaren inte skydda enheten. Om du inte konfigurerar den här principen krävs inte BitLocker-skydd på OPERATIVSYSTEMenheten.

Obs!

Om enheten redan är krypterad och du inaktiverar den här inställningen dekrypterar BitLocker enheten.

Om du har enheter utan en TPM (Trusted Platform Module) använder du alternativet För att tillåta BitLocker utan en kompatibel TPM (kräver ett lösenord). Med den här inställningen kan BitLocker kryptera OS-enheten, även om enheten inte har en TPM. Om du tillåter det här alternativet uppmanar Windows användaren att ange ett BitLocker-lösenord.

På enheter med en kompatibel TPM kan två typer av autentiseringsmetoder användas vid start för att ge extra skydd för krypterade data. När datorn startar kan den bara använda TPM för autentisering, eller också kan det kräva att ett personligt ID-nummer (PIN) anges. Konfigurera följande inställningar:

  • Välj skydd för operativsystemenhet: Konfigurera den så att den använder en TPM och PIN-kod, eller bara TPM.

  • Konfigurera minsta PIN-kodslängd för start: Om du behöver en PIN-kod är det här värdet den kortaste längd som användaren kan ange. Användaren anger den här PIN-koden när datorn startar för att låsa upp enheten. Som standard är 4den minsta PIN-kodens längd .

Tips

Om du vill ha högre säkerhet när du aktiverar enheter med TPM + PIN-skydd kan du inaktivera följande grupprincipinställningar iVilolägesinställningar försystemströmhantering>>:

  • Tillåt väntelägestillstånd (S1-S3) i viloläge (inkopplad)

  • Tillåt väntelägestillstånd (S1-S3) vid viloläge (vid batteridrift)

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMBMSOSDEncryptionPolicy.

Tillåt utökade PIN-koder för start

Föreslagen konfiguration: Inte konfigurerad

Konfigurera BitLocker för att använda förbättrade PIN-koder för start. Dessa PIN-koder tillåter användning av fler tecken, till exempel versaler och gemener, symboler, siffror och blanksteg. Den här inställningen gäller när du aktiverar BitLocker.

Viktigt

Alla datorer har inte stöd för förbättrade PIN-koder i förstartsmiljön. Innan du aktiverar dess användning bör du utvärdera om enheterna är kompatibla med den här funktionen.

Om du aktiverar den här inställningen tillåter alla nya PIN-koder för BitLocker-start att användaren kan skapa förbättrade PIN-koder.

  • Kräv ENDAST ASCII-PIN-koder: Gör förbättrade PIN-koder mer kompatibla med datorer som begränsar typen eller antalet tecken som du kan ange i förstartsmiljön.

Om du inaktiverar eller inte konfigurerar den här principinställningen använder BitLocker inte förbättrade PIN-koder.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMEnhancedPIN.

Lösenordsprincip för operativsystemenhet

Föreslagen konfiguration: Inte konfigurerad

Använd de här inställningarna för att ange begränsningar för lösenord för att låsa upp BitLocker-skyddade OS-enheter. Om du tillåter icke-TPM-skydd på OS-enheter konfigurerar du följande inställningar:

  • Konfigurera lösenordskomplexitet för operativsystemenheter: Om du vill framtvinga komplexitetskrav för lösenordet väljer du Kräv lösenordskomplexitet.

  • Minsta längd på lösenord för operativsystemenhet: Som standard är 8den minsta längden .

  • Kräv endast ASCII-lösenord för flyttbara OPERATIVSYSTEMenheter

Om du aktiverar den här principinställningen kan användarna konfigurera ett lösenord som uppfyller de krav som du definierar.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMOSPassphrase.

Allmänna användningsanteckningar för lösenordsprincip för operativsystemenhet

  • För att dessa inställningar för komplexitetskrav ska vara effektiva aktiverar du även grupprincipinställningen Lösenord måste uppfylla komplexitetskraven iWindows-inställningar Säkerhetsinställningar>>Kontoprinciper>Lösenordsprincip för datorkonfiguration>.

  • BitLocker tillämpar dessa inställningar när du aktiverar det, inte när du låser upp en volym. Med BitLocker kan du låsa upp en enhet med något av de skydd som är tillgängliga på enheten.

  • Om du använder en grupprincip för att aktivera FIPS-kompatibla algoritmer för kryptering, hashning och signering kan du inte tillåta lösenord som BitLocker-skydd.

Återställa plattformsverifieringsdata efter BitLocker-återställning

Föreslagen konfiguration: Inte konfigurerad

Kontrollera om Windows uppdaterar plattformsverifieringsdata när de startar efter BitLocker-återställning.

Om du aktiverar eller inte konfigurerar den här inställningen uppdaterar Windows plattformsverifieringsdata i den här situationen.

Om du inaktiverar den här principinställningen uppdaterar Inte Windows plattformsverifieringsdata i den här situationen.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMTpmAutoResealPolicy.

Återställningsmeddelande och URL före start

Föreslagen konfiguration: Inte konfigurerad

När BitLocker låser OS-enheten använder du den här inställningen för att visa ett anpassat återställningsmeddelande eller en URL på återställningsskärmen för BitLocker före start. Den här inställningen gäller endast för Windows 10 eller senare enheter.

När du aktiverar den här inställningen väljer du något av följande alternativ för återställningsmeddelandet före start:

  • Använd standardåterställningsmeddelande och URL: Visa standardåterställningsmeddelandet och URL:en för BitLocker på återställningsskärmen före start. Om du tidigare har konfigurerat ett anpassat återställningsmeddelande eller en anpassad URL använder du det här alternativet för att återgå till standardmeddelandet.

  • Använd anpassat återställningsmeddelande: Inkludera ett anpassat meddelande på återställningsskärmen för BitLocker före start.

    • Alternativ för anpassat återställningsmeddelande: Ange det anpassade meddelande som ska visas. Om du också vill ange en återställnings-URL tar du med den som en del av det här anpassade återställningsmeddelandet. Den maximala stränglängden är 32 768 tecken.
  • Använd anpassad återställnings-URL: Ersätt standard-URL:en som visas på bitLocker-återställningsskärmen före start.

    • Alternativ för anpassad återställnings-URL: Ange den URL som ska visas. Den maximala stränglängden är 32 768 tecken.

Obs!

Alla tecken och språk stöds inte i förstarten. Testa först ditt anpassade meddelande eller din URL för att se till att det visas korrekt på återställningsskärmen för BitLocker före start.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMPrebootRecoveryInfo.

Tvingande inställningar för krypteringsprincip (OS-enhet)

Föreslagen konfiguration: Aktiverad

Konfigurera antalet dagar som användare kan skjuta upp BitLocker-kompatibilitet för OS-enheten. Respitperioden för inkompatibilitet börjar när Configuration Manager först identifierar den som inkompatibel. När respitperioden har löpt ut kan användarna inte skjuta upp den nödvändiga åtgärden eller begära ett undantag.

Om krypteringsprocessen kräver användarindata visas en dialogruta i Windows som användaren inte kan stänga förrän den information som krävs har angetts. Framtida meddelanden om fel eller status har inte den här begränsningen.

Om BitLocker inte kräver användarinteraktion för att lägga till ett skydd startar BitLocker kryptering i bakgrunden när respitperioden går ut.

Om du inaktiverar eller inte konfigurerar den här inställningen kräver Configuration Manager inte att användarna följer BitLocker-principer.

Om du vill tillämpa principen omedelbart anger du en respitperiod på 0.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMUseOsEnforcePolicy.

Fast enhet

Inställningarna på den här sidan konfigurerar kryptering för andra dataenheter på en enhet.

Kryptering av dataenhet har åtgärdats

Föreslagen konfiguration: Aktiverad

Hantera dina krav på kryptering av fasta dataenheter. Om du aktiverar den här inställningen kräver BitLocker att användarna skyddar alla fasta dataenheter. Den krypterar sedan dataenheterna.

När du aktiverar den här principen aktiverar du antingen automatisk upplåsning eller inställningarna för Lösenordsprincip för fast dataenhet.

  • Konfigurera automatisk upplåsning för fast dataenhet: Tillåt eller kräv att BitLocker automatiskt låser upp krypterade datadiskar. Om du vill använda automatisk upplåsning kräver du även att BitLocker krypterar OS-enheten.

Om du inte konfigurerar den här inställningen kräver BitLocker inte att användarna skyddar fasta dataenheter.

Om du inaktiverar den här inställningen kan användarna inte placera sina fasta dataenheter under BitLocker-skydd. Om du inaktiverar den här principen när BitLocker har krypterat fasta dataenheter dekrypterar BitLocker de fasta dataenheterna.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMBMSFDVEncryptionPolicy.

Neka skrivåtkomst till fasta enheter som inte skyddas av BitLocker

Föreslagen konfiguration: Inte konfigurerad

Kräv BitLocker-skydd för Windows för att skriva data till fasta enheter på enheten. BitLocker tillämpar den här principen när du aktiverar den.

När du aktiverar den här inställningen:

  • Om BitLocker skyddar en fast dataenhet monterar Windows den med läs- och skrivåtkomst.

  • För alla fasta data som BitLocker inte skyddar monterar Windows den som skrivskyddad.

När du inte konfigurerar den här inställningen monterar Windows alla fasta dataenheter med läs- och skrivåtkomst.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMFDVDenyWriteAccessPolicy.

Lösenordsprincip för fast dataenhet

Föreslagen konfiguration: Inte konfigurerad

Använd de här inställningarna för att ange begränsningar för lösenord för att låsa upp BitLocker-skyddade fasta dataenheter.

Om du aktiverar den här inställningen kan användarna konfigurera ett lösenord som uppfyller dina definierade krav.

För högre säkerhet aktiverar du den här inställningen och konfigurerar sedan följande inställningar:

  • Kräv lösenord för fast dataenhet: Användarna måste ange ett lösenord för att låsa upp en BitLocker-skyddad fast dataenhet.

  • Konfigurera lösenordskomplexitet för fasta dataenheter: Om du vill framtvinga komplexitetskrav för lösenordet väljer du Kräv lösenordskomplexitet.

  • Minsta längd på lösenord för fast dataenhet: Som standard är 8den minsta längden .

Om du inaktiverar den här inställningen kan användarna inte konfigurera ett lösenord.

När principen inte har konfigurerats stöder BitLocker lösenord med standardinställningarna. Standardinställningarna innehåller inte krav på lösenordskomplexitet och kräver bara åtta tecken.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMFDVPassPhrasePolicy.

Allmänna användningsanteckningar för lösenordsprincip för fast dataenhet

  • För att dessa inställningar för komplexitetskrav ska vara effektiva aktiverar du även grupprincipinställningen Lösenord måste uppfylla komplexitetskraven iWindows-inställningar Säkerhetsinställningar>>Kontoprinciper>Lösenordsprincip för datorkonfiguration>.

  • BitLocker tillämpar dessa inställningar när du aktiverar det, inte när du låser upp en volym. Med BitLocker kan du låsa upp en enhet med något av de skydd som är tillgängliga på enheten.

  • Om du använder en grupprincip för att aktivera FIPS-kompatibla algoritmer för kryptering, hashning och signering kan du inte tillåta lösenord som BitLocker-skydd.

Tvingande inställningar för krypteringsprincip (fast dataenhet)

Föreslagen konfiguration: Aktiverad

Konfigurera antalet dagar som användare kan skjuta upp BitLocker-efterlevnad för fasta dataenheter. Respitperioden för inkompatibilitet börjar när Configuration Manager först identifierar den fasta dataenheten som inkompatibel. Den tillämpar inte principen för fast dataenhet förrän OS-enheten är kompatibel. När respitperioden har löpt ut kan användarna inte skjuta upp den nödvändiga åtgärden eller begära ett undantag.

Om krypteringsprocessen kräver användarindata visas en dialogruta i Windows som användaren inte kan stänga förrän den information som krävs har angetts. Framtida meddelanden om fel eller status har inte den här begränsningen.

Om BitLocker inte kräver användarinteraktion för att lägga till ett skydd startar BitLocker kryptering i bakgrunden när respitperioden går ut.

Om du inaktiverar eller inte konfigurerar den här inställningen kräver Configuration Manager inte att användarna följer BitLocker-principer.

Om du vill tillämpa principen omedelbart anger du en respitperiod på 0.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMUseFddEnforcePolicy.

Flyttbar enhet

Inställningarna på den här sidan konfigurerar kryptering för flyttbara enheter, till exempel USB-nycklar.

Kryptering av flyttbara dataenhet

Föreslagen konfiguration: Aktiverad

Den här inställningen styr användningen av BitLocker på flyttbara enheter.

  • Tillåt användare att använda BitLocker-skydd på flyttbara dataenheter: Användare kan aktivera BitLocker-skydd för en flyttbar enhet.

  • Tillåt användare att pausa och dekryptera BitLocker på flyttbara dataenheter: Användare kan ta bort eller tillfälligt pausa BitLocker-enhetskryptering från en flyttbar enhet.

När du aktiverar den här inställningen och tillåter användare att använda BitLocker-skydd sparar Configuration Manager-klienten återställningsinformation om flyttbara enheter till återställningstjänsten på hanteringsplatsen. Med det här beteendet kan användarna återställa enheten om de glömmer eller förlorar skyddet (lösenord).

När du aktiverar den här inställningen:

  • Aktivera inställningarna för lösenordsprincipen för flyttbara dataenheter

  • Inaktivera följande grupprincipinställningar i System>Flyttbar lagringsåtkomst för både användare & datorkonfigurationer:

    • Alla flyttbara lagringsklasser: Neka all åtkomst
    • Flyttbara diskar: Neka skrivåtkomst
    • Flyttbara diskar: Neka läsåtkomst

Om du inaktiverar den här inställningen kan användarna inte använda BitLocker på flyttbara enheter.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMRDVConfigureBDEPolicy.

Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker

Föreslagen konfiguration: Inte konfigurerad

Kräv BitLocker-skydd för Windows för att skriva data till flyttbara enheter på enheten. BitLocker tillämpar den här principen när du aktiverar den.

När du aktiverar den här inställningen:

  • Om BitLocker skyddar en flyttbar enhet monterar Windows den med läs- och skrivåtkomst.

  • För alla flyttbara enheter som BitLocker inte skyddar monterar Windows den som skrivskyddad.

  • Om du aktiverar alternativet neka skrivåtkomst till enheter som konfigurerats i en annan organisation ger BitLocker endast skrivåtkomst till flyttbara enheter med identifieringsfält som matchar de tillåtna identifieringsfälten. Definiera de här fälten med globala inställningar för organisations unika identifierareinstallationssidan .

När du inaktiverar eller inte konfigurerar den här inställningen monterar Windows alla flyttbara enheter med läs- och skrivåtkomst.

Obs!

Du kan åsidosätta den här inställningen med grupprincipinställningarna i System>Flyttbar lagringsåtkomst. Om du aktiverar grupprincipinställningen Flyttbara diskar: Neka skrivåtkomst ignorerar BitLocker den här inställningen för Configuration Manager.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMRDVDenyWriteAccessPolicy.

Lösenordsprincip för flyttbar dataenhet

Föreslagen konfiguration: Aktiverad

Använd de här inställningarna för att ange begränsningar för lösenord för att låsa upp BitLocker-skyddade flyttbara enheter.

Om du aktiverar den här inställningen kan användarna konfigurera ett lösenord som uppfyller dina definierade krav.

För högre säkerhet aktiverar du den här inställningen och konfigurerar sedan följande inställningar:

  • Kräv lösenord för flyttbar dataenhet: Användarna måste ange ett lösenord för att låsa upp en BitLocker-skyddad flyttbar enhet.

  • Konfigurera lösenordskomplexitet för flyttbara dataenheter: Om du vill framtvinga komplexitetskrav för lösenordet väljer du Kräv lösenordskomplexitet.

  • Minsta längd på lösenord för flyttbar dataenhet: Som standard är 8den minsta längden .

Om du inaktiverar den här inställningen kan användarna inte konfigurera ett lösenord.

När principen inte har konfigurerats stöder BitLocker lösenord med standardinställningarna. Standardinställningarna innehåller inte krav på lösenordskomplexitet och kräver bara åtta tecken.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMRDVPassPhrasePolicy.

Allmänna användningsanteckningar för lösenordsprincip för flyttbara dataenhet

  • För att dessa inställningar för komplexitetskrav ska vara effektiva aktiverar du även grupprincipinställningen Lösenord måste uppfylla komplexitetskraven iWindows-inställningar Säkerhetsinställningar>>Kontoprinciper>Lösenordsprincip för datorkonfiguration>.

  • BitLocker tillämpar dessa inställningar när du aktiverar det, inte när du låser upp en volym. Med BitLocker kan du låsa upp en enhet med något av de skydd som är tillgängliga på enheten.

  • Om du använder en grupprincip för att aktivera FIPS-kompatibla algoritmer för kryptering, hashning och signering kan du inte tillåta lösenord som BitLocker-skydd.

Klienthantering

Inställningarna på den här sidan konfigurerar BitLocker-hanteringstjänster och -klienter.

BitLocker Management Services

Föreslagen konfiguration: Aktiverad

När du aktiverar den här inställningen Configuration Manager automatiskt och tyst säkerhetskopierar viktig återställningsinformation i platsdatabasen. Om du inaktiverar eller inte konfigurerar den här inställningen sparar Configuration Manager inte nyckelåterställningsinformation.

  • Välj BitLocker-återställningsinformation som ska lagras: Konfigurera nyckelåterställningstjänsten för att säkerhetskopiera BitLocker-återställningsinformation. Den tillhandahåller en administrativ metod för att återställa data som krypterats av BitLocker, vilket hjälper till att förhindra dataförlust på grund av bristen på nyckelinformation.

  • Tillåt att återställningsinformation lagras i oformaterad text: Utan ett Krypteringscertifikat för BitLocker-hantering för SQL Server lagrar Configuration Manager nyckelåterställningsinformationen i oformaterad text. Mer information finns i Kryptera återställningsdata i databasen.

  • Statusfrekvens för klientkontroll (minuter): Med den konfigurerade frekvensen kontrollerar klienten BitLocker-skyddsprinciperna och -statusen på datorn och säkerhetskopierar även klientåterställningsnyckeln. Som standard kontrollerar Configuration Manager-klienten BitLocker-status var 90:e minut.

    Viktigt

    Ange inte det här värdet till mindre än 60. Ett mindre frekvensvärde kan göra att klienten kort rapporterar felaktiga efterlevnadstillstånd.

Mer information om hur du skapar dessa principer med Windows PowerShell finns i:

Princip för användarundantag

Föreslagen konfiguration: Inte konfigurerad

Konfigurera en kontaktmetod för användare för att begära ett undantag från BitLocker-kryptering.

Om du aktiverar den här principinställningen anger du följande information:

  • Maximalt antal dagar att skjuta upp: Hur många dagar användaren kan skjuta upp en framtvingad princip. Som standard är 7 det här värdet dagar (en vecka).

  • Kontaktmetod: Ange hur användare kan begära undantag: URL, e-postadress eller telefonnummer.

  • Kontakt: Ange URL, e-postadress eller telefonnummer. När en användare begär ett undantag från BitLocker-skydd visas en Windows-dialogruta med instruktioner om hur de ska tillämpas. Configuration Manager verifierar inte den information som du anger.

    • URL: Använd standard-URL-formatet, https://website.domain.tld. Url:en visas som en hyperlänk i Windows.

    • Email adress: Använd standardformatet för e-postadresser, user@domain.tld. Windows visar adressen som följande hyperlänk: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Telefonnummer: Ange det nummer som du vill att användarna ska ringa. Windows visar talet med följande beskrivning: Please call <your number> for applying exemption.

Om du inaktiverar eller inte konfigurerar den här inställningen visar Windows inte instruktionerna för undantagsbegäran för användarna.

Obs!

BitLocker hanterar undantag per användare, inte per dator. Om flera användare loggar in på samma dator och en användare inte är undantagen krypterar BitLocker datorn.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMBMSUserExemptionPolicy.

Föreslagen konfiguration: Aktiverad

Ange en URL som ska visas för användarna som företagssäkerhetsprincip i Windows. Använd den här länken för att ge användarna information om krypteringskrav. Den visar när BitLocker uppmanar användaren att kryptera en enhet.

Om du aktiverar den här inställningen konfigurerar du url:en för säkerhetsprinciplänken.

Om du inaktiverar eller inte konfigurerar den här inställningen visar BitLocker inte länken för säkerhetsprinciper.

Mer information om hur du skapar den här principen med Windows PowerShell finns i New-CMMoreInfoUrlPolicy.

Nästa steg

Om du använder Windows PowerShell för att skapa dessa principobjekt använder du cmdleten New-CMBlmSetting. Den här cmdleten skapar ett objekt för BitLocker-hanteringsprincipinställningar som innehåller alla angivna principer. Om du vill distribuera principinställningarna till en samling använder du cmdleten New-CMSettingDeployment .