Intune中终结点安全的磁盘加密策略设置

作为终结点安全策略的一部分,查看可以在 Intune 的终结点安全节点的磁盘加密策略配置文件中配置的设置。

应用于:

  • macOS
  • Windows 10
  • Windows 11

支持的平台和配置文件:

  • macOS
    • 配置文件: FileVault
  • Windows 10 及更高版本
    • 配置文件: BitLocker

FileVault

加密

启用 FileVault

  • 未配置 (默认)

  • - 在运行 macOS 10.13 及更高版本的设备上使用 XTS-AES 128 和 FileVault 启用完整磁盘加密。 当用户注销设备时,将启用 FileVault。

    设置为 “是”时,可以为 FileVault 配置更多设置。

    • 恢复密钥类型 为设备创建个人密钥恢复密钥。 为个人密钥配置以下设置:

      • 个人恢复密钥轮换
        指定设备的个人恢复密钥轮换频率。 可以选择默认值 “未配置”或值 112 个月。
      • 个人恢复密钥的托管位置说明
        向用户指定一条简短消息,说明他们如何检索其个人恢复密钥。 当系统提示输入个人恢复密钥(如果忘记密码)时,用户在其登录屏幕上看到此消息。
    • 允许绕过的次数
      设置用户在需要 FileVault 登录之前可以忽略启用 FileVault 的提示的次数。

      • 未配置 (默认) - 在允许下次登录之前,设备上需要加密。
      • 110 - 允许用户在要求设备上加密之前忽略 1 到 10 次的提示。
      • 无限制,始终提示 - 系统会提示用户启用 FileVault,但从不需要加密。
    • 允许延迟到注销

      • 未配置 (默认)
      • - 延迟提示以启用 FileVault,直到用户注销。
    • 在注销时禁用提示
      防止提示用户在注销时请求启用 FileVault。设置为“禁用”时,将禁用注销时的提示,而是在登录时提示用户。

      • 未配置 (默认)
      • - 禁用提示以启用在注销时显示的 FileVault。
    • 隐藏恢复密钥
      在加密期间,对 macOS 设备的用户隐藏个人恢复密钥。 磁盘加密后,用户可以使用任何设备通过Intune 公司门户网站或受支持平台上的公司门户应用查看其个人恢复密钥。

      • 未配置 (默认)
      • - 在设备加密期间隐藏个人恢复密钥。

BitLocker

注意

本文详细介绍了在 2023 年 6 月 19 日之前创建的 BitLocker 配置文件中为终结点安全磁盘加密策略Windows 10及更高版本的平台找到的设置。 2023 年 6 月 19 日,Windows 10 及更高版本的配置文件已更新为使用设置目录中的新设置格式。 通过此更改,你无法再创建旧配置文件的新版本,并且不再开发这些配置文件。 尽管无法再创建旧配置文件的新实例,但可以继续编辑和使用以前创建的实例。

对于使用新设置格式的配置文件,Intune不再按名称维护每个设置的列表。 相反,每个设置的名称、其配置选项以及你在 Microsoft Intune 管理中心中看到的解释性文本直接取自设置的权威内容。 该内容可以提供有关设置在其适当上下文中的使用的详细信息。 查看设置信息文本时,可以使用其 “了解详细信息” 链接打开该内容。

Windows 配置文件的以下设置详细信息适用于那些已弃用的配置文件。

BitLocker – 基本设置

  • 为 OS 和固定数据驱动器启用完整磁盘加密
    CSP: BitLocker - RequireDeviceEncryption

    如果在应用此策略之前对驱动器进行了加密,则不会执行额外的操作。 如果加密方法和选项与此策略的加密方法和选项匹配,则配置应返回成功。 如果就地 BitLocker 配置选项与此策略不匹配,配置可能会返回错误。

    若要将此策略应用于已加密的磁盘,请解密驱动器并重新应用 MDM 策略。 Windows 默认不需要 BitLocker 驱动器加密。 但是,在Microsoft Entra加入和 Microsoft 帐户 (MSA) 注册/登录自动加密时,可以在 XTS-AES 128 位加密中应用启用 BitLocker。

    • 未配置 (默认) - 不执行 BitLocker 强制实施。
    • - 强制使用 BitLocker。
  • 要求将存储卡加密 (仅限移动设备)
    CSP: BitLocker - RequireStorageCardEncryption

    此设置仅适用于 Windows 移动版和移动企业版 SKU 设备。

    • 未配置 (默认) - 此设置将返回到 OS 默认值,即不需要存储卡加密。
    • - 移动设备需要对存储卡进行加密。

    注意

    Windows 10 移动版Windows Phone 8.1 的支持已于 2020 年 8 月结束。

  • 隐藏有关第三方加密的提示
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    如果在已由第三方加密产品加密的系统上启用 BitLocker,则可能会使设备不可用。 可能发生数据丢失,你可能需要重新安装 Windows。 强烈建议不要在安装或启用第三方加密的设备上启用 BitLocker。

    默认情况下,BitLocker 安装向导会提示用户确认没有第三方加密。

    • 未配置 (默认) – BitLocker 设置向导会显示警告并提示用户确认不存在第三方加密。
    • - 向用户隐藏 BitLocker 安装向导提示。

    如果需要 BitLocker 无提示启用功能,则必须隐藏第三方加密警告,因为任何必需的提示都会中断无提示启用工作流。

    设置为 “是”时,可以配置以下设置:

    • 允许标准用户在 Autopilot 期间启用加密
      CSP: BitLocker - AllowStandardUserEncryption

      • 未配置 (默认) – 设置保留为客户端默认值,即需要本地管理员访问权限才能启用 BitLocker。
      • - 在Microsoft Entra加入无提示启用方案期间,用户无需是本地管理员就可以启用 BitLocker。

      对于非无提示启用和 Autopilot 方案,用户必须是本地管理员才能完成 BitLocker 设置向导。

  • 配置客户端驱动的恢复密码轮换
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    添加工作帐户 (AWA,正式加入工作区) 设备不支持密钥轮换。

    • 配置 (默认) – 客户端不会轮换 BitLocker 恢复密钥。
    • Disabled
    • 已加入Microsoft Entra设备
    • Microsoft Entra混合联接设备

BitLocker - 固定驱动器设置

  • BitLocker 固定驱动器策略
    CSP: BitLocker - EncryptionMethodByDriveType

    • 固定驱动器恢复
      CSP: BitLocker - FixedDrivesRecoveryOptions

      在没有所需的启动密钥信息的情况下,控制如何恢复受 BitLocker 保护的固定数据驱动器。

      • 未配置 (默认) - 支持默认恢复选项,包括数据恢复代理 (DRA) 。 最终用户可以指定恢复选项,并且不会将恢复信息备份到Microsoft Entra。
      • 配置 - 启用访问权限以配置各种驱动器恢复技术。

      设置为 “配置” 时,以下设置可用:

      • 用户创建恢复密钥

        • 阻止 (默认)
        • 必需
        • 允许
      • 配置 BitLocker 恢复包

        • 密码和密钥 (默认) - 包括管理员和用户用于解锁受保护驱动器的 BitLocker 恢复密码,以及管理员在 Active Directory 中用于数据恢复目的的恢复密钥包。
        • 仅密码 - 恢复密钥包可能无法在需要时访问。
      • 要求设备将恢复信息备份到Microsoft Entra

        • 未配置 (默认) - 即使恢复密钥备份到Microsoft Entra ID失败,BitLocker 启用也会完成。 这可能会导致不会在外部存储任何恢复信息。
        • - 在成功将恢复密钥保存到Microsoft Entra之前,BitLocker 不会完成启用。
      • 用户创建恢复密码

        • 阻止 (默认)
        • 必需
        • 允许
      • 在 BitLocker 安装过程中隐藏恢复选项

        • 未配置 (默认) - 允许用户访问额外的恢复选项。
        • - 阻止最终用户在 BitLocker 安装向导期间选择额外的恢复选项,例如打印恢复密钥。
      • 在恢复信息后启用 BitLocker 以存储

        • 未配置 (默认)
        • - 通过将此项设置为“是”,BitLocker 恢复信息将保存到Active Directory 域服务。
      • 阻止使用基于证书的数据恢复代理 (DRA)

        • 未配置 (默认) - 允许使用 DRA 进行设置。 设置 DRA 需要企业 PKI 和 组策略 对象来部署 DRA 代理和证书。
        • - 阻止使用 Data Recovery Agent (DRA) 来恢复已启用 BitLocker 的驱动器。
    • 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问
      CSP: BitLocker - FixedDrivesRequireEncryption
      BitLocker 固定驱动器策略 设置为 “配置”时,此设置可用。

      • 未配置 (默认) - 可将数据写入未加密的固定驱动器。
      • - Windows 不允许将任何数据写入不受 BitLocker 保护的固定驱动器。 如果未加密固定驱动器,则用户需要在授予写入访问权限之前完成驱动器的 BitLocker 安装向导。
    • 为固定数据驱动器配置加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      为固定数据驱动器磁盘配置加密方法和密码强度。 XTS - AES 128 位 是 Windows 默认加密方法和推荐值。

      • 未配置 (默认)
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS

BitLocker - OS 驱动器设置

  • BitLocker 系统驱动器策略
    CSP: BitLocker - EncryptionMethodByDriveType

    • 配置 (默认)
    • 未配置

    设置为 “配置” 时,可以配置以下设置:

    • 需要启动身份验证
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • 未配置 (默认)
      • - 在系统启动时配置其他身份验证要求,包括使用受信任的平台模块 (TPM) 或启动 PIN 要求。

      设置为 “是” 时,可以配置以下设置:

      • 兼容的 TPM 启动
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        建议要求 BitLocker 的 TPM。 此设置仅在首次启用 BitLocker 时适用,如果已启用 BitLocker,则不起作用。

        • 已阻止 (默认) - BitLocker 不使用 TPM。
        • 必需 - BitLocker 仅在 TPM 存在且可用时才启用。
        • 允许 - BitLocker 使用 TPM(如果存在)。
      • 兼容的 TPM 启动 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 阻止 (默认) - 阻止使用 PIN。
        • 必需 - 需要 PIN 和 TPM 才能启用 BitLocker。
        • 允许 - BitLocker 使用 TPM(如果存在)并允许用户配置启动 PIN。

        对于无提示启用方案,必须将此设置为 “已阻止”。 需要用户交互时,包括 Autopilot) 在内的无提示启用方案 (不会成功。

      • 兼容的 TPM 启动密钥
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 阻止 (默认) - 阻止使用启动密钥。
        • 必需 - 需要提供启动密钥和 TPM 才能启用 BitLocker。
        • 允许 - BitLocker 使用 TPM(如果存在),并允许启动密钥 ((如 U 盘) 存在)来解锁驱动器。

        对于无提示启用方案,必须将此设置为 “已阻止”。 需要用户交互时,包括 Autopilot) 在内的无提示启用方案 (不会成功。

      • 兼容的 TPM 启动密钥和 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 阻止 (默认) - 阻止使用启动密钥和 PIN 组合。
        • 必需 - 要求 BitLocker 具有启动密钥和 PIN 才能启用。
        • 允许 - BitLocker 使用 TPM(如果存在)并允许启动密钥) 和 PIN 组合。

        对于无提示启用方案,必须将此设置为 “已阻止”。 需要用户交互时,包括 Autopilot) 在内的无提示启用方案 (不会成功。

      • 在 TPM 不兼容的设备上禁用 BitLocker
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        如果没有 TPM,BitLocker 需要密码或 U 盘进行启动。

        此设置仅在首次启用 BitLocker 时适用,如果已启用 BitLocker,则不起作用。

        • 未配置 (默认)
        • - 阻止在没有兼容的 TPM 芯片的情况下配置 BitLocker。
      • 启用预启动恢复消息和 URL
        CSP: BitLocker - SystemDrivesRecoveryMessage配置

        • 未配置 (默认) – 使用默认 BitLocker 预启动恢复信息。
        • - 启用自定义预启动恢复消息和 URL 的配置,以帮助用户了解如何查找其恢复密码。 用户在恢复模式下被锁定在电脑外时,会看到预启动消息和 URL。

        设置为 “是” 时,可以配置以下设置:

        • 预启动恢复消息
          指定自定义预启动恢复消息。

        • 预启动恢复 URL
          指定自定义预启动恢复 URL。

      • 系统驱动器恢复
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • 未配置 (默认)
        • 配置 - 启用其他设置的配置。

        设置为 “配置” 时,以下设置可用:

        • 用户创建恢复密钥

          • 阻止 (默认)
          • 必需
          • 允许
        • 配置 BitLocker 恢复包

          • 密码和密钥 (默认) - 包括管理员和用户用于解锁受保护驱动器的 BitLocker 恢复密码,以及管理员) Active Directory 中用于数据恢复目的的恢复密钥包。
          • 仅密码 - 恢复密钥包可能无法在需要时访问。
        • 要求设备将恢复信息备份到Microsoft Entra

          • 未配置 (默认) - 即使恢复密钥备份到Microsoft Entra ID失败,BitLocker 启用也会完成。 这可能会导致不会在外部存储任何恢复信息。
          • - 在成功将恢复密钥保存到Microsoft Entra之前,BitLocker 不会完成启用。
        • 用户创建恢复密码

          • 阻止 (默认)
          • 必需
          • 允许
        • 在 BitLocker 安装过程中隐藏恢复选项

          • 未配置 (默认) - 允许用户访问额外的恢复选项。
          • - 阻止最终用户在 BitLocker 安装向导期间选择额外的恢复选项,例如打印恢复密钥。
        • 在恢复信息后启用 BitLocker 以存储

          • 未配置 (默认)
          • - 通过将此项设置为“是”,BitLocker 恢复信息将保存到Active Directory 域服务。
        • 阻止使用基于证书的数据恢复代理 (DRA)

          • 未配置 (默认) - 允许使用 DRA 进行设置。 设置 DRA 需要企业 PKI 和 组策略 对象来部署 DRA 代理和证书。
          • - 阻止使用 Data Recovery Agent (DRA) 来恢复已启用 BitLocker 的驱动器。
      • 最小 PIN 长度
        CSP: BitLocker - SystemDrivesMinimumPINLength

        在 BitLocker 启用期间需要 TPM + PIN 时,指定最小启动 PIN 长度。 PIN 长度必须介于 4 到 20 位之间。

        如果未配置此设置,用户可以配置任意长度的启动 PIN, (介于 4 到 20 位数之间)

        此设置仅在首次启用 BitLocker 时适用,如果已启用 BitLocker,则不起作用。

    • 为操作系统驱动器配置加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      为 OS 驱动器配置加密方法和密码强度。 XTS - AES 128 位 是 Windows 默认加密方法和推荐值。

      • 未配置 (默认)
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS

BitLocker - 可移动驱动器设置

  • BitLocker 可移动驱动器策略
    CSP: BitLocker - EncryptionMethodByDriveType

    • 未配置 (默认)
    • 配置

    设置为 “配置” 时,可以配置以下设置。

    • 为可移动数据驱动器配置加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      为可移动数据驱动器磁盘选择所需的加密方法。

      • 未配置 (默认)
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS
    • 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未配置 (默认) - 可将数据写入非加密的可移动驱动器。
      • - Windows 不允许将数据写入不受 BitLocker 保护的可移动驱动器。 如果插入的可移动驱动器未加密,则用户必须先完成 BitLocker 设置向导,然后才能授予对驱动器的写入访问权限。
    • 阻止对另一个组织中配置的设备的写入访问
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未配置 (默认) - 可以使用任何 BitLocker 加密驱动器。
      • - 阻止对可移动驱动器的写入访问,除非它们已在组织拥有的计算机上加密。

后续步骤

磁盘加密的终结点安全策略