Diskkrypteringsprincip för slutpunktssäkerhet i Intune
Slutpunktssäkerhet Diskkrypteringsprofiler fokuserar bara på de inställningar som är relevanta för en inbyggd krypteringsmetod för enheter, till exempel FileVault, BitLocker och Personlig datakryptering (för Windows). Det här fokuset gör det enkelt för säkerhetsadministratörer att hantera inställningar för diskkryptering utan att behöva navigera i en mängd orelaterade inställningar.
Du kan konfigurera samma enhetsinställningar med hjälp av Endpoint Protection-profiler för enhetskonfiguration, men enhetskonfigurationsprofilerna innehåller andra kategorier av inställningar. Dessa andra inställningar är inte relaterade till diskkryptering och kan komplicera uppgiften att konfigurera endast diskkryptering.
Hitta slutpunktssäkerhetsprinciperna för diskkryptering under Hantera i noden Slutpunktssäkerhet i Microsoft Intune administrationscenter.
Krav för diskkrypteringsprincip
- macOS – macOS 10.13 eller senare
- Windows – Windows 10
- Windows – Windows 11
Rollbaserad åtkomstkontroll (RBAC)
Information om hur du tilldelar rätt nivå av behörigheter och rättigheter för att hantera Intune diskkrypteringsprincip finns i Tilldela rollbaserad åtkomstkontroll-för-slutpunkt-säkerhet-princip.
Profiler för diskkryptering
macOS-profiler:
FileVault – FileVault tillhandahåller inbyggd fullständig diskkryptering för macOS-enheter.
Hantera FileVault-inställningar för macOS.
Information om hur du skapar en FileVault-profil finns i Använda FileVault-diskkryptering för macOS.
Windows-profiler:
BitLocker – BitLocker-diskkryptering är en dataskyddsfunktion som integreras med operativsystemet och hanterar hot om datastöld eller exponering från förlorade, stulna eller felaktigt inaktiverade datorer.
Obs!
Från och med den 19 juni 2023 uppdaterades BitLocker-profilen för Windows för att använda inställningsformatet som finns i inställningskatalogen. Det nya profilformatet innehåller samma inställningar som den äldre profilen. Med den här ändringen kan du inte längre skapa nya versioner av de gamla profilerna. Dina befintliga instanser av den gamla profilen är fortfarande tillgängliga för användning och redigering.
Med det nya profilformatet publicerar vi inte längre en dedikerad lista över inställningar som finns i profilen. Använd i stället länken Läs mer i användargränssnittet när du visar information för en inställning för att öppna BitLocker CSP i Windows-dokumentationen, där inställningen beskrivs i sin helhet.
Du kan fortsätta att hitta en lista med inställningar i de ursprungliga BitLocker-profilerna som skapades före den 19 juni 2023 i BitLocker-inställningarna i Intune-dokumentationen.
Personlig datakryptering – PDE (Personal Data Encryption) krypterar data på mappnivå och är tillgängligt för enheter som kör Windows 11 version 22H2 eller senare. PDE skiljer sig från BitLocker eftersom det krypterar filer i stället för hela volymer och diskar. PDE sker utöver andra krypteringsmetoder som BitLocker. Till skillnad från BitLocker som släpper datakrypteringsnycklar vid start släpper PDE inte datakrypteringsnycklar förrän en användare loggar in med Windows Hello för företag. PDE använder PDE CSP.
Mer information om PDE, inklusive krav, relaterade krav och rekommendationer, finns i följande artiklar i Windows säkerhetsdokumentation:
Information om hur du skapar en BitLocker- eller Personal Data Encryption-profil finns i Använda diskkryptering för Windows.
Hantera enhetskryptering
När du har distribuerat en princip för att kryptera en enhetsdisk kan du läsa följande artiklar om hur du hanterar kryptering: