Configurare i criteri di BitLocker usando Microsoft Intune
Gestisci i dispositivi Windows con Microsoft Intune e devi proteggere i dati aziendali quando un dispositivo viene smarrito, rubato o ritirato. BitLocker fornisce la crittografia a volume completo per i dispositivi Windows, ma la protezione dipende dalla configurazione coerente dei criteri e dall'archiviazione affidabile delle chiavi di ripristino.
In questa unità si configurano criteri di BitLocker in Intune, si scelgono le impostazioni che supportano la crittografia standard o invisibile all'utente, si identifica quando Personal Data Encryption (PDE) integra BitLocker per Windows 11 file utente, assegna i criteri ai dispositivi ed esamina in che modo le opzioni specifiche della piattaforma influiscono sull'esperienza utente e sul processo di ripristino.
| Passaggio di configurazione | Elementi configurati | Perché è importante |
|---|---|---|
| 1. Scegliere il tipo di criterio | Criteri di crittografia dei dischi di sicurezza degli endpoint o profilo del catalogo delle impostazioni | Seleziona l'esperienza di gestione per le impostazioni di BitLocker |
| 2. Configurare la crittografia dell'unità | Sistema operativo, dati fissi e impostazioni dell'unità rimovibile | Definisce i volumi che ricevono la protezione dalla crittografia |
| 3. Configurare il comportamento di crittografia | Metodo di crittografia, livello di crittografia, utilizzo TPM e autenticazione di avvio | Bilancia i requisiti di sicurezza con l'esperienza utente |
| 4. Configurare le opzioni di ripristino | Deposito della chiave di ripristino e visibilità della chiave di ripristino | Garantisce che gli amministratori possano ripristinare i dispositivi protetti |
| 5. Aggiungere la crittografia dei dati personali quando necessario | Profilo di Crittografia dati personali di Windows e cartelle protette | Aggiunge la protezione dei file associata alle credenziali per le cartelle utente Windows 11 selezionate |
| 6. Assegnare e monitorare i criteri | Gruppi di dispositivi o utenti, report di crittografia e stato di conformità | Conferma che i dispositivi ricevono e applicano le impostazioni di crittografia |
Scegliere un tipo di criterio BitLocker corrispondente all'obiettivo di gestione
Per iniziare, scegliere dove configurare BitLocker nell'interfaccia di amministrazione Microsoft Intune. Intune supporta la configurazione di BitLocker tramite crittografia del disco di sicurezza > degli endpoint e profili di configurazione dei dispositivi > tramite il catalogo delle impostazioni.
I criteri di crittografia dei dischi di sicurezza degli endpoint offrono un'esperienza incentrata per gli amministratori della sicurezza. Questa opzione mantiene separate le impostazioni di BitLocker dalle impostazioni di configurazione del dispositivo non correlate, semplificando la revisione, l'assegnazione e la risoluzione dei problemi dei criteri.
I profili del catalogo delle impostazioni offrono un'esperienza di configurazione più ampia. Questa opzione viene usata quando è necessario gestire le impostazioni di BitLocker insieme ad altre impostazioni di Windows in un singolo profilo o quando è necessario un controllo granulare allineato a un modello di configurazione personalizzato. Detto questo, è comunque consigliabile usare un criterio separato per BitLocker per garantire un'assegnazione corretta.
| Tipo di criterio | Utilizzo ottimale | Considerazioni |
|---|---|---|
| Crittografia del disco di sicurezza > degli endpoint | Configurare BitLocker come criterio di sicurezza dedicato | Consigliato per la maggior parte delle distribuzioni di BitLocker perché è incentrato solo sulle impostazioni di crittografia |
| Catalogo delle impostazioni dei profili > di configurazione dei dispositivi > | Configurare BitLocker con altre impostazioni di Windows | Utile per la configurazione granulare, ma la revisione dei criteri può diventare più complessa |
| Crittografia dei dischi di sicurezza > degli endpoint Crittografia > dei dati personali di Windows | Configurare PDE come criterio di Windows 11 complementare | Protegge le cartelle utente selezionate dopo l'applicazione della baseline di BitLocker |
Aggiungere la crittografia dei dati personali per la protezione dei file utente
Personal Data Encryption o PDE aggiunge la protezione basata su file per il contenuto utente selezionato nei dispositivi Windows 11 supportati. BitLocker protegge l'intero volume e consente di proteggere i dati in caso di smarrimento, furto, ritiro o rimozione dell'unità. PDE protegge file utente specifici dopo l'esecuzione di Windows legando l'accesso alle credenziali dell'utente connesso. Questo approccio a più livelli consente di affrontare un rischio diverso: un dispositivo acceso o bloccato in cui i file utente sensibili rimangono nel dispositivo.
PDE funziona insieme a BitLocker; non sostituisce BitLocker. In questo modulo abilitare BitLocker prima come baseline di crittografia del dispositivo e quindi usare PDE quando è necessaria una protezione aggiuntiva per le cartelle utente, ad esempio Desktop, Documenti e Immagini.
| Livello di protezione | Cosa protegge | Modello di accesso |
|---|---|---|
| BitLocker | Volumi interi e unità | Rilascia la chiave di crittografia dell'unità durante l'avvio quando il dispositivo soddisfa i requisiti di protezione configurati |
| Crittografia dei dati personali | Cartelle e file utente selezionati | Rilascia l'accesso ai file solo dopo l'accesso dell'utente con Windows Hello in un dispositivo aggiunto Microsoft Entra o Microsoft Entra ibrido supportato |
Usare Intune per configurare PDE dai criteridicreazione della crittografia dei dischi di sicurezza>>degli endpoint. Selezionare Windows come piattaforma e selezionare Personal Data Encryption (Crittografia dati personali ) come profilo. Nel criterio abilitare PDE e scegliere quali cartelle ricevono protezione. Per le cartelle note, configurare la protezione per desktop, documenti e immagini quando tali posizioni contengono dati aziendali che richiedono protezione dopo il blocco del dispositivo o l'accesso di un altro utente.
| Elemento di configurazione PDE | Elementi configurati | Perché è importante |
|---|---|---|
| Abilitare la crittografia dei dati personali | Attiva PDE per il contesto utente di destinazione | Consente a file e cartelle protetti di usare PDE |
| Proteggere desktop | Applica PDE alla cartella Desktop | Protegge i file che gli utenti salvano spesso per un accesso rapido |
| Proteggere i documenti | Applica PDE alla cartella Documenti | Protegge i documenti aziendali comuni |
| Proteggere le immagini | Applica PDE alla cartella Immagini | Protegge i dati aziendali basati su immagini, gli screenshot e il contenuto analizzato |
| Prerequisiti | Windows 11 versione 22H2 o successiva, Intune registrazione, Microsoft Entra aggiunto o Microsoft Entra dispositivo aggiunto ibrido e Windows Hello l'accesso | Garantisce che il dispositivo e il metodo di accesso utente possano rilasciare correttamente il contenuto protetto da PDE |
Pianificare il ripristino in modo diverso per i file protetti da PDE. BitLocker dispone di chiavi di ripristino che gli amministratori possono recuperare quando un dispositivo accede al ripristino di BitLocker. PDE non usa lo stesso flusso di lavoro della chiave di ripristino accessibile dall'amministratore. L'accesso dipende dalle credenziali protette dell'utente e da un'esperienza di accesso funzionante. Se lo stato dell'account o delle credenziali dell'utente viene perso definitivamente, ripristinare i file protetti da PDE dal backup, ad esempio una soluzione di backup cloud gestita o di sincronizzazione file.
Configurare le impostazioni di BitLocker per i dispositivi Windows
È possibile configurare BitLocker creando un profilo BitLocker di Windows e selezionando le impostazioni che corrispondono ai requisiti di crittografia dell'organizzazione. Una configurazione aziendale tipica crittografa l'unità del sistema operativo, archivia le chiavi di ripristino in Microsoft Entra ID e usa il modulo piattaforma attendibile o TPM del dispositivo per proteggere le chiavi di crittografia.
Il TPM è un componente di sicurezza basato su hardware che consente di proteggere le chiavi BitLocker. All'avvio di un dispositivo, il TPM convalida lo stato del dispositivo prima di rilasciare la chiave che sblocca l'unità del sistema operativo crittografata. Questo comportamento consente di proteggere i dati se qualcuno rimuove l'unità o manomette il processo di avvio del dispositivo.
| Impostazione dell'area | Configurazione comune | Nota dell'appresore |
|---|---|---|
| Unità del sistema operativo | Abilitare BitLocker per l'unità di sistema | Protegge i dati di Windows e dell'utente archiviati nel volume primario |
| Unità dati fisse | Abilitare la crittografia per le unità dati interne | Protegge volumi di archiviazione interni aggiuntivi |
| Unità rimovibili | Controllare l'accesso in scrittura o richiedere la crittografia | Riduce la perdita di dati tramite dispositivi di archiviazione USB |
| Metodo di crittografia | Usare XTS-AES a 128 bit o XTS-AES a 256 bit | L'impostazione si applica quando BitLocker avvia la crittografia per la prima volta |
| Autenticazione di avvio | Usare solo TPM per la crittografia invisibile all'utente o il TPM e il PIN per una protezione di avvio più avanzata | Solo TPM riduce le richieste degli utenti; TPM più PIN aumenta l'interazione dell'utente |
| Archiviazione delle chiavi di ripristino | Archiviare le chiavi di ripristino in Microsoft Entra ID | Supporta il ripristino dell'help desk e l'accesso amministrativo quando gli utenti necessitano di assistenza |
Crittografia automatica dei dispositivi di Windows
Crittografia automatica dispositivi o ADE di Windows è un comportamento del sistema operativo Windows che può crittografare l'unità del sistema operativo durante l'esperienza predefinita prima che Intune applichi un criterio BitLocker. AdE è separato dall'abilitazione di BitLocker invisibile all'utente gestito da Intune. La crittografia invisibile all'utente è un processo basato su criteri Intune, mentre ADE inizia da Windows quando il dispositivo soddisfa i requisiti di Windows e l'utente completa la configurazione iniziale con un account Microsoft o un account aziendale o dell'istituto di istruzione.
A partire da Windows 11 versione 24H2, ADE si applica a più tipi di dispositivo rispetto alle versioni precedenti di Windows perché Windows non richiede più la conformità ad ADE per Lo standby moderno o l'interfaccia di test di sicurezza hardware o HSTI. Questa modifica significa che molti nuovi dispositivi Windows 11 possono arrivare in Intune con l'unità del sistema operativo già crittografata.
Quando i criteri Intune BitLocker arrivano su un dispositivo già crittografato, Intune convalida lo stato di crittografia esistente rispetto ai criteri. Se il dispositivo usa un metodo di crittografia diverso o è stato crittografato prima Intune crittografia avviata, il report di crittografia può visualizzare un dispositivo crittografato con un errore del profilo. Questo stato non è sempre un problema di assegnazione. Verificare innanzitutto se le impostazioni di protezione e metodo di crittografia applicati ad ADE esistenti corrispondono ai criteri. Se i criteri richiedono un algoritmo di crittografia o un tipo di crittografia diverso da quello già usato dal dispositivo, BitLocker deve usare tale impostazione all'avvio della crittografia, pertanto la modifica può richiedere la decrittografia e la crittografia dell'unità.
I prerequisiti di crittografia invisibile all'utente si applicano principalmente quando il dispositivo non è già crittografato. Per molti nuovi dispositivi Windows 11 versione 24H2, le attività di Intune principali riguardano il deposito delle informazioni di ripristino per Microsoft Entra ID, convalidare l'allineamento dei criteri e monitorare la conformità anziché avviare la crittografia da zero.
| Scenario | Effetto | Azione amministratore |
|---|---|---|
| Il dispositivo esegue la crittografia durante la Configurazione guidata con ADE | Windows avvia BitLocker prima dell'applicazione dei criteri di Intune | Verificare il deposito della chiave di ripristino e verificare che le impostazioni dei criteri corrispondano allo stato di crittografia esistente |
| Intune criterio raggiunge un dispositivo già crittografato | Intune valuta il metodo di crittografia, le protezioni e lo stato di segnalazione | Usare il report di crittografia per distinguere la mancata corrispondenza dei criteri dall'assegnazione o dall'errore di preparazione |
| Il metodo di crittografia non corrisponde ai criteri | Il report può mostrare un dispositivo crittografato con un errore del profilo o una mancata corrispondenza del metodo | Allineare i criteri al metodo applicato da ADE quando accettabile o pianificare la decrittografia e la crittografia quando l'organizzazione richiede un metodo diverso |
| Il dispositivo non è già crittografato | Intune impostazioni di crittografia invisibile all'utente avviano e gestiscono la crittografia | Convalidare i prerequisiti di crittografia invisibile all'utente, inclusi TPM, UEFI, Ambiente di ripristino windows e Microsoft Entra stato di aggiunta |
Assegnare i criteri e controllare l'esperienza utente
I criteri di BitLocker vengono assegnati a un gruppo di dispositivi o a un gruppo di utenti. L'assegnazione basata su dispositivo è comune per i dispositivi di proprietà dell'azienda perché la crittografia si applica in modo coerente indipendentemente da chi accede. L'assegnazione basata sull'utente può adattarsi agli scenari in cui i criteri seguono un utente tra i dispositivi registrati.
L'abilitazione di BitLocker invisibile all'utente riduce l'interazione dell'utente. Con la crittografia invisibile all'utente, Intune applica i criteri e avvia la crittografia senza richiedere all'utente di essere un amministratore locale. Questo approccio funziona meglio quando i dispositivi soddisfano i prerequisiti, incluse le edizioni di Windows supportate, la disponibilità TPM e la configurazione di avvio compatibile.
Standard abilitazione di BitLocker consente una maggiore interazione dell'utente. Gli utenti possono visualizzare le richieste durante la crittografia o la configurazione del ripristino a seconda delle impostazioni dei criteri. Questo approccio offre flessibilità, ma può creare una varianza del supporto se gli utenti ritardano o fraintendeno le richieste.
| Scelta dell'assegnazione | Quando lo si usa | Dove funziona |
|---|---|---|
| Assegnare ai dispositivi | Dispositivi Windows condivisi o di proprietà dell'azienda | La crittografia si applica in modo coerente ai dispositivi di destinazione |
| Assegnare agli utenti | Scenari di gestione dei dispositivi di proprietà dell'utente o in base al ruolo | La crittografia segue gli utenti di destinazione nei dispositivi registrati applicabili |
| Crittografia invisibile all'utente | I dispositivi soddisfano i requisiti di conformità e richiedono un coinvolgimento minimo degli utenti | Gli utenti in genere non visualizzano alcun prompt di crittografia |
| crittografia Standard | È possibile consentire l'interazione dell'utente durante la configurazione della crittografia | Gli utenti possono visualizzare richieste o messaggi di configurazione |
Monitorare lo stato della crittografia e supportare il ripristino
È possibile verificare l'esito positivo dei criteri usando Intune report. I report di crittografia mostrano quali dispositivi sono crittografati, quali dispositivi richiedono attenzione e se sono disponibili informazioni di ripristino. Questa visualizzazione consente di verificare che l'assegnazione dei criteri comporti una protezione effettiva del dispositivo.
Lo stato dei criteri di conformità può basarsi sull'imposizione di BitLocker. Quando si combina la conformità di BitLocker con l'accesso condizionale, è possibile bloccare l'accesso alle risorse aziendali fino a quando il dispositivo non segnala lo stato di crittografia richiesto. Questo controllo connette lo stato di crittografia alle decisioni di accesso reale.
La gestione delle chiavi di ripristino rimane un requisito operativo. Quando un dispositivo accede al ripristino di BitLocker, un amministratore autorizzato recupera la chiave di ripristino da Intune, Microsoft Entra ID o da Active Directory locale. Questo processo mantiene il ripristino centralizzato e impedisce l'archiviazione delle chiavi locali non gestita.
Il monitoraggio PDE usa un segnale diverso rispetto al monitoraggio di BitLocker. Lo stato PDE non viene visualizzato come stato della chiave di ripristino di BitLocker nel report di crittografia di BitLocker. Verificare PDE controllando i criteri di Intune e lo stato di configurazione del dispositivo e confermando in un dispositivo di test che i file protetti mostrano l'indicatore di protezione PDE in Esplora file o segnalare i dettagli della protezione PDE con gli strumenti di convalida locali supportati.
| Attività operativa | Dove si controlla | Perché è importante |
|---|---|---|
| Confermare lo stato di crittografia | report di crittografia Intune | Indica se i dispositivi applicano BitLocker correttamente |
| Identificare i problemi dei criteri | Segnalazione dello stato e della crittografia della configurazione del dispositivo | Consente di isolare l'assegnazione, l'idoneità o i conflitti di criteri |
| Recuperare le chiavi di ripristino | Intune'interfaccia di amministrazione o Microsoft Entra ID record del dispositivo | Supporta il ripristino sicuro quando un dispositivo richiede assistenza per lo sblocco |
| Applicare la conformità alla crittografia | Criteri di conformità di Windows | Collega lo stato di BitLocker alle decisioni relative al controllo di accesso |
| Verificare la protezione PDE | Stato dei criteri PDE, stato della configurazione del dispositivo e indicatori di protezione dei file di Windows | Conferma che le cartelle selezionate ricevono la protezione basata su credenziali utente |