Vai al contenuto

Criterio di Device Encryption

Device Encryption (cifratura dei dispositivi) consente di gestire la Crittografia unità BitLocker nei computer Windows e FileVault nei Mac. La cifratura degli hard disk garantisce la sicurezza dei dati, anche in caso di furto o smarrimento di un dispositivo.

Nota

Se un'opzione risulta bloccata, significa che il partner o l'amministratore di Enterprise ha applicato le impostazioni globali.

Selezionare Prodotti > Encryption > Criteri per gestire la cifratura del dispositivo.

Per impostare la cifratura, procedere come segue:

  1. L'agente di Device Encryption viene installato automaticamente sui computer Windows, quando si utilizza il programma di installazione dell’agente standard per Windows (in presenza della licenza necessaria). Sui Mac, l'agente di Device Encryption deve essere installato manualmente.
  2. Creare un criterio di Device Encryption e applicare tale criterio agli utenti, come indicato qui di seguito.

    I computer verranno cifrati non appena gli utenti specificati effettueranno l’accesso.

    Nota

    La cifratura FileVault è basata sui singoli utenti; la cifratura deve essere stata abilitata per ciascun utente di un endpoint.

Per informazioni complete sul processo di cifratura dei computer, consultare la Guida per amministratori di Device Encryption.

Restrizione

Device Encryption può essere applicata a volumi di avvio e volumi di dati fissi, ma non a supporti removibili.

Per configurare un criterio, procedere come segue:

  1. Cliccare su Aggiungi criterio per creare un criterio di Device Encryption. Vedere Creazione o modifica di un criterio.
  2. Aprire la scheda Impostazioni del criterio e configurarlo come segue. Verificare che il criterio sia abilitato.

Impostazioni

  • Device Encryption è attivata: Un computer viene cifrato non appena uno degli utenti a cui è stato applicato questo criterio vi effettua l'accesso.

    Un endpoint Windows rimane cifrato anche se dovesse accedervi un utente diverso al quale non è stato applicato il criterio.

    Avviso

    Per garantire la protezione completa di un endpoint macOS specifico, occorre applicare un criterio di cifratura a tutti gli utenti che possono accedervi.

  • Cifra solo volume di avvio: Questa opzione consente di cifrare solamente il volume di avvio. I volumi di dati vengono ignorati.

Impostazioni Windows avanzate

  • Richiedi autenticazione all'avvio: Questa opzione è attiva per impostazione predefinita. Con questa opzione viene implementata l'autenticazione tramite TPM+PIN, passphrase, o chiave USB. Se viene disattivata, verrà installata la protezione dell'accesso TPM-only sui computer in cui è supportata. Per ulteriori informazioni sui metodi di autenticazione, consultare la Guida per amministratori di Device Encryption.

  • Richiedi agli utenti una nuova password/un nuovo PIN di autenticazione: Questa opzione è disattivata per impostazione predefinita. Richiede la modifica obbligatoria della password o del PIN di BitLocker una volta trascorso l'intervallo di tempo specificato. Quando gli utenti modificano password o PIN, verrà creato un evento nel log.

    Se gli utenti chiudono la finestra di dialogo senza immettere una nuova password o un nuovo PIN, questa finestra comparirà nuovamente dopo ogni riavvio del computer. Se gli utenti chiudono la finestra di dialogo cinque volte senza modificare password o PIN, verrà inserito un avviso nel log.

    Restrizione

    Sugli endpoint, questa funzionalità è disponibile solamente in Central Device Encryption 2.0 e versioni successive.

  • Cifra solo lo spazio utilizzato: Questa opzione è disattivata per impostazione predefinita. Consente di cifrare solamente lo spazio utilizzato, invece dell'intera unità. È possibile utilizzare questa funzionalità per rendere più rapido il processo di cifratura iniziale (quando un criterio viene applicato a un computer per la prima volta).

    Avviso

    Cifrando solamente lo spazio utilizzato, si rischia che i dati eliminati presenti sul computer non vengano cifrati, per cui si consiglia di adoperare questa opzione solamente per i computer appena configurati.

    Nota

    Questa opzione non riguarda gli endpoint Windows 7.

Proteggi file con password per una condivisione sicura (solo Windows)

Restrizione

Sugli endpoint, questa funzionalità è disponibile solamente in Central Device Encryption 2.0 e versioni successive.

È possibile proteggere file con dimensioni fino a 50 MB.

  • Abilita menu di scelta rapida del tasto destro del mouse: Attivando questa opzione, viene aggiunta una voce Crea file protetto da password al menu del tasto destro del mouse per il file. Gli utenti possono allegare alle e-mail file protetti con password quando vengono inviati dati di natura sensibile a destinatari situati all'esterno del perimetro di rete aziendale. I file vengono inclusi in un nuovo file HTML dal contenuto cifrato.

    I destinatari possono quindi aprire il file facendo doppio clic sul file e immettendo la password. Possono inviare nuovamente il file ricevuto e proteggerlo con la stessa password o una password nuova, oppure possono creare un nuovo file protetto con password.

  • Abilita add-in per Outlook: Questa opzione consente di aggiungere ad Outlook la cifratura degli allegati e-mail. Gli utenti possono proteggere gli allegati selezionando la dicitura Proteggi allegati nella barra multifunzione di Outlook. Tutti gli allegati non protetti vengono inclusi in un nuovo allegato HTML dal contenuto cifrato, e l'e-mail viene inviata.

  • Chiedi sempre come procedere con i file in allegato: Se viene attivata questa opzione, gli utenti dovranno selezionare la modalità di invio degli allegati per ogni messaggio contenente allegati. Gli allegati possono essere inviati come file protetti con password, oppure senza protezione.

    È possibile immettere domini esclusi, ai quali l'opzione Chiedi sempre come procedere con i file in allegato non è applicabile. Ad esempio, il dominio dell'organizzazione. Se il destinatario appartiene a questo dominio, ai mittenti non verrà richiesto di specificare la modalità di invio degli allegati.

    Specificare solamente nomi di dominio completi, separati da virgole.