为 Autopilot 设备设置 BitLocker 加密算法
BitLocker 在现成体验期间 自动加密 内部驱动器, (OOBE) 支持 新式待机 或满足 硬件安全可测试性规范 (HSTI) 的设备。 默认情况下,BitLocker 仅使用 XTS-AES 128 位已用空间进行自动加密。
使用 Windows Autopilot,可以将 BitLocker 加密设置配置为在自动加密开始之前应用。 此配置可确保不会自动应用默认加密算法或类型。 在自动加密后接收这些设置的设备需要在更改加密算法之前解密。
加密算法
首次启用 BitLocker 时,BitLocker 使用指定的 BitLocker 加密算法。 在 Autopilot 期间,将在 注册状态页的设备设置部分后启用 BitLocker。 以下加密算法可用:
- AES-CBC 128 位。
- AES-CBC 256 位。
- XTS-AES 128 位 (默认) 。
- XTS-AES 256 位。
有关要使用的建议加密算法的详细信息,请参阅 BitLocker 配置服务提供程序 (CSP) 。
若要确保在 Autopilot 设备自动加密之前设置所需的 BitLocker 加密算法,请执行以下操作:
在 Endpoint Security 磁盘加密策略中配置加密 方法设置 。 这些设置在 “终结点安全>磁盘加密>”“创建策略>平台 = Windows 10 及更高版本 ”“配置文件类型 = BitLocker”下提供。
将策略分配给 Autopilot 设备组。 必须将加密策略分配给组中 的设备 ,而不是用户。
为这些设备启用 Autopilot 注册状态页 。 如果未启用此功能,则策略在加密开始之前不会应用。
完整磁盘或仅已用空间加密
有两种类型的加密:完整磁盘或仅使用空间。 对新式待机的 无提示启用 和硬件支持配置会自动确定使用的加密类型。 可以通过配置 SystemDrivesEncryptionType 设置来强制使用加密类型。 与加密算法一样,首次启用 BitLocker 时,BitLocker 使用加密类型。 有关预期加密类型行为的详细信息,请参阅 管理 BitLocker 策略。
若要强制使用驱动器加密的类型,请执行以下操作:
在设置目录中配置“在操作系统驱动器上强制实施驱动器加密类型”设置。 此设置在设置选取器中的 “管理模板 > ”Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 类别中可用。
将策略分配给 Autopilot 设备组。 必须将加密策略分配给组中 的设备 ,而不是用户。
为这些设备启用 Autopilot 注册状态页 。 如果未启用此功能,则策略在加密开始之前不会应用。