Informazioni di riferimento sulle impostazioni di BitLocker

Si applica a: Configuration Manager (Current Branch)

I criteri di gestione di BitLocker in Configuration Manager contengono i gruppi di criteri seguenti:

  • Configurazione
  • Unità del sistema operativo
  • Unità fissa
  • Unità rimovibile
  • Gestione clienti

Le sezioni seguenti descrivono e suggeriscono le configurazioni per le impostazioni in ogni gruppo.

Configurazione

Le impostazioni in questa pagina configurano le opzioni di crittografia di BitLocker globali.

Metodo di crittografia dell'unità e livello di crittografia

Configurazione suggerita: abilitata con il metodo di crittografia predefinito o superiore.

Nota

La pagina delle proprietà dell'installazione include due gruppi di impostazioni per versioni diverse di Windows. In questa sezione vengono descritti entrambi.

Windows 8.1 dispositivi

Per Windows 8.1 dispositivi, abilitare l'opzione per il metodo di crittografia dell'unità e la potenza di crittografia e selezionare uno dei metodi di crittografia seguenti:

  • AES a 128 bit con diffusore
  • AES a 256 bit con diffusore
  • AES a 128 bit (impostazione predefinita)
  • AES a 256 bit

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMBLEncryptionMethodPolicy.

Dispositivi Windows 10 o versioni successive

Per Windows 10 o dispositivi successivi, abilitare l'opzione per il metodo di crittografia dell'unità e la forza di crittografia (Windows 10 o versioni successive). Selezionare quindi singolarmente uno dei metodi di crittografia seguenti per le unità del sistema operativo, le unità dati fisse e le unità dati rimovibili:

  • AES-CBC a 128 bit
  • AES-CBC a 256 bit
  • XTS-AES a 128 bit (impostazione predefinita)
  • XTS-AES a 256 bit

Consiglio

BitLocker usa Advanced Encryption Standard (AES) come algoritmo di crittografia con lunghezze di chiave configurabili di 128 o 256 bit. Nei dispositivi Windows 10 o versioni successive, la crittografia AES supporta il concatenamento dei blocchi di crittografia (CBC) o il furto di testo crittografato (XTS).

Se è necessario usare un'unità rimovibile nei dispositivi che non eseguono Windows 10, usare AES-CBC.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMBLEncryptionMethodWithXts.

Note generali sull'utilizzo per la crittografia delle unità e il livello di crittografia

  • Se si disabilitano o non si configurano queste impostazioni, BitLocker usa il metodo di crittografia predefinito.

  • Configuration Manager applica queste impostazioni quando si attiva BitLocker.

  • Se l'unità è già crittografata o è in corso, qualsiasi modifica a queste impostazioni dei criteri non modifica la crittografia dell'unità nel dispositivo.

  • Se si usa il valore predefinito, il report Conformità computer BitLocker potrebbe visualizzare il livello di crittografia come sconosciuto. Per risolvere questo problema, abilitare questa impostazione e impostare un valore esplicito per la potenza di crittografia.

Impedisci sovrascrittura della memoria al riavvio

Configurazione suggerita: non configurata

Configurare questo criterio per migliorare le prestazioni di riavvio senza sovrascrivere i segreti di BitLocker in memoria al riavvio.

Quando non si configura questo criterio, BitLocker rimuove i relativi segreti dalla memoria al riavvio del computer.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMNoOverwritePolicy.

Convalidare la conformità delle regole di utilizzo dei certificati smart card

Configurazione suggerita: non configurata

Configurare questo criterio per l'uso della protezione BitLocker basata su certificati smart card. Specificare quindi l'identificatore dell'oggetto certificato.

Quando non si configura questo criterio, BitLocker usa l'identificatore di 1.3.6.1.4.1.311.67.1.1 oggetto predefinito per specificare un certificato.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMScCompliancePolicy.

Identificatori univoci dell'organizzazione

Configurazione suggerita: non configurata

Configurare questo criterio per l'uso di un agente di recupero dati basato su certificato o del lettore BitLocker To Go.

Quando non si configura questo criterio, BitLocker non usa il campo Identificazione .

Se l'organizzazione richiede misurazioni di sicurezza più elevate, configurare il campo Identificazione . Impostare questo campo su tutti i dispositivi USB di destinazione e allinearlo a questa impostazione.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMUidPolicy.

Unità del sistema operativo

Le impostazioni in questa pagina configurano le impostazioni di crittografia per l'unità in cui è installato Windows.

Impostazioni di crittografia delle unità del sistema operativo

Configurazione suggerita: abilitata

Se si abilita questa impostazione, l'utente deve proteggere l'unità del sistema operativo e BitLocker crittografa l'unità. Se lo disabiliti, l'utente non può proteggere l'unità. Se non si configura questo criterio, la protezione BitLocker non è necessaria nell'unità del sistema operativo.

Nota

Se l'unità è già crittografata e si disabilita questa impostazione, BitLocker decrittografa l'unità.

Se si dispone di dispositivi senza un modulo TPM (Trusted Platform Module), usare l'opzione Consenti BitLocker senza un TPM compatibile (richiede una password). Questa impostazione consente a BitLocker di crittografare l'unità del sistema operativo, anche se il dispositivo non dispone di un TPM. Se si consente questa opzione, Windows richiede all'utente di specificare una password BitLocker.

Nei dispositivi con un TPM compatibile, è possibile usare due tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare solo il TPM per l'autenticazione oppure può anche richiedere l'immissione di un PIN (Personal Identification Number). Configurare le seguenti impostazioni:

  • Selezionare la protezione per l'unità del sistema operativo: configurarla per usare un TPM e un PIN o solo il TPM.

  • Configurare la lunghezza minima del PIN per l'avvio: se è necessario un PIN, questo valore è la lunghezza più breve che l'utente può specificare. L'utente immette questo PIN all'avvio del computer per sbloccare l'unità. Per impostazione predefinita, la lunghezza minima del PIN è 4.

Consiglio

Per una maggiore sicurezza, quando si abilitano i dispositivi con la protezione TPM e PIN, provare a disabilitare le impostazioni dei criteri di gruppo seguenti inImpostazioni sospensione di System>Power Management>:

  • Consenti stati di standby (S1-S3) durante la sospensione (collegato)

  • Consenti stati di standby (S1-S3) durante la sospensione (a batteria)

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMBMSOSDEncryptionPolicy.

Consenti PIN avanzati per l'avvio

Configurazione suggerita: non configurata

Configurare BitLocker per l'uso di PIN di avvio avanzati. Questi PIN consentono l'uso di più caratteri, ad esempio lettere maiuscole e minuscole, simboli, numeri e spazi. Questa impostazione si applica quando si attiva BitLocker.

Importante

Non tutti i computer possono supportare PIN avanzati nell'ambiente pre-avvio. Prima di abilitarne l'uso, valutare se i dispositivi sono compatibili con questa funzionalità.

Se si abilita questa impostazione, tutti i nuovi PIN di avvio di BitLocker consentono all'utente di creare PIN avanzati.

  • Richiedi PIN solo ASCII: consente di rendere i PIN avanzati più compatibili con i computer che limitano il tipo o il numero di caratteri che è possibile immettere nell'ambiente di preavvio.

Se si disabilita o non si configura questa impostazione di criterio, BitLocker non usa pin avanzati.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMEnhancedPIN.

Criteri delle password dell'unità del sistema operativo

Configurazione suggerita: non configurata

Usare queste impostazioni per impostare i vincoli per le password per sbloccare le unità del sistema operativo protette da BitLocker. Se si consentono protezioni non TPM nelle unità del sistema operativo, configurare le impostazioni seguenti:

  • Configurare la complessità delle password per le unità del sistema operativo: per applicare i requisiti di complessità alla password, selezionare Richiedi complessità password.

  • Lunghezza minima della password per l'unità del sistema operativo: per impostazione predefinita, la lunghezza minima è 8.

  • Richiedere password solo ASCII per le unità del sistema operativo rimovibili

Se si abilita questa impostazione di criterio, gli utenti possono configurare una password che soddisfi i requisiti definiti.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMOSPassphrase.

Note generali sull'utilizzo per i criteri password dell'unità del sistema operativo

  • Per rendere effettive queste impostazioni dei requisiti di complessità, abilitare anche l'impostazione dei criteri di gruppo Password deve soddisfare i requisiti di complessità in Configurazione> computerImpostazioni di Windows Impostazioni>di> sicurezzaCriteri> accountCriteri password.

  • BitLocker applica queste impostazioni quando la si attiva, non quando si sblocca un volume. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

  • Se si usano criteri di gruppo per abilitare algoritmi conformi a FIPS per la crittografia, l'hash e la firma, non è possibile consentire le password come protezione BitLocker.

Reimpostare i dati di convalida della piattaforma dopo il ripristino di BitLocker

Configurazione suggerita: non configurata

Controllare se Windows aggiorna i dati di convalida della piattaforma all'avvio dopo il ripristino di BitLocker.

Se si abilita o non si configura questa impostazione, Windows aggiorna i dati di convalida della piattaforma in questa situazione.

Se disabiliti questa impostazione di criterio, Windows non aggiorna i dati di convalida della piattaforma in questa situazione.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMTpmAutoResealPolicy.

URL e messaggio di ripristino pre-avvio

Configurazione suggerita: non configurata

Quando BitLocker blocca l'unità del sistema operativo, usare questa impostazione per visualizzare un messaggio di ripristino personalizzato o un URL nella schermata di ripristino di BitLocker pre-avvio. Questa impostazione si applica solo ai dispositivi Windows 10 o successivi.

Quando si abilita questa impostazione, selezionare una delle opzioni seguenti per il messaggio di ripristino prima dell'avvio:

  • Usa URL e messaggio di ripristino predefiniti: visualizza il messaggio di ripristino e l'URL di BitLocker predefiniti nella schermata di ripristino di BitLocker prima dell'avvio. Se in precedenza è stato configurato un URL o un messaggio di ripristino personalizzato, usare questa opzione per ripristinare il messaggio predefinito.

  • Usa messaggio di ripristino personalizzato: includere un messaggio personalizzato nella schermata di ripristino di BitLocker pre-avvio.

    • Opzione messaggio di ripristino personalizzato: digitare il messaggio personalizzato da visualizzare. Se si vuole specificare anche un URL di ripristino, includerlo come parte di questo messaggio di ripristino personalizzato. La lunghezza massima della stringa è di 32.768 caratteri.
  • Usa URL di ripristino personalizzato: sostituire l'URL predefinito visualizzato nella schermata di ripristino di BitLocker pre-avvio.

    • Opzione URL di ripristino personalizzato: digitare l'URL da visualizzare. La lunghezza massima della stringa è di 32.768 caratteri.

Nota

Non tutti i caratteri e le lingue sono supportati nel preavvio. Prima di tutto, testare il messaggio o l'URL personalizzato per assicurarsi che venga visualizzato correttamente nella schermata di ripristino di BitLocker pre-avvio.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMPrebootRecoveryInfo.

Impostazioni di imposizione dei criteri di crittografia (unità del sistema operativo)

Configurazione suggerita: abilitata

Configurare il numero di giorni in cui gli utenti possono posticipare la conformità di BitLocker per l'unità del sistema operativo. Il periodo di tolleranza Non conformità inizia quando Configuration Manager lo rileva per la prima volta come non conforme. Dopo la scadenza di questo periodo di tolleranza, gli utenti non possono posticipare l'azione richiesta o richiedere un'esenzione.

Se il processo di crittografia richiede l'input dell'utente, in Windows viene visualizzata una finestra di dialogo che l'utente non può chiudere finché non fornisce le informazioni necessarie. Le notifiche future per gli errori o lo stato non avranno questa restrizione.

Se BitLocker non richiede l'interazione dell'utente per aggiungere una protezione, dopo la scadenza del periodo di tolleranza, BitLocker avvia la crittografia in background.

Se si disabilita o non si configura questa impostazione, Configuration Manager non richiede agli utenti di rispettare i criteri di BitLocker.

Per applicare immediatamente i criteri, impostare un periodo di tolleranza di 0.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMUseOsEnforcePolicy.

Unità fissa

Le impostazioni in questa pagina configurano la crittografia per altre unità dati in un dispositivo.

Correzione della crittografia dell'unità dati

Configurazione suggerita: abilitata

Gestire i requisiti per la crittografia delle unità dati fisse. Se si abilita questa impostazione, BitLocker richiede agli utenti di mettere tutte le unità dati fisse sotto protezione. Crittografa quindi le unità dati.

Quando si abilita questo criterio, abilitare lo sblocco automatico o le impostazioni per i criteri di password dell'unità dati fissa.

  • Configurare lo sblocco automatico per l'unità dati fissa: consentire o richiedere a BitLocker di sbloccare automaticamente qualsiasi unità dati crittografata. Per usare lo sblocco automatico, è anche necessario che BitLocker crittografi l'unità del sistema operativo.

Se non si configura questa impostazione, BitLocker non richiede agli utenti di proteggere le unità dati fisse.

Se si disabilita questa impostazione, gli utenti non possono inserire le proprie unità dati fisse nella protezione BitLocker. Se si disabilita questo criterio dopo che BitLocker crittografa le unità dati fisse, BitLocker decrittografa le unità dati fisse.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMBMSFDVEncryptionPolicy.

Negare l'accesso in scrittura a unità fisse non protette da BitLocker

Configurazione suggerita: non configurata

Richiedere la protezione BitLocker per Consentire a Windows di scrivere dati in unità fisse nel dispositivo. BitLocker applica questo criterio quando lo si attiva.

Quando si abilita questa impostazione:

  • Se BitLocker protegge un'unità dati fissa, Windows la monta con accesso in lettura e scrittura.

  • Per qualsiasi unità dati fissa che BitLocker non protegge, Windows la monta in sola lettura.

Quando non si configura questa impostazione, Windows monta tutte le unità dati fisse con accesso in lettura e scrittura.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMFDVDenyWriteAccessPolicy.

Correzione dei criteri password dell'unità dati

Configurazione suggerita: non configurata

Usare queste impostazioni per impostare i vincoli per le password per sbloccare le unità dati fisse protette da BitLocker.

Se si abilita questa impostazione, gli utenti possono configurare una password che soddisfi i requisiti definiti.

Per una maggiore sicurezza, abilitare questa impostazione e quindi configurare le impostazioni seguenti:

  • Richiedi password per unità dati fissa: gli utenti devono specificare una password per sbloccare un'unità dati fissa protetta da BitLocker.

  • Configurare la complessità delle password per le unità dati fisse: per applicare i requisiti di complessità alla password, selezionare Richiedi complessità password.

  • Lunghezza minima della password per unità dati fissa: per impostazione predefinita, la lunghezza minima è 8.

Se si disabilita questa impostazione, gli utenti non possono configurare una password.

Quando il criterio non è configurato, BitLocker supporta le password con le impostazioni predefinite. Le impostazioni predefinite non includono i requisiti di complessità delle password e richiedono solo otto caratteri.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMFDVPassPhrasePolicy.

Note generali sull'utilizzo per i criteri di password dell'unità dati fissa

  • Per rendere effettive queste impostazioni dei requisiti di complessità, abilitare anche l'impostazione dei criteri di gruppo Password deve soddisfare i requisiti di complessità in Configurazione> computerImpostazioni di Windows Impostazioni>di> sicurezzaCriteri> accountCriteri password.

  • BitLocker applica queste impostazioni quando la si attiva, non quando si sblocca un volume. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

  • Se si usano criteri di gruppo per abilitare algoritmi conformi a FIPS per la crittografia, l'hash e la firma, non è possibile consentire le password come protezione BitLocker.

Impostazioni di imposizione dei criteri di crittografia (unità dati fissa)

Configurazione suggerita: abilitata

Configurare il numero di giorni in cui gli utenti possono posticipare la conformità di BitLocker per le unità dati fisse. Il periodo di tolleranza Non conformità inizia quando Configuration Manager rileva per la prima volta l'unità dati fissa come non conforme. Non applica i criteri fissi dell'unità dati fino a quando l'unità del sistema operativo non è conforme. Dopo la scadenza del periodo di tolleranza, gli utenti non possono posticipare l'azione richiesta o richiedere un'esenzione.

Se il processo di crittografia richiede l'input dell'utente, in Windows viene visualizzata una finestra di dialogo che l'utente non può chiudere finché non fornisce le informazioni necessarie. Le notifiche future per gli errori o lo stato non avranno questa restrizione.

Se BitLocker non richiede l'interazione dell'utente per aggiungere una protezione, dopo la scadenza del periodo di tolleranza, BitLocker avvia la crittografia in background.

Se si disabilita o non si configura questa impostazione, Configuration Manager non richiede agli utenti di rispettare i criteri di BitLocker.

Per applicare immediatamente i criteri, impostare un periodo di tolleranza di 0.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMUseFddEnforcePolicy.

Unità rimovibile

Le impostazioni in questa pagina configurano la crittografia per le unità rimovibili, ad esempio le chiavi USB.

Crittografia unità dati rimovibile

Configurazione suggerita: abilitata

Questa impostazione controlla l'uso di BitLocker nelle unità rimovibili.

  • Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili: gli utenti possono attivare la protezione BitLocker per un'unità rimovibile.

  • Consenti agli utenti di sospendere e decrittografare BitLocker nelle unità dati rimovibili: gli utenti possono rimuovere o sospendere temporaneamente la crittografia delle unità BitLocker da un'unità rimovibile.

Quando si abilita questa impostazione e si consente agli utenti di applicare la protezione BitLocker, il client Configuration Manager salva le informazioni di ripristino sulle unità rimovibili nel servizio di ripristino nel punto di gestione. Questo comportamento consente agli utenti di ripristinare l'unità se dimenticano o perdono la protezione (password).

Quando si abilita questa impostazione:

  • Abilitare le impostazioni per i criteri password unità dati rimovibile

  • Disabilitare le impostazioni dei criteri di gruppo seguenti inAccesso all'archiviazione rimovibile di sistema> per entrambe le configurazioni del computer & utente:

    • Tutte le classi di archiviazione rimovibili: nega tutto l'accesso
    • Dischi rimovibili: nega l'accesso in scrittura
    • Dischi rimovibili: Nega accesso in lettura

Se disabiliti questa impostazione, gli utenti non possono usare BitLocker nelle unità rimovibili.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMRDVConfigureBDEPolicy.

Negare l'accesso in scrittura a unità rimovibili non protette da BitLocker

Configurazione suggerita: non configurata

Richiedere la protezione BitLocker per Consentire a Windows di scrivere dati in unità rimovibili nel dispositivo. BitLocker applica questo criterio quando lo si attiva.

Quando si abilita questa impostazione:

  • Se BitLocker protegge un'unità rimovibile, Windows la monta con accesso in lettura e scrittura.

  • Per qualsiasi unità rimovibile che BitLocker non protegge, Windows la monta in sola lettura.

  • Se si abilita l'opzione Nega l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione, BitLocker concede l'accesso in scrittura solo alle unità rimovibili con campi di identificazione che corrispondono ai campi di identificazione consentiti. Definire questi campi con le impostazioni globali degli identificatori univoci dell'organizzazione nella pagina Di installazione .

Quando disabiliti o non configuri questa impostazione, Windows monta tutte le unità rimovibili con accesso in lettura e scrittura.

Nota

È possibile eseguire l'override di questa impostazione con le impostazioni dei criteri di gruppo inAccesso all'archiviazione rimovibiledi sistema>. Se si abilita l'impostazione dei criteri di gruppo Dischi rimovibili: Nega accesso in scrittura, BitLocker ignora questa impostazione di Configuration Manager.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMRDVDenyWriteAccessPolicy.

Criteri password unità dati rimovibile

Configurazione suggerita: abilitata

Usare queste impostazioni per impostare i vincoli per le password per sbloccare le unità rimovibili protette da BitLocker.

Se si abilita questa impostazione, gli utenti possono configurare una password che soddisfi i requisiti definiti.

Per una maggiore sicurezza, abilitare questa impostazione e quindi configurare le impostazioni seguenti:

  • Richiedi password per l'unità dati rimovibile: gli utenti devono specificare una password per sbloccare un'unità rimovibile protetta da BitLocker.

  • Configurare la complessità delle password per le unità dati rimovibili: per applicare i requisiti di complessità alla password, selezionare Richiedi complessità password.

  • Lunghezza minima della password per l'unità dati rimovibile: per impostazione predefinita, la lunghezza minima è 8.

Se si disabilita questa impostazione, gli utenti non possono configurare una password.

Quando il criterio non è configurato, BitLocker supporta le password con le impostazioni predefinite. Le impostazioni predefinite non includono i requisiti di complessità delle password e richiedono solo otto caratteri.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMRDVPassPhrasePolicy.

Note generali sull'utilizzo per i criteri di password dell'unità dati rimovibile

  • Per rendere effettive queste impostazioni dei requisiti di complessità, abilitare anche l'impostazione dei criteri di gruppo Password deve soddisfare i requisiti di complessità in Configurazione> computerImpostazioni di Windows Impostazioni>di> sicurezzaCriteri> accountCriteri password.

  • BitLocker applica queste impostazioni quando la si attiva, non quando si sblocca un volume. BitLocker consente di sbloccare un'unità con una delle protezioni disponibili nell'unità.

  • Se si usano criteri di gruppo per abilitare algoritmi conformi a FIPS per la crittografia, l'hash e la firma, non è possibile consentire le password come protezione BitLocker.

Gestione clienti

Le impostazioni in questa pagina configurano i client e i servizi di gestione BitLocker.

Servizi di gestione BitLocker

Configurazione suggerita: abilitata

Quando si abilita questa impostazione, Configuration Manager esegue automaticamente e automaticamente il backup delle informazioni di ripristino delle chiavi nel database del sito. Se si disabilita o non si configura questa impostazione, Configuration Manager non salva le informazioni di ripristino delle chiavi.

  • Selezionare Le informazioni di ripristino di BitLocker da archiviare: configurare il servizio di ripristino delle chiavi per eseguire il backup delle informazioni di ripristino di BitLocker. Fornisce un metodo amministrativo per il ripristino dei dati crittografati da BitLocker, che consente di evitare la perdita di dati a causa della mancanza di informazioni chiave.

  • Consenti l'archiviazione delle informazioni di ripristino in testo normale: senza un certificato di crittografia di gestione BitLocker per SQL Server, Configuration Manager archivia le informazioni di ripristino delle chiavi in testo normale. Per altre informazioni, vedere Crittografare i dati di ripristino nel database.

  • Frequenza di controllo dello stato del client (minuti): alla frequenza configurata, il client controlla i criteri di protezione e lo stato di BitLocker nel computer ed esegue anche il backup della chiave di ripristino del client. Per impostazione predefinita, il client Configuration Manager controlla lo stato di BitLocker ogni 90 minuti.

    Importante

    Non impostare questo valore su minore di 60. Un valore di frequenza inferiore può causare un breve report degli stati di conformità imprecisi da parte del client.

Per altre informazioni su come creare questi criteri con Windows PowerShell, vedere:

Criteri di esenzione utente

Configurazione suggerita: non configurata

Configurare un metodo di contatto per consentire agli utenti di richiedere un'esenzione dalla crittografia BitLocker.

Se si abilita questa impostazione di criterio, specificare le informazioni seguenti:

  • Numero massimo di giorni da posticipare: quanti giorni l'utente può posticipare un criterio applicato. Per impostazione predefinita, questo valore è 7 giorni (una settimana).

  • Metodo di contatto: specificare il modo in cui gli utenti possono richiedere un'esenzione: URL, indirizzo di posta elettronica o numero di telefono.

  • Contatto: specificare l'URL, l'indirizzo di posta elettronica o il numero di telefono. Quando un utente richiede un'esenzione dalla protezione BitLocker, visualizza una finestra di dialogo di Windows con istruzioni su come applicare. Configuration Manager non convalida le informazioni immesse.

    • URL: usare il formato URL standard, https://website.domain.tld. Windows visualizza l'URL come collegamento ipertestuale.

    • Email indirizzo: usare il formato di indirizzo di posta elettronica standard, user@domain.tld. Windows visualizza l'indirizzo come collegamento ipertestuale seguente: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Numero di telefono: specificare il numero che gli utenti devono chiamare. In Windows viene visualizzato il numero con la descrizione seguente: Please call <your number> for applying exemption.

Se disabiliti o non configuri questa impostazione, Windows non visualizza le istruzioni per la richiesta di esenzione agli utenti.

Nota

BitLocker gestisce le esenzioni per utente, non per computer. Se più utenti accedono allo stesso computer e qualsiasi utente non è esente, BitLocker crittografa il computer.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMBMSUserExemptionPolicy.

Configurazione suggerita: abilitata

Specificare un URL da visualizzare agli utenti come Criteri di sicurezza aziendali in Windows. Usare questo collegamento per fornire agli utenti informazioni sui requisiti di crittografia. Viene visualizzato quando BitLocker richiede all'utente di crittografare un'unità.

Se si abilita questa impostazione, configurare l'URL del collegamento ai criteri di sicurezza.

Se si disabilita o non si configura questa impostazione, BitLocker non visualizza il collegamento ai criteri di sicurezza.

Per altre informazioni su come creare questo criterio con Windows PowerShell, vedere New-CMMoreInfoUrlPolicy.

Passaggi successivi

Se si usa Windows PowerShell per creare questi oggetti criteri, usare il cmdlet New-CMBlmSetting. Questo cmdlet crea un oggetto impostazioni dei criteri di gestione BitLocker che contiene tutti i criteri specificati. Per distribuire le impostazioni dei criteri in una raccolta, usare il cmdlet New-CMSettingDeployment .