Gestire i criteri BitLocker per Windows 10 in IntuneManage BitLocker policy for Windows 10 in Intune

Usare Intune per configurare Crittografia unità BitLocker nei dispositivi che eseguono Windows 10.Use Intune to configure BitLocker Drive Encryption on devices that run Windows 10.

BitLocker è disponibile nei dispositivi che eseguono Windows 10 o versioni successive.BitLocker is available on devices that run Windows 10 or later. Per alcune impostazioni di BitLocker è necessario che il dispositivo disponga di un TPM supportato.Some settings for BitLocker require the device have a supported TPM.

Usare uno dei tipi di criteri seguenti per configurare BitLocker nei dispositivi gestitiUse one of the following policy types to configure BitLocker on your managed devices

Suggerimento

Intune offre un report di crittografia predefinito con i dettagli sullo stato della crittografia in tutti i dispositivi gestiti.Intune provides a built-in encryption report that presents details about the encryption status of devices, across all your managed devices. Dopo che Intune ha crittografato un dispositivo Windows 10 con BitLocker, è possibile visualizzare e recuperare le chiavi di ripristino di BitLocker visualizzando il report di crittografia.After Intune encrypts a Windows 10 device with BitLocker, you can view and retrieve BitLocker recovery keys when you view the encryption report.

È anche possibile accedere a informazioni importanti per BitLocker dai dispositivi, come indicato in Azure Active Directory (Azure AD).You can also access important information for BitLocker from your devices, as found in Azure Active Directory (Azure AD). Report crittografia offre dettagli sullo stato della crittografia in tutti i dispositivi gestiti.encryption report that presents details about the encryption status of devices, across all your managed devices.

Autorizzazioni per la gestione di BitLockerPermissions to manage BitLocker

Per gestire BitLocker in Intune, l'account deve disporre delle autorizzazioni di controllo degli accessi in base al ruolo di Intune applicabili.To manage BitLocker in Intune, your account must have the applicable Intune role-based access control (RBAC) permissions.

Di seguito sono riportate le autorizzazioni di BitLocker, che fanno parte della categoria Attività remote, e i ruoli predefiniti di controllo degli accessi in base al ruolo che concedono l'autorizzazione:Following are the BitLocker permissions, which are part of the Remote tasks category, and the built-in RBAC roles that grant the permission:

  • Ruotare le chiavi di BitLockerRotate BitLocker Keys
    • Help Desk OperatorHelp Desk Operator

Creare e distribuire criteriCreate and deploy policy

Per creare il tipo di criterio preferito usare una delle procedure seguenti.Use one of the following procedures to create the policy type you prefer.

Creare un criterio di sicurezza degli endpoint per BitLockerCreate an endpoint security policy for BitLocker

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Selezionare Endpoint Security(Sicurezza degli endpoint) > Crittografia del disco > Crea criterio.Select Endpoint security > Disk encryption > Create Policy.

  3. Impostare le opzioni seguenti:Set the following options:

    1. Piattaforma: Windows 10 o versioni successivePlatform: Windows 10 or later
    2. Profilo: BitLockerProfile: BitLocker

    Selezionare il profilo BitLocker

  4. Nella pagina Impostazioni di configurazione configurare le impostazioni per BitLocker in base alle esigenze aziendali.On the Configuration settings page, configure settings for BitLocker to meet your business needs.

    Per abilitare BitLocker automaticamente, vedere Abilitare automaticamente BitLocker nei dispositivi, in questo articolo per altri prerequisiti e per le configurazioni delle impostazioni specifiche che è necessario usare.If you want to enable BitLocker silently, see Silently enable BitLocker on devices, in this article for additional prerequisites and the specific setting configurations you must use.

    Selezionare Avanti.Select Next.

  5. Nella pagina Ambito (tag) scegliere Selezionare i tag di ambito per aprire il riquadro Seleziona tag per assegnare tag di ambito al profilo.On the Scope (Tags) page, choose Select scope tags to open the Select tags pane to assign scope tags to the profile.

    Selezionare Avanti per continuare.Select Next to continue.

  6. Nella pagina Assegnazioni selezionare i gruppi che riceveranno questo profilo.On the Assignments page, select the groups that will receive this profile. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.For more information on assigning profiles, see Assign user and device profiles.

    Selezionare Avanti.Select Next.

  7. Al termine, nella pagina Rivedi e crea scegliere Crea.On the Review + create page, when you're done, choose Create. Il nuovo profilo viene visualizzato nell'elenco quando si seleziona il tipo di criterio per il profilo creato.The new profile is displayed in the list when you select the policy type for the profile you created.

Creare un profilo di configurazione del dispositivo per BitLockerCreate a device configuration profile for BitLocker

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Selezionare Dispositivi > Profili di configurazione > Crea profilo.Select Devices > Configuration profiles > Create profile.

  3. Impostare le opzioni seguenti:Set the following options:

    1. Piattaforma: Windows 10 e versioni successivePlatform: Windows 10 and later
    2. Tipo di profilo: Protezione degli endpointProfile type: Endpoint protection

    Selezionare il profilo BitLocker

  4. Selezionare Impostazioni > Crittografia di Windows.Select Settings > Windows Encryption.

    Impostazioni di BitLocker

  5. Configurare le impostazioni per BitLocker in base alle esigenze aziendali.Configure settings for BitLocker to meet your business needs.

    Per abilitare BitLocker automaticamente, vedere Abilitare automaticamente BitLocker nei dispositivi, in questo articolo per altri prerequisiti e per le configurazioni delle impostazioni specifiche che è necessario usare.If you want to enable BitLocker silently, see Silently enable BitLocker on devices, in this article for additional prerequisites and the specific setting configurations you must use.

  6. Selezionare OK.Select OK.

  7. Completare la configurazione delle impostazioni aggiuntive e quindi salvare il profilo.Complete configuration of additional settings, and then save the profile.

Gestire BitLockerManage BitLocker

Per visualizzare le informazioni sui dispositivi che ricevono i criteri BitLocker, vedere Monitorare la crittografia del disco.To view information about devices that receive BitLocker policy, see Monitor disk encryption. È inoltre possibile visualizzare e recuperare le chiavi di ripristino di BitLocker visualizzando il report di crittografia.You can also view and retrieve BitLocker recovery keys when you view the encryption report.

Abilitare automaticamente BitLocker nei dispositiviSilently enable BitLocker on devices

È possibile configurare un criterio BitLocker che abilita automaticamente BitLocker in un dispositivo.You can configure a BitLocker policy that automatically and silently enables BitLocker on a device. Questo significa che BitLocker viene abilitato correttamente senza presentare alcuna interfaccia utente all'utente finale, anche quando l'utente non è un amministratore locale del dispositivo.That means that BitLocker enables successfully without presenting any UI to the end user, even when that user isn't a local Administrator on the device.

Prerequisiti del dispositivo:Device Prerequisites:

un dispositivo deve soddisfare le condizioni seguenti perché sia idoneo per l'abilitazione automatica di BitLocker:A device must meet the following conditions to be eligible for silently enabling BitLocker:

  • I dispositivi devono eseguire Windows 10 versione 1809 o successivaThe device must run Windows 10 version 1809 or later
  • Il dispositivo deve essere aggiunto ad Azure ADThe device must be Azure AD Joined

Configurazione dei criteri di BitLocker:BitLocker policy configuration:

Le due impostazioni seguenti per Impostazioni di base di BitLocker devono essere configurate nei criteri di BitLocker:The following two settings for BitLocker base settings must be configured in the BitLocker policy:

  • Avviso per la crittografia dischi di altro tipo = Blocca.Warning for other disk encryption = Block.
  • Consenti agli utenti standard di abilitare la crittografia durante un'aggiunta ad Azure AD = ConsentiAllow standard users to enable encryption during Azure AD Join = Allow

I criteri di BitLocker non devono richiedere l'uso di un PIN di avvio o di una chiave di avvio.The BitLocker policy must not require use of a startup PIN or startup key. Quando sono richiesti un PIN di avvio o una chiave di avvio TPM, BitLocker non può essere abilitato automaticamente ed è richiesta l'interazione con l'utente finale.When a TPM startup PIN or startup key is required, BitLocker can't silently enable and requires interaction from the end user. Questo requisito viene soddisfatto tramite le seguenti tre impostazioni dell'unità del sistema operativo BitLocker nello stesso criterio:This requirement is met through the following three BitLocker OS drive settings in the same policy:

  • L'opzione PIN di avvio TPM compatibile non deve essere impostata su Richiedi PIN di avvio con TPMCompatible TPM startup PIN must not be set to Require startup PIN with TPM
  • L'opzione Chiave di avvio TPM compatibile non deve essere impostata su Richiedi la chiave di avvio con TPMCompatible TPM startup key must not set to Require startup key with TPM
  • L'opzione Chiave di avvio e PIN TPM compatibile non deve essere impostata su Richiedi la chiave di avvio e il PIN con TPMCompatible TPM startup key and PIN must not set to Require startup key and PIN with TPM

Visualizzare i dettagli per le chiavi di ripristinoView details for recovery keys

Intune offre l'accesso al pannello di Azure AD per BitLocker, per consentire di visualizzare gli ID delle chiavi di BitLocker e le chiavi di ripristino per i dispositivi Windows 10 dal portale di Intune.Intune provides access to the Azure AD blade for BitLocker so you can view BitLocker Key IDs and recovery keys for your Windows 10 devices, from within the Intune portal. Per essere accessibile, il dispositivo deve avere le chiavi depositate in Azure AD.To be accessible, the device must have its keys escrowed to Azure AD.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Selezionare Dispositivi > Tutti i dispositivi.Select Devices > All devices.

  3. Selezionare un dispositivo nell'elenco e in Monitoraggio selezionare Chiavi di ripristino.Select a device from the list, and then under Monitor, select Recovery keys.

    Quando le chiavi sono presenti in Azure AD, sono disponibili le informazioni seguenti:When keys are available in Azure AD, the following information is available:

    • ID chiave BitLockerBitLocker Key ID
    • Chiave di ripristino di BitLockerBitLocker Recovery Key
    • Tipo unitàDrive Type

    Quando le chiavi non sono presenti in Azure AD, Intune visualizzerà il messaggio Non sono state trovate chiavi BitLocker per questo dispositivo.When keys aren't in Azure AD, Intune will display No BitLocker key found for this device.

Le informazioni per BitLocker vengono ottenute tramite il provider di servizi di configurazione BitLocker.Information for BitLocker is obtained using the BitLocker configuration service provider (CSP). Il provider di servizi di configurazione (CSP) BitLocker è supportato in Windows 10 versione 1703 e successive e in Windows 10 Pro versione 1809 e successive.BitLocker CSP is supported on Windows 10 version 1703 and later, and for Windows 10 Pro version 1809 and later.

Ruotare le chiavi di ripristino di BitLockerRotate BitLocker recovery keys

È possibile usare un'azione del dispositivo Intune per ruotare in modalità remota la chiave di ripristino di BitLocker di un dispositivo che esegue Windows 10 versione 1909 o successiva.You can use an Intune device action to remotely rotate the BitLocker recovery key of a device that runs Windows 10 version 1909 or later.

PrerequisitiPrerequisites

Per supportare la rotazione della chiave di ripristino di BitLocker, è necessario che i dispositivi soddisfino i seguenti prerequisiti:Devices must meet the following prerequisites to support rotation of the BitLocker recovery key:

  • I dispositivi devono eseguire Windows 10 versione 1909 o successivaDevices must run Windows 10 version 1909 or later

  • Per i dispositivi aggiunti ad Azure AD e ad AD ibrido, il supporto per la rotazione delle chiavi deve essere abilitato:Azure AD-joined and Hybrid-joined devices must have support for key rotation enabled:

    • Rotazione delle password di ripristino basata su clientClient-driven recovery password rotation

    Questa impostazione si trova in Crittografia di Windows come parte di un criterio di configurazione del dispositivo per Windows 10 Endpoint Protection.This setting is under Windows Encryption as part of a device configuration policy for Windows 10 Endpoint Protection.

Per ruotare la chiave di ripristino di BitLockerTo rotate the BitLocker recovery key

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Selezionare Dispositivi > Tutti i dispositivi.Select Devices > All devices.

  3. Nell'elenco dei dispositivi gestiti selezionare un dispositivo, selezionare Altro e quindi selezionare l'azione remota del dispositivo Rotazione delle chiavi BitLocker.In the list of devices that you manage, select a device, select More, and then select the BitLocker key rotation device remote action.

  4. Nella pagina Panoramica del dispositivo selezionare Rotazione delle chiavi BitLocker.On the Overview page of the device, select the BitLocker key rotation. Se questa opzione non è presente, selezionare i puntini di sospensione ( ... ) per visualizzare le opzioni aggiuntive, quindi selezionare l'azione remota del dispositivo Rotazione delle chiavi BitLocker.If you don’t see this option, select the ellipsis () to show additional options, and then select the BitLocker key rotation device remote action.

    Selezionare i puntini di sospensione per visualizzare altre opzioni

Passaggi successiviNext steps

Gestire i criteri FileVaultManage FileVault policy

Monitorare la crittografia del discoMonitor disk encryption