分享方式:

Intune 中端點安全性的磁碟加密原則設定

  • 文章

檢視您可以在端點安全策略的端點安全性節點中,於磁碟加密原則的配置檔中設定 Intune 設定。

適用於:

  • macOS
  • Windows 10
  • Windows 11

支援的平台與設定檔:

  • macOS
    • 配置檔: FileVault
  • Windows 10 及更新版本
    • 配置檔: BitLocker

FileVault

加密

啟用 FileVault

  • 未設定 ()

  • - 在執行 macOS 10.13 和更新版本的裝置上,搭配 FileVault 使用 XTS-AES 128 啟用完整磁碟加密。 當使用者註銷裝置時,會啟用 FileVault。

    當設定為 [是] 時,您可以為 FileVault 設定更多設定。

    • 系統會為裝置建立修復金鑰類型個人金鑰修復金鑰。 為個人金鑰設定下列設定:

      • 個人修復金鑰輪替
        指定裝置的個人修復金鑰旋轉頻率。 您可以選取 [ 未設定] 的預設值,或 112 個月的值。
      • 個人修復金鑰的委付位置描述
        指定簡短訊息給使用者,說明他們如何擷取其個人修復密鑰。 如果忘記密碼,當系統提示使用者輸入其個人修復密鑰時,使用者會在其登入畫面上看到此訊息。

    • 允許略過的次數
      在使用者需要 FileVault 登入之前,設定使用者可以忽略提示以啟用 FileVault 的次數。

      • 未設定 (預設) - 在允許下一次登入之前,需要在裝置上加密。
      • 110 - 允許使用者在裝置上要求加密之前,先忽略 1 到 10 次的提示。
      • 沒有限制,一律提示 - 系統會提示使用者啟用 FileVault,但永遠不需要加密。

    • 允許延遲直到註銷為止

      • 未設定 ()
      • - 延遲啟用 FileVault 的提示,直到使用者註銷為止。

    • 停用註銷時的提示
      防止使用者在註銷時要求他們啟用 FileVault 的提示。當設定為 [停用] 時,會停用註銷時的提示,而會在使用者登入時收到提示。

      • 未設定 ()
      • - 停用提示以啟用註銷時出現的 FileVault。

    • 隱藏修復金鑰
      在加密期間向 macOS 裝置的使用者隱藏個人修復金鑰。 加密磁碟之後,使用者可以使用任何裝置,透過 Intune 公司入口網站 網站或支持平臺上的公司入口網站應用程式來檢視其個人修復密鑰。

      • 未設定 ()
      • -在裝置加密期間隱藏個人修復密鑰。

BitLocker

注意事項

本文詳細說明您可以在 2023 年 6 月 19 日之前針對端點安全性磁碟加密原則的 Windows 10 和更新版本平臺所建立的 BitLocker 配置檔中找到的設定。 在 2023 年 6 月 19 日,Windows 10 和更新版本的設定檔已更新為使用新的設定格式,如設定目錄中所示。 透過這項變更,您就無法再建立舊配置檔的新版本,也無法再進行開發。 雖然您無法再建立舊版配置檔的新實例,但您可以繼續編輯並使用您先前建立的檔案實例。

對於使用新設定格式的配置檔,Intune 不再依名稱維護每個設定的清單。 相反地,每個設定的名稱、其組態選項,以及您在 Microsoft Intune 系統管理中心看到的說明文字,都會直接從設定授權內容取得。 該內容可以提供有關在其適當內容中使用設定的詳細資訊。 檢視設定資訊文字時,您可以使用其 [ 深入瞭解] 鏈接來開啟該內容。

下列 Windows 設定檔的設定詳細資料適用於已淘汰的配置檔。

BitLocker – 基底設定

  • 啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
    CSP: BitLocker - RequireDeviceEncryption

    如果磁碟驅動器在套用此原則之前已加密,則不會採取任何額外的動作。 如果加密方法和選項符合此原則,設定應該會傳回成功。 如果就地 BitLocker 設定選項不符合此原則,則設定可能會傳回錯誤。

    若要將此原則套用至已加密的磁碟,請解密磁碟驅動器並重新套用 MDM 原則。 Windows 預設值是不需要 BitLocker 磁碟驅動器加密。 不過,在 Microsoft Entra 加入和 Microsoft 帳戶 (MSA) 註冊/登入自動加密可以套用啟用 XTS-AES 128 位加密的 BitLocker。

    • 未設定 (預設) - 不會強制執行 BitLocker。
    • - 強制使用 BitLocker。

  • 僅限行動裝置 (需要加密記憶體卡)
    CSP: BitLocker - RequireStorageCardEncryption

    此設定僅適用於 Windows 行動裝置版和行動裝置企業版 SKU 裝置。

    • 未設定 (預設) - 設定會回到 OS 預設值,也就是不需要記憶體卡加密。
    • -行動裝置需要記憶體卡片上的加密。

    注意事項

    Windows 10 行動裝置版Windows Phone 8.1 的支援已於 2020 年 8 月終止。

  • 隱藏有關第三方加密的提示
    CSP: BitLocker - AllowWarningForOtherDiskEncryption

    如果已在已由第三方加密產品加密的系統上啟用 BitLocker,則可能會使裝置無法使用。 數據可能會遺失,您可能需要重新安裝 Windows。 強烈建議您不要在已安裝或啟用第三方加密的裝置上啟用 BitLocker。

    根據預設,BitLocker 安裝精靈會提示使用者確認未備妥任何第三方加密。

    • 未設定 (預設) – BitLocker 安裝精靈會顯示警告,並提示使用者確認沒有第三方加密存在。
    • - 隱藏使用者的 BitLocker 安裝精靈提示。

    如果需要 BitLocker 無訊息啟用功能,則必須隱藏第三方加密警告,因為任何必要的提示都會中斷無訊息啟用工作流程。

    當設定為 [是] 時,您可以接著設定下列設定:

    • 允許標準使用者在 Autopilot 期間啟用加密
      CSP: BitLocker - AllowStandardUserEncryption

      • 未設定 (預設) – 設定會保留為客戶端預設值,也就是需要本機系統管理員存取權才能啟用 BitLocker。
      • - 在 Microsoft Entra 加入無訊息啟用案例期間,使用者不需要是本機系統管理員即可啟用 BitLocker。

      針對非無訊息啟用和 Autopilot 案例,用戶必須是本機系統管理員,才能完成 BitLocker 安裝精靈。

  • 設定客戶端驅動的修復密碼輪替
    CSP: BitLocker - ConfigureRecoveryPasswordRotation

    新增工作帳戶 (AWA,正式表示已加入工作場所) 裝置不支援密鑰輪替。

    • 未設定 (預設) – 用戶端不會輪替 BitLocker 修復密鑰。
    • Disabled
    • Microsoft Entra 加入的裝置
    • Microsoft Entra 混合式聯結裝置

BitLocker - 固定磁碟驅動器設定

  • BitLocker 固定磁碟驅動器原則
    CSP: BitLocker - EncryptionMethodByDriveType

    • 固定磁碟驅動器復原
      CSP: BitLocker - FixedDrivesRecoveryOptions

      控制在沒有必要啟動金鑰資訊的情況下,如何復原受 BitLocker 保護的固定數據磁碟驅動器。

      • 未設定 (預設 復原) - 支援預設復原選項,包括數據復原代理程式 (DRA) 。 終端使用者可以指定復原選項,且復原資訊不會備份到 Microsoft Entra。
      • 設定 – 啟用存取以設定各種磁碟驅動器復原技術。

      當設定為 [ 設定] 時 ,可以使用下列設定:

      • 使用者建立修復金鑰

        • 封鎖 (預設)
        • Required
        • 允許

      • 設定 BitLocker 復原套件

        • 密碼和金鑰 (預設) - 包含系統管理員和使用者用來解除鎖定受保護磁碟驅動器的 BitLocker 修復密碼,以及系統管理員用於 Active Directory 中數據復原用途的修復密鑰套件。
        • 僅限密碼 - 必要時可能無法存取修復金鑰套件。

      • 需要裝置備份復原資訊以 Microsoft Entra

        • 未設定 (預設) - 即使復原金鑰備份至 Microsoft Entra ID 失敗,BitLocker 啟用也會完成。 這可能會導致無法在外部儲存復原資訊。
        • - 在修復金鑰成功儲存至 Microsoft Entra 之前,BitLocker 將無法完成啟用。

      • 使用者建立修復密碼

        • 封鎖 (預設)
        • Required
        • 允許

      • 在 BitLocker 安裝期間隱藏復原選項

        • 未設定 (預設) - 允許使用者存取額外的復原選項。
        • -封鎖終端使用者選擇額外的復原選項,例如在 BitLocker 安裝精靈期間列印修復密鑰。

      • 在復原資訊儲存后啟用 BitLocker

        • 未設定 ()
        • - 藉由將此設定為 [是],BitLocker 復原資訊將會儲存至 Active Directory 網域服務。

      • 封鎖使用憑證型數據復原代理程式 (DRA)

        • 未設定 (預設) - 允許設定 DRA 的使用。 設定 DRA 需要企業 PKI 和 群組原則 Objects 來部署 DRA 代理程式和憑證。
        • - 封鎖使用 Data Recovery Agent (DRA) 來復原已啟用 BitLocker 的磁碟驅動器的能力。

    • 封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取
      CSP: BitLocker - FixedDrivesRequireEncryption
      BitLocker 固定磁碟驅動器原則 設定為 [設定] 時,即可使用此 設定

      • 未設定 (預設) - 資料可以寫入非加密的固定磁碟驅動器。
      • - Windows 不允許將任何數據寫入未受 BitLocker 保護的固定磁碟驅動器。 如果固定磁碟驅動器未加密,用戶必須先完成磁碟驅動器的 BitLocker 安裝精靈,才能授與寫入許可權。

    • 設定固定數據磁碟驅動器的加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      設定固定數據磁碟驅動器的加密方法和加密強度。 XTS- AES 128 位 是 Windows 預設加密方法和建議的值。

      • 未設定 ()
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS

BitLocker - OS 磁碟驅動器設定

  • BitLocker 系統磁碟驅動器原則
    CSP: BitLocker - EncryptionMethodByDriveType

    • 設定 ()
    • 未設定

    當設定為 [ 設定] 時 ,您可以設定下列設定:

    • 需要啟動驗證
      CSP: BitLocker - SystemDrivesRequireStartupAuthentication

      • 未設定 ()
      • - 在系統啟動時設定其他驗證需求,包括使用信賴平臺模組 (TPM) 或啟動 PIN 需求。

      當設定為 [是] 時,您可以設定下列設定:

      • 相容的 TPM 啟動
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        建議您針對 BitLocker 要求 TPM。 此設定僅適用於第一次啟用 BitLocker 時,如果已啟用 BitLocker,則不會有任何作用。

        • 封鎖 (預設) - BitLocker 不會使用 TPM。
        • 必要 - 只有當 TPM 存在且可供使用時,BitLocker 才會啟用。
        • 允許 - 如果 TPM 存在,BitLocker 會使用 TPM。

      • 相容的 TPM 啟動 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 封鎖 (預設) - 封鎖 PIN 的使用。
        • 必要 - 需要 PIN 和 TPM 才能啟用 BitLocker。
        • 允許 - 如果 TPM 存在,BitLocker 會使用 TPM,並允許使用者設定啟動 PIN。

        針對無訊息啟用案例,您必須將此設定為 [已封鎖]。 在需要用戶互動時,包含 Autopilot) (無訊息啟用案例將不會成功。

      • 相容的 TPM 啟動金鑰
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 封鎖 (預設) - 封鎖使用啟動金鑰。
        • 必要 - 需要啟動金鑰和 TPM 才能啟用 BitLocker。
        • 允許 - 如果 TPM 存在,BitLocker 會使用 TPM,並允許啟動密鑰 (,例如 USB 磁碟驅動器) 用來解除鎖定磁碟驅動器。

        針對無訊息啟用案例,您必須將此設定為 [已封鎖]。 在需要用戶互動時,包含 Autopilot) (無訊息啟用案例將不會成功。

      • 相容的 TPM 啟動金鑰和 PIN
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        • 封鎖 (預設) - 封鎖啟動金鑰和 PIN 組合的使用。
        • 必要 - 需要 BitLocker 具有啟動金鑰,且 PIN 已啟用。
        • 允許 - 如果 TPM 存在,BitLocker 會使用 TPM,並允許啟動密鑰) 和 PIN 組合。

        針對無訊息啟用案例,您必須將此設定為 [已封鎖]。 在需要用戶互動時,包含 Autopilot) (無訊息啟用案例將不會成功。

      • 在 TPM 不相容的裝置上停用 BitLocker
        CSP: BitLocker - SystemDrivesRequireStartupAuthentication

        如果沒有 TPM,BitLocker 需要密碼或 USB 磁碟驅動器才能啟動。

        此設定僅適用於第一次啟用 BitLocker 時,如果已啟用 BitLocker,則不會有任何作用。

        • 未設定 ()
        • - 禁止在沒有相容 TPM 晶片的情況下設定 BitLocker。

      • 啟用啟動前修復訊息和 URL
        CSP: BitLocker - SystemDrivesRecoveryMessage設定

        • 未設定 (預設) – 使用預設的 BitLocker 開機前復原資訊。
        • – 啟用自定義開機前修復訊息和 URL 的設定,以協助您的使用者瞭解如何尋找其修復密碼。 當用戶在恢復模式中鎖定計算機時,會看到開機前訊息和URL。

        當設定為 [是] 時,您可以設定下列設定:

        • 啟動前復原訊息
          指定自定義開機前復原訊息。

        • 啟動前復原 URL
          指定自定義開機前復原 URL。

      • 系統磁碟驅動器復原
        CSP: BitLocker - SystemDrivesRecoveryOptions

        • 未設定 ()
        • 設定 -啟用其他設定的設定。

        當設定為 [ 設定] 時 ,可以使用下列設定:

        • 使用者建立修復金鑰

          • 封鎖 (預設)
          • Required
          • 允許

        • 設定 BitLocker 復原套件

          • 密碼和金鑰 (預設) - 包含系統管理員和使用者用來解除鎖定受保護磁碟驅動器的 BitLocker 修復密碼,以及在 Active Directory 中) 系統管理員用於數據復原用途的修復金鑰套件。
          • 僅限密碼 - 必要時可能無法存取修復金鑰套件。

        • 需要裝置備份復原資訊以 Microsoft Entra

          • 未設定 (預設) - 即使復原金鑰備份至 Microsoft Entra ID 失敗,BitLocker 啟用也會完成。 這可能會導致無法在外部儲存復原資訊。
          • - 在修復金鑰成功儲存至 Microsoft Entra 之前,BitLocker 將無法完成啟用。

        • 使用者建立修復密碼

          • 封鎖 (預設)
          • Required
          • 允許

        • 在 BitLocker 安裝期間隱藏復原選項

          • 未設定 (預設) - 允許使用者存取額外的復原選項。
          • -封鎖終端使用者選擇額外的復原選項,例如在 BitLocker 安裝精靈期間列印修復密鑰。

        • 在復原資訊儲存后啟用 BitLocker

          • 未設定 ()
          • - 藉由將此設定為 [是],BitLocker 復原資訊將會儲存至 Active Directory 網域服務。

        • 封鎖使用憑證型數據復原代理程式 (DRA)

          • 未設定 (預設) - 允許設定 DRA 的使用。 設定 DRA 需要企業 PKI 和 群組原則 Objects 來部署 DRA 代理程式和憑證。
          • - 封鎖使用 Data Recovery Agent (DRA) 來復原已啟用 BitLocker 的磁碟驅動器的能力。

      • 最小 PIN 碼長度
        CSP: BitLocker - SystemDrivesMinimumPINLength

        在 BitLocker 啟用期間需要 TPM + PIN 時,指定啟動 PIN 長度下限。 PIN 長度必須介於 4 到 20 位數之間。

        如果您未設定此設定,用戶可以設定長度 (介於 4 到 20 位數之間的啟動 PIN)

        此設定僅適用於第一次啟用 BitLocker 時,如果已啟用 BitLocker,則不會有任何作用。

    • 設定作業系統磁碟驅動器的加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      設定 OS 磁碟驅動器的加密方法和加密強度。 XTS- AES 128 位 是 Windows 預設加密方法和建議的值。

      • 未設定 ()
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS

BitLocker - 卸除式磁碟驅動器設定

  • BitLocker 卸除式磁碟驅動器原則
    CSP: BitLocker - EncryptionMethodByDriveType

    • 未設定 ()
    • 設定

    當設定為 [ 設定] 時 ,您可以設定下列設定。

    • 設定抽取式數據磁碟驅動器的加密方法
      CSP: BitLocker - EncryptionMethodByDriveType

      選取抽取式數據磁碟驅動器所需的加密方法。

      • 未設定 ()
      • AES 128 位 CBC
      • AES 256 位 CBC
      • AES 128 位 XTS
      • AES 256 位 XTS

    • 封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未設定 (預設) - 資料可以寫入至非加密的卸載式磁碟驅動器。
      • - Windows 不允許將數據寫入未受 BitLocker 保護的卸載式磁碟驅動器。 如果插入的卸載式磁碟驅動器未加密,用戶必須先完成 BitLocker 安裝精靈,才能將寫入許可權授與磁碟驅動器。

    • 封鎖對另一個組織中所設定裝置的寫入存取
      CSP: BitLocker - RemovableDrivesRequireEncryption

      • 未設定 (預設) - 可以使用任何 BitLocker 加密磁碟驅動器。
      • - 封鎖抽取式磁碟驅動器的寫入存取,除非這些磁碟驅動器是在您組織所擁有的計算機上加密。

後續步驟

磁碟加密的端點安全策略