Cifratura: Device Encryption

Device Encryption (cifratura dei dispositivi) consente di gestire la Crittografia unità BitLocker nei computer Windows e FileVault nei Mac. La cifratura degli hard disk garantisce la sicurezza dei dati, anche in caso di furto o smarrimento di un dispositivo.

Per impostare la cifratura, procedere come segue:

  1. L'agente di Device Encryption viene installato automaticamente sui computer Windows, quando si utilizza il programma di installazione dell’agente standard per Windows (in presenza della licenza necessaria). Sui Mac, l'agente di Device Encryption deve essere installato manualmente.
  2. Modificare un criterio di base Device Encryption e applicare tale criterio agli utenti, come indicato di seguito.
  3. I computer verranno cifrati non appena gli utenti specificati effettueranno l’accesso.
    Nota La cifratura FileVault è basata sui singoli utenti; la cifratura deve essere stata abilitata per ciascun utente di un endpoint.

Per informazioni complete sul processo di cifratura dei computer, consultare la Guida per amministratori di Device Encryption.

Nota Device Encryption può essere applicata a volumi di avvio e volumi di dati fissi, ma non a supporti removibili.

Per impostare un criterio:

  • Modificare un criterio di base di Device Encryption
  • Aprire la scheda Impostazioni del criterio, e configurarlo come segue.

Impostazioni

Device Encryption è attivata/disattivata: Un computer viene cifrato non appena uno degli utenti a cui è stato applicato questo criterio vi effettua l'accesso.

Un endpoint Windows rimane cifrato anche se dovesse accedervi un utente diverso al quale non è stato applicato il criterio.

Avvertenza Per garantire la protezione completa di un endpoint macOS specifico, occorre applicare un criterio di cifratura a tutti gli utenti che possono accedervi.

Cifra solo volume di avvio: Questa opzione consente di cifrare solamente il volume di avvio. I volumi di dati vengono ignorati.

Impostazioni Windows avanzate

Richiedi autenticazione all'avvio: Questa opzione è attiva per impostazione predefinita. Con questa opzione viene implementata l'autenticazione tramite TPM+PIN, passphrase, o chiave USB. Se viene disattivata, verrà installata la protezione dell'accesso TPM-only sui computer in cui è supportata. Per ulteriori informazioni sui metodi di autenticazione, consultare la Guida per amministratori di Device Encryption.

Richiedi agli utenti una nuova password/un nuovo PIN di autenticazione: Questa opzione è disattivata per impostazione predefinita. Richiede la modifica obbligatoria della password o del PIN di BitLocker una volta trascorso l'intervallo di tempo specificato. Quando gli utenti modificano password o PIN, verrà creato un evento nel log.

Nota Sugli endpoint, questa funzionalità è disponibile solamente in Central Device Encryption 2.0 e versioni successive.

Se gli utenti chiudono la finestra di dialogo senza immettere password o PIN, questa finestra verrà visualizzata nuovamente dopo 30 secondi e il processo verrà ripetuto fino all'immissione dei dati richiesti. Se gli utenti chiudono questa finestra di dialogo cinque volte senza modificare password o PIN, verrà inserito un avviso nel log.

Cifra solo lo spazio utilizzato: Questa opzione è disattivata per impostazione predefinita. Consente di cifrare solamente lo spazio utilizzato, invece dell'intera unità. È possibile utilizzare questa funzionalità per rendere più rapido il processo di cifratura iniziale (quando un criterio viene applicato a un computer per la prima volta).

Avvertenza Cifrando solamente lo spazio utilizzato, si rischia che i dati eliminati presenti sul computer non vengano cifrati, per cui si consiglia di adoperare questa opzione solamente per i computer appena configurati.
Nota Questa opzione non riguarda gli endpoint Windows 7.

Proteggi file con password per una condivisione sicura (solo Windows)

Nota Sugli endpoint, questa funzionalità è disponibile solamente in Central Device Encryption 2.0 e versioni successive.

È possibile proteggere file con dimensioni fino a 50 MB.

Abilita menu di scelta rapida del tasto destro del mouse: Attivando questa opzione, viene aggiunta una voce Crea file protetto da password al menu del tasto destro del mouse per il file. Gli utenti possono allegare alle e-mail file protetti con password quando vengono inviati dati di natura sensibile a destinatari situati all'esterno del perimetro di rete aziendale. I file vengono inclusi in un nuovo file HTML dal contenuto cifrato.

I destinatari possono quindi aprire il file facendo doppio clic sul file e immettendo la password. Possono inviare nuovamente il file ricevuto e proteggerlo con la stessa password o una password nuova, oppure possono creare un nuovo file protetto con password.

Abilita add-in per Outlook: Questa opzione consente di aggiungere ad Outlook la cifratura degli allegati e-mail. Gli utenti possono proteggere gli allegati selezionando la dicitura Proteggi allegati nella barra multifunzione di Outlook. Tutti gli allegati non protetti vengono inclusi in un nuovo allegato HTML dal contenuto cifrato, e l'e-mail viene inviata.

Chiedi sempre come procedere con i file in allegato: Se viene attivata questa opzione, gli utenti dovranno selezionare la modalità di invio degli allegati per ogni messaggio contenente allegati. Gli allegati possono essere inviati come file protetti con password, oppure senza protezione.

È possibile immettere domini esclusi, ai quali l'opzione Chiedi sempre come procedere con i file in allegato non è applicabile. Ad esempio, il dominio dell'organizzazione. Se il destinatario appartiene a questo dominio, ai mittenti non verrà richiesto di specificare la modalità di invio degli allegati.

Specificare solamente nomi di dominio completi, separati da virgole.