Gerenciar a política de BitLocker para dispositivos Windows com o Intune

Use o Intune para configurar a Criptografia de Unidade de Disco do BitLocker nos dispositivos que executam o Windows 10/11.

O BitLocker está disponível nos dispositivos que executam o Windows 10/11 ou posterior. Algumas configurações do BitLocker requerem que o dispositivo tenha um TPM com suporte.

Use um dos seguintes tipos de política para configurar o BitLocker em seus dispositivos gerenciados:

• Política de criptografia de disco de segurança do ponto de extremidade para BitLocker. O perfil BitLocker na Segurança do ponto de extremidade é um grupo focado de configurações dedicado a configurar o BitLocker.

  Veja as configurações do BitLocker que estão disponíveis em Perfis de BitLocker da política de criptografia de disco.

• Perfil de configuração do dispositivo para proteção de ponto de extremidade para BitLocker. As configurações do BitLocker são uma das categorias de configurações disponíveis para a proteção de ponto de extremidade do Windows 10/11.

  Exiba as configurações do BitLocker disponíveis para BitLocker nos perfis de proteção de ponto de extremidade da política de configuração do dispositivo.

Dica

O Intune fornece um relatório de criptografia integrado que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados. Após o Intune criptografar um dispositivo Windows com o BitLocker, você poderá ver e gerenciar as chaves de recuperação do BitLocker ao exibir o relatório de criptografia.

Você também pode acessar informações importantes para o BitLocker de seus dispositivos, conforme encontrado em Microsoft Entra ID.

Importante

Antes de habilitar o BitLocker, entenda e planeje as opções de recuperação que atendam às necessidades de suas organizações. Para obter mais informações, comece com a visão geral da recuperação do BitLocker na documentação de segurança do Windows.

Permissões para gerenciar o BitLocker

Para gerenciar o BitLocker no Intune, a conta precisa ter as permissões de RBAC (controle de acesso baseado em função) do Intune aplicáveis.

As seguintes são permissões do BitLocker, que fazem parte da categoria Tarefas remotas, bem como as funções RBAC internas que concedem a permissão:

• Rotacionar as chaves do BitLocker
  • Operador do Suporte Técnico

Criar e implantar política

Use um dos procedimentos a seguir para criar o tipo de política que você preferir.

Criar uma política de segurança de ponto de extremidade para BitLocker

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Segurança do ponto de extremidade>Criptografia de disco>Criar Política.

3. Configure as seguintes opções:

   1. Plataforma: Windows 10/11
   2. Perfil: BitLocker

   

4. Na página Definições de configuração, defina as configurações do BitLocker para atender às suas necessidades de negócios.

   Selecione Avançar.

5. Na página Escopo (Marcas), escolha Selecionar marcas de escopo para abrir o painel Selecionar marcas e atribuir marcas de escopo ao perfil.

   Selecione Avançar para continuar.

6. Na página Atribuições, selecione os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira Atribuir perfis de usuário e dispositivo.

   Selecione Avançar.

7. Quando terminar, escolha Criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar um perfil de configuração de dispositivo para o BitLocker

1. Entre no Centro de administração do Microsoft Intune.

2. SelecioneConfiguração>de Dispositivos> Na guia Políticas, selecione Criar.

3. Configure as seguintes opções:

   1. Plataforma: Windows 10 e posterior
   2. Tipo de perfil: selecione Modelos>proteção de ponto de extremidade e selecione Criar.

   

4. Na página Definições de configuração, expanda Criptografia do Windows.

   

5. Defina as configurações do BitLocker de acordo com suas necessidades de negócios.

   Se quiser habilitar o BitLocker silenciosamente, confira a seção Habilitar o BitLocker silenciosamente nos dispositivos neste artigo para obter informações sobre os pré-requisitos adicionais e as configurações específicas que devem ser usadas.

6. Selecione Avançar para continuar.

7. Conclua a definição de configurações adicionais e, em seguida, salve o perfil.

Gerenciar o BitLocker

Os seguintes assuntos podem ajudá-lo a gerenciar tarefas específicas por meio da política do BitLocker e gerenciar chaves de recuperação:

• Habilitar o BitLocker silenciosamente nos dispositivos
• Disco completo versus criptografia somente de Espaço Usado
• Visualizar detalhes das chaves de recuperação
• Exibir as chaves de recuperação para dispositivos conectados ao locatário
• Girar as chaves de recuperação do BitLocker

Para exibir informações sobre dispositivos que recebem a política do BitLocker, confira Monitorar criptografia de disco.

Habilitar o BitLocker silenciosamente nos dispositivos

Você pode configurar uma política para o BitLocker criptografar automaticamente e silenciosamente um dispositivo sem apresentar nenhuma interface do usuário ao usuário final, mesmo quando esse usuário não é um administrador local no dispositivo.

Para serem bem-sucedidos, os dispositivos devem atender aos seguintes pré-requisitos de dispositivo, receber as configurações aplicáveis para habilitar silenciosamente o BitLocker e não devem ter configurações que exijam o uso de um PIN de inicialização TPM ou chave. O uso de um PIN ou chave de inicialização é incompatível com a criptografia silenciosa, pois requer interação do usuário.

Pré-requisitos do Dispositivo

o dispositivo precisa atender às seguintes condições para estar qualificado para habilitar o BitLocker silenciosamente:

• Se os usuários finais entrarem nos dispositivos como Administradores, o dispositivo deverá executar Windows 10 versão 1803 ou posterior ou Windows 11.
• Se os usuários finais entrarem nos dispositivos como Usuários Padrão, o dispositivo deverá Windows 10 versão 1809 ou posterior ou o Windows 11.
• O dispositivo deve ser Microsoft Entra ingressado ou Microsoft Entra híbrido ingressado.
• O dispositivo deve conter pelo menos o TPM (Trusted Platform Module) 1.2.
• O modo BIOS deve ser configurado como somente UEFI Nativo.

Configurações necessárias para habilitar silenciosamente o BitLocker

Dependendo do tipo de política que você usa para habilitar silenciosamente o BitLocker, defina as configurações a seguir. Ambos os métodos gerenciam o BitLocker por meio de CSPs de criptografia do Windows em dispositivos Windows.

• Política de criptografia de disco de segurança do ponto de extremidade – Configure as seguintes configurações no perfil do BitLocker:

  • Exigir criptografia = de dispositivoHabilitado
  • Permitir aviso para outra criptografia = de discoDesativado

  

  Além das duas configurações necessárias, considere o uso de Configurar rotação de senha de recuperação.

• Política de proteção de ponto de extremidade de configuração do dispositivo – Configure as seguintes configurações no modelo de proteção do Ponto de Extremidade ou em um perfil de configurações personalizadas :

  • Aviso para outras criptografias de disco = Bloquear.
  • Permitir que usuários padrão habilitem a criptografia durante Microsoft Entra ingressar em = Permitir
  • Criação de usuário da chave = de recuperaçãoPermitir ou não permitir a chave de recuperação de 256 bits
  • Criação de usuário da senha = de recuperaçãoPermitir ou exigir senha de recuperação de 48 dígitos

PIN ou chave de inicialização do TPM

Um dispositivo não deve ser definido para exigir um PIN de inicialização ou uma chave de inicialização.

Quando um PIN de inicialização do TPM ou uma chave de inicialização é necessário em um dispositivo, o BitLocker não pode habilitar silenciosamente no dispositivo e, em vez disso, requer interação do usuário final. As configurações para configurar o PIN ou a chave de inicialização do TPM estão disponíveis no modelo de proteção de ponto de extremidade e na política do BitLocker. Por padrão, essas políticas não configuram essas configurações.

A seguir estão as configurações relevantes para cada tipo de perfil:

Política de criptografia de disco de segurança do ponto de extremidade – as configurações do TPM só ficam visíveis depois que você expande a categoria Modelos Administrativos e, em seguida, na seção Unidades do Sistema Operacional de Criptografia > de Unidade do Windows > BitLockerExigir autenticação adicional na inicialização para Habilitado. Quando configuradas, as seguintes configurações de TPM estão disponíveis:

• Configurar a chave de inicialização do TPM e o PIN – Configure isso como Não permitir a chave de inicialização e o PIN com o TPM

• Configurar o PIN de inicialização do TPM – Configure isso como Não permitir o PIN de inicialização com o TPM

• Configurar a inicialização do TPM – Configure isso como Permitir TPM ou Exigir TPM

• Configurar a chave de inicialização do TPM – Configure isso como Não permitir a chave de inicialização com o TPM

Política de configuração do dispositivo - No modelo de proteção de ponto de extremidade, você encontrará as seguintes configurações na categoria Criptografia do Windows:

• Inicialização do TPM compatível - Configure isso como Permitir TPM ou Exigir TPM
• PIN de inicialização TPM compatível - Configure como Não permitir PIN de inicialização com TPM
• Chave de inicialização do TPM compatível - Configure-a como Não permitir a chave de inicialização com o TPM
• Chave de inicialização do TPM compatível e pin - Configure isso como Não permitir chave de inicialização e PIN com o TPM

Aviso

Embora nem a segurança do ponto de extremidade nem as políticas de configuração do dispositivo definam as configurações do TPM por padrão, algumas versões da linha de base de segurança do Microsoft Defender for Endpoint configurarão o PIN de inicialização do TPM compatível e a chave de inicialização do TPM compatível por padrão. Essas configurações podem bloquear a habilitação silenciosa do BitLocker.

Se você implantar essa linha de base em dispositivos nos quais deseja habilitar silenciosamente o BitLocker, examine suas configurações de linha de base em caso de possíveis conflitos. Para remover conflitos, reconfigure as configurações nas linhas de base para remover o conflito ou remova os dispositivos aplicáveis de receber as instâncias de linha de base que definem as configurações do TPM que bloqueiam a habilitação silenciosa do BitLocker.

Disco completo versus criptografia somente de Espaço Usado

Três configurações determinam se uma unidade do sistema operacional será criptografada criptografando apenas o espaço usado ou por criptografia de disco completa:

• Se o hardware do dispositivo tem o recurso de modo de espera moderno
• Se a habilitação silenciosa foi configurada para o BitLocker
  • ('Aviso para outra criptografia de disco' = Bloquear ou 'Ocultar prompt sobre criptografia de terceiros' = Sim)
• Configuração do SystemDrivesEncryptionType
  • (Impor tipo de criptografia de unidade em unidades do sistema operacional)

Supondo que SystemDrivesEncryptionType não tenha sido configurado, o seguinte é o comportamento esperado. Quando a habilitação silenciosa é configurada em um dispositivo de espera moderno, a unidade do sistema operacional é criptografada usando a criptografia somente de espaço usado. Quando a habilitação silenciosa é configurada em um dispositivo que não é capaz de fazer espera moderna, a unidade do sistema operacional é criptografada usando criptografia de disco completa. O resultado é o mesmo se você estiver usando uma política de criptografia de disco do Endpoint Security para BitLocker ou um perfil de Configuração de Dispositivo para proteção de ponto de extremidade para BitLocker. Se um estado final diferente for necessário, o tipo de criptografia poderá ser controlado configurando o SystemDrivesEncryptionType usando o catálogo de configurações.

Para verificar se o hardware tem o recurso de espera moderna, execute o seguinte comando em um prompt de comando:

powercfg /a

Se o dispositivo for compatível com o espera moderno, ele mostrará que a rede de espera (S0 Low Power Idle) está disponível

Se o dispositivo não oferecer suporte a espera moderna, como uma máquina virtual, ele mostrará que não há suporte para conexão de rede de espera (S0 Low Power Idle)

Para verificar o tipo de criptografia, execute o seguinte comando em um prompt de comando com privilégios elevados (administrador):

manage-bde -status c:

O campo 'Status de Conversão' reflete o tipo de criptografia como somente espaço usado criptografado ou totalmente criptografado.

Para alterar o tipo de criptografia de disco entre criptografia de disco completa e criptografia de espaço usado, use o tipo de criptografia de unidade 'Impor tipo de criptografia em unidades do sistema operacional dentro do catálogo de configurações.

Visualizar detalhes das chaves de recuperação

O Intune fornece acesso à folha Microsoft Entra para BitLocker para que você possa exibir IDs de chave do BitLocker e chaves de recuperação para seus dispositivos Windows 10/11, de dentro do centro de administração Microsoft Intune. O suporte para exibir as chaves de recuperação também pode se estender aos seus dispositivos conectados ao locatário.

Para ser acessível, o dispositivo deve ter suas chaves armazenadas para Microsoft Entra.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo na lista e, em Monitorar, selecione Chaves de recuperação.

4. Clique em Mostrar a Chave de Recuperação. Selecionar isso gera uma entrada de log de auditoria na atividade 'KeyManagement'.

   Quando as chaves estão disponíveis no Microsoft Entra, as seguintes informações estão disponíveis:

   • ID de chave do BitLocker
   • Chave de recuperação do BitLocker
   • Tipo de Unidade de Disco

   Quando as chaves não estiverem em Microsoft Entra, o Intune exibirá nenhuma chave BitLocker encontrada para este dispositivo.

Observação

Atualmente, Microsoft Entra ID dá suporte a no máximo 200 chaves de recuperação do BitLocker por dispositivo. Caso atinja esse limite, haverá uma falha na criptografia silenciosa devido ao backup de chaves de recuperação com falha antes do início da criptografia no dispositivo.

As informações do BitLocker são obtidas usando o provedor de serviço de configuração (CSP) do BitLocker. O CSP do BitLocker tem suporte no Windows 10 versão 1703 e posteriores, no Windows 10 Pro versão 1809 e posteriores e no Windows 11.

Os administradores de TI precisam ter uma permissão específica no Microsoft Entra ID para poder ver as chaves de recuperação do BitLocker do dispositivo: microsoft.directory/bitlockerKeys/key/read. Há algumas funções no Microsoft Entra ID que vêm com essa permissão, incluindo Administrador de Dispositivos de Nuvem, Administrador do Helpdesk etc. Para obter mais informações sobre quais funções Microsoft Entra têm quais permissões, consulte Microsoft Entra funções internas.

Todos os acessos à chave de recuperação do BitLocker são auditados. Para obter mais informações sobre entradas do Log de Auditoria, confira Logs de auditoria do Portal do Azure.

Observação

Se você excluir o objeto Intune para um dispositivo ingressado Microsoft Entra protegido pelo BitLocker, a exclusão disparará uma sincronização de dispositivo do Intune e removerá os protetores de chave para o volume do sistema operacional. Remover o protetor de teclas deixa o BitLocker em um estado suspenso nesse volume. Isso é necessário porque as informações de recuperação do BitLocker para Microsoft Entra dispositivos ingressados estão anexadas ao objeto Microsoft Entra computador e excluí-lo pode deixá-lo incapaz de se recuperar de um evento de recuperação do BitLocker.

Exibir as chaves de recuperação para dispositivos conectados ao locatário

Quando você configurou o cenário de anexação de locatário, Microsoft Intune pode exibir dados de chave de recuperação para dispositivos anexados ao locatário.

• Para suportar à exibição de chaves de recuperação para dispositivos anexados ao locatário, seus sites do Configuration Manager devem executar a versão 2107 ou posterior. Para sites que executam o 2107, você deve instalar uma reversão de atualização para dar suporte a dispositivos ingressados Microsoft Entra: consulte KB11121541.

• Para exibir as chaves de recuperação, sua conta do Intune deve ter as permissões RBAC do Intune para exibir as chaves do BitLocker e deve ser associada a um usuário local que tenha as permissões relacionadas para Configuration Manager de Função de Coleção, com Permissão de Leitura Permissão Leia Permissão > de Chave de Recuperação do BitLocker. Para obter mais informações, consulte Configurar a administração baseada em função para o Configuration Manager.

Rotacionar as chaves de recuperação do BitLocker

Você pode usar uma ação de dispositivo do Intune para rotacionar remotamente a chave de recuperação do BitLocker de um dispositivo executando o Windows 10 versão 1909 ou posterior ou Windows 11.

Pré-requisitos

Para dar suporte à rotação da chave de recuperação do BitLocker, os dispositivos devem atender aos seguintes pré-requisitos:

• Os dispositivos precisam estar executando o Windows 10 versão 1909 ou posterior ou o Windows 11.

• Microsoft Entra ingressados e Microsoft Entra dispositivos híbridos ingressados devem ter suporte para rotação de chaves habilitada por meio da configuração de política do BitLocker:

  • Rotação de senha de recuperação orientada pelo cliente para Habilitar a rotação em dispositivos ingressados Microsoft Entra ou Habilitar rotação em dispositivos ingressados híbridos Microsoft Entra ID e Microsoft Entra ingressados em dispositivos híbridos
  • Salvar informações de recuperação do BitLocker para Microsoft Entra ID para Habilitado
  • Armazenar informações de recuperação no Microsoft Entra ID antes de habilitar o BitLocker para Obrigatório

Para obter informações sobre implantações e requisitos do BitLocker, confira o gráfico de comparação de implantação do BitLocker.

Para rotacionar a chave de recuperação do BitLocker

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Todos os dispositivos.

3. Na lista de dispositivos que você gerencia, selecione um dispositivo e selecione a ação remota do dispositivo de rotação de chaves do BitLocker . Se essa opção deve estar disponível, mas não estiver visível, selecione as reticências (...) e, em seguida, a rotação de chave do BitLocker.

4. Na página Visão Geral do dispositivo, selecione Rotação de chaves do BitLocker. Se não estiver vendo essa opção, selecione os três pontos (…) para mostrar opções adicionais e, em seguida, selecione a ação remota do dispositivo de Rotação de chave do BitLocker.

   

Próximas etapas

• Gerenciar a política do FileVault
• Monitorar a criptografia de disco
• Solução de problemas da política do BitLocker
• Problemas conhecidos para aplicar políticas do BitLocker com o Intune
• Gerenciamento do BitLocker para empresas, na documentação de segurança do Windows