Compartir a través de


Referencia de configuración de BitLocker

Se aplica a: Configuration Manager (rama actual)

Las directivas de administración de BitLocker en Configuration Manager contienen los siguientes grupos de directivas:

  • Instalación
  • Unidad del sistema operativo
  • Unidad fija
  • Unidad extraíble
  • Administración de clientes

En las secciones siguientes se describen y sugieren configuraciones para la configuración de cada grupo.

Instalación

La configuración de esta página configura las opciones globales de cifrado de BitLocker.

Unidad del método de cifrado y la intensidad del cifrado

Configuración sugerida: habilitada con el método de cifrado predeterminado o mayor.

Nota:

La página Propiedades del programa de instalación incluye dos grupos de configuraciones para diferentes versiones de Windows. En esta sección se describen ambos.

dispositivos Windows 8.1

Para Windows 8.1 dispositivos, habilite la opción para El método de cifrado de unidad y la intensidad del cifrado y seleccione uno de los métodos de cifrado siguientes:

  • AES de 128 bits con difusor
  • AES de 256 bits con difusor
  • AES de 128 bits (valor predeterminado)
  • AES de 256 bits

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMBLEncryptionMethodPolicy.

Windows 10 o dispositivos posteriores

Para Windows 10 o dispositivos posteriores, habilite la opción para El método de cifrado de unidad y la intensidad del cifrado (Windows 10 o posterior). A continuación, seleccione individualmente uno de los siguientes métodos de cifrado para las unidades de sistema operativo, las unidades de datos fijas y las unidades de datos extraíbles:

  • AES-CBC de 128 bits
  • AES-CBC de 256 bits
  • XTS-AES de 128 bits (valor predeterminado)
  • XTS-AES de 256 bits

Sugerencia

BitLocker usa Advanced Encryption Standard (AES) como algoritmo de cifrado con longitudes de clave configurables de 128 o 256 bits. En Windows 10 o dispositivos posteriores, el cifrado AES admite el encadenamiento de bloques de cifrado (CBC) o el robo de texto cifrado (XTS).

Si necesita usar una unidad extraíble en dispositivos que no ejecutan Windows 10, use AES-CBC.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMBLEncryptionMethodWithXts.

Notas de uso generales para el cifrado de unidad y la intensidad del cifrado

  • Si deshabilita o no establece estas opciones, BitLocker usa el método de cifrado predeterminado.

  • Configuration Manager aplica esta configuración al activar BitLocker.

  • Si la unidad ya está cifrada o está en curso, cualquier cambio en esta configuración de directiva no cambia el cifrado de la unidad en el dispositivo.

  • Si usa el valor predeterminado, el informe cumplimiento de equipos de BitLocker puede mostrar la intensidad del cifrado como desconocida. Para solucionar este problema, habilite esta configuración y establezca un valor explícito para la intensidad del cifrado.

Impedir la sobrescritura de memoria al reiniciar

Configuración sugerida: No configurado

Configure esta directiva para mejorar el rendimiento del reinicio sin sobrescribir los secretos de BitLocker en la memoria al reiniciar.

Cuando no se configura esta directiva, BitLocker quita sus secretos de la memoria cuando se reinicia el equipo.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMNoOverwritePolicy.

Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente

Configuración sugerida: No configurado

Configure esta directiva para usar la protección de BitLocker basada en certificados de tarjeta inteligente. A continuación, especifique el identificador de objeto del certificado.

Cuando no se configura esta directiva, BitLocker usa el identificador 1.3.6.1.4.1.311.67.1.1 de objeto predeterminado para especificar un certificado.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMScCompliancePolicy.

Identificadores únicos de la organización

Configuración sugerida: No configurado

Configure esta directiva para usar un agente de recuperación de datos basado en certificados o el lector de BitLocker To Go.

Cuando no se configura esta directiva, BitLocker no usa el campo Identificación .

Si su organización requiere medidas de seguridad más altas, configure el campo Identificación . Establezca este campo en todos los dispositivos USB de destino y alinee con esta configuración.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMUidPolicy.

Unidad del sistema operativo

La configuración de esta página configura los valores de cifrado de la unidad en la que está instalado Windows.

Configuración de cifrado de unidad del sistema operativo

Configuración sugerida: habilitada

Si habilita esta configuración, el usuario tiene que proteger la unidad del sistema operativo y BitLocker cifra la unidad. Si la deshabilita, el usuario no puede proteger la unidad. Si no configura esta directiva, la protección de BitLocker no es necesaria en la unidad del sistema operativo.

Nota:

Si la unidad ya está cifrada y deshabilita esta configuración, BitLocker descifra la unidad.

Si tiene dispositivos sin un módulo de plataforma segura (TPM), use la opción permitir BitLocker sin un TPM compatible (requiere una contraseña). Esta configuración permite que BitLocker cifre la unidad del sistema operativo, incluso si el dispositivo no tiene un TPM. Si permite esta opción, Windows pide al usuario que especifique una contraseña de BitLocker.

En dispositivos con un TPM compatible, se pueden usar dos tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la entrada de un número de identificación personal (PIN). Configure las siguientes opciones:

  • Seleccionar protector para la unidad del sistema operativo: configúrelo para usar un TPM y un PIN, o solo el TPM.

  • Configurar la longitud mínima del PIN para el inicio: si necesita un PIN, este valor es la longitud más corta que el usuario puede especificar. El usuario escribe este PIN cuando se inicia el equipo para desbloquear la unidad. De forma predeterminada, la longitud mínima del PIN es 4.

Sugerencia

Para mayor seguridad, al habilitar dispositivos con el protector TPM + PIN, considere la posibilidad de deshabilitar la siguiente configuración de directiva de grupo enConfiguraciónde suspensión deSystem> Power Management>:

  • Permitir estados en espera (S1-S3) al dormir (conectado)

  • Permitir estados de espera (S1-S3) al dormir (con batería)

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMBMSOSDEncryptionPolicy.

Permitir PIN mejorados para el inicio

Configuración sugerida: No configurado

Configure BitLocker para usar PIN de inicio mejorados. Estos PIN permiten el uso de más caracteres, como letras mayúsculas y minúsculas, símbolos, números y espacios. Esta configuración se aplica al activar BitLocker.

Importante

No todos los equipos pueden admitir PIN mejorados en el entorno de prearranque. Antes de habilitar su uso, evalúe si los dispositivos son compatibles con esta característica.

Si habilita esta configuración, todos los PIN de inicio de BitLocker nuevos permiten al usuario crear PIN mejorados.

  • Requerir PIN solo ASCII: ayude a que los PIN mejorados sean más compatibles con equipos que limiten el tipo o el número de caracteres que puede escribir en el entorno de arranque previo.

Si deshabilita o no establece esta configuración de directiva, BitLocker no usará PIN mejorados.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMEnhancedPIN.

Directiva de contraseñas de unidad del sistema operativo

Configuración sugerida: No configurado

Use esta configuración para establecer las restricciones para que las contraseñas desbloqueen unidades de sistema operativo protegidas por BitLocker. Si permite protectores que no son de TPM en unidades del sistema operativo, configure los siguientes valores:

  • Configurar la complejidad de la contraseña para las unidades del sistema operativo: para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad de contraseña.

  • Longitud mínima de contraseña para la unidad del sistema operativo: de forma predeterminada, la longitud mínima es 8.

  • Requerir contraseñas de solo ASCII para unidades de sistema operativo extraíbles

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, consulte New-CMOSPassphrase.

Notas generales de uso de la directiva de contraseña de unidad del sistema operativo

  • Para que esta configuración de requisitos de complejidad sea efectiva, habilite también la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad en Configuración >del equipoConfiguración de Windows Directivasdecontraseña dela cuenta>de configuración>> de seguridad.

  • BitLocker aplica esta configuración cuando se activa, no cuando se desbloquea un volumen. BitLocker te permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

  • Si usa la directiva de grupo para habilitar algoritmos compatibles con FIPS para el cifrado, el hash y la firma, no puede permitir contraseñas como protector de BitLocker.

Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker

Configuración sugerida: No configurado

Controlar si Windows actualiza los datos de validación de la plataforma cuando se inician después de la recuperación de BitLocker.

Si habilita o no establece esta configuración, Windows actualiza los datos de validación de la plataforma en esta situación.

Si deshabilita esta configuración de directiva, Windows no actualiza los datos de validación de la plataforma en esta situación.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMTpmAutoResealPolicy.

Mensaje y dirección URL de la recuperación previa al arranque

Configuración sugerida: No configurado

Cuando BitLocker bloquee la unidad del sistema operativo, use esta opción para mostrar un mensaje de recuperación personalizado o una dirección URL en la pantalla de recuperación de BitLocker previa al arranque. Esta configuración solo se aplica a Windows 10 o dispositivos posteriores.

Cuando habilite esta configuración, seleccione una de las siguientes opciones para el mensaje de recuperación previa al arranque:

  • Usar el mensaje de recuperación y la dirección URL predeterminados: muestra el mensaje de recuperación y la dirección URL predeterminados de BitLocker en la pantalla de recuperación de BitLocker previa al arranque. Si anteriormente configuró un mensaje de recuperación personalizado o una dirección URL, use esta opción para revertir al mensaje predeterminado.

  • Usar mensaje de recuperación personalizado: incluya un mensaje personalizado en la pantalla de recuperación de BitLocker previa al arranque.

    • Opción de mensaje de recuperación personalizada: escriba el mensaje personalizado que se va a mostrar. Si también desea especificar una dirección URL de recuperación, insclúyela como parte de este mensaje de recuperación personalizado. La longitud máxima de la cadena es de 32 768 caracteres.
  • Usar dirección URL de recuperación personalizada: reemplace la dirección URL predeterminada que se muestra en la pantalla de recuperación de BitLocker previa al arranque.

    • Opción dirección URL de recuperación personalizada: escriba la dirección URL que se va a mostrar. La longitud máxima de la cadena es de 32 768 caracteres.

Nota:

No todos los caracteres e idiomas se admiten en el arranque previo. En primer lugar, pruebe el mensaje personalizado o la dirección URL para asegurarse de que aparece correctamente en la pantalla de recuperación de BitLocker previa al arranque.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMPrebootRecoveryInfo.

Configuración de cumplimiento de directivas de cifrado (unidad del sistema operativo)

Configuración sugerida: habilitada

Configure el número de días que los usuarios pueden posponer el cumplimiento de BitLocker para la unidad del sistema operativo. El período de gracia no conforme comienza cuando Configuration Manager lo detecta por primera vez como no conforme. Una vez expirado este período de gracia, los usuarios no pueden posponer la acción necesaria ni solicitar una exención.

Si el proceso de cifrado requiere la entrada del usuario, aparece un cuadro de diálogo en Windows que el usuario no puede cerrar hasta que proporcione la información necesaria. Las notificaciones futuras de errores o estado no tendrán esta restricción.

Si BitLocker no requiere la interacción del usuario para agregar un protector, una vez que expire el período de gracia, BitLocker inicia el cifrado en segundo plano.

Si deshabilita o no configura esta configuración, Configuration Manager no requiere que los usuarios cumplan con las directivas de BitLocker.

Para aplicar la directiva inmediatamente, establezca un período de gracia de 0.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, consulte New-CMUseOsEnforcePolicy.

Unidad fija

La configuración de esta página configura el cifrado para otras unidades de datos de un dispositivo.

Cifrado fijo de unidad de datos

Configuración sugerida: habilitada

Administre los requisitos para el cifrado de unidades de datos fijas. Si habilita esta configuración, BitLocker requiere que los usuarios pongan todas las unidades de datos fijas bajo protección. A continuación, cifra las unidades de datos.

Al habilitar esta directiva, habilite el desbloqueo automático o la configuración de directiva de contraseña de unidad de datos fija.

  • Configuración del desbloqueo automático para la unidad de datos fija: permitir o requerir que BitLocker desbloquee automáticamente cualquier unidad de datos cifrada. Para usar el desbloqueo automático, también es necesario que BitLocker cifre la unidad del sistema operativo.

Si no configura esta configuración, BitLocker no requiere que los usuarios pongan unidades de datos fijas bajo protección.

Si deshabilita esta configuración, los usuarios no podrán colocar sus unidades de datos fijas en protección de BitLocker. Si deshabilita esta directiva después de que BitLocker cifre las unidades de datos fijas, BitLocker descifra las unidades de datos fijas.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMBMSFDVEncryptionPolicy.

Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker

Configuración sugerida: No configurado

Requerir protección de BitLocker para Windows para escribir datos en unidades fijas en el dispositivo. BitLocker aplica esta directiva al activarla.

Al habilitar esta configuración:

  • Si BitLocker protege una unidad de datos fija, Windows la monta con acceso de lectura y escritura.

  • Para cualquier unidad de datos fija que BitLocker no proteja, Windows la monta como de solo lectura.

Cuando no se configura esta configuración, Windows monta todas las unidades de datos fijas con acceso de lectura y escritura.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMFDVDenyWriteAccessPolicy.

Directiva de contraseña de unidad de datos fija

Configuración sugerida: No configurado

Use esta configuración para establecer las restricciones para que las contraseñas desbloqueen las unidades de datos fijas protegidas por BitLocker.

Si habilita esta configuración, los usuarios pueden configurar una contraseña que cumpla los requisitos definidos.

Para mayor seguridad, habilite esta configuración y, a continuación, configure los siguientes valores:

  • Requerir contraseña para la unidad de datos fija: los usuarios tienen que especificar una contraseña para desbloquear una unidad de datos fija protegida por BitLocker.

  • Configurar la complejidad de la contraseña para las unidades de datos fijas: para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad de contraseña.

  • Longitud mínima de contraseña para la unidad de datos fija: de forma predeterminada, la longitud mínima es 8.

Si deshabilita esta configuración, los usuarios no podrán configurar una contraseña.

Cuando la directiva no está configurada, BitLocker admite contraseñas con la configuración predeterminada. La configuración predeterminada no incluye los requisitos de complejidad de contraseña y solo requiere ocho caracteres.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMFDVPassPhrasePolicy.

Notas generales de uso de la directiva de contraseña de unidad de datos fija

  • Para que esta configuración de requisitos de complejidad sea efectiva, habilite también la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad en Configuración >del equipoConfiguración de Windows Directivasdecontraseña dela cuenta>de configuración>> de seguridad.

  • BitLocker aplica esta configuración cuando se activa, no cuando se desbloquea un volumen. BitLocker te permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

  • Si usa la directiva de grupo para habilitar algoritmos compatibles con FIPS para el cifrado, el hash y la firma, no puede permitir contraseñas como protector de BitLocker.

Configuración de cumplimiento de directivas de cifrado (unidad de datos fija)

Configuración sugerida: habilitada

Configure el número de días que los usuarios pueden posponer el cumplimiento de BitLocker para las unidades de datos fijas. El período de gracia no conforme comienza cuando Configuration Manager detecta por primera vez la unidad de datos fija como no conforme. No aplica la directiva de unidad de datos fija hasta que la unidad del sistema operativo sea compatible. Una vez expirado el período de gracia, los usuarios no pueden posponer la acción necesaria ni solicitar una exención.

Si el proceso de cifrado requiere la entrada del usuario, aparece un cuadro de diálogo en Windows que el usuario no puede cerrar hasta que proporcione la información necesaria. Las notificaciones futuras de errores o estado no tendrán esta restricción.

Si BitLocker no requiere la interacción del usuario para agregar un protector, una vez que expire el período de gracia, BitLocker inicia el cifrado en segundo plano.

Si deshabilita o no configura esta configuración, Configuration Manager no requiere que los usuarios cumplan con las directivas de BitLocker.

Para aplicar la directiva inmediatamente, establezca un período de gracia de 0.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, consulte New-CMUseFddEnforcePolicy.

Unidad extraíble

La configuración de esta página configura el cifrado para las unidades extraíbles, como las claves USB.

Cifrado de unidad de datos extraíble

Configuración sugerida: habilitada

Esta configuración controla el uso de BitLocker en unidades extraíbles.

  • Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles: los usuarios pueden activar la protección de BitLocker para una unidad extraíble.

  • Permitir a los usuarios suspender y descifrar BitLocker en unidades de datos extraíbles: los usuarios pueden quitar o suspender temporalmente el cifrado de unidad bitLocker de una unidad extraíble.

Al habilitar esta configuración y permitir que los usuarios apliquen la protección de BitLocker, el cliente de Configuration Manager guarda información de recuperación sobre las unidades extraíbles en el servicio de recuperación en el punto de administración. Este comportamiento permite a los usuarios recuperar la unidad si olvidan o pierden el protector (contraseña).

Al habilitar esta configuración:

  • Habilitación de la configuración de la directiva de contraseña de unidad de datos extraíble

  • Deshabilite la siguiente configuración de directiva de grupo enAcceso de almacenamiento extraíbledel sistema> para ambas configuraciones de usuario & equipo:

    • Todas las clases de almacenamiento extraíbles: Denegar todo el acceso
    • Discos extraíbles: denegar el acceso de escritura
    • Discos extraíbles: denegar el acceso de lectura

Si deshabilita esta configuración, los usuarios no podrán usar BitLocker en unidades extraíbles.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMRDVConfigureBDEPolicy.

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker

Configuración sugerida: No configurado

Requerir la protección de BitLocker para Windows para escribir datos en unidades extraíbles en el dispositivo. BitLocker aplica esta directiva al activarla.

Al habilitar esta configuración:

  • Si BitLocker protege una unidad extraíble, Windows la monta con acceso de lectura y escritura.

  • Para cualquier unidad extraíble que BitLocker no proteja, Windows la monta como de solo lectura.

  • Si habilita la opción denegar el acceso de escritura a los dispositivos configurados en otra organización, BitLocker solo proporciona acceso de escritura a unidades extraíbles con campos de identificación que coincidan con los campos de identificación permitidos. Defina estos campos con la configuración global de identificadores únicos de la organización en la página Configuración .

Al deshabilitar o no configurar esta configuración, Windows monta todas las unidades extraíbles con acceso de lectura y escritura.

Nota:

Puede invalidar esta configuración con la configuración de directiva de grupo enAcceso de almacenamiento extraíbledel sistema>. Si habilita la configuración de directiva de grupo Discos extraíbles: Denegar el acceso de escritura, BitLocker omite esta configuración de Configuration Manager.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMRDVDenyWriteAccessPolicy.

Directiva de contraseña de unidad de datos extraíble

Configuración sugerida: habilitada

Use esta configuración para establecer las restricciones para que las contraseñas desbloqueen unidades extraíbles protegidas por BitLocker.

Si habilita esta configuración, los usuarios pueden configurar una contraseña que cumpla los requisitos definidos.

Para mayor seguridad, habilite esta configuración y, a continuación, configure los siguientes valores:

  • Requerir contraseña para la unidad de datos extraíble: los usuarios tienen que especificar una contraseña para desbloquear una unidad extraíble protegida por BitLocker.

  • Configurar la complejidad de la contraseña para las unidades de datos extraíbles: para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad de contraseña.

  • Longitud mínima de contraseña para la unidad de datos extraíble: de forma predeterminada, la longitud mínima es 8.

Si deshabilita esta configuración, los usuarios no podrán configurar una contraseña.

Cuando la directiva no está configurada, BitLocker admite contraseñas con la configuración predeterminada. La configuración predeterminada no incluye los requisitos de complejidad de contraseña y solo requiere ocho caracteres.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMRDVPassPhrasePolicy.

Notas generales de uso de la directiva de contraseña de unidad de datos extraíble

  • Para que esta configuración de requisitos de complejidad sea efectiva, habilite también la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad en Configuración >del equipoConfiguración de Windows Directivasdecontraseña dela cuenta>de configuración>> de seguridad.

  • BitLocker aplica esta configuración cuando se activa, no cuando se desbloquea un volumen. BitLocker te permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

  • Si usa la directiva de grupo para habilitar algoritmos compatibles con FIPS para el cifrado, el hash y la firma, no puede permitir contraseñas como protector de BitLocker.

Administración de clientes

La configuración de esta página configura los clientes y los servicios de administración de BitLocker.

Servicios de administración de BitLocker

Configuración sugerida: habilitada

Al habilitar esta configuración, Configuration Manager copia de seguridad automática y silenciosa de la información de recuperación de claves en la base de datos del sitio. Si deshabilita o no establece esta configuración, Configuration Manager no guarda la información de recuperación de claves.

  • Seleccione Información de recuperación de BitLocker para almacenar: configure el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. Proporciona un método administrativo para recuperar datos cifrados por BitLocker, lo que ayuda a evitar la pérdida de datos debido a la falta de información clave.

  • Permitir que la información de recuperación se almacene en texto sin formato: sin un certificado de cifrado de administración de BitLocker para SQL Server, Configuration Manager almacena la información de recuperación de claves en texto sin formato. Para obtener más información, consulte Cifrado de datos de recuperación en la base de datos.

  • Frecuencia de estado de comprobación de cliente (minutos): con la frecuencia configurada, el cliente comprueba las directivas y el estado de protección de BitLocker en el equipo y también realiza una copia de seguridad de la clave de recuperación del cliente. De forma predeterminada, el cliente de Configuration Manager comprueba el estado de BitLocker cada 90 minutos.

    Importante

    No establezca este valor en menos de 60. Un valor de frecuencia menor puede hacer que el cliente informe brevemente de los estados de cumplimiento inexactos.

Para obtener más información sobre cómo crear estas directivas con Windows PowerShell, consulte:

Directiva de exención de usuarios

Configuración sugerida: No configurado

Configure un método de contacto para que los usuarios soliciten una exención del cifrado de BitLocker.

Si habilita esta configuración de directiva, proporcione la siguiente información:

  • Días máximos para posponer: cuántos días puede posponer el usuario una directiva aplicada. De forma predeterminada, este valor es 7 días (una semana).

  • Método de contacto: especifique cómo los usuarios pueden solicitar una exención: dirección URL, dirección de correo electrónico o número de teléfono.

  • Contacto: especifique la dirección URL, la dirección de correo electrónico o el número de teléfono. Cuando un usuario solicita una exención de la protección de BitLocker, ve un cuadro de diálogo de Windows con instrucciones sobre cómo aplicar. Configuration Manager no valida la información que escriba.

    • DIRECCIÓN URL: use el formato de dirección URL estándar, https://website.domain.tld. Windows muestra la dirección URL como un hipervínculo.

    • Email dirección: use el formato de dirección de correo electrónico estándar, user@domain.tld. Windows muestra la dirección como el siguiente hipervínculo: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Número de teléfono: especifique el número al que desea que llamen los usuarios. Windows muestra el número con la descripción siguiente: Please call <your number> for applying exemption.

Si deshabilita o no establece esta configuración, Windows no mostrará las instrucciones de solicitud de exención a los usuarios.

Nota:

BitLocker administra exenciones por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y cualquier usuario no está exento, BitLocker cifra el equipo.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMBMSUserExemptionPolicy.

Configuración sugerida: habilitada

Especifique una dirección URL para mostrarla a los usuarios como directiva de seguridad de empresa en Windows. Use este vínculo para proporcionar a los usuarios información sobre los requisitos de cifrado. Muestra cuándo BitLocker solicita al usuario que cifre una unidad.

Si habilita esta configuración, configure la dirección URL del vínculo de directiva de seguridad.

Si deshabilita o no establece esta configuración, BitLocker no mostrará el vínculo de directiva de seguridad.

Para obtener más información sobre cómo crear esta directiva con Windows PowerShell, vea New-CMMoreInfoUrlPolicy.

Pasos siguientes

Si usa Windows PowerShell para crear estos objetos de directiva, use el cmdlet New-CMBlmSetting. Este cmdlet crea un objeto de configuración de directiva de administración de BitLocker que contiene todas las directivas especificadas. Para implementar la configuración de directiva en una colección, use el cmdlet New-CMSettingDeployment .