Hantera BitLocker-princip för Windows-enheter med Intune
Använd Intune för att konfigurera BitLocker-diskkryptering på enheter som kör Windows 10/11.
BitLocker är tillgängligt på enheter som kör Windows 10/11. Vissa inställningar för BitLocker kräver att enheten har en TPM som stöds.
Använd någon av följande principtyper för att konfigurera BitLocker på dina hanterade enheter:
Diskkrypteringsprincip för slutpunktssäkerhet för BitLocker. BitLocker-profilen i Endpoint Security är en fokuserad grupp med inställningar som är dedikerade till att konfigurera BitLocker.
Visa BitLocker-inställningarna som är tillgängliga i BitLocker-profiler från diskkrypteringsprincipen.
Enhetskonfigurationsprofil för slutpunktsskydd för BitLocker. BitLocker-inställningar är en av de tillgängliga inställningskategorierna för Windows 10/11-slutpunktsskydd.
Visa De BitLocker-inställningar som är tillgängliga för BitLocker i endpoint protection-profiler från enhetskonfigurationsprincipen.
Tips
Intune tillhandahåller en inbyggd krypteringsrapport som visar information om krypteringsstatus för enheter på alla dina hanterade enheter. När Intune har krypterat en Windows-enhet med BitLocker kan du visa och hantera BitLocker-återställningsnycklar när du visar krypteringsrapporten.
Du kan också komma åt viktig information för BitLocker från dina enheter, enligt Microsoft Entra ID.
Viktigt
Innan du aktiverar BitLocker bör du förstå och planera för återställningsalternativ som uppfyller organisationens behov. Mer information finns i Översikt över BitLocker-återställning i Windows-säkerhetsdokumentationen.
Behörigheter för att hantera BitLocker
Om du vill hantera BitLocker i Intune måste ditt konto ha tillämpliga RBAC-behörigheter (Rollbaserad åtkomstkontroll i Intune).
Följande är BitLocker-behörigheterna, som ingår i kategorin Fjärruppgifter och de inbyggda RBAC-roller som beviljar behörigheten:
- Rotera BitLocker-nycklar
- Supportansvarig
Skapa och distribuera princip
Använd någon av följande procedurer för att skapa den principtyp som du föredrar.
Skapa en slutpunktssäkerhetsprincip för BitLocker
Logga in på Microsoft Intune administrationscenter.
Välj Slutpunktssäkerhet>Diskkryptering>Skapa princip.
Ange följande alternativ:
- Plattform: Windows 10/11
- Profil: BitLocker
På sidan Konfigurationsinställningar konfigurerar du inställningarna för BitLocker så att de uppfyller dina affärsbehov.
Välj Nästa.
På sidan Omfång (taggar) väljer du Välj omfångstaggar för att öppna fönstret Välj taggar för att tilldela omfångstaggar till profilen.
Gå vidare genom att klicka på Nästa.
På sidan Uppgifter väljer du de grupper som ska ta emot den här profilen. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.
Välj Nästa.
Välj Skapapå sidan Granska + skapa när du är klar. Den nya profilen visas i listan när du väljer policytypen för den profil du har skapat.
Skapa en enhetskonfigurationsprofil för BitLocker
Logga in på Microsoft Intune administrationscenter.
Välj Enhetskonfiguration>> På fliken Principer väljer du Skapa.
Ange följande alternativ:
- Plattform: Windows 10 och senare
- Profiltyp: Välj Mallar>Slutpunktsskydd och välj sedan Skapa.
På sidan Konfigurationsinställningar expanderar du Windows-kryptering.
Konfigurera inställningar för BitLocker för att uppfylla dina affärsbehov.
Om du vill aktivera BitLocker tyst kan du läsa Aktivera BitLocker tyst på enheter i den här artikeln för ytterligare krav och de specifika inställningskonfigurationer som du måste använda.
Gå vidare genom att klicka på Nästa.
Slutför konfigurationen av ytterligare inställningar och spara sedan profilen.
Hantera BitLocker
Följande ämnen kan hjälpa dig att hantera specifika uppgifter via BitLocker-principen och hantera återställningsnycklar:
- Aktivera BitLocker tyst på enheter
- Fullständig disk jämfört med kryptering med endast använt utrymme
- Visa information om återställningsnycklar
- Visa återställningsnycklar för klientanslutna enheter
- Rotera BitLocker-återställningsnycklar
Information om enheter som tar emot BitLocker-principer finns i Övervaka diskkryptering.
Aktivera BitLocker tyst på enheter
Du kan konfigurera en princip för BitLocker att automatiskt och tyst kryptera en enhet utan att visa något användargränssnitt för slutanvändaren, även om användaren inte är en lokal administratör på enheten.
För att lyckas måste enheterna uppfylla följande enhetskrav, ta emot tillämpliga inställningar för tyst aktivering av BitLocker och får inte ha inställningar som kräver användning av en PIN-kod eller nyckel för TPM-start. Användning av en PIN-kod eller nyckel för start är inte kompatibelt med tyst kryptering eftersom det kräver användarinteraktion.
Enhetsförutsättningar
En enhet måste uppfylla följande villkor för att vara berättigad till tyst aktivering av BitLocker:
- Om slutanvändarna loggar in på enheterna som administratörer måste enheten köra Windows 10 version 1803 eller senare, eller Windows 11.
- Om slutanvändarna loggar in på enheterna som standardanvändare måste enheten köra Windows 10 version 1809 eller senare, eller Windows 11.
- Enheten måste vara Microsoft Entra ansluten eller Microsoft Entra hybridanslutning.
- Enheten måste innehålla minst TPM (Trusted Platform Module) 1.2.
- BIOS-läget måste vara inställt på Endast intern UEFI.
Nödvändiga inställningar för tyst aktivering av BitLocker
Konfigurera följande inställningar beroende på vilken typ av princip du använder för att aktivera BitLocker tyst. Båda metoderna hanterar BitLocker via Windows-krypterings-CSP:er på Windows-enheter.
Endpoint Security Diskkrypteringsprincip – Konfigurera följande inställningar i BitLocker-profilen:
- Kräv enhetskryptering = Aktiverat
- Tillåt varning för annan diskkryptering = Inaktiverad
Utöver de två nödvändiga inställningarna bör du överväga att använda Konfigurera återställningslösenordsrotation.
Princip för slutpunktsskydd för enhetskonfiguration – Konfigurera följande inställningar i mallen endpoint protection eller en anpassad inställningsprofil :
- Varning för annan diskkryptering = Blockera.
- Tillåt att standardanvändare aktiverar kryptering under Microsoft Entra ansluter = till Tillåt
- Skapa återställningsnyckel = för användareTillåt eller tillåt inte 256-bitars återställningsnyckel
- Skapa återställningslösenord = för användareTillåt eller kräv 48-siffrigt återställningslösenord
PIN-kod eller nyckel för TPM-start
En enhet får inte vara inställd på att kräva en PIN-kod för start eller startnyckel.
När en PIN-kod för TPM-start eller startnyckel krävs på en enhet kan BitLocker inte aktiveras tyst på enheten och kräver i stället interaktion från slutanvändaren. Inställningar för att konfigurera PIN-koden eller nyckeln för TPM-start är tillgängliga i både slutpunktsskyddsmallen och BitLocker-principen. Dessa principer konfigurerar som standard inte de här inställningarna.
Följande är relevanta inställningar för varje profiltyp:
Diskkrypteringsprincip för slutpunktssäkerhet – TPM-inställningar visas bara när du har expanderat kategorin Administrativa mallar och sedan i avsnittet Windows-komponenter > BitLocker-diskkryptering > operativsystemenheter ange Kräv ytterligare autentisering vid start till Aktiverad. När följande TPM-inställningar har konfigurerats är de tillgängliga:
Konfigurera TPM-startnyckel och PIN-kod – Konfigurera detta som Tillåt inte startnyckel och PIN-kod med TPM
Konfigurera PIN-kod för TPM-start – Konfigurera detta som Tillåt inte start-PIN-kod med TPM
Konfigurera TPM-start – Konfigurera detta som Tillåt TPM eller Kräv TPM
Konfigurera TPM-startnyckel – Konfigurera detta som Tillåt inte startnyckel med TPM
Princip för enhetskonfiguration – I mallen för slutpunktsskydd hittar du följande inställningar i kategorin Windows-kryptering :
- Kompatibel TPM-start – Konfigurera detta som Tillåt TPM eller Kräv TPM
- Kompatibel PIN-kod för TPM-start – Konfigurera detta som Tillåt inte pin-kod för start med TPM
- Kompatibel TPM-startnyckel – Konfigurera detta som Tillåt inte startnyckel med TPM
- Kompatibel TPM-startnyckel och PIN-kod – Konfigurera detta som Tillåt inte startnyckel och PIN-kod med TPM
Varning
Även om varken principerna för slutpunktssäkerhet eller enhetskonfiguration konfigurerar TPM-inställningarna som standard, konfigurerar vissa versioner av säkerhetsbaslinjen för Microsoft Defender för Endpoint både kompatibel PIN-kod för TPM-start och kompatibel TPM-startnyckel som standard. Dessa konfigurationer kan blockera tyst aktivering av BitLocker.
Om du distribuerar den här baslinjen till enheter där du tyst vill aktivera BitLocker kan du granska baslinjekonfigurationerna för möjliga konflikter. Om du vill ta bort konflikter konfigurerar du antingen om inställningarna i baslinjerna för att ta bort konflikten eller tar bort tillämpliga enheter från att ta emot baslinjeinstanserna som konfigurerar TPM-inställningar som blockerar tyst aktivering av BitLocker.
Fullständig disk jämfört med kryptering med endast använt utrymme
Tre inställningar avgör om en OS-enhet krypteras genom att endast det använda utrymmet krypteras eller genom fullständig diskkryptering:
- Om enhetens maskinvara är modern väntelägeskompatibel
- Om tyst aktivering har konfigurerats för BitLocker
- ("Varning för annan diskkryptering" = Blockera eller Dölj fråga om kryptering från tredje part = Ja)
- Konfiguration av SystemDrivesEncryptionType
- (Framtvinga enhetskrypteringstyp på operativsystemenheter)
Förutsatt att SystemDrivesEncryptionType inte har konfigurerats är följande det förväntade beteendet. När tyst aktivering har konfigurerats på en modern väntelägesenhet krypteras OS-enheten med endast kryptering för använt utrymme. När tyst aktivering konfigureras på en enhet som inte kan använda modernt vänteläge krypteras OS-enheten med fullständig diskkryptering. Resultatet är detsamma oavsett om du använder en diskkrypteringsprincip för slutpunktssäkerhet för BitLocker eller en profil för enhetskonfiguration för slutpunktsskydd för BitLocker. Om ett annat sluttillstånd krävs kan krypteringstypen styras genom att konfigurera SystemDrivesEncryptionType med hjälp av inställningskatalogen.
Kontrollera om maskinvaran är modern standby-kompatibel genom att köra följande kommando från en kommandotolk:
powercfg /a
Om enheten har stöd för modernt vänteläge visas att standby-nätverk (S0 låg strömsparläge) är tillgängligt
Om enheten inte har stöd för modernt vänteläge, till exempel en virtuell dator, visas att standby-nätverk (S0 låg ströminaktiv) inte stöds
Kontrollera krypteringstypen genom att köra följande kommando från en upphöjd kommandotolk (administratör):
manage-bde -status c:
Fältet Konverteringsstatus visar krypteringstypen som antingen Krypterat använt utrymme endast krypterat eller Fullständigt krypterat.
Om du vill ändra diskkrypteringstypen mellan fullständig diskkryptering och endast använt utrymmeskryptering använder du inställningen "Framtvinga enhetskrypteringstyp på operativsystemenheter" i inställningskatalogen.
Visa information om återställningsnycklar
Intune ger åtkomst till Microsoft Entra-bladet för BitLocker så att du kan visa BitLocker-nyckel-ID:er och återställningsnycklar för dina Windows 10/11-enheter från Microsoft Intune administrationscenter. Stöd för att visa återställningsnycklar kan också utökas till dina klientanslutna enheter.
För att vara tillgänglig måste enheten ha sina nycklar depositionerade för att Microsoft Entra.
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Alla enheter.
Välj en enhet i listan och välj återställningsnycklar under Övervaka.
Tryck på Visa återställningsnyckel. Om du väljer detta genereras en granskningsloggpost under aktiviteten "KeyManagement".
När nycklar är tillgängliga i Microsoft Entra finns följande information tillgänglig:
- BitLocker-nyckel-ID
- BitLocker-återställningsnyckel
- Enhetstyp
När nycklarna inte finns i Microsoft Entra visar Intune ingen BitLocker-nyckel som hittades för den här enheten.
Obs!
För närvarande stöder Microsoft Entra ID högst 200 BitLocker-återställningsnycklar per enhet. Om du når den här gränsen misslyckas tyst kryptering på grund av den misslyckade säkerhetskopieringen av återställningsnycklar innan krypteringen påbörjas på enheten.
Information för BitLocker hämtas med hjälp av BitLocker-konfigurationstjänstprovidern (CSP). BitLocker CSP stöds på Windows 10 version 1703 och senare, Windows 10 Pro version 1809 och senare och Windows 11.
IT-administratörer måste ha en specifik behörighet inom Microsoft Entra ID för att kunna se enhetens BitLocker-återställningsnycklar: microsoft.directory/bitlockerKeys/key/read. Det finns vissa roller i Microsoft Entra ID som har den här behörigheten, till exempel molnenhetsadministratör, supportadministratör osv. Mer information om vilka Microsoft Entra roller som har vilka behörigheter finns i Microsoft Entra inbyggda roller.
Alla åtkomster till BitLocker-återställningsnycklar granskas. Mer information om granskningsloggposter finns i Azure Portal granskningsloggar.
Obs!
Om du tar bort Intune-objektet för en Microsoft Entra ansluten enhet som skyddas av BitLocker utlöser borttagningen en Intune-enhetssynkronisering och tar bort nyckelskydden för operativsystemvolymen. Om du tar bort nyckelskyddet lämnas BitLocker i pausat tillstånd på volymen. Detta är nödvändigt eftersom BitLocker-återställningsinformation för Microsoft Entra anslutna enheter är ansluten till Microsoft Entra datorobjektet och om du tar bort det kan det hända att du inte kan återställa från en BitLocker-återställningshändelse.
Visa återställningsnycklar för klientanslutna enheter
När du har konfigurerat scenariot för klientanslutning kan Microsoft Intune visa återställningsnyckeldata för klientanslutna enheter.
För att stöda visning av återställningsnycklar för klientanslutna enheter måste dina Configuration Manager-platser köra version 2107 eller senare. För webbplatser som kör 2107 måste du installera en samlad uppdatering för att stödja Microsoft Entra anslutna enheter: Se KB11121541.
Om du vill visa återställningsnycklarna måste ditt Intune-konto ha Intune RBAC-behörighet för att visa BitLocker-nycklar och måste vara associerat med en lokal användare som har relaterade behörigheter för Configuration Manager av samlingsrollen, med läsbehörighet>, läsbehörighet för BitLocker-återställningsnyckelbehörighet. Mer information finns i Konfigurera rollbaserad administration för Configuration Manager.
Rotera BitLocker-återställningsnycklar
Du kan använda en Intune-enhetsåtgärd för att fjärrstyra BitLocker-återställningsnyckeln för en enhet som kör Windows 10 version 1909 eller senare och Windows 11.
Förutsättningar
Enheterna måste uppfylla följande krav för att stödja rotation av BitLocker-återställningsnyckeln:
Enheter måste köra Windows 10 version 1909 eller senare, eller Windows 11
Microsoft Entra anslutna och Microsoft Entra hybrid-anslutna enheter måste ha stöd för nyckelrotation aktiverat via BitLocker-principkonfiguration:
- Klientdriven rotering av återställningslösenord för att aktivera rotation på Microsoft Entra anslutna enheter eller Aktivera rotation på Microsoft Entra ID och Microsoft Entra anslutna hybridanslutningsenheter
- Spara BitLocker-återställningsinformation för att Microsoft Entra ID till Aktiverad
- Lagra återställningsinformation i Microsoft Entra ID innan BitLocker aktiveras till Obligatoriskt
Information om Distributioner och krav för BitLocker finns i jämförelsediagrammet för BitLocker-distribution.
Rotera BitLocker-återställningsnyckeln
Logga in på Microsoft Intune administrationscenter.
Välj Enheter>Alla enheter.
I listan över enheter som du hanterar väljer du en enhet och sedan fjärråtgärden BitLocker-nyckelrotationsenhet . Om det här alternativet ska vara tillgängligt men inte visas väljer du ellipsen (...) och sedan BitLocker-nyckelrotation.
På sidan Översikt på enheten väljer du BitLocker-nyckelrotation. Om du inte ser det här alternativet väljer du ellipsen (...) för att visa ytterligare alternativ och väljer sedan fjärråtgärden BitLocker-nyckelrotationsenhet .
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för