BitLocker Drive Encryption no Intune é um recurso de proteção de dados que se integra ao sistema operacional e aborda as ameaças de roubo de dados ou exposição de computadores perdidos, roubados ou desativados de forma inadequada.
A criptografia ajuda a proteger os dados do seu dispositivo, para que só possam ser acessados por pessoas autorizadas. O BitLocker está disponível em dispositivos que executam Windows 10 e Windows 11. Você também pode habilitar o Bitlocker sem TPM .
A criptografia Bitlocker pode ser habilitada em dispositivos Windows 10 e Windows 11 usando vários métodos, como Política de Grupo, Gerenciador de Configuração e Microsoft Intune. Em computadores autônomos, você pode ativar manualmente a criptografia do Bitlocker .
Pré-requisitos do BitLocker Intune
O BitLocker para Intune está disponível em dispositivos que executam o Windows 10 e o Windows 11. Habilitar o Bitlocker usando o Intune requer os seguintes pré-requisitos:
- Você precisará de uma licença válida do Microsoft Endpoint Manager (Intune).
- Os dispositivos devem ser associados ao Azure AD ou Hybrid Azure AD joined.
- Os dispositivos não devem ser criptografados com ferramentas de criptografia de disco de terceiros, como o McAfee Disk Encryption. Se os dispositivos já estiverem criptografados com outras soluções, você precisará descriptografá-los totalmente antes de implantar o BitLocker usando o Intune.
- Os dispositivos finais devem ter um TPM chip at version 1.2 or higher (TPM 2.0 altamente recomendado).
- O BIOS deve ser definido como UEFI.
- Para gerenciar o BitLocker no Intune, sua conta deve ter as permissões RBAC (controle de acesso baseado em função) aplicáveis do Intune.
Já escrevi um artigo aqui no site mostrando como realizar o AD Joined do Device, segue as etapas mencionadas.
Passo a passo
Para seguir com as etapas do tutorial você precisa ter feito o AD joined do dispositivo ou ter configurado o Hybrid Azure AD joined.
01 – Faça login no portal Microsoft Intune admin center.
https://endpoint.microsoft.com/
02 – No portal vamos criar um grupo e adicionar os dispositvos que serão criptografados, clique em Groups.
03 – Na tela Groups clique em New group.
04 – Na tela New Group em Group type deixe seleciona Security, em Group name digite um nome para o grupo “G_Bitlocker”, em Member clique em No members selected.
05 – Na tela Add members clique em Devices, selecione o device que deseja adicionar ao grupo e clique em Select.
06 – Deixe as demais opções padrão e clique em Create.
07 – No Microsoft Intune admin center clique em Endpoint security.
Configurar o Bitlocker
As configurações do BitLocker se aplicam a discos internos adicionais que os dispositivos podem ter. Um exemplo disso pode ser partições separadas no disco principal ou um segundo disco separado instalado em um desktop ou laptop.
08 – Na tela Endpoint security clique em Disk encryption.
09 – Na tela Disk encryption clique em + Create Policy.
10 – Na tela Create a profile em Platform selecione Windows 10 and later, em Profile selecione Bitlocker em seguida clique em Create.
11 – Na tela Basic em Name digite um nome para o profile “Bitlocker”, caso deseje adicione uma descrição e em seguida clique em Next.
12 – Na tela Configuration settings expanda BitLocker, e defina as seguintes configurações.
Require Device Encryption – Enabled
Allow Warning for Other Disk Encryption – Disabled
Allow Standard User Encryption – Disabled
Configure Recovery Password Rotation – Refresh on for both Azure AD-joined and hybrid-joined devices
13 – Expanda Administrative Templates, paras as configurações do Windows componentes > Bitlocker Drive Encryption deixe selecione o valor padrão “Not configured” para as configurações.
Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later) – Not configured
Provide the unique identifiers for your organization – Not configured
14 – Em Windows components > Bitlocker drive Encryption > Operating System Drives, execute as seguintes configurações:
Enforce drive encryption type on operating system drives – Enabled
Select the encryption type:(Device) – Full encryption
Require additional authentication at startup – Disabled
Configure minimum PIN lenght for startup – Not configured
Allow enhanced PINs for startup – Not configured
Disallow standard users from changing the PIN or password – Not configured
Allow devices compliant with InstanGo or HSTI to opt out of pre -boot PIN – Not configured
Enable use of BitLocker authentication requiring preboot keyboard input on slates – Not configured
Choose how BitLocker-protected operating system drives can be recovered – Enabled
Omite recovery options from the BitLocker setup wizard – False
Allow data recovery agent – True
Configure storage of BitLocker recovery information to AD DS – Store recovery passwords and key packages
Do not enable Bitlocker until recovery information is stored to AD DS for operating system drives – False
Save Bitlocker recovery information to AD DS for operating system drives – True
Configure user storage of Bitlocker recovery information – Allow 48-digit recovery password
Configure pre-boot recovery message an URL – Disabled
15 – Em Windows Components > Bitlocker Drive Encryption > Fixed Data Drives, execute as seguintes configurações:
Enforce drive encryption type on fixed data drives – Disabled
Choose how BitLocker-protected fixed drives can be recovered – Disabled
Deny write access to fixed drives not protected by BitLocker – Disabled
16 – Em Windows Components > Bitlocker Drive Encryption > Removable Data Drives, execute as seguintes configurações:
Após realizar as configurações mencionadas clique em Next.
Control use of BitLocker on removable – Disabled
Deny write access to removable drives not protected by BitLocker – Disabled
17 – Na tela Scope tags deixe as configurações padrão e clique em Next.
18 – Na tela Assignments clique em Add groups, Na tela Select groups to include selecione o grupo “G_Bitlocker”, em seguida clique em Select.
19 – Após selecionar o grupo clique em Next.
20 – Na tela Review + create clique em Create.
21 – Como podemos observar a política foi criada.
Monitorar o status de criptografia do Bitlocker no Intune
Depois de implementar o Bitlocker utilizando o microsoft Intune, o próximo passo é monitorizar o estado de encriptação do BitLocker nos dispositivos. Você pode fazer isso no centro de administração do Intune. Além disso, há um relatório de criptografia do Microsoft Intune para visualizar detalhes sobre o status de criptografia de um dispositivo e encontrar opções para gerenciar chaves de recuperação do dispositivo.
22 – Podemos observar que a política foi aplicada com sucesso para um dispositivo, clique me View report.
23 – No report podemos observar que a política foi aplicada para a máquina VM-CL-01.
O relatório de criptografia do Microsoft Intune é um local central para descobrir o status de criptografia de um dispositivo e encontrar maneiras de gerenciar chaves de recuperação
24 – No Microsoft Intune clique em Devices, na tela Devices clique em Monitor.
25 – EM Monitor clique em Encryption report.
26 – No Encryption report podemos ver os dispositivos que estão criptografados e os que não foram criptografados.
Monitorar o status de criptografia do Bitlocker no Dispositivo
27 – No File Explore observe que os discos do dispositivos estão criptografados.
28 – Verifique se o disco está totalmente criptografado com o seguinte comando.
Get-BitLockerVolume
29 – Execute o seguinte comando para visulizar algumas informações sobre o Btilocker.
manage-bde -status
BitLocker Keys
Como definimos em nossa política de BitLocker que as chaves de criptografia seriam armazenadas no Microsoft Entra ID, podemos visualizar essas informações no Microsoft Entra ID.
30 – No Microsoft Entra ID clique em Devices.
31 – Na tela Devices clique em All devices.
32 – Na teal All devices selecione o dispositivo “VM-CL-01”.
33 – Após selecionar o device VM-CL-01 clique em BitLocker Keys.
34 – Na tela BitLocker Keys podemos ver as chaves de recuperação dos discos do dispositivos.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Me siga nas redes sociais:
https://lnkd.in/enx4eSV
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.