閱讀英文

共用方式為


設定 Autopilot 裝置的 BitLocker 加密演算法

針對支援新式待命或符合硬體安全性可測試性規格的裝置,BitLocker 會在全新體驗 (OOBE) 期間自動加密內部磁碟驅動器, (HSTI) 。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。

使用 Windows Autopilot 時,可以將 BitLocker 加密設定設定為在自動加密開始之前套用。 此設定可確保不會自動套用預設加密演算法或類型。 在加密後自動接收這些設定的裝置,必須在變更加密演算法之前先解密。

加密演算法

第一次啟用 BitLocker 時,BitLocker 會使用指定的 BitLocker 加密演算法。 在 Autopilot 期間,BitLocker 會在 註冊狀態頁面的裝置設定部分之後啟用。 以下是可用的加密演算法:

  • AES-CBC 128 位。
  • AES-CBC 256 位。
  • XTS-AES 128 位 (預設) 。
  • XTS-AES 256 位。

如需建議使用之加密演算法的詳細資訊,請參閱 BitLocker 設定服務提供者 (CSP)

若要確定在 Autopilot 裝置發生自動加密之前,已設定所需的 BitLocker 加密演算法:

  1. 在端點安全性磁碟加密原則中設定 加密方法設定 。 這些設定可在 [端點安全>性磁碟加密>建立>原則平臺 = Windows 10 及更新版本] 底下取得,配置檔類型 = BitLocker。

  2. 將原則指派 給 Autopilot 裝置群組。 加密原則必須指派給群組中的 裝置 ,而不是使用者。

  3. 啟用這些裝置的 Autopilot 註冊狀態頁面 。 如果未啟用此功能,則在加密開始之前不會套用原則。

全磁碟加密或僅對已使用空間加密

加密有兩種類型:完整磁碟或僅使用空間。 設定新式待命的 無訊息啟用 和硬體支援會自動決定所使用的加密類型。 您可以藉由設定 SystemDrivesEncryptionType 設定來強制執行所使用的加密類型。 如同加密演算法,BitLocker 會在第一次啟用 BitLocker 時使用加密類型。 如需預期加密類型行為的詳細資訊,請參閱 管理 BitLocker 原則

若要強制執行所使用的磁碟驅動器加密類型:

  1. 在設定目錄內設定 [ 在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型 ] 設定。 此設定可從設定選擇器的 [系統管理 範 > 本 Windows 元件 > BitLocker 磁碟驅動器加密 > 作業系統磁碟驅動器 ] 類別中取得。

  2. 將原則指派 給 Autopilot 裝置群組。 加密原則必須指派給群組中的 裝置 ,而不是使用者。

  3. 啟用這些裝置的 Autopilot 註冊狀態頁面 。 如果未啟用此功能,則在加密開始之前不會套用原則。