Principinställningar för diskkryptering för slutpunktssäkerhet i Intune

Visa de inställningar som du kan konfigurera i profiler för diskkrypteringsprincip i noden Slutpunktssäkerhet i Intune som en del av en endpoint security-princip.

Obs!

Från och med den 19 juni 2023 uppdaterades BitLocker-profilen för Windows för att använda inställningsformatet som finns i inställningskatalogen. Det nya profilformatet innehåller samma inställningar som den äldre profilen, men på grund av det nya formatet har inställningsnamnen i Intune-administrationscentret uppdaterats. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen. Dina befintliga instanser av den gamla profilen är fortfarande tillgängliga för användning och redigering.

Inställningsinformationen i den här artikeln gäller endast för BitLocker-profiler som skapats före den 19 juni 2023.

Med det nya profilformatet publicerar vi inte längre en dedikerad lista över inställningar som finns i profilen. Använd i stället länken Läs mer i användargränssnittet när du visar information för en inställning för att öppna BitLocker CSP i Windows-dokumentationen, där inställningen beskrivs i sin helhet.

Gäller för:

  • macOS
  • Windows 10
  • Windows 11

Plattformar och profiler som stöds:

  • macOS:
    • Profil: FileVault
  • Windows 10 och senare:
    • Profil: BitLocker

FileVault

Kryptering

Aktivera FileVault

  • Inte konfigurerad (standard)

  • Ja – Aktivera fullständig diskkryptering med XTS-AES 128 med FileVault på enheter som kör macOS 10.13 och senare. FileVault aktiveras när användaren loggar ut från enheten.

    När värdet är Ja kan du konfigurera fler inställningar för FileVault.

    • ÅterställningsnyckeltypenPersonliga nyckelåterställningsnycklar skapas för enheter. Konfigurera följande inställningar för den personliga nyckeln:

      • Rotation av personlig återställningsnyckel
        Ange hur ofta den personliga återställningsnyckeln för en enhet ska roteras. Du kan välja standardvärdet Inte konfigurerad eller värdet 1 till 12 månader.
      • Beskrivning av depositionsplats för personlig återställningsnyckel
        Ange ett kort meddelande till användaren som förklarar hur de kan hämta sin personliga återställningsnyckel. Användaren ser det här meddelandet på inloggningsskärmen när de uppmanas att ange sin personliga återställningsnyckel om ett lösenord glöms bort.
    • Antal gånger som tillåts kringgå
      Ange hur många gånger en användare kan ignorera uppmaningar om att aktivera FileVault innan FileVault krävs för att användaren ska kunna logga in.

      • Inte konfigurerad (standard) – Kryptering på enheten krävs innan nästa inloggning tillåts.
      • 1 till 10 – Tillåt att en användare ignorerar uppmaningen från 1 till 10 gånger innan kryptering krävs på enheten.
      • Ingen gräns, fråga alltid – Användaren uppmanas att aktivera FileVault, men kryptering krävs aldrig.
    • Tillåt uppskjutning till utloggning

      • Inte konfigurerad (standard)
      • Ja – Skjut upp uppmaningen att aktivera FileVault tills användaren loggar ut.
    • Inaktivera fråga vid utloggning
      Förhindra uppmaningen till användaren som begär att de aktiverar FileVault när de loggar ut. När det är inställt på Inaktivera inaktiveras uppmaningen vid utloggning och i stället uppmanas användaren att göra det när de loggar in.

      • Inte konfigurerad (standard)
      • Ja – Inaktivera prompten för att aktivera FileVault som visas vid utloggning.
    • Dölj återställningsnyckel
      Dölj den personliga återställningsnyckeln från användaren av macOS-enheten under krypteringen. När disken har krypterats kan en användare använda valfri enhet för att visa sin personliga återställningsnyckel via Intune-företagsportalens webbplats eller företagsportalappen på en plattform som stöds.

      • Inte konfigurerad (standard)
      • Ja – Dölj den personliga återställningsnyckeln under enhetskryptering.

BitLocker

Obs!

Den här artikeln beskriver de inställningar som du hittar i BitLocker-profiler som skapats före den 19 juni 2023 för Windows 10 och senare plattform för endpoint security Diskkrypteringsprincip. Den 19 juni 2023 uppdaterades profilen för Windows 10 och senare för att använda ett nytt inställningsformat som finns i inställningskatalogen. Med den här ändringen kan du inte längre skapa nya versioner av den gamla profilen och de utvecklas inte längre. Även om du inte längre kan skapa nya instanser av den äldre profilen kan du fortsätta att redigera och använda instanser av den som du skapade tidigare.

För profiler som använder det nya inställningsformatet behåller Intune inte längre en lista över varje inställning efter namn. I stället tas namnet på varje inställning, dess konfigurationsalternativ och dess förklarande text som visas i administrationscentret för Microsoft Intune direkt från inställningarnas auktoritativa innehåll. Innehållet kan ge mer information om användningen av inställningen i rätt kontext. När du visar en inställningsinformationstext kan du använda länken Läs mer för att öppna innehållet.

Följande inställningsinformation för Windows-profiler gäller för de inaktuella profilerna.

BitLocker – basinställningar

  • Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter
    CSP: BitLocker – RequireDeviceEncryption

    Om enheten krypterades innan den här principen tillämpades vidtas ingen extra åtgärd. Om krypteringsmetoden och alternativen matchar den i den här principen bör konfigurationen returnera framgång. Om ett BitLocker-konfigurationsalternativ på plats inte matchar den här principen returnerar konfigurationen sannolikt ett fel.

    Om du vill tillämpa den här principen på en disk som redan är krypterad dekrypterar du enheten och tillämpar MDM-principen igen. Windows standard är att inte kräva BitLocker-diskkryptering. På Microsoft Entra-anslutning och Microsoft-konto (MSA) kan automatisk kryptering för registrering/inloggning tillämpa aktivering av BitLocker vid XTS-AES 128-bitarskryptering.

    • Inte konfigurerad (standard) – Ingen BitLocker-tillämpning sker.
    • Ja – Framtvinga användning av BitLocker.
  • Kräv att minneskort krypteras (endast mobil)
    CSP: BitLocker – RequireStorageCardEncryption

    Den här inställningen gäller endast för Windows Mobile- och Mobile Enterprise SKU-enheter.

    • Inte konfigurerad (standard) – Inställningen återgår till operativsystemets standardvärde, vilket är att inte kräva kryptering av minneskort.
    • Ja – Kryptering på minneskort krävs för mobila enheter.

    Obs!

    Stödet för Windows 10 Mobile och Windows Phone 8.1 upphörde i augusti 2020.

  • Dölj fråga om kryptering från tredje part
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Om BitLocker är aktiverat på ett system som redan är krypterat av en krypteringsprodukt från tredje part kan det göra enheten oanvändbar. Dataförlust kan inträffa och du kan behöva installera om Windows. Vi rekommenderar starkt att du aldrig aktiverar BitLocker på en enhet som har kryptering från tredje part installerad eller aktiverad.

    Som standard uppmanar installationsguiden för BitLocker användarna att bekräfta att ingen kryptering från tredje part är på plats.

    • Inte konfigurerad (standard) – Installationsguiden för BitLocker visar en varning och uppmanar användarna att bekräfta att ingen kryptering från tredje part finns.
    • Ja – Dölj installationsguiderna för BitLocker från användarna.

    Om funktioner för tyst aktivering av BitLocker krävs måste krypteringsvarningen från tredje part döljas eftersom alla obligatoriska prompter bryter mot arbetsflöden för tyst aktivering.

    När värdet är Ja kan du sedan konfigurera följande inställning:

    • Tillåt standardanvändare att aktivera kryptering under Autopilot
      CSP: BitLocker – AllowStandardUserEncryption

      • Inte konfigurerad (standard) – Inställningen lämnas som klientstandard, vilket är att kräva lokal administratörsåtkomst för att aktivera BitLocker.
      • Ja – När Microsoft Entra ansluter till scenarier med tyst aktivering behöver användarna inte vara lokala administratörer för att aktivera BitLocker.

      För icke-tyst aktivering och Autopilot-scenarier måste användaren vara lokal administratör för att slutföra installationsguiden för BitLocker.

  • Konfigurera klientdriven rotering av återställningslösenord
    CSP: BitLocker – ConfigureRecoveryPasswordRotation

    Lägg till arbetskontoenheter (AWA, formellt anslutna till arbetsplatsen) stöds inte för nyckelrotation.

    • Inte konfigurerad (standard) – Klienten roterar inte BitLocker-återställningsnycklar.
    • Inaktiverad
    • Microsoft Entra-anslutna enheter
    • Microsoft Entra Hybrid-anslutna enheter

BitLocker – Inställningar för fast enhet

  • BitLocker-princip för fast enhet
    CSP: BitLocker – EncryptionMethodByDriveType

    • Återställning av fast enhet
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Styr hur BitLocker-skyddade fasta dataenheter återställs i avsaknad av nödvändig startnyckelinformation.

      • Inte konfigurerad (standard) – Standardåterställningsalternativen stöds inklusive dataåterställningsagenten (DRA). Slutanvändaren kan ange återställningsalternativ och återställningsinformationen säkerhetskopieras inte till Microsoft Entra.
      • Konfigurera – Aktivera åtkomst för att konfigurera olika tekniker för enhetsåterställning.

      När det här är inställt på Konfigurera är följande inställningar tillgängliga:

      • Skapa återställningsnyckel för användare

        • Blockerad (standard)
        • Obligatoriskt
        • Tillåts
      • Konfigurera BitLocker-återställningspaket

        • Lösenord och nyckel (standard) – Inkludera både BitLocker-återställningslösenordet som används av administratörer och användare för att låsa upp skyddade enheter och återställningsnyckelpaket som används av administratörer för dataåterställning i Active Directory.
        • Endast lösenord – Återställningsnyckelpaketen kanske inte är tillgängliga när det behövs.
      • Kräv att enheten säkerhetskopierar återställningsinformation till Microsoft Entra

        • Inte konfigurerad (standard) – BitLocker-aktiveringen slutförs även om säkerhetskopieringen av återställningsnyckeln till Microsoft Entra-ID misslyckas. Detta kan leda till att ingen återställningsinformation lagras externt.
        • Ja – BitLocker slutför inte aktiveringen förrän återställningsnycklarna har sparats i Microsoft Entra.
      • Skapa återställningslösenord för användare

        • Blockerad (standard)
        • Obligatoriskt
        • Tillåts
      • Dölj återställningsalternativ under Installationen av BitLocker

        • Inte konfigurerad (standard) – Tillåt att användaren får åtkomst till extra återställningsalternativ.
        • Ja – Blockera slutanvändaren från att välja extra återställningsalternativ, till exempel skriva ut återställningsnycklar under installationsguiden för BitLocker.
      • Aktivera BitLocker efter återställningsinformation för lagring

        • Inte konfigurerad (standard)
        • Ja – Om du anger Ja sparas BitLocker-återställningsinformation i Active Directory Domain Services.
      • Blockera användningen av certifikatbaserad dataåterställningsagent (DRA)

        • Inte konfigurerad (standard) – Tillåt att dra-användning konfigureras. För att konfigurera DRA krävs en företags-PKI och grupprincipobjekt för att distribuera DRA-agenten och certifikaten.
        • Ja – Blockera möjligheten att använda Data Recovery Agent (DRA) för att återställa BitLocker-aktiverade enheter.
    • Blockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker
      CSP: BitLocker – FixedDrivesRequireEncryption
      Den här inställningen är tillgänglig när BitLocker-principen för fast enhet är inställd på Konfigurera.

      • Inte konfigurerad (standard) – Data kan skrivas till icke-krypterade fasta enheter.
      • Ja – Windows tillåter inte att data skrivs till fasta enheter som inte är BitLocker-skyddade. Om en fast enhet inte är krypterad måste användaren slutföra BitLocker-installationsguiden för enheten innan skrivåtkomst beviljas.
    • Konfigurera krypteringsmetod för fasta dataenheter
      CSP: BitLocker – EncryptionMethodByDriveType

      Konfigurera krypteringsmetoden och chifferstyrkan för fasta dataenhetsdiskar. XTS – AES 128-bitars är Windows standardkrypteringsmetod och det rekommenderade värdet.

      • Inte konfigurerad (standard)
      • AES 128-bitars CBC
      • AES 256-bitars CBC
      • AES 128-bitars XTS
      • AES 256-bitars XTS

BitLocker – Inställningar för operativsystemenhet

  • Princip för BitLocker-systemenhet
    CSP: BitLocker – EncryptionMethodByDriveType

    • Konfigurera (standard)
    • Inte konfigurerad

    När du är inställd på Konfigurera kan du konfigurera följande inställningar:

    • Startautentisering krävs
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Inte konfigurerad (standard)
      • Ja – Konfigurera ytterligare autentiseringskrav vid systemstart, inklusive användning av TPM (Trusted Platform Module) eller PIN-krav för start.

      När värdet är Ja kan du konfigurera följande inställningar:

      • Kompatibel TPM-start
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Vi rekommenderar att du kräver en TPM för BitLocker. Den här inställningen gäller endast när du först aktiverar BitLocker och har ingen effekt om BitLocker redan är aktiverat.

        • Blockerad (standard) – BitLocker använder inte TPM.
        • Obligatoriskt – BitLocker aktiverar endast om en TPM finns och kan användas.
        • Tillåten – BitLocker använder TPM om den finns.
      • Kompatibel PIN-kod för TPM-start
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockerad (standard) – Blockera användningen av en PIN-kod.
        • Obligatoriskt – Kräv att en PIN-kod och TPM finns för att aktivera BitLocker.
        • Tillåten – BitLocker använder TPM om den finns och tillåter att en pin-kod för start konfigureras av användaren.

        För scenarier med tyst aktivering måste du ställa in detta på Blockerad. Scenarier med tyst aktivering (inklusive Autopilot) lyckas inte när användarinteraktion krävs.

      • Kompatibel TPM-startnyckel
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockerad (standard) – Blockera användningen av startnycklar.
        • Obligatoriskt – Kräv att en startnyckel och TPM finns för att aktivera BitLocker.
        • Tillåten – BitLocker använder TPM om den finns och tillåter att en startnyckel (till exempel en USB-enhet) finns för att låsa upp enheterna.

        För scenarier med tyst aktivering måste du ställa in detta på Blockerad. Scenarier med tyst aktivering (inklusive Autopilot) lyckas inte när användarinteraktion krävs.

      • Kompatibel TPM-startnyckel och PIN-kod
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Blockerad (standard) – Blockera användningen av en startnyckel och EN PIN-kombination.
        • Obligatoriskt – Kräv att BitLocker har en startnyckel och EN PIN-kod för att aktiveras.
        • Tillåten – BitLocker använder TPM om den finns och tillåter en startnyckel) och EN PIN-kombination.

        För scenarier med tyst aktivering måste du ställa in detta på Blockerad. Scenarier med tyst aktivering (inklusive Autopilot) lyckas inte när användarinteraktion krävs.

      • Inaktivera BitLocker på enheter där TPM är inkompatibelt
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Om det inte finns någon TPM kräver BitLocker ett lösenord eller en USB-enhet för start.

        Den här inställningen gäller endast när du först aktiverar BitLocker och har ingen effekt om BitLocker redan är aktiverat.

        • Inte konfigurerad (standard)
        • Ja – Blockera BitLocker från att konfigureras utan ett kompatibelt TPM-chip.
      • Aktivera förstartsåterställningsmeddelande och URL
        CSP: BitLocker – Konfigurera SystemDrivesRecoveryMessage

        • Inte konfigurerad (standard) – Använd standardinformationen för återställning före start av BitLocker.
        • Ja – Aktivera konfigurationen av ett anpassat återställningsmeddelande före start och url för att hjälpa användarna att förstå hur de hittar sitt återställningslösenord. Förstartsmeddelandet och URL:en visas av användare när de är utelåst från datorn i återställningsläge.

        När värdet är Ja kan du konfigurera följande inställningar:

        • Återställningsmeddelande före start
          Ange ett anpassat återställningsmeddelande före start.

        • Url för återställning före start
          Ange en anpassad url för återställning före start.

      • Återställning av systemenhet
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Inte konfigurerad (standard)
        • Konfigurera – Aktivera konfigurationen av ytterligare inställningar.

        När det här är inställt på Konfigurera är följande inställningar tillgängliga:

        • Skapa återställningsnyckel för användare

          • Blockerad (standard)
          • Obligatoriskt
          • Tillåts
        • Konfigurera BitLocker-återställningspaket

          • Lösenord och nyckel (standard) – Inkludera både BitLocker-återställningslösenordet som används av administratörer och användare för att låsa upp skyddade enheter och återställningsnyckelpaket som används av administratörer för dataåterställning) i Active Directory.
          • Endast lösenord – Återställningsnyckelpaketen kanske inte är tillgängliga när det behövs.
        • Kräv att enheten säkerhetskopierar återställningsinformation till Microsoft Entra

          • Inte konfigurerad (standard) – BitLocker-aktiveringen slutförs även om säkerhetskopieringen av återställningsnyckeln till Microsoft Entra-ID misslyckas. Detta kan leda till att ingen återställningsinformation lagras externt.
          • Ja – BitLocker slutför inte aktiveringen förrän återställningsnycklarna har sparats i Microsoft Entra.
        • Skapa återställningslösenord för användare

          • Blockerad (standard)
          • Obligatoriskt
          • Tillåts
        • Dölj återställningsalternativ under Installationen av BitLocker

          • Inte konfigurerad (standard) – Tillåt att användaren får åtkomst till extra återställningsalternativ.
          • Ja – Blockera slutanvändaren från att välja extra återställningsalternativ, till exempel skriva ut återställningsnycklar under installationsguiden för BitLocker.
        • Aktivera BitLocker efter återställningsinformation för lagring

          • Inte konfigurerad (standard)
          • Ja – Om du anger Ja sparas BitLocker-återställningsinformation i Active Directory Domain Services.
        • Blockera användningen av certifikatbaserad dataåterställningsagent (DRA)

          • Inte konfigurerad (standard) – Tillåt att dra-användning konfigureras. För att konfigurera DRA krävs en företags-PKI och grupprincipobjekt för att distribuera DRA-agenten och certifikaten.
          • Ja – Blockera möjligheten att använda Data Recovery Agent (DRA) för att återställa BitLocker-aktiverade enheter.
      • Minsta PIN-kodslängd
        CSP: BitLocker – SystemDrivesMinimumPINLength

        Ange den minsta pin-kodslängden för start när TPM + PIN krävs under BitLocker-aktivering. PIN-kodens längd måste vara mellan 4 och 20 siffror.

        Om du inte konfigurerar den här inställningen kan användarna konfigurera en PIN-kod för start av valfri längd (mellan 4 och 20 siffror)

        Den här inställningen gäller endast när du först aktiverar BitLocker och har ingen effekt om BitLocker redan är aktiverat.

    • Konfigurera krypteringsmetod för operativsystemenheter
      CSP: BitLocker – EncryptionMethodByDriveType

      Konfigurera krypteringsmetoden och chifferstyrkan för OS-enheter. XTS – AES 128-bitars är Windows standardkrypteringsmetod och det rekommenderade värdet.

      • Inte konfigurerad (standard)
      • AES 128-bitars CBC
      • AES 256-bitars CBC
      • AES 128-bitars XTS
      • AES 256-bitars XTS

BitLocker – Inställningar för flyttbar enhet

  • BitLocker-princip för flyttbara enheter
    CSP: BitLocker – EncryptionMethodByDriveType

    • Inte konfigurerad (standard)
    • Konfigurera

    När du är inställd på Konfigurera kan du konfigurera följande inställningar.

    • Konfigurera krypteringsmetod för flyttbara dataenheter
      CSP: BitLocker – EncryptionMethodByDriveType

      Välj önskad krypteringsmetod för flyttbara dataenhetsdiskar.

      • Inte konfigurerad (standard)
      • AES 128-bitars CBC
      • AES 256-bitars CBC
      • AES 128-bitars XTS
      • AES 256-bitars XTS
    • Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Inte konfigurerad (standard) – Data kan skrivas till icke-krypterade flyttbara enheter.
      • Ja – Windows tillåter inte att data skrivs till flyttbara enheter som inte är BitLocker-skyddade. Om en infogad flyttbar enhet inte är krypterad måste användaren slutföra installationsguiden för BitLocker innan skrivåtkomst beviljas till enheten.
    • Blockera skrivåtkomst till enheter som konfigurerats i en annan organisation
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Inte konfigurerad (standard) – Alla BitLocker-krypterade enheter kan användas.
      • Ja – Blockera skrivåtkomst till flyttbara enheter om de inte har krypterats på en dator som ägs av din organisation.

Nästa steg

Slutpunktssäkerhetsprincip för diskkryptering