共用方式為


Intune 中端點安全性的磁碟加密原則

端點安全性磁碟加密配置檔只著重於與裝置內建加密方法相關的設定,例如適用於 Windows) 的 FileVault、BitLocker 和個人資料加密 (。 此焦點可讓安全性系統管理員輕鬆管理磁碟加密設定,而不需要流覽主機的不相關設定。

雖然您可以使用裝置組態的 Endpoint Protection 配置檔來設定相同的裝置設定,但裝置組態配置檔包含其他類別的設定。 這些其他設定與磁碟加密無關,而且可能會使只設定磁碟加密的工作變得複雜。

在 Microsoft Intune 系統管理中心的 [端點安全性] 節點中,尋找 [管理] 底下的磁碟加密端點安全策略。

磁碟加密原則的必要條件

  • macOS - macOS 10.13 或更新版本
  • Windows - Windows 10
  • Windows - Windows 11

角色型存取控制 (RBAC)

如需指派管理 Intune 磁碟加密原則之許可權和許可權的正確層級指引,請參閱 Assign-role-based-access-controls-for-endpoint-security-policy

磁碟加密配置檔

macOS 設定檔

Windows 配置檔

  • BitLocker - BitLocker 磁碟驅動器加密是一項數據保護功能,可與操作系統整合,並解決數據竊取或暴露於遺失、遭竊或不當解除委任計算機的威脅。

    注意事項

    從 2023 年 6 月 19 日開始,Windows 的 BitLocker 配置檔已更新為使用設定目錄中所找到的設定格式。 新的配置檔格式包含與舊版配置檔相同的設定。 透過這項變更,您就無法再建立舊配置檔的新版本。 舊配置檔的現有實例仍可供使用和編輯。

    使用新的配置檔格式,我們不再發佈配置檔中找到的專用設定清單。 相反地,在檢視設定的資訊時,請使用UI中的 深入了解 連結,在Windows檔中開啟 BitLocker CSP ,其中的設定會完整詳細說明。

    您可以在 2023 年 6 月 19 日之前建立的原始 BitLocker 配置檔中,於 Intune 檔案中的 BitLocker 設定中繼續尋找設定清單。

  • 個人資料加密 - 個人資料加密 (PDE) 在資料夾層級加密數據,且適用於執行 Windows 11 22H2 版或更新版本的裝置。 PDE 與 BitLocker 不同之處在於它會加密檔案,而不是整個磁碟區和磁碟。 除了 BitLocker 等其他加密方法之外,還會發生 PDE。 不同於在開機時釋放數據加密密鑰的 BitLocker,在使用者使用 Windows Hello 企業版 登入之前,PDE 不會釋出數據加密金鑰。 PDE 使用 PDE CSP

    如需 PDE 的詳細資訊,包括必要條件、相關需求和建議,請參閱 Windows 安全性檔中的下列文章:

若要建立 BitLocker 或個人資料加密配置檔,請參閱 使用 Windows 的磁碟加密

管理裝置加密

部署原則來加密裝置磁碟之後,請參閱下列文章,以取得管理加密的相關信息:

後續步驟