Impostazioni dei criteri di crittografia del disco per la sicurezza degli endpoint in Intune

  • Articolo

Visualizzare le impostazioni che è possibile configurare nei profili per i criteri di crittografia dischi nel nodo Sicurezza degli endpoint di Intune come parte di un criterio di sicurezza degli endpoint.

Si applica a:

  • macOS
  • Windows 10/11

Piattaforme e profili supportati:

  • macOS:
    • Profilo: FileVault
  • Windows 10 e versioni successive:
    • Profilo: BitLocker

FileVault

Crittografia

Abilitare FileVault

  • Non configurato (impostazione predefinita)

  • : abilitare La crittografia completa del disco usando XTS-AES 128 con FileVault nei dispositivi che eseguono macOS 10.13 e versioni successive. FileVault è abilitato quando l'utente si disconnette dal dispositivo.

    Se impostato su , è possibile configurare impostazioni aggiuntive per FileVault.

    • Tipo di chiave di ripristino Le chiavi di ripristino della chiave personale vengono create per i dispositivi. Configurare le impostazioni seguenti per la chiave personale:

      • Rotazione della chiave di ripristino personale
        Specificare la frequenza di rotazione della chiave di ripristino personale per un dispositivo. È possibile selezionare il valore predefinito Non configurato o un valore compreso tra 1 e 12 mesi.
      • Descrizione della posizione del deposito della chiave di ripristino personale
        Specificare un breve messaggio per l'utente che spiega come recuperare la chiave di ripristino personale. L'utente visualizza questo messaggio nella schermata di accesso quando viene richiesto di immettere la chiave di ripristino personale se una password viene dimenticata.

    • Numero di volte in cui è consentito ignorare
      Impostare il numero di volte in cui un utente può ignorare le richieste per abilitare FileVault prima che FileVault sia necessario per consentire all'utente di accedere.

      • Non configurato (impostazione predefinita): la crittografia nel dispositivo è necessaria prima che sia consentito l'accesso successivo.
      • Da 1 a 10 : consente a un utente di ignorare la richiesta da 1 a 10 volte prima di richiedere la crittografia nel dispositivo.
      • Nessun limite, richiesta sempre richiesta : all'utente viene richiesto di abilitare FileVault, ma la crittografia non è mai necessaria.

    • Consenti rinvio fino alla disconnessione

      • Non configurato (impostazione predefinita)
      • : rinviare la richiesta per abilitare FileVault fino a quando l'utente non si disconnette.

    • Disabilitare la richiesta al momento della disconnessione
      Impedisci la richiesta all'utente che richiede di abilitare FileVault quando si disconnette. Se impostato su Disabilita, il prompt al momento della disconnessione è disabilitato e, al momento dell'accesso, all'utente viene richiesto di eseguire l'accesso.

      • Non configurato (impostazione predefinita)
      • : disabilitare la richiesta di abilitazione di FileVault visualizzata alla disconnessione.

    • Nascondere la chiave di ripristino
      Nascondere la chiave di ripristino personale all'utente del dispositivo macOS durante la crittografia. Dopo aver crittografato il disco, un utente può usare qualsiasi dispositivo per visualizzare la chiave di ripristino personale tramite il sito Web Portale aziendale Intune o l'app portale aziendale in una piattaforma supportata.

      • Non configurato (impostazione predefinita)
      • : nascondere la chiave di ripristino personale durante la crittografia del dispositivo.

BitLocker

Nota

Questo articolo descrive in dettaglio le impostazioni disponibili nei profili BitLocker creati prima del 19 giugno 2023, per la piattaforma Windows 10 e successiva per i criteri di crittografia dei dischi di sicurezza degli endpoint. Il 19 giugno 2023 il profilo Windows 10 e versioni successive è stato aggiornato in modo da usare un nuovo formato di impostazioni come indicato nel Catalogo impostazioni. Con questa modifica non è più possibile creare nuove versioni del profilo precedente e non sono più in fase di sviluppo. Anche se non è più possibile creare nuove istanze del profilo precedente, è possibile continuare a modificare e usare le istanze di esso create in precedenza.

Per i profili che usano il nuovo formato delle impostazioni, Intune non gestisce più un elenco di ogni impostazione in base al nome. Al contrario, il nome di ogni impostazione, le relative opzioni di configurazione e il testo esplicativo visualizzato nell'interfaccia di amministrazione Microsoft Intune sono tratti direttamente dal contenuto autorevole delle impostazioni. Tale contenuto può fornire altre informazioni sull'uso dell'impostazione nel contesto appropriato. Quando si visualizza un testo delle informazioni sulle impostazioni, è possibile usare il relativo collegamento Altre informazioni per aprire il contenuto.

I dettagli delle impostazioni seguenti per i profili Windows si applicano a tali profili deprecati.

BitLocker - Impostazioni di base

  • Abilitare la crittografia completa del disco per il sistema operativo e le unità dati fisse
    CSP: BitLocker - RequireDeviceEncryption

    Se l'unità è stata crittografata prima dell'applicazione di questo criterio, non viene eseguita alcuna azione aggiuntiva. Se il metodo e le opzioni di crittografia corrispondono a quello di questo criterio, la configurazione deve restituire l'esito positivo. Se un'opzione di configurazione BitLocker sul posto non corrisponde a questo criterio, è probabile che la configurazione restituisca un errore.

    Per applicare questo criterio a un disco già crittografato, decrittografare l'unità e riapplicare i criteri MDM. Per impostazione predefinita, Windows non richiede la crittografia dell'unità BitLocker. Tuttavia, in Microsoft Entra la crittografia automatica di registrazione/accesso dell'account Microsoft (MSA) può essere applicata abilitando BitLocker alla crittografia AES XTS a 128 bit.

    • Non configurato (impostazione predefinita): non viene eseguita alcuna imposizione di BitLocker.
    • : applicare l'uso di BitLocker.

  • Richiedere la crittografia delle schede di archiviazione (solo per dispositivi mobili)
    CSP: BitLocker - RequireStorageCardEncryption

    Questa impostazione si applica solo ai dispositivi SKU Windows Mobile e Mobile Enterprise.

    • Non configurata (impostazione predefinita): l'impostazione restituisce l'impostazione predefinita del sistema operativo, che non richiede la crittografia della scheda di archiviazione.
    • : la crittografia nelle schede di archiviazione è necessaria per i dispositivi mobili.

    Nota

    Il supporto per Windows 10 Mobile e Windows Phone 8.1 è terminato ad agosto 2020.

  • Nascondi richiesta di crittografia di terze parti
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    Se BitLocker è abilitato in un sistema già crittografato da un prodotto di crittografia di terze parti, potrebbe rendere il dispositivo inutilizzabile. La perdita di dati può verificarsi e potrebbe essere necessario reinstallare Windows. È consigliabile non abilitare mai BitLocker in un dispositivo in cui è installata o abilitata la crittografia di terze parti.

    Per impostazione predefinita, l'installazione guidata di BitLocker richiede agli utenti di confermare che non è stata eseguita alcuna crittografia di terze parti.

    • Non configurato (impostazione predefinita): l'installazione guidata di BitLocker visualizza un avviso e richiede agli utenti di confermare che non è presente alcuna crittografia di terze parti.
    • : nascondere la richiesta di installazione guidata di BitLocker agli utenti.

    Se sono necessarie funzionalità di abilitazione invisibile all'utente di BitLocker, l'avviso di crittografia di terze parti deve essere nascosto perché qualsiasi richiesta di richiesta interrompe i flussi di lavoro di abilitazione invisibile all'utente.If BitLocker silent enable features are required, the third-party encryption warning must be hidden as any required prompt breaks silent enablement workflows.

    Se impostato su , è quindi possibile configurare l'impostazione seguente:

    • Consentire agli utenti standard di abilitare la crittografia durante Autopilot
      CSP: BitLocker - AllowStandardUserEncryption

      • Non configurata (impostazione predefinita): l'impostazione viene lasciata come impostazione predefinita del client, ovvero richiede l'accesso dell'amministratore locale per abilitare BitLocker.
      • : durante Microsoft Entra gli scenari di abilitazione invisibile all'utente, gli utenti non devono essere amministratori locali per abilitare BitLocker.

      Per gli scenari di abilitazione non invisibile all'utente e Autopilot, l'utente deve essere un amministratore locale per completare l'installazione guidata di BitLocker.

  • Configurare la rotazione delle password di ripristino guidate dal client
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    I dispositivi Add Work Account (AWA, formalmente aggiunti all'area di lavoro) non sono supportati per la rotazione delle chiavi.

    • Non configurato (impostazione predefinita): il client non ruota le chiavi di ripristino di BitLocker.
    • Disabled
    • Microsoft Entra dispositivi aggiunti
    • Microsoft Entra dispositivi aggiunti ibridi

BitLocker - Impostazioni fisse dell'unità

  • Criteri di unità fissa BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Correzione del ripristino dell'unità
      CSP: BitLocker - FixedDrivesRecoveryOptions

      Controllare il modo in cui le unità dati fisse protette da BitLocker vengono ripristinate in assenza delle informazioni necessarie sulla chiave di avvio.

      • Non configurata (impostazione predefinita): sono supportate le opzioni di ripristino predefinite, tra cui l'agente di ripristino dei dati. L'utente finale può specificare le opzioni di ripristino e non viene eseguito il backup delle informazioni di ripristino in Microsoft Entra.
      • Configura : abilitare l'accesso per configurare diverse tecniche di ripristino delle unità.

      Se impostato su Configura sono disponibili le impostazioni seguenti:

      • Creazione della chiave di ripristino da parte dell'utente

        • Bloccato (impostazione predefinita)
        • Obbligatorio
        • Consentito

      • Configurare il pacchetto di ripristino di BitLocker

        • Password e chiave (impostazione predefinita): includere sia la password di ripristino di BitLocker usata dagli amministratori che dagli utenti per sbloccare le unità protette e i pacchetti di chiavi di ripristino usati dagli amministratori per il ripristino dei dati in Active Directory.
        • Solo password : i pacchetti della chiave di ripristino potrebbero non essere accessibili quando necessario.

      • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino per Microsoft Entra

        • Non configurato (impostazione predefinita): l'abilitazione di BitLocker verrà completata anche se il backup della chiave di ripristino nell'ID Microsoft Entra non riesce. Ciò può comportare l'assenza di informazioni di ripristino archiviate esternamente.
        • : BitLocker non completa l'abilitazione fino a quando le chiavi di ripristino non vengono salvate correttamente in Microsoft Entra.

      • Creazione della password di ripristino da parte dell'utente

        • Bloccato (impostazione predefinita)
        • Obbligatorio
        • Consentito

      • Nascondere le opzioni di ripristino durante l'installazione di BitLocker

        • Non configurato (impostazione predefinita): consente all'utente di accedere a opzioni di ripristino aggiuntive.
        • : impedisce all'utente finale di scegliere opzioni di ripristino aggiuntive, ad esempio la stampa delle chiavi di ripristino durante l'installazione guidata di BitLocker.

      • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino

        • Non configurato (impostazione predefinita)
        • : impostando questa opzione su , le informazioni di ripristino di BitLocker verranno salvate in Active Directory Domain Services.

      • Bloccare l'uso dell'agente di recupero dati basato su certificato

        • Non configurato (impostazione predefinita): consente di configurare l'uso di DRA. La configurazione della DRAM richiede un'infrastruttura a chiave pubblica aziendale e oggetti Criteri di gruppo per distribuire l'agente dra e i certificati.
        • : blocca la possibilità di usare l'agente di ripristino dati (DRA) per ripristinare le unità abilitate per BitLocker.

    • Bloccare l'accesso in scrittura a unità dati fisse non protette da BitLocker
      CSP: BitLocker - FixedDrivesRequireEncryption
      Questa impostazione è disponibile quando i criteri di unità fissa BitLocker sono impostati su Configura.

      • Non configurato (impostazione predefinita): i dati possono essere scritti in unità fisse non crittografate.
      • : Windows non consente la scrittura di dati in unità fisse non protette da BitLocker. Se un'unità fissa non è crittografata, l'utente dovrà completare la configurazione guidata di BitLocker per l'unità prima di concedere l'accesso in scrittura.

    • Configurare il metodo di crittografia per le unità dati fisse
      CSP: BitLocker - EncryptionMethodByDriveType

      Configurare il metodo di crittografia e il livello di crittografia per i dischi fissi delle unità dati. XTS- AES a 128 bit è il metodo di crittografia predefinito di Windows e il valore consigliato.

      • Non configurato (impostazione predefinita)
      • AES CBC a 128 bit
      • AES CBC a 256 bit
      • AES XTS a 128 bit
      • AES XTS a 256 bit

BitLocker - Impostazioni unità del sistema operativo

  • Criteri unità di sistema BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Configurare (impostazione predefinita)
    • Non configurata

    Se impostato su Configura , è possibile configurare le impostazioni seguenti:

    • Autenticazione di avvio necessaria
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • Non configurato (impostazione predefinita)
      • : configurare i requisiti di autenticazione aggiuntivi all'avvio del sistema, incluso l'uso dei requisiti TPM (Trusted Platform Module) o PIN di avvio.

      Se impostato su , è possibile configurare le impostazioni seguenti:

      • Avvio TPM compatibile
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        È consigliabile richiedere un TPM per BitLocker. Questa impostazione si applica solo alla prima abilitazione di BitLocker e non ha alcun effetto se BitLocker è già abilitato.

        • Bloccato (impostazione predefinita): BitLocker non usa il TPM.
        • Obbligatorio : BitLocker abilita solo se è presente e utilizzabile un TPM.
        • Consentito : BitLocker usa il TPM, se presente.

      • PIN di avvio TPM compatibile
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloccato (impostazione predefinita): blocca l'uso di un PIN.
        • Obbligatorio : è necessario che siano presenti un PIN e un TPM per abilitare BitLocker.
        • Consentito : BitLocker usa il TPM, se presente, e consente all'utente di configurare un PIN di avvio.

        Per gli scenari di abilitazione invisibile all'utente, è necessario impostarlo su Bloccato. Gli scenari di abilitazione invisibile all'utente (incluso Autopilot) non hanno esito positivo quando è necessaria l'interazione dell'utente.

      • Chiave di avvio TPM compatibile
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloccato (impostazione predefinita): blocca l'uso delle chiavi di avvio.
        • Obbligatorio : richiedere la presenza di una chiave di avvio e di un TPM per abilitare BitLocker.
        • Consentito : BitLocker usa il TPM se è presente e consente la presenza di una chiave di avvio (ad esempio un'unità USB) per sbloccare le unità.

        Per gli scenari di abilitazione invisibile all'utente, è necessario impostarlo su Bloccato. Gli scenari di abilitazione invisibile all'utente (incluso Autopilot) non hanno esito positivo quando è necessaria l'interazione dell'utente.

      • Chiave di avvio E PIN TPM compatibili
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloccato (impostazione predefinita): blocca l'uso di una combinazione di chiavi di avvio e PIN.
        • Obbligatorio : richiedere che BitLocker disponga di una chiave di avvio e che il PIN sia presente per essere abilitato.
        • Consentito : BitLocker usa il TPM se presente e consente una combinazione di chiavi di avvio e PIN.

        Per gli scenari di abilitazione invisibile all'utente, è necessario impostarlo su Bloccato. Gli scenari di abilitazione invisibile all'utente (incluso Autopilot) non hanno esito positivo quando è necessaria l'interazione dell'utente.

      • Disabilitare BitLocker nei dispositivi in cui TPM non è compatibile
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        Se non è presente alcun TPM, BitLocker richiede una password o un'unità USB per l'avvio.

        Questa impostazione si applica solo alla prima abilitazione di BitLocker e non ha alcun effetto se BitLocker è già abilitato.

        • Non configurato (impostazione predefinita)
        • : blocca la configurazione di BitLocker senza un chip TPM compatibile.

      • Abilitare il messaggio e l'URL di ripristino di preavavimento
        CSP: BitLocker - Configurazione di SystemDrivesRecoveryMessage

        • Non configurato (impostazione predefinita): usare le informazioni di ripristino pre-avvio predefinite di BitLocker.
        • : abilitare la configurazione di un URL e di un messaggio di ripristino pre-avvio personalizzati per aiutare gli utenti a comprendere come trovare la password di ripristino. Il messaggio e l'URL di preavvio vengono visualizzati dagli utenti quando sono bloccati fuori dal PC in modalità di ripristino.

        Se impostato su , è possibile configurare le impostazioni seguenti:

        • Messaggio di ripristino preavvato
          Specificare un messaggio di ripristino pre-avvio personalizzato.

        • URL di ripristino preavvato
          Specificare un URL di ripristino pre-avvio personalizzato.

      • Ripristino dell'unità di sistema
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • Non configurato (impostazione predefinita)
        • Configura : abilitare la configurazione di impostazioni aggiuntive.

        Se impostato su Configura sono disponibili le impostazioni seguenti:

        • Creazione della chiave di ripristino da parte dell'utente

          • Bloccato (impostazione predefinita)
          • Obbligatorio
          • Consentito

        • Configurare il pacchetto di ripristino di BitLocker

          • Password e chiave (impostazione predefinita): includere sia la password di ripristino di BitLocker usata dagli amministratori che dagli utenti per sbloccare le unità protette e i pacchetti di chiavi di ripristino usati dagli amministratori per il ripristino dei dati in Active Directory.
          • Solo password : i pacchetti della chiave di ripristino potrebbero non essere accessibili quando necessario.

        • Richiedere al dispositivo di eseguire il backup delle informazioni di ripristino per Microsoft Entra

          • Non configurato (impostazione predefinita): l'abilitazione di BitLocker verrà completata anche se il backup della chiave di ripristino nell'ID Microsoft Entra non riesce. Ciò può comportare l'assenza di informazioni di ripristino archiviate esternamente.
          • : BitLocker non completa l'abilitazione fino a quando le chiavi di ripristino non vengono salvate correttamente in Microsoft Entra.

        • Creazione della password di ripristino da parte dell'utente

          • Bloccato (impostazione predefinita)
          • Obbligatorio
          • Consentito

        • Nascondere le opzioni di ripristino durante l'installazione di BitLocker

          • Non configurato (impostazione predefinita): consente all'utente di accedere a opzioni di ripristino aggiuntive.
          • : impedisce all'utente finale di scegliere opzioni di ripristino aggiuntive, ad esempio la stampa delle chiavi di ripristino durante l'installazione guidata di BitLocker.

        • Abilitare BitLocker dopo l'archiviazione delle informazioni di ripristino

          • Non configurato (impostazione predefinita)
          • : impostando questa opzione su , le informazioni di ripristino di BitLocker verranno salvate in Active Directory Domain Services.

        • Bloccare l'uso dell'agente di recupero dati basato su certificato

          • Non configurato (impostazione predefinita): consente di configurare l'uso di DRA. La configurazione della DRAM richiede un'infrastruttura a chiave pubblica aziendale e oggetti Criteri di gruppo per distribuire l'agente dra e i certificati.
          • : blocca la possibilità di usare l'agente di ripristino dati (DRA) per ripristinare le unità abilitate per BitLocker.

      • Lunghezza minima PIN
        CSP: BitLocker - SystemDrivesMinimumPINLength

        Specificare la lunghezza minima del PIN di avvio quando è necessario TPM + PIN durante l'abilitazione di BitLocker. La lunghezza del PIN deve essere compresa tra 4 e 20 cifre.

        Se non si configura questa impostazione, gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza (compreso tra 4 e 20 cifre)

        Questa impostazione si applica solo alla prima abilitazione di BitLocker e non ha alcun effetto se BitLocker è già abilitato.

    • Configurare il metodo di crittografia per le unità del sistema operativo
      CSP: BitLocker - EncryptionMethodByDriveType

      Configurare il metodo di crittografia e il livello di crittografia per le unità del sistema operativo. XTS- AES a 128 bit è il metodo di crittografia predefinito di Windows e il valore consigliato.

      • Non configurato (impostazione predefinita)
      • AES CBC a 128 bit
      • AES CBC a 256 bit
      • AES XTS a 128 bit
      • AES XTS a 256 bit

BitLocker - Impostazioni unità rimovibili

  • Criteri unità rimovibili BitLocker
    CSP: BitLocker - EncryptionMethodByDriveType

    • Non configurato (impostazione predefinita)
    • Configurare

    Se impostato su Configura , è possibile configurare le impostazioni seguenti.

    • Configurare il metodo di crittografia per le unità dati rimovibili
      CSP: BitLocker - EncryptionMethodByDriveType

      Selezionare il metodo di crittografia desiderato per i dischi rimovibili delle unità dati.

      • Non configurato (impostazione predefinita)
      • AES CBC a 128 bit
      • AES CBC a 256 bit
      • AES XTS a 128 bit
      • AES XTS a 256 bit

    • Bloccare l'accesso in scrittura a unità dati rimovibili non protette da BitLocker
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • Non configurato (impostazione predefinita): i dati possono essere scritti in unità rimovibili non crittografate.
      • : Windows non consente la scrittura di dati in unità rimovibili non protette da BitLocker. Se un'unità rimovibile inserita non è crittografata, l'utente deve completare l'installazione guidata di BitLocker prima di concedere l'accesso in scrittura all'unità.

    • Bloccare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • Non configurato (impostazione predefinita): è possibile usare qualsiasi unità crittografata BitLocker.
      • : blocca l'accesso in scrittura alle unità rimovibili a meno che non siano state crittografate in un computer di proprietà dell'organizzazione.

Passaggi successivi

Criteri di sicurezza degli endpoint per la crittografia del disco