Compartir a través de

Configuración del algoritmo de cifrado de BitLocker para dispositivos Windows Autopilot

BitLocker cifra automáticamente las unidades internas durante la experiencia integrada (OOBE) para los dispositivos que admiten el modo de espera moderno o cumplen la especificación de tesibilidad de seguridad de hardware (HSTI). De forma predeterminada, BitLocker usa el espacio usado de 128 bits XTS-AES solo para el cifrado automático.

Con Windows Autopilot, la configuración de cifrado de BitLocker se puede configurar para que se aplique antes de que se inicie el cifrado automático. Esta configuración garantiza que el tipo o algoritmo de cifrado predeterminado no se aplique automáticamente. Un dispositivo que recibe esta configuración después de cifrar automáticamente debe descifrarse antes de cambiar el algoritmo de cifrado.

Algoritmo de cifrado

BitLocker usa el algoritmo de cifrado de BitLocker especificado cuando BitLocker está habilitado por primera vez. Durante Windows Autopilot, BitLocker se habilitará después de la parte de configuración del dispositivo de la página de estado de inscripción. Están disponibles los siguientes algoritmos de cifrado:

  • AES-CBC de 128 bits.
  • AES-CBC de 256 bits.
  • XTS-AES de 128 bits (valor predeterminado).
  • XTS-AES de 256 bits.

Para obtener más información sobre los algoritmos de cifrado recomendados para usar, vea Proveedor de servicios de configuración de BitLocker (CSP).

Cifrado de disco completo vs. solo espacio usado

Hay dos tipos de cifrado, disco completo o solo espacio usado. La configuración de la habilitación silenciosa y la compatibilidad de hardware para el modo de espera moderno determina automáticamente el tipo de cifrado utilizado. El tipo de cifrado usado se puede aplicar mediante la configuración de SystemDrivesEncryptionType . Al igual que el algoritmo de cifrado, BitLocker usa el tipo de cifrado cuando BitLocker está habilitado por primera vez. Para obtener más información sobre el comportamiento esperado del tipo de cifrado, vea Administrar directiva de BitLocker.

Configuración de una directiva de BitLocker para dispositivos Windows Autopilot

Para asegurarse de que el algoritmo de cifrado de BitLocker deseado y el cifrado se establecen antes de que se produzca el cifrado automático para dispositivos Windows Autopilot, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. En la pantalla Inicio , seleccione Seguridad del punto de conexión en el panel izquierdo.

  3. En seguridad del punto de conexión | Pantalla de información general , expanda Administrar y, a continuación, seleccione Cifrado de disco.

  4. En seguridad del punto de conexión | Pantalla de cifrado de disco . Seleccione + Crear directiva.

  5. En la página Crear un perfil que se abre:

    1. En Plataforma, seleccione Windows.

    2. En Perfil, seleccione BitLocker.

    3. Seleccione el botón Crear.

  6. En la página Aspectos básicos de la pantalla Crear directiva , escriba un nombre y una descripción opcional y, a continuación, seleccione el botón Siguiente .

  7. En la página Configuración , configure las distintas opciones de BitLocker como desee, incluidos los valores de Cifrado y cifrado y Tipo de cifrado :

    • Cifrado y método de cifrado

      1. Expanda la sección Cifrado de unidad BitLocker .

      2. En Elegir método de cifrado de unidad y intensidad de cifrado, seleccione Habilitado.

      3. Para cada uno de los tipos de unidad (unidades de datos fijas, unidad del sistema operativo, unidades de datos extraíbles), seleccione el método de cifrado y el cifrado deseados en el menú desplegable. El valor predeterminado para cada tipo es XTS-AES de 128 bits.

    • Tipo de cifrado

      1. Expanda la sección Unidades del sistema operativo .

      2. En Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo, seleccione Habilitado.

      3. En Seleccionar el tipo de cifrado de unidad, seleccione el tipo de cifrado deseado, cifrado completo o Cifrado de solo espacio usado, en el menú desplegable. El valor predeterminado es Permitir que el usuario elija.

    Una vez que toda la configuración de BitLocker esté configurada como desee, seleccione el botón Siguiente .

  8. En la página Etiquetas de ámbito , seleccione el botón Siguiente .

    Nota:

    Las etiquetas de ámbito son opcionales. Si es necesario especificar una etiqueta de ámbito personalizada, hágalo en esta página. Para obtener más información sobre las etiquetas de ámbito, consulte Usar el control de acceso basado en roles y las etiquetas de ámbito para TI distribuida.

  9. En la página Asignaciones , use el cuadro de búsqueda Buscar por nombre de grupo... para buscar y agregar el grupo de dispositivos Windows Autopilot. Una vez que se agrega el grupo de dispositivos Windows Autopilot y aparece en Grupo, asegúrese de que Tipo de destino está establecido en Incluir y, a continuación, seleccione el botón Siguiente . Para obtener más información sobre cómo asignar una directiva, consulte Asignación de directivas en Microsoft Intune.

    Importante

    Asegúrese de que el grupo de dispositivos Windows Autopilot seleccionado en este paso es un grupo de dispositivos y no un grupo de usuarios.

  10. En la página Revisar y crear , revise la configuración para comprobar que están configuradas según lo deseado y, a continuación, seleccione el botón Guardar .

  11. Configure y asigne una página estado de inscripción (ESP) para el dispositivo Windows Autopilot. Si un ESP no está habilitado, la directiva de BitLocker no se aplica antes de que se inicie el cifrado. Para obtener más información, consulte uno de los siguientes artículos:

Contenido relacionado

  • Last updated on