Criar Política do Bitlocker Windows 10 no Intune

Vamos utilizar o Intune para configurar criptografia de unidade de disco Bitlocker em dispositivos que utilizam o Windows 10.

O BitLocker está disponível em dispositivos que executam o Windows 10 ou posterior. Algumas configurações do BitLocker exigem que o dispositivo tenha um TPM integrado em seu dispositivo.

Leia mais:

Como habilitar o MFA para contas do Office 365 via Acesso Condicional?
Como ocultar usuário da lista de endereço (AD Connect)
Como utilizar o Windows Hello for Business em ambientes 100 % Nuvem
Migrando o Azure AD Connect para um novo servidor
Criação de usuários no Microsoft Azure (portal)

O Intune fornece um relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados. Após o Intune criptografar um dispositivo Windows 10 com o BitLocker, você poderá exibir e gerenciar as chaves de recuperação do BitLocker ao exibir o relatório de criptografia.

Informações importantes também podem ser encontradas no Azure Active Directory, relatório de criptografia interno que apresenta detalhes sobre o status de criptografia dos dispositivos em todos os dispositivos gerenciados.

Permissões para gerenciar o BitLocker

Para gerenciar o BitLocker no Intune, a conta precisa ter as permissões de RBAC (controle de acesso baseado em função) do Intune aplicáveis.

As seguintes são permissões do BitLocker, que fazem parte da categoria Tarefas remotas, bem como as funções RBAC internas que concedem a permissão:

  • Alternar chaves do BitLocker
  • Operador de suporte técnico

Criar uma política de segurança de ponto de extremidade para BitLocker

  • Na página Definições de configuração, defina as configurações do BitLocker para atender às suas necessidades de negócios.

Se você quiser habilitar o BitLocker silenciosamente, confira Habilitar o BitLocker de modo silencioso em dispositivos neste artigo para conhecer os pré-requisitos adicionais e as configurações específicas que devem ser usadas.

Selecione Avançar.

  • Na página Escopo (Marcas), escolha selecionar marcas de escopo para abrir o painel selecionar marcas e atribuir marcas de escopo ao perfil.

Selecione Avançar.

  • Na página Atribuições, escolha os grupos que receberão esse perfil. Para obter mais informações sobre a atribuição de perfis, confira atribuir perfis de usuário e dispositivo.

Selecione Avançar.

  • Quando terminar, escolha criar na página Revisar + criar. O novo perfil é exibido na lista quando você seleciona o tipo de política para o perfil que você criou.

Criar um perfil de configuração de dispositivo para o BitLocker

Na página Definições de configuração, expanda Criptografia do Windows.

  • Defina as configurações do BitLocker de acordo com suas necessidades de negócios.

Se você quiser habilitar o BitLocker silenciosamente, também existe essa possibilidade de configuração, confira abaixo os detalhes:

  • Selecione Avançar para continuar.
  • Conclua a definição de configurações adicionais e, em seguida, salve o perfil.

Habilitar o BitLocker em dispositivos silenciosamente

Existe a possibilidade de você configurar uma política do BitLocker que o habilita automática e silenciosamente em um dispositivo.

Isso significa que o BitLocker é habilitado com êxito sem apresentar nenhuma interface do usuário para o usuário final, mesmo quando esse usuário não é um administrador local no dispositivo.

Pré – requisitos do Dispositivo

O dispositivo precisa atender às seguintes condições para estar qualificado para habilitar o BitLocker silenciosamente:

  • Se os usuários finais fizerem logon nos dispositivos como Administradores, o dispositivo deverá executar o Windows 10 versão 1803 ou posterior.
  • Se os usuários finais fizerem logon nos dispositivos como Usuários Padrão, o dispositivo deve executar o Windows 10 versão 1809 ou posterior.
  • O dispositivo precisa ser ingressado no Azure AD ou no Azure AD Híbrido.
  • O dispositivo deve conter TPM (Trusted Platform Module) 2.0
  • O modo BIOS deve ser definido como somente UEFI Nativo.

Configuração da política do BitLocker

As duas configurações das Configurações de base do BitLocker seguintes precisam ser configuradas na política do BitLocker:

  • Aviso para outras criptografias de disco = Bloquear.
  • Permitir que usuários padrão habilitem a criptografia durante o ingresso no Azure AD = Permitir

A política do BitLocker não pode exigir o uso de um PIN nem de uma chave de inicialização. Quando um PIN de inicialização ou uma chave de inicialização do TPM é obrigatória, o BitLocker não pode ser habilitado silenciosamente e exige interação do usuário final.

Esse requisito é atendido por meio das três seguintes configurações de unidade do SO do BitLocker na mesma política:

  • PIN de inicialização do TPM compatível não pode ser definido como Exigir PIN de inicialização com TPM
  • Chave de inicialização do TPM compatível não pode ser definido como exigir chave de inicialização com TPM
  • Chave de inicialização e PIN do TPM compatível não pode ser definido como exigir chave de inicialização e PIN com TPM

Exibir Detalhes de Chaves de Recuperação

O Intune fornece acesso à folha do Azure AD para o BitLocker, é possível exibir as IDs de chave do BitLocker e as chaves de recuperação para seus dispositivos Windows 10 do centro de administração do Microsoft Endpoint Manager.

Para ser acessível, o dispositivo deve ter suas chaves mantidas sob a custódia do Azure AD.

Entre no Centro de Administração do Microsoft Endpoint Manager.

Selecione Dispositivos > Todos os dispositivos.

Selecione um dispositivo na lista e em Monitorar, selecione Chaves de recuperação.

Clique em Mostrar a Chave de Recuperação. Selecionar isso gerará uma entrada de log de auditoria na atividade ‘KeyManagement’.

Quando as chaves estiverem disponíveis no Azure AD, as seguintes informações ficarão disponíveis:

  • ID de chave do BitLocker
  • Chave de recuperação do BitLocker
  • Tipo de Unidade

Quando as chaves não estiverem no Azure AD, o Intune exibirá nenhuma chave do BitLocker encontrada para este dispositivo.

Administradores de TI precisam ter uma permissão específica no Azure Active Directory para ver as chaves de recuperação do BitLocker do dispositivo: microsoft.directory/bitlockerKeys/key/read. Algumas funções no Azure AD têm essa permissão, incluindo as de Administrador de Dispositivo de Nuvem, de Administrador da assistência técnica etc.

Conclusão

Recurso de muita importância dentro do ambiente corporativo, ainda mais atualmente onde as pessoas estão adotando o trabalho de forma hibrida, em home Office e às vezes no escritório circulando com seus ativos para um lado e para o outro, é de suma importância ter seus dados protegidos, impedindo que usuários não autorizados violem a proteção dos dados, roubados ou desativados de maneira inadequada.

Existindo esse recurso configurado no dispositivo o usuário ficaria um pouco mais seguro caso eventualmente aconteça algo semelhante ao mencionado acima, um recurso bem conhecido mais que no dia a dia verificamos que são pouco utilizados dentro das organizações.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Diego Gonzalez
Consultor em Segurança em Nuvem em uma das maiores consultorias de Segurança Digital do Brasil, formado em Ciência da Computação responsável pelas ferramentas de Segurança em Nuvem (Azure), Gerenciamento de MDM e MAM no Intune, por administrar e dar suporte (Microsoft CAS, Defender ATP, Azure ATP, Acesso Condicional, AIP, Gerenciamento seguro de identidade e compliance), Atualmente atuo na Implementação de novos Projetos e continuação dos negócios relacionados a Segurança da Informação em produtos como Office 365 e Azure, sou certificado pela Microsoft e continuo na busca constante de novas Certificações em plataformas existentes do mercado.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!