Configuración de directivas de cifrado de disco para la seguridad del punto de conexión en Intune

  • Artículo

Vea la configuración que puede configurar en los perfiles de la directiva de cifrado de disco en el nodo Seguridad del punto de conexión de Intune como parte de una directiva de seguridad de punto de conexión.

Se aplica a:

  • macOS
  • Windows 10/11

Plataformas y perfiles admitidos:

  • macOS:
    • Perfil: FileVault
  • Windows 10 y versiones posteriores:
    • Perfil: BitLocker

FileVault

Cifrado

Habilitación de FileVault

  • No configurado (valor predeterminado)

  • : habilite el cifrado de disco completo mediante XTS-AES 128 con FileVault en dispositivos que ejecutan macOS 10.13 y versiones posteriores. FileVault está habilitado cuando el usuario cierra la sesión del dispositivo.

    Cuando se establece en , puede configurar opciones adicionales para FileVault.

    • Tipo de clave de recuperaciónLas claves de recuperación personales se crean para los dispositivos. Configure los siguientes valores para la clave personal:

      • Rotación de clave de recuperación personal
        Especifique la frecuencia con la que girará la clave de recuperación personal de un dispositivo. Puede seleccionar el valor predeterminado No configurado o un valor de 1 a 12 meses.
      • Descripción de la ubicación de custodia de la clave de recuperación personal
        Especifique un mensaje corto para el usuario que explique cómo puede recuperar su clave de recuperación personal. El usuario ve este mensaje en la pantalla de inicio de sesión cuando se le pide que escriba su clave de recuperación personal si se olvida una contraseña.

    • Número de veces que se permite omitir
      Establezca el número de veces que un usuario puede omitir los mensajes para habilitar FileVault antes de que fileVault sea necesario para que el usuario inicie sesión.

      • No configurado (valor predeterminado): el cifrado en el dispositivo es necesario antes de permitir el siguiente inicio de sesión.
      • 1 a 10 : permitir que un usuario ignore el símbolo del sistema de 1 a 10 veces antes de requerir cifrado en el dispositivo.
      • Sin límite, siempre se le pide al usuario que habilite FileVault, pero el cifrado nunca es necesario.

    • Permitir aplazamiento hasta que cierre la sesión

      • No configurado (valor predeterminado)
      • : aplaza el aviso para habilitar FileVault hasta que el usuario cierre la sesión.

    • Deshabilitación del símbolo del sistema al cerrar la sesión
      Evite el aviso al usuario que solicita que habilite FileVault cuando cierre la sesión. Cuando se establece en Deshabilitar, el símbolo del sistema en el cierre de sesión está deshabilitado y, en su lugar, se le pide al usuario que inicie sesión.

      • No configurado (valor predeterminado)
      • : deshabilite el símbolo del sistema para habilitar FileVault que aparece al cerrar la sesión.

    • Ocultar clave de recuperación
      Oculte la clave de recuperación personal del usuario del dispositivo macOS durante el cifrado. Una vez cifrado el disco, un usuario puede usar cualquier dispositivo para ver su clave de recuperación personal a través del sitio web de Portal de empresa de Intune o la aplicación del portal de empresa en una plataforma compatible.

      • No configurado (valor predeterminado)
      • : oculte la clave de recuperación personal durante el cifrado del dispositivo.

BitLocker

Nota:

En este artículo se detalla la configuración que puede encontrar en los perfiles de BitLocker creados antes del 19 de junio de 2023 para la plataforma Windows 10 y posterior para la directiva de cifrado de disco de seguridad de puntos de conexión. El 19 de junio de 2023, el perfil Windows 10 y posterior se actualizó para usar un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.

Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

Los siguientes detalles de configuración de los perfiles de Windows se aplican a esos perfiles en desuso.

BitLocker: configuración base

  • Habilitación del cifrado de disco completo para el sistema operativo y las unidades de datos fijas
    CSP: BitLocker: RequireDeviceEncryption

    Si la unidad se cifró antes de aplicar esta directiva, no se realiza ninguna acción adicional. Si el método de cifrado y las opciones coinciden con los de esta directiva, la configuración debe devolverse correctamente. Si una opción de configuración de BitLocker local no coincide con esta directiva, es probable que la configuración devuelva un error.

    Para aplicar esta directiva a un disco ya cifrado, descifre la unidad y vuelva a aplicarla. El valor predeterminado de Windows es no requerir el cifrado de unidad bitlocker. Sin embargo, en Microsoft Entra unirse y el cifrado automático de registro o inicio de sesión de la cuenta Microsoft (MSA) puede aplicar la habilitación de BitLocker en el cifrado XTS-AES de 128 bits.

    • No configurado (valor predeterminado): no se lleva a cabo ninguna aplicación de BitLocker.
    • : exigir el uso de BitLocker.

  • Requerir que las tarjetas de almacenamiento se cifren (solo móvil)
    CSP: BitLocker: RequireStorageCardEncryption

    Esta configuración solo se aplica a dispositivos de SKU de Windows Mobile y Mobile Enterprise.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del sistema operativo, que es no requerir el cifrado de la tarjeta de almacenamiento.
    • : se requiere cifrado en tarjetas de almacenamiento para dispositivos móviles.

    Nota:

    La compatibilidad con Windows 10 Mobile y Windows Phone 8.1 finalizó en agosto de 2020.

  • Ocultar aviso sobre el cifrado de terceros
    CSP: BitLocker: AllowWarningForOtherDiskEncryption

    Si BitLocker está habilitado en un sistema que ya está cifrado por un producto de cifrado de terceros, podría hacer que el dispositivo no se pueda usar. La pérdida de datos puede producirse y es posible que deba volver a instalar Windows. Se recomienda encarecidamente que nunca habilite BitLocker en un dispositivo que tenga instalado o habilitado el cifrado de terceros.

    De forma predeterminada, el asistente para la instalación de BitLocker solicita a los usuarios que confirmen que no hay cifrado de terceros en su lugar.

    • No configurado (valor predeterminado): el asistente para la instalación de BitLocker muestra una advertencia y pide a los usuarios que confirmen que no hay cifrado de terceros.
    • : oculte los avisos de los asistentes de instalación de BitLocker a los usuarios.

    Si se requieren características de habilitación silenciosa de BitLocker, la advertencia de cifrado de terceros debe estar oculta, ya que cualquier aviso necesario interrumpe los flujos de trabajo de habilitación silenciosa.

    Cuando se establece en , puede configurar el siguiente valor:

    • Permitir que los usuarios estándar habiliten el cifrado durante Autopilot
      CSP: BitLocker: AllowStandardUserEncryption

      • No configurado (valor predeterminado): la configuración se deja como valor predeterminado del cliente, que es requerir acceso de administrador local para habilitar BitLocker.
      • : durante Microsoft Entra escenarios de habilitación silenciosa, los usuarios no necesitan ser administradores locales para habilitar BitLocker.

      Para escenarios de habilitación no silenciosa y Autopilot, el usuario debe ser un administrador local para completar el Asistente para la instalación de BitLocker.

  • Configuración de la rotación de contraseñas de recuperación controlada por el cliente
    CSP: BitLocker: ConfigureRecoveryPasswordRotation

    Los dispositivos Agregar cuenta profesional (AWA, formalmente unidos al área de trabajo) no son compatibles con la rotación de claves.

    • No configurado (valor predeterminado): el cliente no girará las claves de recuperación de BitLocker.
    • Disabled
    • Microsoft Entra dispositivos unidos
    • Microsoft Entra dispositivos unidos a híbridos

BitLocker: configuración de unidad fija

  • Directiva de unidades de disco fijas de BitLocker
    CSP: BitLocker: EncryptionMethodByDriveType

    • Recuperación de unidad fija
      CSP: BitLocker: FixedDrivesRecoveryOptions

      Controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de la información de clave de inicio necesaria.

      • No configurado (valor predeterminado): se admiten las opciones de recuperación predeterminadas, incluido el agente de recuperación de datos (DRA). El usuario final puede especificar opciones de recuperación y no se hace una copia de seguridad de la información de recuperación para Microsoft Entra.
      • Configurar : habilite el acceso para configurar varias técnicas de recuperación de unidades.

      Cuando se establece en Configurar , están disponibles las siguientes opciones:

      • Creación de la clave de recuperación por parte del usuario

        • Bloqueado (valor predeterminado)
        • Required
        • Permitido

      • Configuración del paquete de recuperación de BitLocker

        • Contraseña y clave (valor predeterminado): incluya la contraseña de recuperación de BitLocker que usan los administradores y los usuarios para desbloquear las unidades protegidas y los paquetes de claves de recuperación que usan los administradores con fines de recuperación de datos en Active Directory.
        • Solo contraseña : es posible que los paquetes de claves de recuperación no sean accesibles cuando sea necesario.

      • Requerir que el dispositivo realice una copia de seguridad de la información de recuperación para Microsoft Entra

        • No configurado (valor predeterminado): la habilitación de BitLocker se completará incluso si se produce un error en la copia de seguridad de la clave de recuperación en Microsoft Entra identificador. Esto puede dar lugar a que no se almacene información de recuperación externamente.
        • : BitLocker no completará la habilitación hasta que las claves de recuperación se hayan guardado correctamente en Microsoft Entra.

      • Creación por parte del usuario de la contraseña de recuperación

        • Bloqueado (valor predeterminado)
        • Required
        • Permitido

      • Ocultar las opciones de recuperación durante la instalación de BitLocker

        • No configurado (valor predeterminado): permite al usuario acceder a opciones de recuperación adicionales.
        • : impide que el usuario final elija opciones de recuperación adicionales, como imprimir claves de recuperación durante el Asistente para la configuración de BitLocker.

      • Habilitar BitLocker después de la información de recuperación para almacenar

        • No configurado (valor predeterminado)
        • : al establecer esta opción en , la información de recuperación de BitLocker se guardará en Servicios de dominio de Active Directory.

      • Bloquear el uso del agente de recuperación de datos basado en certificados (DRA)

        • No configurado (valor predeterminado): permite configurar el uso de DRA. La configuración de DRA requiere una PKI empresarial y objetos directiva de grupo para implementar el agente dra y los certificados.
        • : bloquee la capacidad de usar el Agente de recuperación de datos (DRA) para recuperar unidades habilitadas para BitLocker.

    • Bloquear el acceso de escritura a unidades de datos fijas no protegidas por BitLocker
      CSP: BitLocker: FixedDrivesRequireEncryption
      Esta configuración está disponible cuando la directiva de unidad fija de BitLocker está establecida en Configurar.

      • No configurado (valor predeterminado): los datos se pueden escribir en unidades fijas no cifradas.
      • : Windows no permitirá que se escriban datos en unidades fijas que no estén protegidas por BitLocker. Si no se cifra una unidad fija, el usuario deberá completar el Asistente para la instalación de BitLocker para la unidad antes de conceder acceso de escritura.

    • Configuración del método de cifrado para unidades de datos fijas
      CSP: BitLocker: EncryptionMethodByDriveType

      Configure el método de cifrado y la intensidad del cifrado para discos fijos de unidades de datos. XTS: AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.

      • No configurado (valor predeterminado)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES XTS de 128 bits
      • AES XTS de 256 bits

BitLocker: configuración de la unidad del sistema operativo

  • Directiva de unidades de disco de sistema de BitLocker
    CSP: BitLocker: EncryptionMethodByDriveType

    • Configurar (valor predeterminado)
    • Sin configurar

    Cuando se establece en Configurar , puede configurar los siguientes valores:

    • Autenticación de inicio necesaria
      CSP: BitLocker: SystemDrivesRequireStartupAuthentication

      • No configurado (valor predeterminado)
      • : configure los requisitos de autenticación adicionales al iniciar el sistema, incluido el uso del módulo de plataforma segura (TPM) o los requisitos de PIN de inicio.

      Cuando se establece en , puede configurar los siguientes valores:

      • Inicio de TPM compatible
        CSP: BitLocker: SystemDrivesRequireStartupAuthentication

        Se recomienda requerir un TPM para BitLocker. Esta configuración solo se aplica al habilitar BitLocker por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.

        • Bloqueado (valor predeterminado): BitLocker no usa el TPM.
        • Obligatorio : BitLocker solo se habilita si hay un TPM presente y se puede usar.
        • Permitido : BitLocker usa el TPM si está presente.

      • PIN de inicio de TPM compatible
        CSP: BitLocker: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquee el uso de un PIN.
        • Obligatorio : requerir que haya un PIN y un TPM para habilitar BitLocker.
        • Permitido : BitLocker usa el TPM si está presente y permite que el usuario configure un PIN de inicio.

        Para escenarios de habilitación silenciosa, debe establecerlo en Bloqueado. Los escenarios de habilitación silenciosa (incluido Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.

      • Clave de inicio de TPM compatible
        CSP: BitLocker: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquee el uso de claves de inicio.
        • Requerido : requerir una clave de inicio y tpm estar presente para habilitar BitLocker.
        • Permitido : BitLocker usa el TPM si está presente y permite que haya una clave de inicio (como una unidad USB) para desbloquear las unidades.

        Para escenarios de habilitación silenciosa, debe establecerlo en Bloqueado. Los escenarios de habilitación silenciosa (incluido Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.

      • Clave de inicio y PIN de TPM compatibles
        CSP: BitLocker: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquee el uso de una clave de inicio y una combinación de PIN.
        • Obligatorio : requerir que BitLocker tenga una clave de inicio y un PIN presentes para habilitarse.
        • Permitido : BitLocker usa el TPM si está presente y permite una clave de inicio) y una combinación de PIN.

        Para escenarios de habilitación silenciosa, debe establecerlo en Bloqueado. Los escenarios de habilitación silenciosa (incluido Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.

      • Deshabilitación de BitLocker en dispositivos en los que TPM no es compatible
        CSP: BitLocker: SystemDrivesRequireStartupAuthentication

        Si no hay ningún TPM presente, BitLocker requiere una contraseña o una unidad USB para el inicio.

        Esta configuración solo se aplica al habilitar BitLocker por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.

        • No configurado (valor predeterminado)
        • : impedir que BitLocker se configure sin un chip TPM compatible.

      • Habilitar el mensaje y la dirección URL de recuperación del arranque previo
        CSP: BitLocker: configuración de SystemDrivesRecoveryMessage

        • No configurado (valor predeterminado): use la información predeterminada de recuperación previa al arranque de BitLocker.
        • : habilite la configuración de un mensaje y una dirección URL personalizados de recuperación previa al arranque para ayudar a los usuarios a comprender cómo encontrar su contraseña de recuperación. Los usuarios ven el mensaje y la dirección URL previos al arranque cuando están bloqueados fuera de su equipo en modo de recuperación.

        Cuando se establece en , puede configurar los siguientes valores:

        • Mensaje de recuperación previa al arranque
          Especifique un mensaje personalizado de recuperación previa al arranque.

        • Dirección URL de recuperación previa al arranque
          Especifique una dirección URL personalizada de recuperación previa al arranque.

      • Recuperación de unidad del sistema
        CSP: BitLocker: SystemDrivesRecoveryOptions

        • No configurado (valor predeterminado)
        • Configurar : habilite la configuración de opciones adicionales.

        Cuando se establece en Configurar , están disponibles las siguientes opciones:

        • Creación de la clave de recuperación por parte del usuario

          • Bloqueado (valor predeterminado)
          • Required
          • Permitido

        • Configuración del paquete de recuperación de BitLocker

          • Contraseña y clave (valor predeterminado): incluya la contraseña de recuperación de BitLocker que usan los administradores y los usuarios para desbloquear las unidades protegidas y los paquetes de claves de recuperación que usan los administradores con fines de recuperación de datos) en Active Directory.
          • Solo contraseña : es posible que los paquetes de claves de recuperación no sean accesibles cuando sea necesario.

        • Requerir que el dispositivo realice una copia de seguridad de la información de recuperación para Microsoft Entra

          • No configurado (valor predeterminado): la habilitación de BitLocker se completará incluso si se produce un error en la copia de seguridad de la clave de recuperación en Microsoft Entra identificador. Esto puede dar lugar a que no se almacene información de recuperación externamente.
          • : BitLocker no completará la habilitación hasta que las claves de recuperación se hayan guardado correctamente en Microsoft Entra.

        • Creación por parte del usuario de la contraseña de recuperación

          • Bloqueado (valor predeterminado)
          • Required
          • Permitido

        • Ocultar las opciones de recuperación durante la instalación de BitLocker

          • No configurado (valor predeterminado): permite al usuario acceder a opciones de recuperación adicionales.
          • : impide que el usuario final elija opciones de recuperación adicionales, como imprimir claves de recuperación durante el Asistente para la configuración de BitLocker.

        • Habilitar BitLocker después de la información de recuperación para almacenar

          • No configurado (valor predeterminado)
          • : al establecer esta opción en , la información de recuperación de BitLocker se guardará en Servicios de dominio de Active Directory.

        • Bloquear el uso del agente de recuperación de datos basado en certificados (DRA)

          • No configurado (valor predeterminado): permite configurar el uso de DRA. La configuración de DRA requiere una PKI empresarial y objetos directiva de grupo para implementar el agente dra y los certificados.
          • : bloquee la capacidad de usar el Agente de recuperación de datos (DRA) para recuperar unidades habilitadas para BitLocker.

      • Longitud mínima de PIN
        CSP: BitLocker: SystemDrivesMinimumPINLength

        Especifique la longitud mínima del PIN de inicio cuando se requiera TPM + PIN durante la habilitación de BitLocker. La longitud del PIN debe tener entre 4 y 20 dígitos.

        Si no configura esta opción, los usuarios pueden configurar un PIN de inicio de cualquier longitud (entre 4 y 20 dígitos).

        Esta configuración solo se aplica al habilitar BitLocker por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.

    • Configuración del método de cifrado para unidades de sistema operativo
      CSP: BitLocker: EncryptionMethodByDriveType

      Configure el método de cifrado y la intensidad del cifrado para las unidades del sistema operativo. XTS: AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.

      • No configurado (valor predeterminado)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES XTS de 128 bits
      • AES XTS de 256 bits

BitLocker: configuración de unidad extraíble

  • Directiva de unidad extraíble de BitLocker
    CSP: BitLocker: EncryptionMethodByDriveType

    • No configurado (valor predeterminado)
    • Configurar

    Cuando se establece en Configurar , puede configurar los siguientes valores.

    • Configuración del método de cifrado para unidades de datos extraíbles
      CSP: BitLocker: EncryptionMethodByDriveType

      Seleccione el método de cifrado deseado para discos de unidades de datos extraíbles.

      • No configurado (valor predeterminado)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES XTS de 128 bits
      • AES XTS de 256 bits

    • Bloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker
      CSP: BitLocker: RemovableDrivesRequireEncryption

      • No configurado (valor predeterminado): los datos se pueden escribir en unidades extraíbles no cifradas.
      • : Windows no permite que los datos se escriban en unidades extraíbles que no estén protegidas por BitLocker. Si no se cifra una unidad extraíble insertada, el usuario debe completar el Asistente para la instalación de BitLocker antes de conceder acceso de escritura a la unidad.

    • Bloquear el acceso de escritura a dispositivos configurados en otra organización
      CSP: BitLocker: RemovableDrivesRequireEncryption

      • No configurado (valor predeterminado): se puede usar cualquier unidad cifrada de BitLocker.
      • : bloquee el acceso de escritura a las unidades extraíbles a menos que se cifren en un equipo propiedad de su organización.

Siguientes pasos

Directiva de seguridad de punto de conexión para el cifrado de disco