設定 Autopilot 裝置的 BitLocker 加密演算法
針對支援新式待命或符合硬體安全性可測試性規格的裝置,BitLocker 會在全新體驗 (OOBE) 期間自動加密內部磁碟驅動器, (HSTI) 。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。
使用 Windows Autopilot 時,可以將 BitLocker 加密設定設定為在自動加密開始之前套用。 此設定可確保不會自動套用預設加密演算法或類型。 在加密後自動接收這些設定的裝置,必須在變更加密演算法之前先解密。
第一次啟用 BitLocker 時,BitLocker 會使用指定的 BitLocker 加密演算法。 在 Autopilot 期間,BitLocker 會在 註冊狀態頁面的裝置設定部分之後啟用。 以下是可用的加密演算法:
- AES-CBC 128 位。
- AES-CBC 256 位。
- XTS-AES 128 位 (預設) 。
- XTS-AES 256 位。
如需建議使用之加密演算法的詳細資訊,請參閱 BitLocker 設定服務提供者 (CSP) 。
若要確定在 Autopilot 裝置發生自動加密之前,已設定所需的 BitLocker 加密演算法:
在端點安全性磁碟加密原則中設定 加密方法設定 。 這些設定可在 [端點安全>性磁碟加密>建立>原則平臺 = Windows 10 及更新版本] 底下取得,配置檔類型 = BitLocker。
將原則指派 給 Autopilot 裝置群組。 加密原則必須指派給群組中的 裝置 ,而不是使用者。
啟用這些裝置的 Autopilot 註冊狀態頁面 。 如果未啟用此功能,則在加密開始之前不會套用原則。
加密有兩種類型:完整磁碟或僅使用空間。 設定新式待命的 無訊息啟用 和硬體支援會自動決定所使用的加密類型。 您可以藉由設定 SystemDrivesEncryptionType 設定來強制執行所使用的加密類型。 如同加密演算法,BitLocker 會在第一次啟用 BitLocker 時使用加密類型。 如需預期加密類型行為的詳細資訊,請參閱 管理 BitLocker 原則。
若要強制執行所使用的磁碟驅動器加密類型: