Configurações da política de criptografia de disco para segurança do ponto de extremidade no Intune

Veja as definições que você pode configurar em perfis para a política de Criptografia de Disco no nó de segurança do ponto de extremidade do Intune como parte de uma Política de segurança do ponto de extremidade.

Perfis e plataformas compatíveis:

  • macOS:
    • Perfil: FileVault
  • Windows 10 e versões mais recentes:
    • Perfil: BitLocker

FileVault

Criptografia

Habilitar FileVault

  • Não configurado (padrão)

  • Sim – habilitar criptografia de disco completa usando o XTS-AES 128 com o FileVault em dispositivos que executam o macOS 10.13 e posterior. O FileVault é habilitado quando o usuário sai do dispositivo.

    Quando definido como Sim, você pode definir configurações adicionais para o FileVault.

    • Tipo de chave de recuperação Chave pessoal chaves de recuperação são criadas para dispositivos. Defina as configurações a seguir para a chave pessoal:

      • Rotação de chave de recuperação pessoal
        Especifique com que frequência a chave de recuperação pessoal de um dispositivo será girada. Você pode selecionar o padrão de Não Configurado ou um valor de 1 a 12 meses.
      • Descrição da localização do caução da chave de recuperação pessoal
        Especifique uma mensagem curta para o usuário que explica como ele pode recuperar a chave de recuperação pessoal. O usuário vê essa mensagem na tela de entrada quando é solicitado a inserir sua chave de recuperação pessoal se uma senha for esquecida.
    • Número de vezes em que é permitido ignorar
      Defina o número de vezes que um usuário pode ignorar os prompts para habilitar o FileVault até que o FileVault se torne obrigatório para que o usuário possa entrar.

      • Não configurado (padrão) – a criptografia no dispositivo é necessária antes que a próxima conexão seja permitida.
      • 1 a 10 – Permite que um usuário ignore o aviso de 1 a 10 vezes antes de exigir a criptografia no dispositivo.
      • Sem limite, sempre solicitar – é solicitado ao usuário que habilite o FileVault, mas a criptografia nunca é exigida.
    • Permitir o adiamento até a saída

      • Não configurado (padrão)
      • Sim – adiar a solicitação para habilitar FileVault até que o usuário saia.
    • Desabilitar o aviso ao sair
      Impedir o aviso fornecido aos usuários, solicitando que eles habilitem o FileVault quando se desconectarem. Quando definido como Desabilitar, o aviso na saída é desabilitado e, em vez disso, o usuário recebe um aviso quando entra.

      • Não configurado (padrão)
      • Sim – desabilitar o prompt para habilitar FileVault que aparece na saída.
    • Ocultar a chave de recuperação
      Ocultar a chave de recuperação pessoal do usuário do dispositivo macOS durante a criptografia. Após o disco ser criptografado, um usuário pode usar qualquer dispositivo para exibir sua chave de recuperação pessoal por meio do site Portal da Empresa do Intune ou do aplicativo do portal da empresa em uma plataforma com suporte.

      • Não configurado (padrão)
      • Sim – ocultar a chave de recuperação pessoal durante a criptografia do dispositivo.

BitLocker

BitLocker – configurações base

  • Habilitar criptografia de disco total para sistemas operacionais e unidades de dados fixas
    CSP: BitLocker – RequireDeviceEncryption

    Se a unidade tiver sido criptografada antes da aplicação dessa política, nenhuma ação extra será executada. Se o método e as opções de criptografia corresponderem aos dessa política, a configuração deverá retornar êxito. Se uma opção de configuração do BitLocker in-loco não corresponder a essa política, a configuração provavelmente retornará um erro.

    Para aplicar essa política a um disco já criptografado, descriptografe a unidade e reaplique a política de MDM. O padrão do Windows é não exigir criptografia de unidade de disco BitLocker. No entanto, no registro/logon do Azure AD Join e MSA (Conta Microsoft), a criptografia automática pode ser aplicada habilitando o BitLocker na criptografia XTS-AES de 128 bits.

    • Não configurado (padrão) – não ocorre nenhuma imposição de BitLocker.
    • Sim – impor o uso do BitLocker.
  • Exigir que os cartões de memória sejam criptografados (somente dispositivo móvel)
    CSP: BitLocker – RequireStorageCardEncryption

    Essa configuração se aplica somente a dispositivos Windows Mobile e Mobile Enterprise SKU.

    • Não configurado (padrão) – a configuração retorna ao padrão do sistema operacional, que não requer criptografia de cartão de memória.
    • Sim – a criptografia em cartões de memória é necessária para dispositivos móveis.

    Observação

    O suporte para o Windows 10 Mobile e o Windows Phone 8.1 foi encerrado em agosto de 2020.

  • Ocultar o aviso sobre a criptografia de terceiros
    CSP: BitLocker – AllowWarningForOtherDiskEncryption

    Se o BitLocker estiver habilitado em um sistema que já esteja criptografado por um produto de criptografia de terceiros, ele poderá inutilizar o dispositivo. Pode ocorrer perda de dados e talvez seja necessário reinstalar o Windows. É altamente recomendável nunca habilitar o BitLocker em um dispositivo que tenha criptografia de terceiros instalada ou habilitada.

    Por padrão, o assistente de instalação do BitLocker solicita que os usuários confirmem que nenhuma criptografia de terceiros está em vigor.

    • Não configurado (padrão) – o assistente de instalação do BitLocker exibe um aviso e solicita que os usuários confirmem que não há criptografia de terceiros presente.
    • Sim – ocultar dos usuários o prompt de assistentes de instalação do BitLocker.

    Se os recursos de habilitação silenciosa do BitLocker forem necessários, o aviso de criptografia de terceiros deverá ser ocultado, pois qualquer prompt necessário interromperá os fluxos de trabalho de habilitação silenciosa.

    Quando definida como Sim, é possível definir a seguinte configuração:

    • Permitir que os usuários padrão habilitem a criptografia durante o Autopilot
      CSP: BitLocker – AllowStandardUserEncryption

      • Não configurado (padrão) – a configuração é deixada como padrão do cliente, que deve exigir acesso de administrador local para habilitar o BitLocker.
      • Sim – durante os cenários de ativação silenciosa da AADJ (Junção do Azure Active Directory), os usuários não precisam ser administradores locais para habilitar o BitLocker.

      Para cenários de habilitação não silenciosa e Autopilot, o usuário deve ser um administrador local para concluir o assistente de instalação do BitLocker.

  • Configurar rotação de senha de recuperação controlada pelo cliente
    CSP: BitLocker – ConfigureRecoveryPasswordRotation

    Não há suporte para dispositivos AWA (adicionar conta corporativa ou, formalmente, ingressados no local de trabalho) para a rotação de chaves.

    • Não configurado (padrão) – o cliente não gira as chaves de recuperação do BitLocker.
    • Desabilitado
    • Dispositivos vinculados ao Azure AD
    • Azure AD e dispositivos ingressados híbridos

BitLocker – configurações de unidade fixa

  • Política de unidade fixa do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Recuperação de unidade fixa
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Controle como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias.

      • Não configurado (padrão) – há suporte para as opções de recuperação padrão, incluindo DRA (agente de recuperação de dados). O usuário final pode especificar opções de recuperação e as informações de recuperação não são submetidas a backup no Azure Active Directory.
      • Configurar – habilite o acesso para configurar várias técnicas de recuperação de unidade.

      Quando definido como Habilitado, as seguintes configurações ficam disponíveis:

      • Criação de chave de recuperação pelo usuário

        • Bloqueado (padrão)
        • Necessária
        • Permitido
      • Configurar o pacote de recuperação do BitLocker

        • Senha e chave (padrão) – inclua a senha de recuperação do BitLocker que é usada por administradores e usuários para desbloquear unidades protegidas e pacotes de chave de recuperação usados por administradores para fins de recuperação de dados no Active Directory.
        • Somente senha – os pacotes de chave de recuperação podem não estar acessíveis quando necessário.
      • Exigir que o dispositivo faça backup das informações de recuperação no Azure AD

        • Não configurado (padrão) – a habilitação do BitLocker será concluída mesmo se o backup da chave de recuperação para o Azure AD falhar. Isso pode fazer com que nenhuma informação de recuperação seja armazenada externamente.
        • Sim – o BitLocker não concluirá a habilitação até que as chaves de recuperação tenham sido salvas com êxito no Azure Active Directory.
      • Criação de senha de recuperação pelo usuário

        • Bloqueado (padrão)
        • Necessária
        • Permitido
      • Ocultar as opções de recuperação durante a instalação do BitLocker

        • Não configurado (padrão) – permitir que o usuário acesse opções de recuperação extras.
        • Sim – impedir que o usuário final escolha opções de recuperação extras, como imprimir chaves de recuperação durante o assistente de instalação do BitLocker.
      • Habilitar o BitLocker depois que as informações de recuperação forem armazenadas

        • Não configurado (padrão)
        • Sim
      • Bloquear o uso do DRA (agente de recuperação de dados) com base em certificado

        • Não configurado (padrão) – permitir o uso do DRA a ser configurado. A configuração do DRA requer uma PKI corporativa e Objetos de Política de Grupo para implantar o agente DRA e os certificados.
        • Sim – bloquear a capacidade de usar o DRA (Agente de Recuperação de Dados) para recuperar unidades habilitadas para BitLocker.
    • Bloquear o acesso de gravação a unidades de dados fixas não protegidas pelo BitLocker
      CSP: BitLocker – FixedDrivesRequireEncryption
      Essa configuração está disponível quando a política de unidade fixa do BitLocker está definida como Configurar.

      • Não configurado (padrão) – os dados podem ser gravados em unidades fixas não criptografadas.
      • Sim – o Windows não permitirá que nenhum dado seja gravado em unidades fixas não protegidas pelo BitLocker. Se uma unidade fixa não estiver criptografada, o usuário precisará concluir o assistente de instalação do BitLocker para a unidade antes da concessão do acesso de gravação.
    • Configurar o método de criptografia para unidades de dados fixas
      CSP: BitLocker – EncryptionMethodByDriveType

      Configurar o método de criptografia e o nível de codificação de discos de unidades de dados fixas. XTS AES de 128 bits é o método de criptografia padrão do Windows e o valor recomendado.

      • Não configurado (padrão)
      • CBC AES de 128 bits
      • CBC AES de 256 bits
      • XTS AES de 128 bits
      • XTS AES de 256 bits

BitLocker – configurações da unidade do SO

  • Política de unidade de sistema do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Configurar (padrão)
    • Não configurado

    Quando está como Configurar, você pode definir as seguintes configurações:

    • Autenticação de inicialização necessária
      CSP: BitLocker – SystemDrivesRequireStartupAuthentication

      • Não configurado (padrão)
      • Sim – configure os requisitos de autenticação adicionais na inicialização do sistema, incluindo o uso do TPM (Trusted Platform Module) ou requisitos de PIN de inicialização.

      Quando definida como Sim, é possível definir as seguintes configurações:

      • Inicialização do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        É recomendável exigir um TPM para o BitLocker. Essa configuração se aplica somente ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já está habilitado.

        • Bloqueado (padrão) – o BitLocker não usa o TPM.
        • Obrigatório – o BitLocker é habilitado apenas se um TPM estiver presente e for utilizável.
        • Permitido – o BitLocker usará o TPM se ele estiver presente.
      • PIN de inicialização do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloquear o uso de um PIN.
        • Obrigatório – exigir a presença de um PIN e do TPM para habilitar o BitLocker.
        • Permitido – o BitLocker usará o TPM se ele estiver presente e permitirá que um PIN de inicialização seja configurado pelo usuário.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Os cenários de habilitação silenciosa (incluindo o Autopilot) não terão êxito quando a interação do usuário for necessária.

      • Chave de inicialização do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloquear o uso de chaves de inicialização.
        • Obrigatório – exigir a presença de uma chave de inicialização e do TPM para habilitar o BitLocker.
        • Permitido – o BitLocker usará o TPM se ele estiver presente e permitirá que uma chave de inicialização (como uma unidade USB) esteja presente para desbloquear as unidades.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Os cenários de habilitação silenciosa (incluindo o Autopilot) não terão êxito quando a interação do usuário for necessária.

      • PIN e chave de inicialização do TPM compatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        • Bloqueado (padrão) – bloqueie o uso de uma chave de inicialização e uma combinação de PIN.
        • Obrigatório – exigir que o BitLocker tenha uma chave de inicialização e um PIN presentes para serem habilitados.
        • Permitido – o BitLocker usa o TPM se ele estiver presente e permite uma combinação de chave de inicialização e PIN.

        Para cenários de habilitação silenciosa, você deve definir isso como Bloqueado. Os cenários de habilitação silenciosa (incluindo o Autopilot) não terão êxito quando a interação do usuário for necessária.

      • Desabilitar o BitLocker nos dispositivos com os quais o TPM é incompatível
        CSP: BitLocker – SystemDrivesRequireStartupAuthentication

        Se nenhum TPM estiver presente, o BitLocker exigirá uma senha ou unidade USB para inicialização.

        Essa configuração se aplica somente ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já está habilitado.

        • Não configurado (padrão)
        • Sim – bloquear a configuração do BitLocker sem um chip TPM compatível.
      • Habilitar URL e mensagem de recuperação pré-inicialização
        CSP: BitLocker – SystemDrivesRecoveryMessageconfigure

        • Não configurado (padrão) – use as informações de recuperação de pré-inicialização do BitLocker padrão.
        • Sim – habilite a configuração de uma mensagem e URL de recuperação pré-inicialização personalizada para ajudar os usuários a entender como encontrar a senha de recuperação. A mensagem e a URL de pré-inicialização são vistas pelos usuários quando eles são bloqueados em seu PC no modo de recuperação.

        Quando definida como Sim, é possível definir as seguintes configurações:

        • Mensagem de recuperação pré-inicialização
          Especifique uma mensagem de recuperação de pré-inicialização personalizada.

        • URL de recuperação pré-inicialização
          Especifique uma URL de recuperação de pré-inicialização personalizada.

      • Recuperação da unidade do sistema
        CSP: BitLocker – SystemDrivesRecoveryOptions

        • Não configurado (padrão)
        • Configurar – habilite a configuração de definições adicionais.

        Quando definido como Habilitado, as seguintes configurações ficam disponíveis:

        • Criação de chave de recuperação pelo usuário

          • Bloqueado (padrão)
          • Necessária
          • Permitido
        • Configurar o pacote de recuperação do BitLocker

          • Senha e chave (padrão) – inclua a senha de recuperação do BitLocker que é usada por administradores e usuários para desbloquear unidades protegidas e pacotes de chave de recuperação usados por administradores para fins de recuperação de dados no Active Directory.
          • Somente senha – os pacotes de chave de recuperação podem não estar acessíveis quando necessário.
        • Exigir que o dispositivo faça backup das informações de recuperação no Azure AD

          • Não configurado (padrão) – a habilitação do BitLocker será concluída mesmo se o backup da chave de recuperação para o Azure AD falhar. Isso pode fazer com que nenhuma informação de recuperação seja armazenada externamente.
          • Sim – o BitLocker não concluirá a habilitação até que as chaves de recuperação tenham sido salvas com êxito no Azure Active Directory.
        • Criação de senha de recuperação pelo usuário

          • Bloqueado (padrão)
          • Necessária
          • Permitido
        • Ocultar as opções de recuperação durante a instalação do BitLocker

          • Não configurado (padrão) – permitir que o usuário acesse opções de recuperação extras.
          • Sim – impedir que o usuário final escolha opções de recuperação extras, como imprimir chaves de recuperação durante o assistente de instalação do BitLocker.
        • Habilitar o BitLocker depois que as informações de recuperação forem armazenadas

          • Não configurado (padrão)
          • Sim
        • Bloquear o uso do DRA (agente de recuperação de dados) com base em certificado

          • Não configurado (padrão) – permitir o uso do DRA a ser configurado. A configuração do DRA requer uma PKI corporativa e Objetos de Política de Grupo para implantar o agente DRA e os certificados.
          • Sim – bloquear a capacidade de usar o DRA (Agente de Recuperação de Dados) para recuperar unidades habilitadas para BitLocker.
      • Tamanho mínimo do PIN
        CSP: BitLocker – SystemDrivesMinimumPINLength

        Especifique o comprimento mínimo do PIN de inicialização quando o TPM + PIN for necessário durante a habilitação do BitLocker. O comprimento do PIN deve ter entre quatro e 20 dígitos.

        Se você não definir essa configuração, os usuários poderão configurar um PIN de inicialização de qualquer tamanho (entre quatro e 20 dígitos)

        Essa configuração se aplica somente ao habilitar o BitLocker pela primeira vez e não tem efeito se o BitLocker já está habilitado.

    • Configurar o método de criptografia para unidades do Sistema Operacional
      CSP: BitLocker – EncryptionMethodByDriveType

      Configurar o método de criptografia e o nível de codificação de unidades do SO. XTS AES de 128 bits é o método de criptografia padrão do Windows e o valor recomendado.

      • Não configurado (padrão)
      • CBC AES de 128 bits
      • CBC AES de 256 bits
      • XTS AES de 128 bits
      • XTS AES de 256 bits

BitLocker – configurações da unidade removível

  • Política de unidade removível do BitLocker
    CSP: BitLocker – EncryptionMethodByDriveType

    • Não configurado (padrão)
    • Configure

    Quando está como Configurar, você pode definir as seguintes configurações.

    • Configurar o método de criptografia para unidades de dados removíveis
      CSP: BitLocker – EncryptionMethodByDriveType

      Selecione o método de criptografia desejado para discos de unidades de dados removíveis.

      • Não configurado (padrão)
      • CBC AES de 128 bits
      • CBC AES de 256 bits
      • XTS AES de 128 bits
      • XTS AES de 256 bits
    • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
      CSP: BitLocker – RemovableDrivesRequireEncryption

      • Não configurado (padrão) – os dados podem ser gravados em unidades removíveis não criptografadas.

      • Sim – o Windows não permite que os dados sejam gravados em unidades removíveis que não estão protegidas pelo BitLocker. Se uma unidade removível inserida não estiver criptografada, o usuário deverá concluir o assistente de instalação do BitLocker antes que o acesso de gravação seja concedido à unidade.

      • Bloquear o acesso de gravação a unidades de dados removíveis não protegidas pelo BitLocker
        CSP: BitLocker – RemovableDrivesRequireEncryption

        • Não configurado (padrão) – qualquer unidade criptografada do BitLocker pode ser usada.
        • Sim – bloquear o acesso a unidades removíveis, a menos que elas tenham sido criptografadas em um computador de propriedade de sua organização.

Próximas etapas

Política de segurança do ponto de extremidade para criptografia de disco