为 Autopilot 设备设置 BitLocker 加密算法
BitLocker 在支持新式待机或满足硬件安全可测试性规范 (HSTI) 的设备 (OOBE) 体验期间自动加密内部驱动器。 默认情况下,BitLocker 仅使用 XTS-AES 128 位已用空间进行自动加密。
使用 Windows Autopilot,可以将 BitLocker 加密设置配置为在自动加密开始之前应用。 此配置可确保不会自动应用默认加密算法或类型。 在自动加密后接收这些设置的设备将需要在更改加密算法之前解密。
加密算法
首次启用 BitLocker 时使用 BitLocker 加密算法。 在 Autopilot 期间,将在 注册状态页的设备设置部分后启用 BitLocker。 以下加密算法可用:
- AES-CBC 128 位
- AES-CBC 256 位
- XTS-AES 128 位(默认)
- XTS-AES 256 位
有关推荐使用的加密算法的详细信息,请参阅 BitLocker CSP。
若要确保在 Autopilot 设备自动加密之前设置所需的 BitLocker 加密算法,请执行以下操作:
在 Endpoint Security 磁盘加密策略中配置加密 方法设置 。 这些设置在 Endpoint Security>Disk encryption>Create policy>Platform = Windows 10 及更高版本的“配置文件类型 = BitLocker”下提供。
将策略分配给 Autopilot 设备组。 必须将加密策略分配给组中 的设备 ,而不是用户。
为这些设备启用 Autopilot 注册状态页 。 如果未启用此功能,则在加密开始之前不会应用该策略。
完整磁盘或仅已用空间加密
有两种类型的加密:完整磁盘或仅使用空间。 加密类型由对新式待机的 无提示启用 和硬件支持配置自动确定。 可以通过配置 SystemDrivesEncryptionType 设置来强制实施它。 与加密算法一样,首次启用 BitLocker 时将使用加密类型。 有关预期加密类型行为的详细信息,请参阅 管理 BitLocker 策略。
若要强制使用驱动器加密的类型,请执行以下操作:
在设置目录中配置“在操作系统驱动器上强制实施驱动器加密类型”设置。 此设置在设置选取器中的 “管理模板 > ”Windows 组件 > BitLocker 驱动器加密 > 操作系统驱动器 类别中可用。
将策略分配给 Autopilot 设备组。 必须将加密策略分配给组中 的设备 ,而不是用户。
为这些设备启用 Autopilot 注册状态页 。 如果未启用此功能,则在加密开始之前不会应用该策略。
要求
受支持的 Windows 版本。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈