針對支援新式待命或符合硬體安全性可測試性規格的裝置,BitLocker 會在全新體驗 (OOBE) 期間自動加密內部磁碟驅動器, (HSTI) 。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。
使用 Windows Autopilot 時,可以將 BitLocker 加密設定設定為在自動加密開始之前套用。 此設定可確保不會自動套用預設加密演算法或類型。 在加密後自動接收這些設定的裝置,必須在變更加密演算法之前先解密。
加密演算法
第一次啟用 BitLocker 時,BitLocker 會使用指定的 BitLocker 加密演算法。 在 Windows Autopilot 期間,BitLocker 會在 註冊狀態頁面的裝置設定部分之後啟用。 以下是可用的加密演算法:
- AES-CBC 128 位。
- AES-CBC 256 位。
- XTS-AES 128 位 (預設) 。
- XTS-AES 256 位。
如需建議使用之加密演算法的詳細資訊,請參閱 BitLocker 設定服務提供者 (CSP) 。
全磁碟加密或僅對已使用空間加密
加密有兩種類型:完整磁碟或僅使用空間。 設定新式待命的 無訊息啟用 和硬體支援會自動決定所使用的加密類型。 您可以藉由設定 SystemDrivesEncryptionType 設定來強制執行所使用的加密類型。 如同加密演算法,BitLocker 會在第一次啟用 BitLocker 時使用加密類型。 如需預期加密類型行為的詳細資訊,請參閱 管理 BitLocker 原則。
設定 Windows Autopilot 裝置的 BitLocker 原則
若要確定在 Windows Autopilot 裝置進行自動加密之前,已設定所需的 BitLocker 加密演算法和加密,請遵循下列步驟:
在 [ 首頁] 畫面中,選取左側窗格中的 [ 端點安全 性]。
在 端點安全性中 |概觀 畫面,展開 [ 管理],然後選取 [ 磁盘加密]。
在 端點安全性中 |磁碟加密 畫面。 選 取 [+ 建立原則]。
開啟 的 [建立設定檔 ] 頁面中:
在 [ 平臺] 底下,選取 [Windows]。
在 [ 配置檔] 底下,選取 [BitLocker]。
選取 [ 建立] 按鈕。
在 [建立原則] 畫面的 [基本] 頁面中,輸入 [名稱] 和選用的 [描述],然後選取 [下一步] 按鈕。
在 [ 組態設定 ] 頁面中,視需要設定各種 BitLocker 設定,包括 加密方法和加密 和 加密類型 設定:
加密方法和加密
展開 [ BitLocker 磁碟驅動器加密] 區 段。
針對 [選擇磁碟驅動器加密方法和加密強度],選取 [ 已啟用]。
針對固定數據磁碟驅動器、作系統磁碟驅動器、卸載式數據磁碟驅動器) (每個磁碟驅動器類型,從下拉功能表中選取所需的加密方法和加密。 每個類型的預設值都是 XTS-AES 128 位。
加密類型
展開 [ 作系統磁碟驅動器] 區 段。
針對 [在作系統磁碟驅動器上強制執行磁碟驅動器加密類型],選取 [ 已啟用]。
針對 [選取磁碟驅動器加密類型],從下拉功能表中選取所需的加密類型: [完整 加密] 或 [ 僅使用空間加密]。 預設值為 [允許用戶選擇]。
如有需要設定所有 BitLocker 設定之後,請選取 [ 下一步] 按鈕。
在 [ 範圍卷標] 頁面中 ,選取 [ 下一步] 按鈕。
注意事項
範圍標籤是 選擇性的。 如果需要指定自定義範圍標籤,請在此頁面上進行。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用角色型訪問控制和範圍標籤。
在 [ 指派] 頁面中,使用 [依 組名搜尋... ] 搜尋方塊來尋找並新增 Windows Autopilot 裝置群組。 新增 Windows Autopilot 裝置群組並列在 [ 群組] 下方之後,請確定 [目標類型 ] 已設定為 [ 包含],然後選取 [ 下一步] 按鈕。 如需指派原則的詳細資訊,請參閱在 Microsoft Intune 中指派原則。
重要事項
請確定在此步驟中選取的 Windows Autopilot 裝置群組是裝置群組,而不是使用者群組。
在 [ 檢閱 + 建立] 頁面中,檢閱設定以確認其已視需要設定,然後選取 [ 儲存] 按鈕 。
設定並指派 Windows Autopilot 裝置 的註冊狀態頁面 (ESP) 。 如果未啟用 ESP,BitLocker 原則就不會在加密開始之前套用。 如需詳細資訊,請參閱下列其中一篇文章: