Gerenciar a política do BitLocker para Windows 10 no Intune

Use o Intune para configurar a Criptografia de Unidade de Disco BitLocker em dispositivos que executam o Windows 10.

O BitLocker está disponível em dispositivos que executam o Windows 10 ou posterior. Algumas configurações do BitLocker exigem que o dispositivo tenha um TPM com suporte.

Use um dos seguintes tipos de política para configurar o BitLocker em seus dispositivos gerenciados

Dica

O Intune fornece um relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados. Após o Intune criptografar um dispositivo Windows 10 com o BitLocker, você poderá exibir e gerenciar as chaves de recuperação do BitLocker ao exibir o relatório de criptografia.

Acesse também informações importantes do BitLocker em seus dispositivos, conforme encontrado no Azure AD (Azure Active Directory). relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados.

Permissões para gerenciar o BitLocker

Para gerenciar o BitLocker no Intune, a conta precisa ter as permissões de RBAC (controle de acesso baseado em função) do Intune aplicáveis.

As seguintes são permissões do BitLocker, que fazem parte da categoria Tarefas remotas, bem como as funções RBAC internas que concedem a permissão:

  • Alternar chaves do BitLocker
    • Operador de suporte técnico

Criar e implantar política

Use um dos procedimentos a seguir para criar o tipo de política que você preferir.

Criar uma política de segurança de ponto de extremidade para BitLocker

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Segurança do ponto de extremidade > Criptografia de disco > Criar Política.

  3. Defina as seguintes opções:

    1. Plataforma: Windows 10 ou versões mais recentes
    2. Perfil: BitLocker

    Selecione o perfil do BitLocker

  4. Na página Definições de configuração, defina as configurações do BitLocker para atender às suas necessidades de negócios.

    Se você quiser habilitar o BitLocker silenciosamente, confira Habilitar o BitLocker de modo silencioso em dispositivos neste artigo para conhecer os pré-requisitos adicionais e as configurações específicas que devem ser usadas.

    Selecione Avançar.

  5. Na página Escopo (Marcas) , escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

    Selecione Avançar para continuar.

  6. Na página Atribuições, escolha os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  7. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar um perfil de configuração de dispositivo para o BitLocker

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Perfis de configuração > Criar perfil.

  3. Defina as seguintes opções:

    1. Plataforma: Windows 10 e posterior
    2. Tipo de perfil: Endpoint Protection

    Selecione seu perfil do BitLocker

  4. Na página Definições de configuração, expanda Criptografia do Windows.

    Selecione as configurações de criptografia do Windows

  5. Defina as configurações do BitLocker de acordo com suas necessidades de negócios.

    Se você quiser habilitar o BitLocker silenciosamente, confira Habilitar o BitLocker de modo silencioso em dispositivos neste artigo para conhecer os pré-requisitos adicionais e as configurações específicas que devem ser usadas.

  6. Selecione Avançar para continuar.

  7. Conclua a definição de configurações adicionais e, em seguida, salve o perfil.

Gerenciar o BitLocker

Para exibir informações sobre dispositivos que recebem a política BitLocker, confira Monitorar criptografia de disco.

Habilitar o BitLocker em dispositivos silenciosamente

Você pode configurar uma política do BitLocker que o habilita automática e silenciosamente em um dispositivo. Isso significa que o BitLocker é habilitado com êxito sem apresentar nenhuma interface do usuário para o usuário final, mesmo quando esse usuário não é um administrador local no dispositivo.

Pré-requisitos do dispositivo:

o dispositivo precisa atender às seguintes condições para estar qualificado para habilitar o BitLocker silenciosamente:

  • Se os usuários finais fizerem logon nos dispositivos como Administradores, o dispositivo deverá executar o Windows 10 versão 1803 ou posterior.
  • Se os usuários finais fizerem logon nos dispositivos como Usuários Padrão, o dispositivo deve executar o Windows 10 versão 1809 ou posterior.
  • O dispositivo precisa ser ingressado no Azure AD ou no Azure AD Híbrido.
  • O dispositivo deve conter TPM (Trusted Platform Module) 2.0
  • O modo BIOS deve ser definido como somente UEFI Nativo.

Configuração da política do BitLocker:

As duas configurações das Configurações de base do BitLocker seguintes precisam ser configuradas na política do BitLocker:

  • Aviso para outras criptografias de disco = Bloquear.
  • Permitir que usuários padrão habilitem a criptografia durante o ingresso no Azure AD = Permitir

A política do BitLocker não pode exigir o uso de um PIN nem de uma chave de inicialização. Quando um PIN de inicialização ou uma chave de inicialização do TPM é obrigatória, o BitLocker não pode ser habilitado silenciosamente e exige interação do usuário final. Esse requisito é atendido por meio das três seguintes configurações de unidade do SO do BitLocker na mesma política:

  • PIN de inicialização do TPM compatível não pode ser definido como Exigir PIN de inicialização com TPM
  • Chave de inicialização do TPM compatível não pode ser definido como Exigir chave de inicialização com TPM
  • Chave de inicialização e PIN do TPM compatível não pode ser definido como Exigir chave de inicialização e PIN com TPM

Exibir detalhes de chaves de recuperação

O Intune fornece acesso à folha do Azure AD para o BitLocker. Assim, é possível exibir as IDs de chave do BitLocker e as chaves de recuperação para seus dispositivos Windows 10 do centro de administração do Microsoft Endpoint Manager. Para ser acessível, o dispositivo deve ter suas chaves mantidas sob a custódia do Azure AD.

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Todos os dispositivos.

  3. Selecione um dispositivo na lista e em Monitorar, selecione Chaves de recuperação.

  4. Clique em Mostrar a Chave de Recuperação. Selecionar isso gerará uma entrada de log de auditoria na atividade 'KeyManagement'.

    Quando as chaves estiverem disponíveis no Azure AD, as seguintes informações ficarão disponíveis:

    • ID de chave do BitLocker
    • Chave de recuperação do BitLocker
    • Tipo de Unidade

    Quando as chaves não estiverem no Azure AD, o Intune exibirá Nenhuma chave do BitLocker encontrada para este dispositivo.

As informações do BitLocker são obtidas usando o CSP (provedor de serviço de configuração) do BitLocker. O CSP do BitLocker é compatível com o Windows 10 versão 1703 e posterior e com o Windows 10 Pro versão 1809 e posterior.

Administradores de TI precisam ter uma permissão específica no Azure Active Directory para ver as chaves de recuperação do BitLocker do dispositivo: microsoft.directory/bitlockerKeys/key/read. Algumas funções no Azure AD têm essa permissão, incluindo as de Administrador de Dispositivo de Nuvem, de Administrador da assistência técnica etc. Para obter mais informações sobre quais funções do Azure AD têm quais permissões, confira Descrições de função do Azure AD.

Todos os acessos à chave de recuperação do BitLocker são auditados. Para obter mais informações sobre entradas do Log de Auditoria, confira Logs de auditoria do Portal do Azure.

Girar as chaves de recuperação do BitLocker

Você pode usar uma ação de dispositivo do Intune para girar remotamente a chave de recuperação do BitLocker de um dispositivo que executa o Windows 10 versão 1909 ou posteriores.

Pré-requisitos

Os dispositivos devem atender aos seguintes pré-requisitos para ser compatível com a rotação da chave de recuperação do BitLocker:

  • Os dispositivos devem executar o Windows 10, versão 1909 ou posteriores

  • Os dispositivos ingressados no Azure AD e no híbrido devem ser compatíveis com a rotação de chaves habilitada pela configuração de política do BitLocker:

    • Rotação de senha de recuperação controlada pelo cliente para Habilitar rotação nos dispositivos ingressados no Azure AD ou Habilitar rotação nos dispositivos ingressados no Azure AD e no híbrido
    • Salvar informações de recuperação do BitLocker no Azure Active Directory para Habilitado
    • Armazenar informações de recuperação no Azure Active Directory antes de habilitar o BitLocker para Obrigatório

Para obter informações sobre implantações e requisitos do BitLocker, confira o gráfico de comparação de implantação do BitLocker.

Para girar a chave de recuperação do BitLocker

  1. Entre no Centro de Administração do Microsoft Endpoint Manager.

  2. Selecione Dispositivos > Todos os dispositivos.

  3. Na lista de dispositivos gerenciados, selecione um dispositivo, selecione Mais e, em seguida, a ação remota do dispositivo Rotação de chave do BitLocker.

  4. Na página Visão Geral do dispositivo, selecione Rotação de chaves do BitLocker. Se você não encontrar essa opção, selecione as reticências ( ) para mostrar opções adicionais e selecione a ação remota do dispositivo de Rotação de chave do BitLocker.

    Selecione as reticências para exibir mais opções

Próximas etapas