Compartilhar via


Definir o algoritmo de encriptação BitLocker para dispositivos Autopilot

O BitLocker encripta automaticamente unidades internas durante a experiência inicial (OOBE) para dispositivos que suportam o Modo de Espera Moderno ou cumprem a Especificação de Testabilidade de Segurança de Hardware (HSTI). Por padrão, o BitLocker usa o espaço usado de 128 bits XTS-AES somente para criptografia automática.

Com o Windows Autopilot, as definições de encriptação bitLocker podem ser configuradas para serem aplicadas antes do início da encriptação automática. Esta configuração garante que o algoritmo ou tipo de encriptação predefinido não é aplicado automaticamente. Um dispositivo que recebe estas definições depois de encriptar automaticamente tem de ser desencriptado antes de alterar o algoritmo de encriptação.

Algoritmo de encriptação

O BitLocker utiliza o algoritmo de encriptação BitLocker especificado quando o BitLocker é ativado pela primeira vez. Durante o Autopilot, o BitLocker será ativado após a parte de configuração do dispositivo da página de estado da inscrição. Estão disponíveis os seguintes algoritmos de encriptação:

  • AES-CBC de 128 bits.
  • AES-CBC de 256 bits.
  • XTS-AES de 128 bits (predefinição).
  • XTS-AES de 256 bits.

Para obter mais informações sobre os algoritmos de encriptação recomendados a utilizar, veja Fornecedor de Serviços de Configuração (CSP) do BitLocker.

Para se certificar de que o algoritmo de encriptação BitLocker pretendido está definido antes da encriptação automática ocorrer para dispositivos Autopilot:

  1. Configure as definições do método de encriptação na política de encriptação de discos do Endpoint Security. As definições estão disponíveis emEncriptação> do Disco de Segurança> de Ponto FinalCriar política>Plataforma = Windows 10 e posterior, Tipo de perfil = BitLocker.

  2. Atribua a política ao grupo de dispositivos autopilot. A política de encriptação tem de ser atribuída a dispositivos no grupo e não a utilizadores.

  3. Ative a página de estado de inscrição do Autopilot para estes dispositivos. Se esta funcionalidade não estiver ativada, a política não se aplica antes do início da encriptação.

Disco completo ou criptografia somente de espaço usado

Existem dois tipos de encriptação, disco completo ou apenas espaço utilizado. A configuração da ativação automática e do suporte de hardware para o modo de espera moderno determina automaticamente o tipo de encriptação utilizada. O tipo de encriptação utilizado pode ser imposto ao configurar a definição SystemDrivesEncryptionType . Tal como o algoritmo de encriptação, o BitLocker utiliza o tipo de encriptação quando o BitLocker é ativado pela primeira vez. Para obter mais informações sobre o comportamento do tipo de encriptação esperado, veja Gerir a política BitLocker.

Para impor o tipo de encriptação de unidade utilizado:

  1. Configure a definição Impor tipo de encriptação de unidade nas unidades do sistema operativo no catálogo de definições. Esta definição está disponível na categoria Componentes Administrativos de Componentes >> do Windows BitLocker Unidade > unidade Unidade Operativo Unidades de Sistema Operativo do seletor de definições.

  2. Atribua a política ao grupo de dispositivos autopilot. A política de encriptação tem de ser atribuída a dispositivos no grupo e não a utilizadores.

  3. Ative a página de estado de inscrição do Autopilot para estes dispositivos. Se esta funcionalidade não estiver ativada, a política não se aplica antes do início da encriptação.