BitLocker 會在支援新式待命或符合硬體安全性可測試性規格 (HSTI) 的裝置的 OOBE) (的現成體驗期間自動加密內部磁碟驅動器。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。
使用 Windows Autopilot,可以將 BitLocker 加密設定設定設定為在自動加密開始之前套用。 此設定可確保不會自動套用預設加密演算法或類型。 在加密後自動接收這些設定的裝置需要先解密,然後才能變更加密演算法。
加密演算法
第一次啟用 BitLocker 時,BitLocker 會使用指定的 BitLocker 加密演算法。 在 Windows Autopilot 期間,BitLocker 會在 註冊狀態頁面的裝置設定部分之後啟用。 下列加密演算法可供使用:
- AES-CBC 128 位。
- AES-CBC 256 位。
- XTS-AES 128 位元 (預設) 。
- XTS-AES 256 位。
如需要使用的建議加密演算法的詳細資訊,請參閱 BitLocker 設定服務提供者 (CSP) 。
全磁碟加密或僅對已使用空間加密
有兩種類型的加密:完整磁碟或僅使用空間。 新式待命的 無訊息啟用 和硬體支援的設定會自動決定所使用的加密類型。 您可以藉由設定 SystemDrivesEncryptionType 設定來強制執行所使用的加密類型。 如同加密演算法,BitLocker 會在第一次啟用 BitLocker 時使用加密類型。 如需預期加密類型行為的詳細資訊,請參閱 管理 BitLocker 原則。
設定 Windows Autopilot 裝置的 BitLocker 原則
若要確定在 Windows Autopilot 裝置自動加密之前,已設定所需的 BitLocker 加密演算法和加密,請遵循下列步驟:
在 主畫面 中,選取左側窗格中的端 點安全性 。
在端點安全性 |概觀畫面,展開 [管理],然後選取 [磁碟加密]。
在 端點安全性 |磁碟加密 畫面。 選取 [+ 建立原則]。
在開啟的 [建立設定檔 ] 頁面中:
在 [平臺] 底下,選取 [Windows]。
在 [設定檔] 底下,選取 [BitLocker]。
選取 建立 按鈕。
在 [建立原則] 畫面的 [基本] 頁面中,輸入 [名稱] 和 [選擇性的描述],然後選取 [下一步] 按鈕。
在 [ 組態設定 ] 頁面中,視需要設定各種 BitLocker 設定,包括 [ 加密方法和密碼 ] 和 [ 加密類型 ] 設定:
加密方法和密碼
展開 [BitLocker 磁碟機加密 ] 區段。
針對 [選擇磁碟機加密方法和密碼強度],選取 [已啟用]。
針對固定資料磁碟機、作業系統磁碟機、卸除式資料磁碟機) (每種磁碟機類型,從下拉式功能表中選取所需的加密方法和密碼。 每種類型的預設值為 XTS-AES 128 位元。
加密類型
展開 [作業系統磁碟機] 區段。
針對 [在作業系統磁碟機上強制執行磁碟機加密類型],選取 [已啟用]。
對於 [ 選取磁碟機加密類型]、從下拉式功能表中選取所需的加密類型、包括 完整加密 或 僅使用空間加密。 預設值為 [允許使用者選擇]。
視需要設定所有 BitLocker 設定之後,請選取 [ 下一步 ] 按鈕。
在 [範圍標籤 ] 頁面中,選取 [ 下一步 ] 按鈕。
注意事項
範圍標籤 是選擇性的。 如果需要指定自訂範圍標籤,請在此頁面執行此動作。 如需範圍標籤的詳細資訊,請參閱針對 分散式 IT 使用角色型存取控制和範圍標籤。
在 [ 指派 ] 頁面中,使用 [ 依群組名稱搜尋... ] 搜尋方塊來尋找並新增 Windows Autopilot 裝置群組。 新增 Windows Autopilot 裝置群組並列在 [ 群組] 底下之後,請確定 [目標類型] 設定為 [包含],然後選取 [ 下一步 ] 按鈕。 如需指派原則的詳細資訊,請參閱 在 Microsoft Intune 中指派原則。
重要事項
請確定在此步驟中選取的 Windows Autopilot 裝置群組是裝置群組,而不是使用者群組。
在 [ 檢閱 + 建立 ] 頁面中,檢閱設定以確認它們已如需要設定,然後選取 [儲存] 按鈕。
設定並指派 Windows Autopilot 裝置的 [註冊狀態] 頁面 (ESP) 。 如果未啟用 ESP,則在加密開始之前不會套用 BitLocker 原則。 如需詳細資訊,請參閱下列其中一篇文章: