Hantera diskkrypteringsprincip för Windows-enheter med Intune

Använd Intune för att konfigurera BitLocker-kryptering på enheter som kör Windows 10 eller senare, och personlig datakryptering (PDE) på enheter som kör Windows 11 version 22H2 eller senare.

Tips

Vissa inställningar för BitLocker kräver att enheten har en TPM som stöds.

Om du vill konfigurera kryptering på dina hanterade enheter använder du någon av följande principtyper:

• Slutpunktssäkerhet > Windows-krypteringsprincip. Välj mellan följande profiler:

  • BitLocker – en fokuserad grupp med inställningar som är dedikerade för att konfigurera BitLocker. Mer information finns i BitLocker CSP.

  • Kryptering av personliga data - Personlig datakryptering (PDE) skiljer sig från BitLocker eftersom det krypterar filer i stället för hela volymer och diskar. PDE sker utöver andra krypteringsmetoder som BitLocker. Till skillnad från BitLocker som släpper datakrypteringsnycklar vid start släpper PDE inte datakrypteringsnycklar förrän en användare loggar in med Windows Hello för företag. Mer information finns i PDE CSP.

• Enhetskonfigurationsprofil för slutpunktsskydd för BitLocker. BitLocker-inställningar är en av de tillgängliga inställningskategorierna för Windows 10/11-slutpunktsskydd.

  Visa De BitLocker-inställningar som är tillgängliga för BitLocker i endpoint protection-profiler från enhetskonfigurationsprincipen.

Tips

Intune innehåller en inbyggd krypteringsrapport som visar information om krypteringsstatus för enheter på alla dina hanterade enheter. När Intune krypterar en Windows-enhet med BitLocker kan du visa och hantera BitLocker-återställningsnycklar när du visar krypteringsrapporten.

Du kan också komma åt viktig information för BitLocker från dina enheter, enligt Microsoft Entra ID.

Viktigt

Innan du aktiverar BitLocker bör du förstå och planera för återställningsalternativ som uppfyller organisationens behov. Mer information finns i Översikt över BitLocker-återställning i Windows-säkerhetsdokumentationen.

Rollbaserade åtkomstkontroller för att hantera BitLocker

Om du vill hantera BitLocker i Intune måste ett konto tilldelas en roll för Intune rollbaserad åtkomstkontroll (RBAC) som innehåller behörigheten Fjärruppgifter med högern Rotera BitLockerKeys (förhandsversion) inställd på Ja.

Du kan lägga till den här behörigheten och rättigheten till dina egna anpassade RBAC-roller eller använda någon av följande inbyggda RBAC-roller som innehåller den här rättigheten:

• Supportansvarig
• Endpoint Security-administratör

Skapa och distribuera princip

Använd någon av följande procedurer för att skapa den principtyp som du föredrar.

Skapa en slutpunktssäkerhetsprincip för Windows

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Slutpunktssäkerhet>Diskkryptering>Skapa princip.

3. Ange följande alternativ:

   1. Plattform: Windows
   2. Profil: Välj antingen BitLocker eller Personlig datakryptering

   

4. På sidan Konfigurationsinställningar konfigurerar du inställningarna för BitLocker så att de uppfyller dina affärsbehov.

   Välj Nästa.

5. På sidan Omfång (taggar) väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.

   Gå vidare genom att klicka på Nästa.

6. På sidan Tilldelningar väljer du de grupper som tar emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

   Välj Nästa.

7. Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.

Skapa en enhetskonfigurationsprofil för Windows-kryptering

Tips

Följande procedur konfigurerar BitLocker via en enhetskonfigurationsmall för Endpoint Protection. Om du vill konfigurera personlig datakryptering använder du katalogen för enhetskonfigurationsinställningar och PDE-kategorin .

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>Hantera enheter>Konfiguration> På fliken Principer väljer du Skapa.

3. Ange följande alternativ:

   1. Plattform: Windows 10 och senare
   2. Profiltyp: Välj Mallar>Slutpunktsskydd och välj sedan Skapa.

   

4. På sidan Konfigurationsinställningar expanderar du Windows-kryptering.

   

5. Konfigurera inställningar för BitLocker för att uppfylla dina affärsbehov.

   Om du vill aktivera BitLocker tyst kan du läsa Aktivera BitLocker tyst på enheter i den här artikeln för extra krav och de specifika inställningskonfigurationer som du måste använda.

6. Gå vidare genom att klicka på Nästa.

7. Slutför konfigurationen av andra inställningar och spara sedan profilen.

Hantera BitLocker

Följande ämnen kan hjälpa dig att hantera specifika uppgifter via BitLocker-principen och hantera återställningsnycklar:

• Aktivera BitLocker tyst på enheter
• Fullständig disk jämfört med kryptering med endast använt utrymme
• Visa information om återställningsnycklar
• Visa återställningsnycklar för klientanslutna enheter
• Rotera BitLocker-återställningsnycklar
• Återställningsnyckelupplevelser för självbetjäning för slutanvändare

Information om enheter som tar emot BitLocker-principer finns i Övervaka diskkryptering.

Aktivera BitLocker tyst på enheter

Du kan konfigurera en princip för BitLocker att automatiskt och tyst kryptera en enhet utan att visa något användargränssnitt för slutanvändaren, även om användaren inte är en lokal administratör på enheten.

För att lyckas måste enheterna uppfylla följande enhetskrav, ta emot tillämpliga inställningar för tyst aktivering av BitLocker och får inte ha inställningar som kräver användning av en PIN-kod eller nyckel för TPM-start. Användning av en PIN-kod eller nyckel för start är inte kompatibelt med tyst kryptering eftersom det kräver användarinteraktion.

Enhetsförutsättningar

En enhet måste uppfylla följande villkor för att vara berättigad till tyst aktivering av BitLocker:

• Om slutanvändarna loggar in på enheterna som administratörer måste enheten köra Windows 10 version 1803 eller senare, eller Windows 11.
• Om slutanvändarna loggar in på enheterna som standardanvändare måste enheten köra Windows 10 version 1809 eller senare, eller Windows 11.
• Enheten måste vara Microsoft Entra ansluten eller Microsoft Entra hybridanslutning.
• Enheten måste innehålla minst TPM (Trusted Platform Module) 1.2.
• BIOS-läget måste vara inställt på Endast intern UEFI.

Nödvändiga inställningar för tyst aktivering av BitLocker

Konfigurera följande inställningar beroende på vilken typ av princip du använder för att aktivera BitLocker tyst. Båda metoderna hanterar BitLocker via Windows-krypterings-CSP:er på Windows-enheter.

• Endpoint Security Diskkrypteringsprincip – Konfigurera följande inställningar i BitLocker-profilen:

  • Kräv enhetskryptering = Aktiverat
  • Tillåt varning för annan diskkryptering = Handikappad

  

  Utöver de två nödvändiga inställningarna bör du överväga att använda Konfigurera återställningslösenordsrotation.

• Princip för slutpunktsskydd för enhetskonfiguration – Konfigurera följande inställningar i mallen endpoint protection eller en anpassad inställningsprofil :

  • Varning för annan diskkryptering = Blockera.
  • Tillåt att standardanvändare aktiverar kryptering under Microsoft Entra ansluter = till Tillåt
  • Skapa återställningsnyckel = för användareTillåt eller tillåt inte 256-bitars återställningsnyckel
  • Skapa återställningslösenord = för användareTillåt eller kräv 48-siffrigt återställningslösenord

PIN-kod eller nyckel för TPM-start

En enhet får inte vara inställd på att kräva en PIN-kod för start eller startnyckel.

När en PIN-kod för TPM-start eller startnyckel krävs på en enhet kan BitLocker inte aktiveras tyst på enheten och kräver i stället interaktion från slutanvändaren. Inställningar för att konfigurera PIN-koden eller nyckeln för TPM-start är tillgängliga i både slutpunktsskyddsmallen och BitLocker-principen. Dessa principer konfigurerar som standard inte de här inställningarna.

Följande är relevanta inställningar för varje profiltyp:

Diskkrypteringsprincip för slutpunktssäkerhet – TPM-inställningar visas bara när du har expanderat kategorin Administrativa mallar och sedan i avsnittet Windows-komponenter > BitLocker-diskkryptering > operativsystemenheter ange Kräv ytterligare autentisering vid start till Aktiverad. När följande TPM-inställningar har konfigurerats är de tillgängliga:

• Konfigurera TPM-startnyckel och PIN-kod – Konfigurera detta som Tillåt inte startnyckel och PIN-kod med TPM

• Konfigurera PIN-kod för TPM-start – Konfigurera detta som Tillåt inte start-PIN-kod med TPM

• Konfigurera TPM-start – Konfigurera detta som Tillåt TPM eller Kräv TPM

• Konfigurera TPM-startnyckel – Konfigurera detta som Tillåt inte startnyckel med TPM

Princip för enhetskonfiguration – I mallen för slutpunktsskydd hittar du följande inställningar i kategorin Windows-kryptering :

• Kompatibel TPM-start – Konfigurera detta som Tillåt TPM eller Kräv TPM
• Kompatibel PIN-kod för TPM-start – Konfigurera detta som Tillåt inte pin-kod för start med TPM
• Kompatibel TPM-startnyckel – Konfigurera detta som Tillåt inte startnyckel med TPM
• Kompatibel TPM-startnyckel och PIN-kod – Konfigurera detta som Tillåt inte startnyckel och PIN-kod med TPM

Varning

Även om varken principerna för slutpunktssäkerhet eller enhetskonfiguration konfigurerar TPM-inställningarna som standard, konfigurerar vissa versioner av säkerhetsbaslinjen för Microsoft Defender för Endpoint både kompatibel PIN-kod för TPM-start och kompatibel TPM-startnyckel som standard. Dessa konfigurationer kan blockera tyst aktivering av BitLocker.

Om du distribuerar den här baslinjen till enheter där du tyst vill aktivera BitLocker kan du granska baslinjekonfigurationerna för möjliga konflikter. Om du vill ta bort konflikter konfigurerar du antingen om inställningarna i baslinjerna för att ta bort konflikten eller tar bort tillämpliga enheter från att ta emot baslinjeinstanserna som konfigurerar TPM-inställningar som blockerar tyst aktivering av BitLocker.

Fullständig disk jämfört med kryptering med endast använt utrymme

Tre inställningar avgör om en OS-enhet krypteras genom att endast det använda utrymmet krypteras eller genom fullständig diskkryptering:

• Om enhetens maskinvara är modern väntelägeskompatibel
• Om tyst aktivering har konfigurerats för BitLocker
  • ("Varning för annan diskkryptering" = Blockera eller Dölj fråga om kryptering från tredje part = Ja)
• Konfiguration av SystemDrivesEncryptionType
  • (Framtvinga enhetskrypteringstyp på operativsystemenheter)

Förutsatt att SystemDrivesEncryptionType inte har konfigurerats förväntas följande beteende. När tyst aktivering har konfigurerats på en modern väntelägesenhet krypteras OS-enheten med endast kryptering för använt utrymme. När tyst aktivering konfigureras på en enhet som inte kan använda modernt vänteläge krypteras OS-enheten med fullständig diskkryptering. Resultatet är detsamma oavsett om du använder en diskkrypteringsprincip för slutpunktssäkerhet för BitLocker eller en profil för enhetskonfiguration för slutpunktsskydd för BitLocker. Om ett annat sluttillstånd krävs kan krypteringstypen styras genom att konfigurera SystemDrivesEncryptionType med hjälp av inställningskatalogen.

Kontrollera om maskinvaran är modern standby-kompatibel genom att köra följande kommando från en kommandotolk:

powercfg /a

Om enheten har stöd för modernt vänteläge visas att standby-nätverk (S0 låg strömsparläge) är tillgängligt

Om enheten inte har stöd för modernt vänteläge, till exempel en virtuell dator, visas att standby-nätverk (S0 låg ströminaktiv) inte stöds

Kontrollera krypteringstypen genom att köra följande kommando från en upphöjd kommandotolk (administratör):

manage-bde -status c:

Fältet Konverteringsstatus visar krypteringstypen som antingen Krypterat använt utrymme endast krypterat eller Fullständigt krypterat.

Om du vill ändra diskkrypteringstypen mellan fullständig diskkryptering och endast använt utrymmeskryptering använder du inställningen "Framtvinga enhetskrypteringstyp på operativsystemenheter" i inställningskatalogen.

Visa information om återställningsnycklar

Intune ger åtkomst till noden Microsoft Entra för BitLocker så att du kan visa BitLocker-nyckel-ID:t och återställningsnycklarna för dina Windows 10/11-enheter från Microsoft Intune administrationscenter. Stöd för att visa återställningsnycklar kan också utökas till dina klientanslutna enheter.

För att vara tillgänglig måste enheten ha sina nycklar depositionerade för att Microsoft Entra.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>Alla enheter.

3. Välj en enhet i listan och välj återställningsnycklar under Övervaka.

4. Tryck på Visa återställningsnyckel. Om du väljer det här alternativet genereras en granskningsloggpost under aktiviteten "KeyManagement".

   När nycklar är tillgängliga i Microsoft Entra finns följande information tillgänglig:

   • BitLocker-nyckel-ID
   • BitLocker-återställningsnyckel
   • Enhetstyp

   När nycklar inte finns i Microsoft Entra visar Intune Ingen BitLocker-nyckel hittades för den här enheten.

Obs!

För närvarande stöder Microsoft Entra ID högst 200 BitLocker-återställningsnycklar per enhet. Om du når den här gränsen misslyckas tyst kryptering på grund av den misslyckade säkerhetskopieringen av återställningsnycklar innan krypteringen påbörjas på enheten.

Information för BitLocker hämtas med hjälp av BitLocker-konfigurationstjänstprovidern (CSP). BitLocker CSP stöds på Windows 10 version 1703 och senare, Windows 10 Pro version 1809 och senare och Windows 11.

IT-administratörer måste ha en specifik behörighet inom Microsoft Entra ID för att kunna se enhetens BitLocker-återställningsnycklar: microsoft.directory/bitlockerKeys/key/read. Det finns vissa roller i Microsoft Entra ID som har den här behörigheten, till exempel molnenhetsadministratör, supportadministratör osv. Mer information om vilka Microsoft Entra roller som har vilka behörigheter finns i Microsoft Entra inbyggda roller.

Alla åtkomster till BitLocker-återställningsnycklar granskas. Mer information om granskningsloggposter finns i Azure Portal granskningsloggar.

Obs!

Om du tar bort Intune-objektet för en Microsoft Entra ansluten enhet som skyddas av BitLocker utlöser borttagningen en Intune enhetssynkronisering och tar bort nyckelskydden för operativsystemvolymen. Om du tar bort nyckelskyddet lämnas BitLocker i pausat tillstånd på volymen. Detta är nödvändigt eftersom BitLocker-återställningsinformation för Microsoft Entra anslutna enheter är ansluten till Microsoft Entra datorobjektet och om du tar bort det kan det hända att du inte kan återställa från en BitLocker-återställningshändelse.

Visa återställningsnycklar för klientanslutna enheter

När du använder scenariot för klientkoppling kan Microsoft Intune visa återställningsnyckeldata för klientanslutna enheter.

• För att stöda visning av återställningsnycklar för klientanslutna enheter måste dina Configuration Manager-platser köra version 2107 eller senare. För webbplatser som kör 2107 måste du installera en samlad uppdatering för att stödja Microsoft Entra anslutna enheter: Se KB11121541.

• Om du vill visa återställningsnycklarna måste ditt Intune-konto ha Intune RBAC-behörighet för att visa BitLocker-nycklar och måste vara associerat med en lokal användare som har relaterade behörigheter för Configuration Manager av samlingsrollen, med läsbehörighet>, BitLocker-återställningsnyckelbehörighet. Mer information finns i Konfigurera rollbaserad administration för Configuration Manager.

Rotera BitLocker-återställningsnycklar

Du kan använda en Intune enhetsåtgärd för att fjärrstyra BitLocker-återställningsnyckeln för en enhet som kör Windows 10 version 1909 eller senare och Windows 11.

Förhandskrav

Enheterna måste uppfylla följande krav för att stödja rotation av BitLocker-återställningsnyckeln:

• Enheter måste köra Windows 10 version 1909 eller senare, eller Windows 11

• Microsoft Entra anslutna och Microsoft Entra hybrid-anslutna enheter måste ha stöd för nyckelrotation aktiverat via BitLocker-principkonfiguration:

  • Klientdriven rotering av återställningslösenord för att aktivera rotation på Microsoft Entra anslutna enheter eller Aktivera rotation på Microsoft Entra ID och Microsoft Entra anslutna hybridanslutningsenheter
  • Spara BitLocker-återställningsinformation för att Microsoft Entra ID till Aktiverad
  • Lagra återställningsinformation i Microsoft Entra ID innan BitLocker aktiveras till Obligatoriskt

Information om Distributioner och krav för BitLocker finns i jämförelsediagrammet för BitLocker-distribution.

Rotera BitLocker-återställningsnyckeln

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>Alla enheter.

3. I listan över enheter som du hanterar väljer du en enhet och sedan fjärråtgärden BitLocker-nyckelrotation . Om det här alternativet ska vara tillgängligt men inte visas väljer du ellipsen (...) och sedan BitLocker-nyckelrotation.

4. På sidan Översikt på enheten väljer du BitLocker-nyckelrotation. Om du inte ser det här alternativet väljer du ellipsen (...) för att visa alla alternativ och väljer sedan fjärråtgärden BitLocker-nyckelrotationsenhet .

   

Återställningsnycklar för självbetjäning

För att hjälpa slutanvändarna att få sina återställningsnycklar utan att anropa företagets supportavdelning aktiverar Intune självbetjäningsscenarier för slutanvändaren via Företagsportal-appen.

Även om Intune hjälper till att konfigurera principer för att definiera deposition av BitLocker-återställningsnycklar lagras dessa nycklar i Entra-ID. Det här är funktionerna i Entra-ID:t som är användbara att använda med självbetjäning av BitLocker-återställningsnyckelåtkomst för slutanvändare.

1. Växlingsknapp för hela klientorganisationen för att förhindra åtkomst till återställningsnycklar för icke-administratörsanvändare: Den här inställningen avgör om användarna kan använda självbetjäning för att återställa sina BitLocker-nycklar. Standardvärdet är "Nej" som gör att alla användare kan återställa sina BitLocker-nycklar. "Ja" hindrar icke-administratörsanvändare från att kunna se BitLocker-nycklar för sina egna enheter om det finns några. Läs mer om den här kontrollen i Entra ID.

2. Granskning för åtkomst till återställningsnyckel: Granskningsloggar i Entra-ID-portalen visar historiken för aktiviteter i klientorganisationen. Alla åtkomster till användaråterställningsnycklar som görs via Företagsportal webbplats loggas i granskningsloggar under kategorin Nyckelhantering som aktivitetstypen "Läs BitLocker-nyckel". Användarens huvudnamn och annan information, till exempel nyckel-ID, loggas också. Läs mer om granskningsloggar i Entra-ID.

3. Entra-princip för villkorsstyrd åtkomst som kräver att en kompatibel enhet får åtkomst till BitLocker-återställningsnyckel: Med principen för villkorsstyrd åtkomst (CA) kan du begränsa åtkomsten till vissa företagsresurser om en enhet inte är kompatibel med inställningen "Kräv kompatibel enhet". Om detta har konfigurerats i din organisation och en enhet inte uppfyller efterlevnadskraven som konfigurerats i Intune Efterlevnadsprincip, kan enheten inte användas för att komma åt BitLocker-återställningsnyckeln eftersom den anses vara en företagsresurs som har åtkomst som styrs av CA.

Nästa steg

• Hantera FileVault-princip
• Övervaka diskkryptering
• Felsöka BitLocker-princip
• Kända problem med att framtvinga BitLocker-principer med Intune
• BitLocker-hantering för företag i Windows-säkerhetsdokumentationen
• Översikt över personlig datakryptering
• Självbetjäningsscenarier för slutanvändaren via Företagsportal-appen