Konfigurera BitLocker på Windows 10- eller 11-enheter

Utgåvor som stöds för den här funktionen: Frontline Starter, Frontline Standard och Frontline Plus; Business Plus; Enterprise Standard och Enterprise Plus; Education Standard, Education Plus och Endpoint Education Upgrade; Enterprise Essentials och Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Som administratör kan du ange hur Microsoft Windows 10- eller 11-enheter som är registrerade i Windows-enhetshantering krypteras. Inställningarna du väljer träder i kraft om enheten har BitLocker-diskkryptering aktiverad. De vanligaste inställningarna att konfigurera är:

  • Enhetskryptering
  • Ytterligare startautentisering
  • Alternativ för återställning före start
  • Kryptering av fasta enheter
  • Alternativ för återställning av fasta enheter
  • Kryptering av flyttbara enheter

Innan du börjar

Enheter måste vara registrerade i Windows enhetshantering för att dessa inställningar ska gälla. Läs mer

Konfigurera BitLocker-diskkryptering

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Mobil och slutpunkter och sedan Inställningar och sedan Fönster .

    Kräver administratörsbehörighet för tjänster och enheter .

  2. Klicka på BitLocker-inställningar .
  3. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  4. Under Enhetskryptering väljer du Aktiverad i listan över objekt.
  5. Konfigurera alternativen:

    Enhetskryptering

    • Krypteringsalternativ för systemenheter – Välj krypteringsmetod och krypteringsstyrka för nyckeln för operativsystemenheter.
    • Ytterligare startautentisering – Välj om BitLocker kräver ytterligare autentisering varje gång datorn startar och ange om du använder en Trusted Platform Module (TPM). När den är aktiverad kan du ställa in följande:
      • Tillåt BitLocker utan kompatibel TPM – Markera rutan om du vill kräva att antingen ett lösenord eller en USB-enhet krävs för start.
      • Konfigurera TPM-start utan PIN-kod eller nyckel – Du kan kräva TPM som startautentisering istället för en PIN-kod eller nyckel.
      • TPM-start-PIN – Du kan kräva att en PIN-kod på 6 till 20 siffror anges före start. Du kan också konfigurera minsta PIN-längd.
      • TPM-startnyckel – Du kan kräva att användare autentiserar sig med en TPM-startnyckel för att komma åt en enhet. En startnyckel är ett USB-minne med informationen för att kryptera enheten. När detta USB-minne sätts in i enheten autentiseras åtkomsten till enheten och enheten är tillgänglig.
      • TPM-startnyckel och PIN-kod – Du kan kräva både en startnyckel och en PIN-kod.
    • Alternativ för återställning före start – Aktivera om du vill ställa in återställningsmeddelandet eller anpassa URL:en som visas på skärmen för återställning av nyckeln före start när operativsystemets hårddisk är låst.
    • Återställningsalternativ för systemenheter – Aktivera för att ställa in alternativ för användare att återställa data från operativsystemenheter som skyddas av BitLocker. När det är aktiverat kan du ställa in följande:
      • Tillåt dataåterställningsagenter – Dataåterställningsagenter är individer vars PKI-certifikat (public key infrastructure) används för att skapa ett BitLocker-nyckelskydd. När dessa individer är tillåtna kan de använda sina PKI-inloggningsuppgifter för att låsa upp enheter som skyddas av BitLocker.
      • Ange 48-siffrigt återställningslösenord – Välj om användare har tillåtelse, är obligatoriska eller inte har tillåtelse att generera ett 48-siffrigt återställningslösenord.
      • 256-bitars återställningsnyckel – Välj om användare har tillåtelse, är skyldiga eller inte har tillåtelse att generera en 256-bitars återställningsnyckel.
      • Dölj återställningsalternativ från BitLocker-installationsguiden – Markera rutan om du vill förhindra att användare anger återställningsalternativ när de aktiverar BitLocker.
      • Spara BitLocker-återställningsinformation i Active Directory Domain Services – När det här alternativet är markerat kan du välja vilken BitLocker-återställningsinformation som ska lagras i Active Directory. Du kan välja antingen lösenordet och nyckelpaketet för säkerhetskopieringsåterställning eller endast lösenordet för säkerhetskopieringsåterställning. När det är aktiverat kan du ställa in följande:
        • Aktivera inte BitLocker förrän återställningsinformationen har lagrats i Active Directory – Markera rutan om du vill förhindra att användare aktiverar BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformationen till Active Directory lyckas.

    Kryptering av fasta enheter

    • Kryptering av fasta enheter – Aktivera att kräva att fasta enheter krypteras innan skrivåtkomst beviljas. När det är aktiverat kan du ställa in följande:
      • Kryptering för fasta enheter – Välj krypteringsmetod och nyckelkrypteringsstyrka för fasta enheter.
      • Alternativ för återställning av fasta enheter – Aktivera alternativet för användare att återställa data från fasta enheter som skyddas av BitLocker. När det är aktiverat kan du ställa in följande:
        • Tillåt dataåterställningsagenter – Dataåterställningsagenter är individer vars PKI-certifikat (public key infrastructure) används för att skapa ett BitLocker-nyckelskydd. När dessa individer är tillåtna kan de använda sina PKI-inloggningsuppgifter för att låsa upp enheter som skyddas av BitLocker.
        • 48-siffrigt återställningslösenord – Välj om användare har tillåtelse, är obligatoriska eller inte har tillåtelse att generera ett 48-siffrigt återställningslösenord.
        • 256-bitars återställningsnyckel – Välj om användare har tillåtelse, är skyldiga eller inte har tillåtelse att generera en 256-bitars återställningsnyckel.
        • Dölj återställningsalternativ från BitLocker-installationsguiden – Markera rutan om du vill förhindra att användare anger återställningsalternativ när de aktiverar BitLocker.
        • Spara BitLocker-återställningsinformation i Active Directory Domain Services – När det här alternativet är markerat kan du välja vilken BitLocker-återställningsinformation som ska lagras i Active Directory. Du kan välja antingen lösenordet och nyckelpaketet för säkerhetskopieringsåterställning eller endast lösenordet för säkerhetskopieringsåterställning. När det är aktiverat kan du ställa in följande:
          • Aktivera inte BitLocker förrän återställningsinformationen har lagrats i Active Directory – Markera rutan om du vill förhindra att användare aktiverar BitLocker om inte datorn är ansluten till domänen och säkerhetskopieringen av BitLocker-återställningsinformationen till Active Directory lyckas.

    Kryptering av flyttbara enheter

    • Kryptering av flyttbara enheter – Aktivera om du vill kräva att alla flyttbara enheter krypteras innan skrivåtkomst ges. När det är aktiverat kan du ställa in följande:
      • Kryptering för flyttbara enheter – Välj krypteringsalgoritm och nyckelkrypteringsstyrka för flyttbara enheter.
      • Neka skrivåtkomst till enheter som konfigurerats i en annan organisation – När det här alternativet är markerat beviljas endast enheter med identifieringsfält som matchar datorns identifieringsfält skrivåtkomst. Dessa fält definieras av din organisations grupprincip.
  6. Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.

    För att senare återställa det ärvda värdet klickar du på Ärv .

Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Ställ in diskkryptering till Inte konfigurerad

Om du väljer Inte konfigurerad för Enhetskryptering tillämpas inte längre den BitLocker-policy som du angav i administratörskonsolen. På användarenheter återställs policyn till den inställning den hade tidigare. Om användaren krypterade enheten görs inga ändringar på enheten eller på data på enheten.

Inaktivera BitLocker-diskkryptering

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Mobil och slutpunkter och sedan Inställningar och sedan Fönster .

    Kräver administratörsbehörighet för tjänster och enheter .

  2. Klicka på BitLocker-inställningar .
  3. Om du vill inaktivera en profil för endast vissa användare väljer du en organisationsenhet från listan till vänster. Annars gäller den för alla.
  4. Under Enhetskryptering väljer du Inaktiverad i listan över objekt.
  5. Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.

    För att senare återställa det ärvda värdet klickar du på Ärv .


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.