設定 Autopilot 裝置的 BitLocker 加密演算法
BitLocker 會在全新體驗期間自動 加密 內部磁片磁碟機, (OOBE) 支援新式 待命 或符合 硬體安全性可測試性規格 (HSTI) 的 裝置。 根據預設,BitLocker 只會使用 XTS-AES 128 位元的已使用空間進行自動加密。
使用 Windows Autopilot,您可以設定 BitLocker 加密設定,以在自動加密開始之前套用。 此設定可確保不會自動套用預設加密演算法或類型。 在自動加密之後接收這些設定的裝置,在變更加密演算法之前必須先解密。
加密演算法
第一次啟用 BitLocker 時,會使用 BitLocker 加密演算法。 在 Autopilot 期間,BitLocker 會在 註冊狀態頁面的裝置設定部分之後啟用。 以下是可用的加密演算法:
- AES-CBC 128-bit
- AES-CBC 256-bit
- XTS-AES 128-bit (預設值)
- XTS-AES 256-bit
如需建議使用的加密演算法詳細資訊,請參閱 BitLocker CSP。
若要確定在 Autopilot 裝置發生自動加密之前,已設定您想要的 BitLocker 加密演算法:
在端點安全性磁片加密原則中設定 加密方法設定 。 這些設定可在[端點安全>性磁片加密>] [建立> 原則平臺= Windows 10及更新版本] 底下取得,配置檔案類型= BitLocker。
將原則指派 給 Autopilot 裝置群組。 加密原則必須指派給群組中的 裝置 ,而不是使用者。
啟用這些裝置的 Autopilot 註冊狀態頁面 。 如果未啟用此功能,該原則將不會在加密啟動之前套用。
全磁碟加密或僅對已使用空間加密
加密有兩種類型:完整磁片或僅使用空間。 加密的類型會自動由新式待命的 無訊息啟用 和硬體支援設定來決定。 您可以藉由設定 SystemDrivesEncryptionType 設定來強制執行。 就像加密演算法一樣,第一次啟用 BitLocker 時會使用加密類型。 如需預期加密類型行為的詳細資訊,請參閱 管理 BitLocker 原則。
若要強制執行所使用的磁片磁碟機加密類型:
在設定目錄內設定 [ 在作業系統磁片磁碟機上強制執行磁片磁碟機加密類型 ] 設定。 此設定可從設定選擇器的 [系統管理 模 > 板 Windows 元件 > BitLocker 磁片磁碟機加密 > 作業系統磁片磁碟機 ] 類別中取得。
將原則指派 給 Autopilot 裝置群組。 加密原則必須指派給群組中的 裝置 ,而不是使用者。
啟用這些裝置的 Autopilot 註冊狀態頁面 。 如果未啟用此功能,該原則將不會在加密啟動之前套用。
需求
支援的 Windows 版本。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應