Intune 中用于终结点安全的磁盘加密策略

终结点安全性 磁盘加密配置文件仅关注与设备内置加密方法相关的设置,例如适用于 Windows) 的 FileVault、BitLocker 和个人数据加密 (。 此焦点使安全管理员能够轻松管理磁盘加密设置,而无需导航大量不相关的设置。

虽然可以通过对设备配置使用 Endpoint Protection 配置文件来配置相同的设备设置,但设备配置文件包括其他类别的设置。 这些其他设置与磁盘加密无关,可能会使仅配置磁盘加密的任务复杂化。

Microsoft Intune管理中心的终结点安全节点的“管理”下找到磁盘加密的终结点安全策略。

磁盘加密策略的先决条件

  • macOS - macOS 10.13 或更高版本
  • Windows - Windows 10
  • Windows - Windows 11

基于角色的访问控制(RBAC)

有关分配适当级别的权限和权限以管理Intune磁盘加密策略的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy

磁盘加密配置文件

macOS 配置文件

Windows 配置文件

  • BitLocker - BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,可解决计算机丢失、被盗或被不当解除授权导致数据被盗或泄露的威胁。

    注意

    从 2023 年 6 月 19 日开始,Windows 的 BitLocker 配置文件已更新为使用设置目录中的设置格式。 新的配置文件格式包括与旧配置文件相同的设置。 通过此更改,你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。

    使用新的配置文件格式时,我们不再发布配置文件中提供的专用设置列表。 相反,在查看设置信息时,使用 UI 中的 “了解详细信息 ”链接打开 Windows 文档中的 BitLocker CSP ,其中详细介绍了设置。

    可以在 2023 年 6 月 19 日之前创建的原始 BitLocker 配置文件中找到设置列表,请参阅 Intune 文档中的 BitLocker 设置

  • 个人数据加密 - 个人数据加密 (PDE) 在文件夹级别加密数据,适用于运行Windows 11版本 22H2 或更高版本的设备。 PDE 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。 PDE 使用 PDE CSP

    有关 PDE 的详细信息,包括先决条件、相关要求和建议,请参阅 Windows 安全文档中的以下文章:

若要创建 BitLocker 或个人数据加密配置文件,请参阅 使用 Windows 的磁盘加密

管理设备加密

部署策略以加密设备磁盘后,请参阅以下文章,了解有关管理加密的信息:

后续步骤