Beleidsinstellingen voor schijfversleuteling voor eindpuntbeveiliging in Intune

  • Artikel

Bekijk de instellingen die u kunt configureren in profielen voor schijfversleutelingsbeleid in het eindpuntbeveiligingsknooppunt van Intune als onderdeel van een eindpuntbeveiligingsbeleid.

Van toepassing op:

  • macOS
  • Windows 10/11

Ondersteunde platforms en profielen:

  • macOS:
    • Profiel: FileVault
  • Windows 10 en hoger:
    • Profiel: BitLocker

FileVault

Versleuteling

FileVault inschakelen

  • Niet geconfigureerd (standaard)

  • Ja : schakel volledige schijfversleuteling met XTS-AES 128 met FileVault in op apparaten met macOS 10.13 en hoger. FileVault wordt ingeschakeld wanneer de gebruiker zich afmeldt bij het apparaat.

    Wanneer deze optie is ingesteld op Ja, kunt u aanvullende instellingen configureren voor FileVault.

    • HerstelsleuteltypePersoonlijke sleutelherstelsleutels worden gemaakt voor apparaten. Configureer de volgende instellingen voor de persoonlijke sleutel:

      • Rotatie van persoonlijke herstelsleutel
        Geef op hoe vaak de persoonlijke herstelsleutel voor een apparaat wordt geroteerd. U kunt de standaardwaarde Niet geconfigureerd of een waarde van 1 tot 12 maanden selecteren.
      • Beschrijving van de escrowlocatie van persoonlijke herstelsleutel
        Geef een kort bericht op voor de gebruiker waarin wordt uitgelegd hoe ze hun persoonlijke herstelsleutel kunnen ophalen. De gebruiker ziet dit bericht op het aanmeldingsscherm wanneer wordt gevraagd om de persoonlijke herstelsleutel in te voeren als een wachtwoord is vergeten.

    • Aantal keren dat is toegestaan om te omzeilen
      Stel het aantal keren in dat een gebruiker prompts om FileVault in te schakelen kan negeren voordat FileVault is vereist voor de gebruiker om zich aan te melden.

      • Niet geconfigureerd (standaard): versleuteling op het apparaat is vereist voordat de volgende aanmelding is toegestaan.
      • 1 tot 10 : hiermee staat u toe dat een gebruiker de prompt van 1 tot 10 keer negeert voordat versleuteling op het apparaat wordt vereist.
      • Geen limiet, altijd prompt : de gebruiker wordt gevraagd FileVault in te schakelen, maar versleuteling is nooit vereist.

    • Uitstel toestaan tot afmelden

      • Niet geconfigureerd (standaard)
      • Ja : stel de prompt voor het inschakelen van FileVault uit totdat de gebruiker zich afmeldt.

    • Prompt bij afmelden uitschakelen
      Voorkom dat de gebruiker wordt gevraagd om FileVault in te schakelen wanneer deze zich afmeldt. Wanneer deze optie is ingesteld op Uitschakelen, wordt de prompt bij afmelden uitgeschakeld en wordt de gebruiker gevraagd om zich aan te melden.

      • Niet geconfigureerd (standaard)
      • Ja : schakel de prompt voor het inschakelen van FileVault uit die wordt weergegeven bij het afmelden.

    • Herstelsleutel verbergen
      Verberg de persoonlijke herstelsleutel voor de gebruiker van het macOS-apparaat tijdens de versleuteling. Nadat de schijf is versleuteld, kunnen gebruikers elk apparaat gebruiken om hun persoonlijke herstelsleutel te bekijken via de Intune-bedrijfsportal-website of bedrijfsportal-app op een ondersteund platform.

      • Niet geconfigureerd (standaard)
      • Ja : verberg de persoonlijke herstelsleutel tijdens apparaatversleuteling.

BitLocker

Opmerking

In dit artikel worden de instellingen beschreven die u kunt vinden in BitLocker-profielen die vóór 19 juni 2023 zijn gemaakt voor het Windows 10 en hoger platform voor het schijfversleutelingsbeleid voor eindpuntbeveiliging. Op 19 juni 2023 is het profiel Windows 10 en hoger bijgewerkt met een nieuwe indeling voor instellingen, zoals te vinden in de instellingencatalogus. Met deze wijziging kunt u geen nieuwe versies van het oude profiel meer maken en deze worden niet meer ontwikkeld. Hoewel u geen nieuwe exemplaren van het oudere profiel meer kunt maken, kunt u doorgaan met het bewerken en gebruiken van exemplaren van het profiel die u eerder hebt gemaakt.

Voor profielen die de nieuwe instellingenindeling gebruiken, houdt Intune niet langer een lijst bij van elke instelling op naam. In plaats daarvan worden de naam van elke instelling, de configuratieopties en de verklarende tekst die u in het Microsoft Intune beheercentrum ziet, rechtstreeks uit de gezaghebbende inhoud van de instellingen gehaald. Deze inhoud kan meer informatie bieden over het gebruik van de instelling in de juiste context. Wanneer u een informatietekst voor instellingen bekijkt, kunt u de koppeling Meer informatie gebruiken om die inhoud te openen.

De volgende instellingen voor Windows-profielen zijn van toepassing op die afgeschafte profielen.

BitLocker – basisinstellingen

  • Volledige schijfversleuteling inschakelen voor besturingssysteem en vaste gegevensstations
    CSP: BitLocker - RequireDeviceEncryption

    Als het station is versleuteld voordat dit beleid werd toegepast, wordt er geen extra actie ondernomen. Als de versleutelingsmethode en -opties overeenkomen met die van dit beleid, moet de configuratie geslaagd zijn. Als een in-place BitLocker-configuratieoptie niet overeenkomt met dit beleid, retourneert de configuratie waarschijnlijk een fout.

    Als u dit beleid wilt toepassen op een schijf die al is versleuteld, ontsleutelt u het station en past u het MDM-beleid opnieuw toe. Windows heeft standaard geen BitLocker-stationsversleuteling nodig. Op Microsoft Entra join en Microsoft Account (MSA) registratie/aanmelding kan automatische versleuteling echter worden toegepast, waardoor BitLocker op XTS-AES 128-bits versleuteling wordt ingeschakeld.

    • Niet geconfigureerd (standaard): er vindt geen BitLocker-afdwinging plaats.
    • Ja : gebruik van BitLocker afdwingen.

  • Vereisen dat opslagkaarten worden versleuteld (alleen mobiel)
    CSP: BitLocker - RequireStorageCardEncryption

    Deze instelling is alleen van toepassing op Windows Mobile- en Mobile Enterprise-SKU-apparaten.

    • Niet geconfigureerd (standaard): de instelling keert terug naar de standaardinstelling van het besturingssysteem. Dit is om geen opslagkaartversleuteling te vereisen.
    • Ja : versleuteling op opslagkaarten is vereist voor mobiele apparaten.

    Opmerking

    Ondersteuning voor Windows 10 Mobile en Windows Phone 8.1 is beëindigd in augustus 2020.

  • Prompt over versleuteling van derden verbergen
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    Als BitLocker is ingeschakeld op een systeem dat al is versleuteld door een versleutelingsproduct van derden, kan het apparaat onbruikbaar worden. Gegevensverlies kan optreden en mogelijk moet u Windows opnieuw installeren. Het wordt ten zeerste aangeraden BitLocker nooit in te schakelen op een apparaat waarop versleuteling van derden is geïnstalleerd of ingeschakeld.

    Standaard vraagt de bitLocker-installatiewizard gebruikers om te bevestigen dat er geen versleuteling van derden aanwezig is.

    • Niet geconfigureerd (standaard): de wizard BitLocker-installatie geeft een waarschuwing weer en vraagt gebruikers om te bevestigen dat er geen versleuteling van derden aanwezig is.
    • Ja : verberg de prompt van de BitLocker-installatiewizard voor gebruikers.

    Als bitLocker stille inschakelingsfuncties vereist zijn, moet de versleutelingswaarschuwing van derden worden verborgen omdat elke vereiste prompt werkstromen voor stille activering onderbreekt.

    Als deze optie is ingesteld op Ja, kunt u vervolgens de volgende instelling configureren:

    • Standaardgebruikers toestaan versleuteling in te schakelen tijdens Autopilot
      CSP: BitLocker - AllowStandardUserEncryption

      • Niet geconfigureerd (standaard): de instelling blijft staan als standaardinstelling voor de client. Dit is om lokale beheerderstoegang te vereisen om BitLocker in te schakelen.
      • Ja: tijdens Microsoft Entra scenario's voor stille inschakeling hoeven gebruikers geen lokale beheerders te zijn om BitLocker in te schakelen.

      Voor niet-stille inschakeling en Autopilot-scenario's moet de gebruiker een lokale beheerder zijn om de BitLocker-installatiewizard te voltooien.

  • Clientgestuurde herstelwachtwoordrotatie configureren
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    Apparaten met een werkaccount (AWA, formeel toegevoegd aan werkplek) worden niet ondersteund voor sleutelrotatie.

    • Niet geconfigureerd (standaard): de client draait geen BitLocker-herstelsleutels.
    • Uitgeschakeld
    • Microsoft Entra gekoppelde apparaten
    • hybride gekoppelde apparaten Microsoft Entra

BitLocker - Instellingen voor vast station

  • BitLocker-beleid voor vaste stations
    CSP: BitLocker - EncryptionMethodByDriveType

    • Herstel van vaste schijf
      CSP: BitLocker - FixedDrivesRecoveryOptions

      Bepalen hoe met BitLocker beveiligde vaste gegevensstations worden hersteld als de vereiste opstartsleutelgegevens ontbreken.

      • Niet geconfigureerd (standaard): de standaardherstelopties worden ondersteund, inclusief de gegevensherstelagent (DRA). De eindgebruiker kan herstelopties opgeven en er wordt geen back-up gemaakt van herstelgegevens naar Microsoft Entra.
      • Configureren : toegang inschakelen om verschillende stationshersteltechnieken te configureren.

      Wanneer deze optie is ingesteld op Configureren , zijn de volgende instellingen beschikbaar:

      • Gebruikers maken van de herstelsleutel

        • Geblokkeerd (standaard)
        • Vereist
        • Toegestaan

      • BitLocker-herstelpakket configureren

        • Wachtwoord en sleutel (standaard): neem zowel het BitLocker-herstelwachtwoord op dat door beheerders en gebruikers wordt gebruikt om beveiligde stations te ontgrendelen, als herstelsleutelpakketten die door beheerders worden gebruikt voor gegevenshersteldoeleinden in Active Directory.
        • Alleen wachtwoord : de herstelsleutelpakketten zijn mogelijk niet toegankelijk wanneer dat nodig is.

      • Vereisen dat het apparaat een back-up maakt van herstelgegevens naar Microsoft Entra

        • Niet geconfigureerd (standaard): het inschakelen van BitLocker wordt voltooid, zelfs als de back-up van de herstelsleutel naar Microsoft Entra-id mislukt. Dit kan ertoe leiden dat er geen herstelgegevens extern worden opgeslagen.
        • Ja: BitLocker wordt pas ingeschakeld als de herstelsleutels zijn opgeslagen in Microsoft Entra.

      • Gebruikers maken van herstelwachtwoord

        • Geblokkeerd (standaard)
        • Vereist
        • Toegestaan

      • Herstelopties verbergen tijdens het instellen van BitLocker

        • Niet geconfigureerd (standaard): hiermee staat u de gebruiker toegang tot extra herstelopties toe.
        • Ja : voorkom dat de eindgebruiker extra herstelopties kan kiezen, zoals het afdrukken van herstelsleutels tijdens de installatiewizard van BitLocker.

      • BitLocker inschakelen na herstelgegevens om op te slaan

        • Niet geconfigureerd (standaard)
        • Ja: als u dit instelt op Ja, worden BitLocker-herstelgegevens opgeslagen in Active Directory Domain Services.

      • Het gebruik van op certificaten gebaseerde gegevensherstelagent (DRA) blokkeren

        • Niet geconfigureerd (standaard): hiermee staat u het gebruik van DRA toe. Voor het instellen van DRA zijn een zakelijke PKI en groepsbeleid Objects vereist om de DRA-agent en certificaten te implementeren.
        • Ja : blokkeer de mogelijkheid om data recovery agent (DRA) te gebruiken om BitLocker-stations te herstellen.

    • Schrijftoegang blokkeren tot vaste gegevensstations die niet worden beveiligd door BitLocker
      CSP: BitLocker - FixedDrivesRequireEncryption
      Deze instelling is beschikbaar wanneer bitLocker-beleid voor vaste stations is ingesteld op Configureren.

      • Niet geconfigureerd (standaard): gegevens kunnen worden geschreven naar niet-versleutelde vaste schijven.
      • Ja : Windows staat niet toe dat gegevens worden geschreven naar vaste stations die niet met BitLocker zijn beveiligd. Als een vast station niet is versleuteld, moet de gebruiker de BitLocker-installatiewizard voor het station voltooien voordat schrijftoegang wordt verleend.

    • Versleutelingsmethode configureren voor vaste gegevensstations
      CSP: BitLocker - EncryptionMethodByDriveType

      Configureer de versleutelingsmethode en coderingssterkte voor vaste gegevensstationsschijven. XTS- AES 128-bits is de standaardversleutelingsmethode van Windows en de aanbevolen waarde.

      • Niet geconfigureerd (standaard)
      • AES 128-bits CBC
      • AES 256-bits CBC
      • AES 128-bits XTS
      • AES 256-bits XTS

BitLocker - Instellingen voor besturingssysteemstation

  • BitLocker-beleid voor systeemstations
    CSP: BitLocker - EncryptionMethodByDriveType

    • Configureren (standaard)
    • Niet geconfigureerd

    Wanneer deze optie is ingesteld op Configureren , kunt u de volgende instellingen configureren:

    • Opstartverificatie vereist
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • Niet geconfigureerd (standaard)
      • Ja : configureer de aanvullende verificatievereisten bij het opstarten van het systeem, inclusief het gebruik van TPM-vereisten (Trusted Platform Module) of opstartpincode.

      Als deze optie is ingesteld op Ja , kunt u de volgende instellingen configureren:

      • Compatibele TPM-opstart
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        Het wordt aanbevolen om een TPM voor BitLocker te vereisen. Deze instelling is alleen van toepassing wanneer BitLocker voor het eerst wordt ingeschakeld en heeft geen effect als BitLocker al is ingeschakeld.

        • Geblokkeerd (standaard): BitLocker maakt geen gebruik van de TPM.
        • Vereist : BitLocker wordt alleen ingeschakeld als er een TPM aanwezig en bruikbaar is.
        • Toegestaan : BitLocker gebruikt de TPM als deze aanwezig is.

      • Compatibele TPM-opstartpincode
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Geblokkeerd (standaard): het gebruik van een pincode blokkeren.
        • Vereist : vereist dat er een pincode en TPM aanwezig zijn om BitLocker in te schakelen.
        • Toegestaan : BitLocker gebruikt de TPM als deze aanwezig is en staat toe dat een opstartpincode door de gebruiker kan worden geconfigureerd.

        Voor scenario's met stille inschakeling moet u dit instellen op Geblokkeerd. Scenario's voor stille inschakeling (inclusief Autopilot) slagen niet wanneer gebruikersinteractie is vereist.

      • Compatibele TPM-opstartsleutel
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Geblokkeerd (standaard): het gebruik van opstartsleutels blokkeren.
        • Vereist : vereist dat er een opstartsleutel en TPM aanwezig zijn om BitLocker in te schakelen.
        • Toegestaan : BitLocker gebruikt de TPM als deze aanwezig is en staat een opstartsleutel (zoals een USB-station) toe om de stations te ontgrendelen.

        Voor scenario's met stille inschakeling moet u dit instellen op Geblokkeerd. Scenario's voor stille inschakeling (inclusief Autopilot) slagen niet wanneer gebruikersinteractie is vereist.

      • Compatibele TPM-opstartsleutel en -pincode
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • Geblokkeerd (standaard): Blokkeer het gebruik van een combinatie van opstartsleutel en pincode.
        • Vereist : vereist dat BitLocker een opstartsleutel en pincode heeft om in te schakelen.
        • Toegestaan : BitLocker gebruikt de TPM als deze aanwezig is en een combinatie van opstartsleutel) en pincode toestaat.

        Voor scenario's met stille inschakeling moet u dit instellen op Geblokkeerd. Scenario's voor stille inschakeling (inclusief Autopilot) slagen niet wanneer gebruikersinteractie is vereist.

      • BitLocker uitschakelen op apparaten waarop TPM niet compatibel is
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        Als er geen TPM aanwezig is, vereist BitLocker een wachtwoord of USB-station voor het opstarten.

        Deze instelling is alleen van toepassing wanneer BitLocker voor het eerst wordt ingeschakeld en heeft geen effect als BitLocker al is ingeschakeld.

        • Niet geconfigureerd (standaard)
        • Ja : hiermee kunt u voorkomen dat BitLocker wordt geconfigureerd zonder een compatibele TPM-chip.

      • Preboot-herstelbericht en URL inschakelen
        CSP: BitLocker - SystemDrivesRecoveryMessageconfigureren

        • Niet geconfigureerd (standaard): gebruik de standaardinformatie voor herstel vóór het opstarten van BitLocker.
        • Ja : schakel de configuratie in van een aangepast pre-boot herstelbericht en de URL om uw gebruikers te helpen begrijpen hoe ze hun herstelwachtwoord kunnen vinden. Het pre-opstartbericht en de URL worden weergegeven door gebruikers wanneer ze in de herstelmodus zijn vergrendeld van hun pc.

        Als deze optie is ingesteld op Ja , kunt u de volgende instellingen configureren:

        • Preboot-herstelbericht
          Geef een aangepast pre-boot-herstelbericht op.

        • Preboot-herstel-URL
          Geef een aangepaste URL voor herstel vóór opstarten op.

      • Systeemstationherstel
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • Niet geconfigureerd (standaard)
        • Configureren : schakel de configuratie van aanvullende instellingen in.

        Wanneer deze optie is ingesteld op Configureren , zijn de volgende instellingen beschikbaar:

        • Gebruikers maken van de herstelsleutel

          • Geblokkeerd (standaard)
          • Vereist
          • Toegestaan

        • BitLocker-herstelpakket configureren

          • Wachtwoord en sleutel (standaard): neem zowel het BitLocker-herstelwachtwoord op dat door beheerders en gebruikers wordt gebruikt om beveiligde stations te ontgrendelen, als herstelsleutelpakketten die door beheerders worden gebruikt voor gegevenshersteldoeleinden) in Active Directory.
          • Alleen wachtwoord : de herstelsleutelpakketten zijn mogelijk niet toegankelijk wanneer dat nodig is.

        • Vereisen dat het apparaat een back-up maakt van herstelgegevens naar Microsoft Entra

          • Niet geconfigureerd (standaard): het inschakelen van BitLocker wordt voltooid, zelfs als de back-up van de herstelsleutel naar Microsoft Entra-id mislukt. Dit kan ertoe leiden dat er geen herstelgegevens extern worden opgeslagen.
          • Ja: BitLocker wordt pas ingeschakeld als de herstelsleutels zijn opgeslagen in Microsoft Entra.

        • Gebruikers maken van herstelwachtwoord

          • Geblokkeerd (standaard)
          • Vereist
          • Toegestaan

        • Herstelopties verbergen tijdens het instellen van BitLocker

          • Niet geconfigureerd (standaard): hiermee staat u de gebruiker toegang tot extra herstelopties toe.
          • Ja : voorkom dat de eindgebruiker extra herstelopties kan kiezen, zoals het afdrukken van herstelsleutels tijdens de installatiewizard van BitLocker.

        • BitLocker inschakelen na herstelgegevens om op te slaan

          • Niet geconfigureerd (standaard)
          • Ja: als u dit instelt op Ja, worden BitLocker-herstelgegevens opgeslagen in Active Directory Domain Services.

        • Het gebruik van op certificaten gebaseerde gegevensherstelagent (DRA) blokkeren

          • Niet geconfigureerd (standaard): hiermee staat u het gebruik van DRA toe. Voor het instellen van DRA zijn een zakelijke PKI en groepsbeleid Objects vereist om de DRA-agent en certificaten te implementeren.
          • Ja : blokkeer de mogelijkheid om data recovery agent (DRA) te gebruiken om BitLocker-stations te herstellen.

      • Minimale lengte van pincode
        CSP: BitLocker - SystemDrivesMinimumPINLength

        Geef de minimale lengte van de opstartpincode op wanneer TPM en pincode is vereist tijdens het inschakelen van BitLocker. De lengte van de pincode moet tussen 4 en 20 cijfers zijn.

        Als u deze instelling niet configureert, kunnen gebruikers een opstartpincode van elke lengte configureren (tussen 4 en 20 cijfers)

        Deze instelling is alleen van toepassing wanneer BitLocker voor het eerst wordt ingeschakeld en heeft geen effect als BitLocker al is ingeschakeld.

    • Versleutelingsmethode configureren voor besturingssysteemstations
      CSP: BitLocker - EncryptionMethodByDriveType

      Configureer de versleutelingsmethode en coderingssterkte voor besturingssysteemstations. XTS- AES 128-bits is de standaardversleutelingsmethode van Windows en de aanbevolen waarde.

      • Niet geconfigureerd (standaard)
      • AES 128-bits CBC
      • AES 256-bits CBC
      • AES 128-bits XTS
      • AES 256-bits XTS

BitLocker - Instellingen voor verwisselbaar station

  • BitLocker-beleid voor verwisselbare stations
    CSP: BitLocker - EncryptionMethodByDriveType

    • Niet geconfigureerd (standaard)
    • Configureren

    Wanneer deze optie is ingesteld op Configureren , kunt u de volgende instellingen configureren.

    • Versleutelingsmethode configureren voor verwisselbare gegevensstations
      CSP: BitLocker - EncryptionMethodByDriveType

      Selecteer de gewenste versleutelingsmethode voor verwisselbare gegevensstations.

      • Niet geconfigureerd (standaard)
      • AES 128-bits CBC
      • AES 256-bits CBC
      • AES 128-bits XTS
      • AES 256-bits XTS

    • Schrijftoegang blokkeren tot verwisselbare gegevensstations die niet worden beveiligd met BitLocker
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • Niet geconfigureerd (standaard): gegevens kunnen worden geschreven naar niet-versleutelde verwisselbare stations.
      • Ja : Windows staat niet toe dat gegevens worden geschreven naar verwisselbare stations die niet met BitLocker zijn beveiligd. Als een ingevoegd verwisselbaar station niet is versleuteld, moet de gebruiker de wizard BitLocker instellen voltooien voordat schrijftoegang wordt verleend aan het station.

    • Schrijftoegang blokkeren voor apparaten die zijn geconfigureerd in een andere organisatie
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • Niet geconfigureerd (standaard): elk versleuteld BitLocker-station kan worden gebruikt.
      • Ja : schrijftoegang tot verwisselbare stations blokkeren, tenzij ze zijn versleuteld op een computer die eigendom is van uw organisatie.

Volgende stappen

Eindpuntbeveiligingsbeleid voor schijfversleuteling