BitLocker 在现成体验期间 自动加密 内部驱动器, (OOBE) 支持 新式待机 或满足 硬件安全可测试性规范 (HSTI) 的设备。 默认情况下,BitLocker 仅使用 XTS-AES 128 位已用空间进行自动加密。
使用 Windows Autopilot,可以将 BitLocker 加密设置配置为在自动加密开始之前应用。 此配置可确保不会自动应用默认加密算法或类型。 在自动加密后接收这些设置的设备需要在更改加密算法之前解密。
加密算法
首次启用 BitLocker 时,BitLocker 使用指定的 BitLocker 加密算法。 在 Windows Autopilot 期间,将在 注册状态页的设备设置部分后启用 BitLocker。 以下加密算法可用:
- AES-CBC 128 位。
- AES-CBC 256 位。
- XTS-AES 128 位 (默认) 。
- XTS-AES 256 位。
有关要使用的建议加密算法的详细信息,请参阅 BitLocker 配置服务提供程序 (CSP) 。
完整磁盘或仅已用空间加密
有两种类型的加密:完整磁盘或仅使用空间。 对新式待机的 无提示启用 和硬件支持配置会自动确定使用的加密类型。 可以通过配置 SystemDrivesEncryptionType 设置来强制使用加密类型。 与加密算法一样,首次启用 BitLocker 时,BitLocker 使用加密类型。 有关预期加密类型行为的详细信息,请参阅 管理 BitLocker 策略。
为 Windows Autopilot 设备配置 BitLocker 策略
若要确保在 Windows Autopilot 设备自动加密之前同时设置所需的 BitLocker 加密算法和加密,请执行以下步骤:
在 “主页 ”屏幕中,选择左侧窗格中的“ 终结点安全性 ”。
在 终结点安全性 |“概述 ”屏幕,展开“ 管理”,然后选择“ 磁盘加密”。
在 终结点安全性 |磁盘加密 屏幕。 选择“ + 创建策略”。
在打开 的“创建配置文件 ”页中:
在 “平台”下,选择“ Windows”。
在 “配置文件”下,选择“ BitLocker”。
选择“创建”按钮。
在“创建策略”屏幕的“基本信息”页中,输入“名称”和“说明”可选,然后选择“下一步”按钮。
在 “配置设置” 页中,根据需要配置各种 BitLocker 设置,包括 加密方法和密码 以及 加密类型 设置:
加密方法和密码
展开 “BitLocker 驱动器加密 ”部分。
对于 “选择驱动器加密方法和密码强度”,请选择“ 已启用”。
对于固定数据驱动器、作系统驱动器、可移动数据驱动器) (每种驱动器类型,请从下拉菜单中选择所需的加密方法和密码。 每种类型的默认值为 XTS-AES 128 位。
加密类型
展开 “作系统驱动器” 部分。
对于 “在作系统驱动器上强制实施驱动器加密类型”,请选择“ 已启用”。
对于“选择驱动器加密类型”,请从下拉菜单中选择所需的加密类型,即“完全加密”或“仅使用的空间加密”。 默认值为 “允许用户选择”。
根据需要配置所有 BitLocker 设置后,选择“ 下一步 ”按钮。
在“ 作用域标记 ”页中,选择“ 下一步 ”按钮。
注意
范围标记 是可选的。 如果需要指定自定义范围标记,请在此页执行此作。 有关范围标记的详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
在 “分配” 页中,使用 “按组名称搜索...” 搜索框查找并添加 Windows Autopilot 设备组。 添加 Windows Autopilot 设备组并列在 “组”下后,请确保“ 目标类型 ”设置为“ 包括”,然后选择“ 下一步 ”按钮。 有关分配策略的详细信息,请参阅分配Microsoft Intune中的策略。
重要
确保此步骤中选择的 Windows Autopilot 设备组是设备组,而不是用户组。
在“ 查看 + 创建 ”页中,查看设置以验证它们是否配置为所需,然后选择“ 保存 ”按钮。
配置和分配 Windows Autopilot 设备的 “注册状态”页 (ESP) 。 如果未启用 ESP,则 BitLocker 策略在加密开始之前不会应用。 有关详细信息,请参阅以下文章之一: