BitLocker-konfiguration
Allmänna inställningar |
||
Kräv kryptering av enheter | Be användarna att aktivera enhetskryptering.beroende på Windows-utgåva och systemkonfiguration kan användarna bli tillfrågade: – För att bekräfta att kryptering från en annan leverantör inte är aktiverad. – Så här stänger du av BitLocker Drive Encryption och slår sedan på BitLocker igen. |
|
Krypteringsmetoder |
||
Krypteringsmetod för operativsystemets hårddiskar | ||
Krypteringsmetod för fasta dataenheter | ||
Krypteringsmetod för flyttbara dataenheter | ||
Avaktivera varning om diskkryptering från tredje part | Inaktivera varningsmeddelandet om en diskkrypteringstjänst från tredje part som används på enheten. Från och med Windows 10, version 1803, stöds den här inställningen endast för Azure Active Directory-anslutna enheter. |
|
Tillåt körning av kryptering när en användare som inte är administratör är inloggad | Stöds endast för Azure Active Directory-anslutna enheter |
|
AppTec360 Tillägg |
||
Tyst kryptering | Om detta väljs tillsammans med ”Kräv enhetskryptering”, kommer AppTec360 Management Service att köra automatisk tyst kryptering av enhetens enheter. |
|
Generera automatiskt användarlegitimation | Den krypterade OS-enheten kommer att skyddas med automatiskt genererade användaruppgifter. Antingen en TPM PIN-kod, när en TPM är tillgänglig, eller ett 6-ställigt textlösenord. De genererade autentiseringsuppgifterna skickas till den e-postadress som registrerats för den aktuella enheten. Om det här alternativet är avstängt är det enda möjliga skyddet för tyst kryptering att använda TPM. I så fall misslyckas den tysta krypteringen för enheter utan TPM. |
|
Kryptera fasta enheter | Alla tillgängliga fasta dataenheter kommer också att krypteras och skyddas med ”Automatic Unlock” med hjälp av en nyckel som lagras på OS-enheten. |
|
Inställningar för OS-enhet |
Kräv ytterligare autentisering vid start | Med den här inställningen kan du konfigurera om BitLocker ska kräva autentisering varje gång datorn startas. Den här inställningen används under installationen av BitLocker. Om du aktiverar den här inställningen kan användare konfigurera avancerade startalternativ i installationsguiden för BitLocker. |
|
Blockera BitLocker utan en kompatibel TPM |
||
Endast TPM |
||
TPM och PIN-kod |
||
TPM och nyckel |
||
TPM, nyckel och PIN-kod | Om du vill kräva att en PIN-kod och ett USB-minne (nyckel) används måste användaren konfigurera BitLocker med kommandoradsverktyget ”manage-bde” i stället för med installationsguiden för BitLocker Drive Encryption. |
|
Kräver minsta PIN-längd |
|
Minst tecken |
|
Konfigurera meddelande och URL för återställning före start | Konfigurera hela återställningsmeddelandet eller ersätt den befintliga URL:en som visas på skärmen för återställning av nyckeln före start när OS-enheten är låst. Obs: Alla tecken och språk stöds inte i pre-boot. Vi rekommenderar starkt att du testar att de tecken du använder visas korrekt på återställningsskärmen före start. |
|
Alternativ för återställningsmeddelande före start |
||
Anpassat återställningsmeddelande |
||
Anpassad URL för återställning |
||
Alternativ för återställning av OS-enheter | Med den här inställningen kan du styra hur BitLocker-skyddade operativsystemenheter ska återställas om det inte finns nödvändiga autentiseringsuppgifter. Den här inställningen används under installationen av BitLocker. Som standard tillåts en certifikatbaserad dataåterställningsagent, återställningsalternativen kan anges av användaren, inklusive återställningslösenord och återställningsnyckel, och återställningsinformation säkerhetskopieras inte till AD DS. |
|
Blockcertifikatbaserad agent för dataåterställning | Ange om en dataåterställningsagent kan användas med BitLocker-skyddade operativsystemenheter. Innan en dataåterställningsagent kan användas måste den läggas till från posten Principer för offentliga nycklar i antingen konsolen Grupprinciphantering eller Redigeraren för lokala grupprinciper. Mer information om hur du lägger till dataåterställningsagenter finns i BitLocker Drive Encryption Deployment Guide på Microsoft TechNet. |
|
Lösenordsinställningar för BitLocker-återställning |
||
Inställningar för BitLocker-återställningsnyckel |
||
Spara information om BitLocker-återställning till Active Directory Domain Services |
||
Konfiguration av AD DS BitLocker-lagring för återställning | Förvaring av nyckelpaketet stöder återställning av data från en enhet som har skadats fysiskt. |
|
Kräv lagring av återställningsdata i AD DS | Förhindra användare från att aktivera BitLocker om inte datorn är ansluten till domänen och |
|
Fasta inställningar för frekvensomriktare |
||
Alternativ för återställning av fasta enheter | Med den här inställningen kan du styra hur BitLocker-skyddade fasta enheter återställs om de inte har de nödvändiga inloggningsuppgifterna. Den här inställningen används under installationen av BitLocker. Som standard tillåts en certifikatbaserad dataåterställningsagent, återställningsalternativen kan anges av användaren, inklusive återställningslösenord och återställningsnyckel, och återställningsinformation säkerhetskopieras inte till AD DS. |
|
Blockcertifikatbaserad agent för dataåterställning |
||
Lösenordsinställningar för BitLocker-återställning |
||
Inställningar för BitLocker-återställningsnyckel |
||
Spara information om BitLocker-återställning till Active Directory Domain Services |
||
Konfiguration av AD DS BitLocker-lagring för återställning | Förvaring av nyckelpaketet stöder återställning av data från en enhet som har skadats fysiskt. |
|
Kräv lagring av återställningsdata i AD DS | Förhindra användare från att aktivera BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformation till AD DS lyckas. Obs: Lösenordet för återställning genereras automatiskt. |
|
Neka skrivåtkomst till oskyddade fasta enheter |
||
Inställningar för flyttbar enhet |
|
Neka skrivåtkomst till oskyddade flyttbara enheter | Neka skrivåtkomst till flyttbara dataenheter som inte skyddas av Bitlocker. Obs: Om ”Flyttbara diskar: Neka skrivåtkomst” är aktiverat i grupprincipen ignoreras den här policyinställningen. |
Neka skrivåtkomst till enheter som konfigurerats i en annan organisation | Endast enheter med identifieringsfält som matchar datorns identifieringsfält kommer att ges skrivåtkomst. Dessa fält definieras av grupprincipinställningen ”Ange de unika identifierarna för din organisation”. |