Configuración del algoritmo de cifrado de BitLocker para dispositivos Autopilot
BitLocker cifra automáticamente las unidades internas durante la experiencia integrada (OOBE) para los dispositivos que admiten el modo de espera moderno o cumplen la especificación de tesibilidad de seguridad de hardware (HSTI). De forma predeterminada, BitLocker usa el espacio usado de 128 bits XTS-AES solo para el cifrado automático.
Con Windows Autopilot, la configuración de cifrado de BitLocker se puede configurar para que se aplique antes de que se inicie el cifrado automático. Esta configuración garantiza que el tipo o algoritmo de cifrado predeterminado no se aplique automáticamente. Un dispositivo que recibe esta configuración después de cifrar automáticamente debe descifrarse antes de cambiar el algoritmo de cifrado.
Algoritmo de cifrado
BitLocker usa el algoritmo de cifrado de BitLocker especificado cuando BitLocker está habilitado por primera vez. Durante Autopilot, BitLocker se habilitará después de la parte de configuración del dispositivo de la página de estado de inscripción. Están disponibles los siguientes algoritmos de cifrado:
- AES-CBC de 128 bits.
- AES-CBC de 256 bits.
- XTS-AES de 128 bits (valor predeterminado).
- XTS-AES de 256 bits.
Para obtener más información sobre los algoritmos de cifrado recomendados para usar, vea Proveedor de servicios de configuración de BitLocker (CSP).
Para asegurarse de que el algoritmo de cifrado de BitLocker deseado está establecido antes de que se produzca el cifrado automático para los dispositivos Autopilot:
Configure los valores del método de cifrado en la directiva de cifrado de disco de Endpoint Security. La configuración está disponible enCifrado> de disco de seguridad> de punto de conexiónCreate policy>Platform = Windows 10 y versiones posteriores, Tipo de perfil = BitLocker.
Asigne la directiva al grupo de dispositivos Autopilot. La directiva de cifrado debe asignarse a los dispositivos del grupo, no a los usuarios.
Habilite la página estado de inscripción de Autopilot para estos dispositivos. Si esta característica no está habilitada, la directiva no se aplica antes de que se inicie el cifrado.
Cifrado de disco completo vs. solo espacio usado
Hay dos tipos de cifrado, disco completo o solo espacio usado. La configuración de la habilitación silenciosa y la compatibilidad de hardware para el modo de espera moderno determina automáticamente el tipo de cifrado utilizado. El tipo de cifrado usado se puede aplicar mediante la configuración de SystemDrivesEncryptionType . Al igual que el algoritmo de cifrado, BitLocker usa el tipo de cifrado cuando BitLocker está habilitado por primera vez. Para obtener más información sobre el comportamiento esperado del tipo de cifrado, vea Administrar directiva de BitLocker.
Para aplicar el tipo de cifrado de unidad usado:
Configure la opción Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo dentro del catálogo de opciones. Esta configuración está disponible en la categoría Plantillas > administrativas Componentes > de Windows Unidades de sistema operativo de cifrado > de unidad BitLocker del selector de configuración.
Asigne la directiva al grupo de dispositivos Autopilot. La directiva de cifrado debe asignarse a los dispositivos del grupo, no a los usuarios.
Habilite la página estado de inscripción de Autopilot para estos dispositivos. Si esta característica no está habilitada, la directiva no se aplica antes de que se inicie el cifrado.