Intune ile Windows cihazları için Disk Şifreleme ilkesini yönetme

Windows 10 veya üzerini çalıştıran cihazlarda BitLocker şifrelemesini ve Windows 11 Sürüm 22H2 veya sonraki bir sürümü çalıştıran cihazlarda Kişisel Veri Şifrelemesi'ni (PDE) yapılandırmak için Intune kullanın.

Yönetilen cihazlarınızda şifrelemeyi yapılandırmak için aşağıdaki ilke türlerinden birini kullanın:

• Uç nokta güvenliği > Windows şifreleme ilkesi. Aşağıdaki profillerden birini seçin:

  • BitLocker - BitLocker'ı yapılandırmaya ayrılmış odaklanmış bir ayar grubu. Daha fazla bilgi için bkz. BitLocker CSP.

  • Kişisel Veri Şifrelemesi - Kişisel Veri Şifrelemesi (PDE), bitlocker'dan farklıdır ve dosyaları tüm birimler ve diskler yerine şifreler. PDE, BitLocker gibi diğer şifreleme yöntemlerine ek olarak gerçekleşir. Önyükleme sırasında veri şifreleme anahtarlarını serbest bırakan BitLocker'ın aksine, kullanıcı İş İçin Windows Hello kullanarak oturum açtığında PDE veri şifreleme anahtarlarını serbest bırakmaz. Daha fazla bilgi için bkz. PDE CSP.

• BitLocker için uç nokta koruması için cihaz yapılandırma profili. BitLocker ayarları, Windows 10/11 uç nokta koruması için kullanılabilen ayarlar kategorilerinden biridir.

  Cihaz yapılandırma ilkesinden uç nokta koruma profillerinde BitLocker için kullanılabilen BitLocker ayarlarını görüntüleyin.

BitLocker'ı yönetmek için rol tabanlı erişim denetimleri

Intune'da BitLocker'ı yönetmek için, Bir hesaba, BitLocker Tuşlarını Döndürme (önizleme) hakkı Evet olarak ayarlanmış Uzak görevler iznini içeren Intune rol tabanlı erişim denetimi (RBAC) rolü atanmalıdır.

Bu izni ve hakkı kendi özel RBAC rollerinize ekleyebilir veya bu hakkı içeren aşağıdaki yerleşik RBAC rollerinden birini kullanabilirsiniz:

• Yardım Masası Operatörü
• Uç Nokta Güvenlik Yöneticisi

İlke oluşturma ve dağıtma

Tercih ettiğiniz ilke türünü oluşturmak için aşağıdaki yordamlardan birini kullanın.

Windows için uç nokta güvenlik ilkesi oluşturma

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Uç nokta güvenliği>Disk şifrelemesi>İlke Oluştur'u seçin.

3. Aşağıdaki seçenekleri ayarlayın:

   1. Platform: Windows
   2. Profil: BitLocker veya Kişisel Veri Şifrelemesi'ni seçin

   

4. Yapılandırma ayarları sayfasında, iş gereksinimlerinizi karşılamak için BitLocker ayarlarını yapılandırın.

   İleri'yi seçin.

5. Kapsam (Etiketler) sayfasında Kapsam etiketlerini seç'i seçerek Etiket seç bölmesini açarak profile kapsam etiketleri atayın.

   Devam etmek için İleri'yi seçin.

6. Atamalar sayfasında, bu profili alan grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

   İleri'yi seçin.

7. Gözden Geçir + oluştur sayfasında, işiniz bittiğinde, Oluştur'u seçin. Oluşturduğunuz profil için ilke türünü seçtiğinizde yeni profil listede görüntülenir.

Windows şifrelemesi için cihaz yapılandırma profili oluşturma

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar Cihazları>>yönetYapılandırması>İlkeler sekmesinde Oluştur'u seçin.

3. Aşağıdaki seçenekleri ayarlayın:

   1. Platform: Windows 10 ve üzeri
   2. Profil türü: Şablonlar>Uç nokta koruması'nı ve ardından Oluştur'u seçin.

   

4. Yapılandırma ayarları sayfasında Windows Şifrelemesi'ni genişletin.

   

5. BitLocker ayarlarını iş gereksinimlerinizi karşılayacak şekilde yapılandırın.

   BitLocker'ı sessizce etkinleştirmek istiyorsanız, ek önkoşullar ve kullanmanız gereken belirli ayar yapılandırmaları için bu makaledeki Cihazlarda BitLocker'ı sessizce etkinleştirme konusuna bakın.

6. Devam etmek için İleri'yi seçin.

7. Diğer ayarların yapılandırmasını tamamlayın ve ardından profili kaydedin.

BitLocker'i yönetme

Aşağıdaki konular, BitLocker ilkesi aracılığıyla belirli görevleri yönetmenize ve kurtarma anahtarlarını yönetmenize yardımcı olabilir:

• Cihazlarda BitLocker'ın sessizce etkinleştirilmesi
• Tam disk ve Yalnızca Kullanılan Alan şifrelemesi karşılaştırması
• Kurtarma anahtarları için ayrıntıları görüntüleme
• Kiracıya bağlı cihazlar için kurtarma anahtarlarını görüntüleme
• BitLocker kurtarma anahtarlarını döndürme
• Son kullanıcı self servis kurtarma anahtarı deneyimleri

BitLocker ilkesi alan cihazlar hakkındaki bilgileri görüntülemek için bkz. Disk şifrelemesini izleme.

Cihazlarda BitLocker'ın sessizce etkinleştirilmesi

BitLocker için bir ilkeyi, cihaz üzerinde yerel Yönetici olmasa bile son kullanıcıya kullanıcı arabirimi sunmadan cihazı otomatik ve sessiz bir şekilde şifrelemek üzere yapılandırabilirsiniz.

Başarılı olmak için cihazların aşağıdaki cihaz önkoşullarını karşılaması, BitLocker'ı sessizce etkinleştirmek için geçerli ayarları alması ve TPM başlangıç PIN'i veya anahtarı kullanılmasını gerektiren ayarları olmaması gerekir. Başlangıç PIN'i veya anahtarı kullanımı, kullanıcı etkileşimi gerektirdiğinden sessiz şifreleme ile uyumsuzdur.

Cihaz Önkoşulları

Cihazın BitLocker'ı sessizce etkinleştirmeye uygun olması için aşağıdaki koşulları karşılaması gerekir:

• Son kullanıcılar cihazlarda Yönetici olarak oturum açarsa, cihazın Windows 10 sürüm 1803 veya üzerini veya Windows 11 çalıştırması gerekir.
• Son kullanıcılar cihazlarda Standart Kullanıcılar olarak oturum açarsa, cihazın Windows 10 sürüm 1809 veya üzeri ya da Windows 11 çalıştırması gerekir.
• Cihazın Microsoft Entra katılmış veya karma Microsoft Entra katılmış olması gerekir.
• Cihaz en az TPM (Güvenilir Platform Modülü) 1.2 içermelidir.
• BIOS modu yalnızca Yerel UEFI olarak ayarlanmalıdır.

BitLocker'ı sessizce etkinleştirmek için gerekli ayarlar

BitLocker'ı sessizce etkinleştirmek için kullandığınız ilke türüne bağlı olarak aşağıdaki ayarları yapılandırın. Her iki yöntem de Windows cihazlarında Windows şifreleme CSP'leri aracılığıyla BitLocker'i yönetir.

• Uç nokta güvenliği Disk şifreleme ilkesi - BitLocker profilinde aşağıdaki ayarları yapılandırın:

  • Cihaz Şifrelemesi = GerektirEtkin
  • Diğer disk şifrelemesi = için uyarıya izin verSakat

  

  Gerekli iki ayara ek olarak Kurtarma Parolası Döndürmeyi Yapılandırma'yı kullanmayı göz önünde bulundurun.

• Cihaz yapılandırması Uç nokta koruma ilkesi - Endpoint protection şablonunda veya özel ayarlar profilinde aşağıdaki ayarları yapılandırın:

  • Diğer disk şifrelemesi = için uyarıEngelle'ye bakın.
  • Standart kullanıcıların Microsoft Entra katılma sırasında şifrelemeyi etkinleştirmesineizin ver İzin Ver =
  • Kurtarma anahtarı = kullanıcı oluşturma256 bit kurtarma anahtarına izin ver veya izin verme
  • Kullanıcı kurtarma parolası = oluşturma48 basamaklı kurtarma parolasına izin ver veya gerektir

TPM başlangıç PIN'i veya anahtarı

Bir cihaz başlangıç PIN'i veya başlangıç anahtarı gerektirecek şekilde ayarlanmamalıdır .

Bir cihazda TPM başlangıç PIN'i veya başlangıç anahtarı gerektiğinde, BitLocker cihazda sessizce etkinleştiremez ve bunun yerine son kullanıcının etkileşimini gerektirir. TPM başlangıç PIN'ini veya anahtarını yapılandırma ayarları hem uç nokta koruma şablonunda hem de BitLocker ilkesinde kullanılabilir. Varsayılan olarak, bu ilkeler bu ayarları yapılandırmaz.

Her profil türü için ilgili ayarlar aşağıdadır:

Uç nokta güvenlik diski şifreleme ilkesi - TPM ayarları yalnızca Yönetim Şablonları kategorisini genişlettikten sonra görünür ve ardından Windows Bileşenleri > BitLocker Sürücü Şifrelemesi > İşletim Sistemi Sürücüleri bölümünde Başlangıçta ek kimlik doğrulaması isteseçeneğinin Etkin olarak ayarlanması gerekir. Yapılandırıldığında aşağıdaki TPM ayarları kullanılabilir:

• TPM başlangıç anahtarını ve PIN'i yapılandırma - Bunu TPM ile başlangıç anahtarına ve PIN'e izin verme olarak yapılandırın

• TPM başlangıç PIN'ini yapılandırma - Bunu TPM ile başlatma PIN'ine izin verme olarak yapılandırın

• TPM başlatmayı yapılandırma - Bunu TPM'ye İzin Ver veya TPM gerektir olarak yapılandırın

• TPM başlangıç anahtarını yapılandırma - Bunu TPM ile başlangıç anahtarına izin verme olarak yapılandırın

Cihaz yapılandırma ilkesi - Uç nokta koruma şablonunda Windows Şifreleme kategorisinde aşağıdaki ayarları bulabilirsiniz:

• Uyumlu TPM başlatma - Bunu TPM'ye İzin Ver veya TPM Gerektir olarak yapılandırın
• Uyumlu TPM başlangıç PIN'i - Bunu TPM ile başlatma PIN'ine izin verme olarak yapılandırın
• Uyumlu TPM başlangıç anahtarı - Bunu TPM ile başlatma anahtarına izin verme olarak yapılandırın
• Uyumlu TPM başlangıç anahtarı ve PIN - Bunu BAŞLANGıÇ Anahtarına ve TPM ile PIN'e izin verme olarak yapılandırın

Tam disk ve Yalnızca Kullanılan Alan şifrelemesi karşılaştırması

Üç ayar, işletim sistemi sürücüsünün yalnızca kullanılan alanı şifreleyerek mi yoksa tam disk şifrelemesi ile mi şifreleneceğini belirler:

• Cihazın donanımının modern bekleme özellikli olup olmadığı
• Sessiz etkinleştirmenin BitLocker için yapılandırılıp yapılandırılmadığı
  • ('Diğer disk şifrelemesi için uyarı' = Üçüncü taraf şifreleme hakkında bilgi istemini engelle veya gizle' = Evet)
• SystemDrivesEncryptionType yapılandırması
  • (İşletim sistemi sürücülerinde sürücü şifreleme türünü zorunlu kılma)

SystemDrivesEncryptionType'ın yapılandırılmadığını varsayarsak aşağıdaki davranış beklenir. Modern bir bekleme cihazında sessiz etkinleştirme yapılandırıldığında işletim sistemi sürücüsü yalnızca kullanılan alan şifrelemesi kullanılarak şifrelenir. Modern bekleme özelliği olmayan bir cihazda sessiz etkinleştirme yapılandırıldığında, işletim sistemi sürücüsü tam disk şifrelemesi kullanılarak şifrelenir. BitLocker için Bir Endpoint Security disk şifreleme ilkesi veya BitLocker için uçnokta koruması için Cihaz Yapılandırması profili kullanıyorsanız, sonuç aynıdır. Farklı bir son durum gerekiyorsa, şifreleme türü, ayarlar kataloğu kullanılarak SystemDrivesEncryptionType yapılandırılarak denetlenebilir.

Donanımın modern bekleme özelliğine sahip olup olmadığını doğrulamak için bir komut isteminden aşağıdaki komutu çalıştırın:

powercfg /a

Cihaz modern beklemeyi destekliyorsa Bekleme (S0 Düşük Güç Boşta) Ağa Bağlı seçeneğinin kullanılabilir olduğunu gösterir

Cihaz, sanal makine gibi modern beklemeyi desteklemiyorsa Bekleme (S0 Düşük Güç Boşta) Ağa Bağlı seçeneğinin desteklenmediğini gösterir

Şifreleme türünü doğrulamak için yükseltilmiş (yönetici) komut isteminden aşağıdaki komutu çalıştırın:

manage-bde -status c:

'Dönüştürme Durumu' alanı şifreleme türünü Yalnızca Kullanılan Alan şifreli veya Tam Olarak Şifrelenmiş olarak yansıtır.

Tam disk şifrelemesi ile yalnızca kullanılan alan şifrelemesi arasındaki disk şifreleme türünü değiştirmek için, ayarlar kataloğunda 'İşletim sistemi sürücülerinde sürücü şifreleme türünü zorla' ayarını kullanın.

Kurtarma anahtarları için ayrıntıları görüntüleme

Intune, Windows 10/11 cihazlarınız için BitLocker Anahtar Kimliklerini ve kurtarma anahtarlarını Microsoft Intune yönetim merkezinden görüntüleyebilmeniz için BitLocker için Microsoft Entra düğümüne erişim sağlar. Kurtarma anahtarlarını görüntüleme desteği , kiracıya bağlı cihazlarınıza da yayılabilir.

Erişilebilir olması için cihazın anahtarlarının Microsoft Entra olarak emanet edilmesi gerekir.

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Tüm cihazlar’ı seçin.

3. Listeden bir cihaz seçin ve ardından İzleyici'nin altında Kurtarma anahtarları'nı seçin.

4. Kurtarma Anahtarını Göster'e basın. Bu seçeneğin seçilmesi, 'KeyManagement' etkinliği altında bir denetim günlüğü girişi oluşturur.

   anahtarlar Microsoft Entra kullanılabilir olduğunda, aşağıdaki bilgiler kullanılabilir:

   • BitLocker Anahtar Kimliği
   • BitLocker Kurtarma Anahtarı
   • Sürücü Türü

   Anahtarlar Microsoft Entra olmadığında, Intune bu cihaz için BitLocker anahtarı bulunamadı değerini görüntüler.

BitLocker bilgileri BitLocker yapılandırma hizmeti sağlayıcısı (CSP) kullanılarak alınır. BitLocker CSP, Windows 10 sürüm 1703 ve sonraki sürümlerde, Windows 10 Pro sürüm 1809 ve sonraki sürümlerde ve Windows 11 desteklenir.

BT yöneticilerinin cihaz BitLocker kurtarma anahtarlarını görebilmesi için Microsoft Entra ID içinde belirli bir izne sahip olması gerekir: microsoft.directory/bitlockerKeys/key/read. Microsoft Entra ID içinde bulut cihazı yöneticisi, yardım masası yöneticisi vb. dahil olmak üzere bu izne sahip bazı roller vardır. Hangi Microsoft Entra rollerin hangi izinlere sahip olduğu hakkında daha fazla bilgi için bkz. yerleşik roller Microsoft Entra.

Tüm BitLocker kurtarma anahtarı erişimleri denetlenir. Denetim Günlüğü girişleri hakkında daha fazla bilgi için bkz. denetim günlüklerini Azure portal.

Kiracıya bağlı cihazlar için kurtarma anahtarlarını görüntüleme

Kiracı ekleme senaryoyu kullandığınızda, Microsoft Intune kiracıya bağlı cihazlar için kurtarma anahtarı verilerini görüntüleyebilir.

• Kiracıya bağlı cihazların kurtarma anahtarlarının görüntülenmesini desteklemek için, Configuration Manager sitelerinizin 2107 veya sonraki bir sürümü çalıştırması gerekir. 2107 çalıştıran siteler için, birleştirilmiş Microsoft Entra cihazları desteklemek için bir güncelleştirme paketi yüklemeniz gerekir: Bkz. KB11121541.

• Kurtarma anahtarlarını görüntülemek için, Intune hesabınızın BitLocker anahtarlarını görüntülemek için Intune RBAC izinlerine sahip olması ve Koleksiyon Rolünün Configuration Manager için ilgili izinlere sahip bir şirket içi kullanıcıyla ilişkilendirilmiş olması ve Okuma İzni > Okuma BitLocker Kurtarma Anahtarı İznine sahip olması gerekir. Daha fazla bilgi için bkz. Configuration Manager için rol tabanlı yönetimi yapılandırma.

BitLocker kurtarma anahtarlarını döndürme

Windows 10 sürüm 1909 veya üzerini çalıştıran bir cihazın BitLocker kurtarma anahtarını uzaktan döndürmek ve Windows 11 için Intune bir cihaz eylemi kullanabilirsiniz.

Önkoşullar

Cihazların BitLocker kurtarma anahtarının döndürülebilmesi için aşağıdaki önkoşulları karşılaması gerekir:

• Cihazlar Windows 10 sürüm 1909 veya sonraki bir sürümü veya Windows 11 çalıştırmalıdır

• Microsoft Entra katılmış ve karma birleştirilmiş Microsoft Entra cihazların BitLocker ilke yapılandırması aracılığıyla anahtar döndürme desteği etkinleştirilmelidir:

  • Birleştirilmiş Microsoft Entra cihazlarda döndürmeyi etkinleştirme veya Microsoft Entra IDve Microsoft Entra birleştirilmiş karma birleştirilmiş cihazlarda döndürmeyi etkinleştirmeye yönelik istemci temelli kurtarma parolası döndürme
  • BitLocker kurtarma bilgilerini Etkin olarak Microsoft Entra ID kaydetme
  • BitLocker'ı Gerekli olarak etkinleştirmeden önce kurtarma bilgilerini Microsoft Entra ID'da depolayın

BitLocker dağıtımları ve gereksinimleri hakkında bilgi için bkz. BitLocker dağıtım karşılaştırma grafiği.

BitLocker kurtarma anahtarını döndürmek için

1. Microsoft Intune yönetim merkezinde oturum açın.

2. Cihazlar>Tüm cihazlar’ı seçin.

3. Yönettiğiniz cihazlar listesinde bir cihaz seçin ve ardından BitLocker anahtar döndürme uzak eylemini seçin. Bu seçeneğin kullanılabilir olması gerekiyorsa ancak görünmüyorsa üç noktayı (...) ve ardından BitLocker anahtar döndürmesini seçin.

4. Cihazın Genel Bakış sayfasında BitLocker anahtar döndürmesini seçin. Bu seçeneği görmüyorsanız, tüm seçenekleri göstermek için üç noktayı (...) ve ardından BitLocker anahtar döndürme cihazı uzak eylemini seçin.

   

Self servis kurtarma anahtarları

Intune, son kullanıcıların kurtarma anahtarlarını şirket yardım masasını aramadan almasına yardımcı olmak için Şirket Portalı uygulaması aracılığıyla son kullanıcıya self servis senaryoları sağlar.

Intune, BitLocker kurtarma anahtarlarının emanetini tanımlamak için ilkenin yapılandırılmasına yardımcı olsa da, bu anahtarlar Entra Id içinde depolanır. Bunlar, Son kullanıcılar için self servis BitLocker kurtarma anahtarı erişimiyle birlikte kullanılmasına yardımcı olan Entra Id içindeki özelliklerdir.

1. Yönetici olmayan kullanıcıların kurtarma anahtarı erişimini engellemek için kiracı genelinde geçiş: Bu ayar, kullanıcıların BitLocker anahtarlarını kurtarmak için self servis kullanıp kullanamadığını belirler. Varsayılan değer, tüm kullanıcıların BitLocker anahtarlarını kurtarmasına olanak tanıyan 'Hayır' değeridir. 'Evet', yönetici olmayan kullanıcıların varsa kendi cihazları için BitLocker anahtarlarını görebilmesini kısıtlar. Entra Id'de bu denetim hakkında daha fazla bilgi edinin.

2. Kurtarma anahtarı erişimi için denetim: Entra Id portalındaki Denetim Günlükleri, kiracıdaki etkinliklerin geçmişini gösterir. Şirket Portalı web sitesi üzerinden yapılan tüm kullanıcı kurtarma anahtarı erişimleri, Denetim Günlükleri'nde Anahtar Yönetimi kategorisi altında "BitLocker anahtarını okuma" etkinlik türü olarak günlüğe kaydedilir. Kullanıcının Kullanıcı Asıl Adı ve anahtar kimliği gibi diğer bilgiler de günlüğe kaydedilir. Entra Id'de denetim günlükleri hakkında daha fazla bilgi edinin.

3. BitLocker Kurtarma Anahtarı'na erişmek için uyumlu bir cihaz gerektiren Koşullu Erişim ilkesini çekme: Koşullu Erişim ilkesi (CA) ile, bir cihaz "Uyumlu cihaz gerektir" ayarıyla uyumlu değilse belirli şirket kaynaklarına erişimi kısıtlayabilirsiniz. Bu ayar kuruluşunuzda ayarlanırsa ve bir cihaz Intune Uyumluluk ilkesinde yapılandırılan Uyumluluk gereksinimlerini karşılayamazsa, bu cihaz CA tarafından denetlenen bir şirket kaynağı olarak kabul edildiği için BitLocker Kurtarma Anahtarı'na erişmek için kullanılamaz.

Sonraki adımlar

• FileVault ilkesini yönetme
• Disk şifrelemeyi izleme
• BitLocker ilkesi sorunlarını giderme
• BitLocker ilkelerini Intune ile zorunlu tutmayla ilgili bilinen sorunlar
• Windows güvenlik belgelerinde kuruluşlar için BitLocker yönetimi
• Kişisel Veri Şifrelemesi'ne genel bakış
• Şirket Portalı uygulaması aracılığıyla son kullanıcı için self servis senaryoları