Intune 中用于终结点安全的磁盘加密策略
终结点安全性 磁盘加密配置文件仅关注与设备内置加密方法相关的设置,例如适用于 Windows) 的 FileVault、BitLocker 和个人数据加密 (。 此焦点使安全管理员能够轻松管理磁盘加密设置,而无需导航大量不相关的设置。
虽然可以通过对设备配置使用 Endpoint Protection 配置文件来配置相同的设备设置,但设备配置文件包括其他类别的设置。 这些其他设置与磁盘加密无关,可能会使仅配置磁盘加密的任务复杂化。
在Microsoft Intune管理中心的终结点安全节点的“管理”下找到磁盘加密的终结点安全策略。
磁盘加密策略的先决条件
- macOS - macOS 10.13 或更高版本
- Windows - Windows 10
- Windows - Windows 11
基于角色的访问控制(RBAC)
有关分配适当级别的权限和权限以管理Intune磁盘加密策略的指导,请参阅 Assign-role-based-access-controls-for-endpoint-security-policy。
磁盘加密配置文件
macOS 配置文件:
FileVault - FileVault 为 macOS 设备提供内置的完整磁盘加密。
管理 macOS 的 FileVault 设置 。
若要创建 FileVault 配置文件,请参阅 为 macOS 使用 FileVault 磁盘加密。
Windows 配置文件:
BitLocker - BitLocker 驱动器加密是一项数据保护功能,它与操作系统集成,可解决计算机丢失、被盗或被不当解除授权导致数据被盗或泄露的威胁。
注意
从 2023 年 6 月 19 日开始,Windows 的 BitLocker 配置文件已更新为使用设置目录中的设置格式。 新的配置文件格式包括与旧配置文件相同的设置。 通过此更改,你无法再创建旧配置文件的新版本。 旧配置文件的现有实例仍可供使用和编辑。
使用新的配置文件格式时,我们不再发布配置文件中提供的专用设置列表。 相反,在查看设置信息时,使用 UI 中的 “了解详细信息 ”链接打开 Windows 文档中的 BitLocker CSP ,其中详细介绍了设置。
可以在 2023 年 6 月 19 日之前创建的原始 BitLocker 配置文件中找到设置列表,请参阅 Intune 文档中的 BitLocker 设置。
个人数据加密 - 个人数据加密 (PDE) 在文件夹级别加密数据,适用于运行Windows 11版本 22H2 或更高版本的设备。 PDE 与 BitLocker 的不同之处在于,它加密文件而不是整个卷和磁盘。 除了其他加密方法(如 BitLocker)之外,还会发生 PDE。 与在启动时释放数据加密密钥的 BitLocker 不同,PDE 在用户使用 Windows Hello 企业版 登录之前不会释放数据加密密钥。 PDE 使用 PDE CSP。
有关 PDE 的详细信息,包括先决条件、相关要求和建议,请参阅 Windows 安全文档中的以下文章:
若要创建 BitLocker 或个人数据加密配置文件,请参阅 使用 Windows 的磁盘加密。
管理设备加密
部署策略以加密设备磁盘后,请参阅以下文章,了解有关管理加密的信息: