Политика шифрования диска для безопасности конечных точек в Intune

Профили шифрования дисков безопасности конечных точек ориентированы только на параметры, относящиеся к встроенному методу шифрования устройств, таким как FileVault, BitLocker и шифрование персональных данных (для Windows). Это позволяет администраторам безопасности легко управлять параметрами шифрования дисков без необходимости перемещаться по узлу несвязанных параметров.

Хотя вы можете настроить те же параметры устройства с помощью профилей Endpoint Protection для конфигурации устройства, профили конфигурации устройств включают другие категории параметров. Эти другие параметры не связаны с шифрованием дисков и могут усложнить задачу настройки только шифрования дисков.

Найдите политики безопасности конечных точек для шифрования дисков в разделе Управление в узле Безопасность конечных точекЦентра администрирования Microsoft Intune.

Предварительные требования для политики шифрования дисков

• macOS — macOS 10.13 или более поздней версии
• Windows — Windows 10
• Windows — Windows 11

Управление доступом на основе ролей (RBAC)

Инструкции по назначению правильного уровня разрешений и прав для управления Intune политике шифрования дисков см. в статье Assign-role-based-access-controls-for-endpoint-security-policy.

Профили шифрования дисков

Профили macOS:

• FileVault — FileVault обеспечивает встроенное полное шифрование дисков для устройств macOS.

  Управление параметрами FileVault для macOS.

  Сведения о создании профиля FileVault см. в статье Использование шифрования дисков FileVault для macOS.

Профили Windows:

• BitLocker — шифрование диска BitLocker — это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных с потерянных, украденных или неправильно списанных компьютеров.

  Примечание.

  Начиная с 19 июня 2023 г., профиль BitLocker для Windows был обновлен для использования формата параметров, который находится в каталоге параметров. Новый формат профиля включает те же параметры, что и старый профиль. Благодаря этому изменению вы больше не сможете создавать новые версии старых профилей. Существующие экземпляры старого профиля остаются доступными для использования и редактирования.

  При использовании нового формата профиля мы больше не публикуем выделенный список параметров, которые находятся в профиле. Вместо этого используйте ссылку Дополнительные сведения в пользовательском интерфейсе при просмотре сведений для параметра, чтобы открыть BitLocker CSP в документации Windows, где параметр подробно описан полностью.

  Список параметров можно найти в исходных профилях BitLocker, созданных до 19 июня 2023 г., в разделе Параметры BitLocker в документации по Intune.

• Шифрование персональных данных. Шифрование персональных данных (PDE) шифрует данные на уровне папок и доступно для устройств, работающих Windows 11 версии 22H2 или более поздней. PDE отличается от BitLocker тем, что шифрует файлы, а не целые тома и диски. PDE происходит в дополнение к другим методам шифрования, таким как BitLocker. В отличие от BitLocker, который освобождает ключи шифрования данных при загрузке, PDE не освобождает ключи шифрования данных, пока пользователь не войдет в систему с помощью Windows Hello для бизнеса. PDE использует PDE CSP.

  Дополнительные сведения о PDE, включая предварительные требования, связанные требования и рекомендации, см. в следующих статьях документации по безопасности Windows:

  • Общие сведения о PDE
  • Настройка PDE
  • Часто задаваемые вопросы о PDE

Сведения о создании профиля BitLocker или шифрования персональных данных см. в статье Использование шифрования дисков для Windows.

Управление шифрованием устройства

После развертывания политики для шифрования диска устройства сведения об управлении шифрованием см. в следующих статьях:

• Управление шифрованием в Windows
• Управление шифрованием в macOS
• Мониторинг шифрования устройств

Дальнейшие действия

• Создание профиля шифрования macOS
• Создание профиля шифрования Windows