BitLocker 在開箱即用時自動 加密 內部硬碟 (OBE) ,適用於支援 現代待機 或符合 硬體安全測試規範 (HSTI) 的裝置。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。
透過 Windows Autopilot,可以設定 BitLocker 加密設定,使其在自動加密開始前套用。 此配置確保預設加密演算法或類型不會自動套用。 加密後自動接收這些設定的裝置,必須先解密後再更改加密演算法。
加密演算法
BitLocker 在首次啟用 BitLocker 時,會使用指定的 BitLocker 加密演算法。 在 Windows Autopilot 中,BitLocker 會在註冊 狀態頁面的裝置設定部分後啟用。 以下加密演算法可用:
- AES-CBC 128位元。
- AES-CBC 256位元。
- XTS-AES 128 位元 (預設) 。
- XTS-AES 256 位元。
欲了解更多建議使用的加密演算法,請參閱 BitLocker 配置服務提供者 (CSP) 。
全磁碟加密或僅對已使用空間加密
加密有兩種,一種是全磁碟加密,另一種是僅使用空間加密。 靜 默啟用 與硬體支援的現代待機配置會自動決定所使用的加密類型。 所使用的加密類型可透過設定 SystemDrivesEncryptionType 設定來強制執行。 與加密演算法類似,BitLocker 在首次啟用時使用加密類型。 欲了解更多預期加密類型行為的資訊,請參閱 管理 BitLocker 政策。
為 Windows Autopilot 裝置設定 BitLocker 政策
為確保在 Windows Autopilot 裝置自動加密前,已設定所需的 BitLocker 加密演算法與加密內容,請遵循以下步驟:
在 主 畫面,左側選區選擇 端點安全 。
在 端點安全 |概覽 畫面,展開 「管理」,然後選擇 磁碟加密。
在 端點安全 |磁碟加密 畫面。 選擇 + 建立政策。
在 「建立個人檔案 」頁面中會開啟:
在 平台下,選擇 Windows。
在 設定檔中,選擇 BitLocker。
選擇 「建立 」按鈕。
在建立政策畫面的基礎頁面,輸入名稱和可選的描述,然後選擇下一個按鈕。
在 設定 頁面中,依需求配置各種 BitLocker 設定,包括 加密方法以及密碼 與 加密類型 設定:
加密方法與密碼
展開 BitLocker 磁碟機加密 部分。
選擇 磁碟機加密方法與密碼強度,請選擇 啟用。
對於固定資料碟、作業系統硬碟、可移動資料碟) 每種磁碟 (類型,請從下拉選單選擇所需的加密方法與密碼。 每種類型的預設為 XTS-AES 128 位元。
加密類型
展開作業系統 磁碟 機區塊。
對於作業系統 硬碟強制加密類型,請選擇 啟用。
選擇 磁碟機加密類型時,請從下拉選單中選擇所需的加密類型,為 全加密 或 僅使用空間加密。 預設是 允許使用者選擇。
當所有 BitLocker 設定都設定好後,選擇 「下一個 」按鈕。
在 範圍標籤 頁面,選擇 「下一個 」按鈕。
注意事項
範圍標籤 為可選。 如果需要指定自訂範圍標籤,請在此頁面指定。 欲了解更多關於範圍標籤的資訊,請參閱 分散式資訊科技使用角色基礎存取控制與範圍標籤。
在 分配 頁面,使用 「按群組名稱搜尋」搜尋 框來尋找並新增 Windows Autopilot 裝置群組。 當 Windows Autopilot 裝置群組新增並列在 群組中後,請確保 目標類型 設為 包含,然後選擇 下一個 按鈕。 欲了解更多關於指派政策的資訊,請參閱 Microsoft Intune 中的「指派政策」。
重要事項
請確認此步驟中選擇的 Windows Autopilot 裝置群組是裝置群組,而非使用者群組。
在 Review + 建立 頁面,檢查設定是否符合設定,然後選擇 儲存 按鈕。
為 Windows Autopilot 裝置設定並指派 ESP) (註冊狀態頁面 。 如果沒有啟用 ESP,BitLocker 政策在加密開始前就不會生效。 欲了解更多資訊,請參閱以下文章之一: