Intune 中用于终结点安全的磁盘加密策略

终结点安全性 磁盘加密配置文件仅关注与设备内置加密方法相关的设置，例如适用于 Windows) 的 FileVault、BitLocker 和个人数据加密 (。 此焦点使安全管理员能够轻松管理磁盘加密设置，而无需导航大量不相关的设置。

虽然可以通过对设备配置使用 Endpoint Protection 配置文件来配置相同的设备设置，但设备配置文件包括其他类别的设置。 这些其他设置与磁盘加密无关，可能会使仅配置磁盘加密的任务复杂化。

在Microsoft Intune管理中心的终结点安全节点的“管理”下找到磁盘加密的终结点安全策略。

磁盘加密策略的先决条件

• macOS - macOS 10.13 或更高版本
• Windows - Windows 10
• Windows - Windows 11

基于角色的访问控制（RBAC）

有关分配适当级别的权限和权限以管理Intune磁盘加密策略的指导，请参阅 Assign-role-based-access-controls-for-endpoint-security-policy。

磁盘加密配置文件

macOS 配置文件：

• FileVault - FileVault 为 macOS 设备提供内置的完整磁盘加密。

  管理 macOS 的 FileVault 设置 。

  若要创建 FileVault 配置文件，请参阅 为 macOS 使用 FileVault 磁盘加密。

Windows 配置文件：

• BitLocker - BitLocker 驱动器加密是一项数据保护功能，它与操作系统集成，可解决计算机丢失、被盗或被不当解除授权导致数据被盗或泄露的威胁。

  注意

  从 2023 年 6 月 19 日开始，Windows 的 BitLocker 配置文件已更新为使用设置目录中的设置格式。 新的配置文件格式包括与旧配置文件相同的设置。 通过此更改，你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。

  使用新的配置文件格式时，我们不再发布配置文件中提供的专用设置列表。 相反，在查看设置信息时，使用 UI 中的 “了解详细信息 ”链接打开 Windows 文档中的 BitLocker CSP ，其中详细介绍了设置。

  可以在 2023 年 6 月 19 日之前创建的原始 BitLocker 配置文件中找到设置列表，请参阅 Intune 文档中的 BitLocker 设置。

• 个人数据加密 - 个人数据加密 (PDE) 在文件夹级别加密数据，适用于运行Windows 11版本 22H2 或更高版本的设备。 PDE 与 BitLocker 的不同之处在于，它加密文件而不是整个卷和磁盘。 除了其他加密方法（如 BitLocker）之外，还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同，PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。 PDE 使用 PDE CSP。

  有关 PDE 的详细信息，包括先决条件、相关要求和建议，请参阅 Windows 安全文档中的以下文章：

  • PDE 概述
  • 配置 PDE
  • PDE 常见问题 (常见问题解答)

若要创建 BitLocker 或个人数据加密配置文件，请参阅 使用 Windows 的磁盘加密。

管理设备加密

部署策略以加密设备磁盘后，请参阅以下文章，了解有关管理加密的信息：

• 在 Windows 上管理加密
• 在 macOS 上管理加密
• 监视设备加密

后续步骤

• 创建 macOS 加密配置文件
• 创建 Windows 加密配置文件