Configuración de directivas de BitLocker mediante Microsoft Intune
Administra dispositivos Windows con Microsoft Intune y necesita proteger los datos corporativos cuando se pierde, roba o se retira un dispositivo. BitLocker proporciona cifrado de volumen completo para dispositivos Windows, pero la protección depende de una configuración de directiva coherente y un almacenamiento de claves de recuperación confiable.
En esta unidad, configurará una directiva de BitLocker en Intune, elegirá opciones que admitan cifrado estándar o silencioso, identificará cuándo el cifrado de datos personales (PDE) complementa BitLocker para Windows 11 archivos de usuario, asignará la directiva a los dispositivos y revisará cómo afectan las opciones específicas de la plataforma a la experiencia del usuario y al proceso de recuperación.
| Paso de configuración | Lo que se configura | ¿Por qué es importante? |
|---|---|---|
| 1. Elija el tipo de directiva. | Perfil de catálogo de configuración o directiva de cifrado de disco de seguridad de punto de conexión | Selecciona la experiencia de administración para la configuración de BitLocker. |
| 2. Configurar el cifrado de unidad | Sistema operativo, datos fijos y configuración de unidad extraíble | Define qué volúmenes reciben protección de cifrado. |
| 3. Configurar el comportamiento de cifrado | Método de cifrado, intensidad del cifrado, uso de TPM y autenticación de inicio | Equilibra los requisitos de seguridad con la experiencia del usuario |
| 4. Configurar opciones de recuperación | Custodia de clave de recuperación y visibilidad de la clave de recuperación | Garantiza que los administradores puedan recuperar dispositivos protegidos |
| 5. Agregar cifrado de datos personales cuando sea necesario | Perfil de Cifrado de datos personales de Windows y carpetas protegidas | Agrega protección de archivos enlazados a credenciales para las carpetas de usuario seleccionadas Windows 11 |
| 6. Asignar y supervisar la directiva | Grupos de dispositivos o usuarios, informes de cifrado y estado de cumplimiento | Confirma que los dispositivos reciben y aplican la configuración de cifrado |
Elegir un tipo de directiva de BitLocker que coincida con el objetivo de administración
Para empezar, elija dónde configurar BitLocker en el centro de administración de Microsoft Intune. Intune admite la configuración de BitLocker a través del cifrado de disco de seguridad > de punto de conexión y a través de perfiles de configuración de dispositivos > mediante el catálogo de opciones.
Las directivas de cifrado de disco de seguridad de punto de conexión proporcionan una experiencia centrada para los administradores de seguridad. Esta opción mantiene la configuración de BitLocker independiente de la configuración del dispositivo no relacionada, lo que facilita la revisión, asignación y solución de problemas de la directiva.
Los perfiles de catálogo de configuración proporcionan una experiencia de configuración más amplia. Use esta opción cuando necesite administrar la configuración de BitLocker junto con otras opciones de Configuración de Windows en un solo perfil o cuando necesite un control granular que se alinee con un modelo de configuración personalizado. Dicho esto, todavía se recomienda usar una directiva independiente para BitLocker para garantizar la asignación adecuada.
| Tipo de directiva | Mejor uso | Consideraciones |
|---|---|---|
| > Seguridad del punto de conexión Cifrado de disco | Configuración de BitLocker como directiva de seguridad dedicada | Se recomienda para la mayoría de las implementaciones de BitLocker, ya que solo se centra en la configuración de cifrado. |
| Catálogo de configuración de perfiles > de configuración de dispositivos > | Configuración de BitLocker con otras opciones de Windows | Útil para la configuración pormenorizada, pero la revisión de directivas puede ser más compleja. |
| Seguridad de los puntos de > conexión Cifrado de datos personales de Windows de cifrado > de disco | Configuración de PDE como una directiva de Windows 11 complementaria | Protege las carpetas de usuario seleccionadas después de que se haya implementado la línea base de BitLocker. |
Agregar cifrado de datos personales para la protección de archivos de usuario
El cifrado de datos personales o PDE agrega protección basada en archivos para el contenido de usuario seleccionado en dispositivos Windows 11 compatibles. BitLocker protege todo el volumen y ayuda a proteger los datos si un dispositivo se pierde, se roba, se retira o se quita la unidad. PDE protege archivos de usuario específicos después de que Windows se ejecute mediante el afilamiento del acceso a las credenciales del usuario que ha iniciado sesión. Este enfoque en capas ayuda con un riesgo diferente: un dispositivo encendido o bloqueado donde los archivos de usuario confidenciales permanecen en el dispositivo.
PDE funciona junto con BitLocker; no reemplaza a BitLocker. En este módulo, habilite BitLocker primero como línea base de cifrado de dispositivos y, después, use PDE cuando necesite protección adicional para carpetas de usuario como Escritorio, Documentos e Imágenes.
| Capa de protección | Lo que protege | Modelo de acceso |
|---|---|---|
| BitLocker | Volúmenes y unidades completos | Libera la clave de cifrado de unidad durante el inicio cuando el dispositivo cumple los requisitos del protector configurado. |
| Cifrado de datos personales | Carpetas y archivos de usuario seleccionados | Libera el acceso a archivos solo después de que el usuario inicie sesión con Windows Hello en un dispositivo compatible unido a Microsoft Entra o Microsoft Entra híbrido |
Use Intune para configurar PDE desde seguridad> de punto de conexiónCifrado> de discoCrear directiva. Seleccione Windows como plataforma y seleccione Cifrado de datos personales como perfil. En la directiva, habilite PDE y elija qué carpetas reciben protección. En el caso de las carpetas conocidas, configure la protección para escritorio, documentos e imágenes cuando esas ubicaciones contengan datos corporativos que necesiten protección después de que el dispositivo se bloquee u otro usuario inicie sesión.
| Elemento de configuración de PDE | Lo que se configura | ¿Por qué es importante? |
|---|---|---|
| Habilitación del cifrado de datos personales | Activa PDE para el contexto de usuario de destino | Permite que archivos y carpetas protegidos usen PDE |
| Proteger escritorio | Aplica PDE a la carpeta Escritorio | Protege los archivos que los usuarios suelen guardar para un acceso rápido |
| Proteger documentos | Aplica PDE a la carpeta Documentos | Protección de documentos empresariales comunes |
| Proteger imágenes | Aplica PDE a la carpeta Imágenes | Protege los datos empresariales basados en imágenes, las capturas de pantalla y el contenido examinado |
| Requisitos previos | Windows 11 versión 22H2 o posterior, Intune inscripción, Microsoft Entra unidos o Microsoft Entra dispositivo unido híbrido e inicio de sesión Windows Hello | Garantiza que el dispositivo y el método de inicio de sesión de usuario puedan liberar el contenido protegido por PDE correctamente. |
Planee la recuperación de forma diferente para los archivos protegidos por PDE. BitLocker tiene claves de recuperación que los administradores pueden recuperar cuando un dispositivo entra en la recuperación de BitLocker. PDE no usa el mismo flujo de trabajo de clave de recuperación accesible para el administrador. El acceso depende de las credenciales protegidas del usuario y de una experiencia de inicio de sesión funcional. Si el estado de la cuenta o credencial del usuario se pierde permanentemente, restaure los archivos protegidos por PDE de la copia de seguridad, como una solución de copia de seguridad en la nube administrada o de sincronización de archivos.
Configuración de BitLocker para dispositivos Windows
Para configurar BitLocker, cree un perfil de Windows BitLocker y seleccione la configuración que coincida con los requisitos de cifrado de su organización. Una configuración corporativa típica cifra la unidad del sistema operativo, almacena las claves de recuperación en Microsoft Entra ID y usa el módulo de plataforma segura o TPM del dispositivo para proteger las claves de cifrado.
El TPM es un componente de seguridad basado en hardware que ayuda a proteger las claves de BitLocker. Cuando se inicia un dispositivo, el TPM valida el estado del dispositivo antes de liberar la clave que desbloquea la unidad del sistema operativo cifrada. Este comportamiento ayuda a proteger los datos si alguien quita la unidad o altera el proceso de inicio del dispositivo.
| Área de configuración | Configuración común | Nota del aprendiz |
|---|---|---|
| Unidad del sistema operativo | Habilitación de BitLocker para la unidad del sistema | Protege los datos de Windows y de usuario almacenados en el volumen principal |
| Unidades de datos fijas | Habilitación del cifrado para unidades de datos internas | Protege volúmenes de almacenamiento internos adicionales |
| Unidades extraíbles | Controlar el acceso de escritura o requerir cifrado | Reduce la pérdida de datos a través de dispositivos de almacenamiento USB |
| Método de cifrado | Uso de XTS-AES de 128 bits o XTS-AES de 256 bits | La configuración se aplica cuando BitLocker inicia el cifrado por primera vez. |
| Autenticación de inicio | Uso de SOLO TPM para cifrado silencioso o TPM más PIN para una protección de inicio más segura | Tpm solo reduce las solicitudes de usuario; TPM más PIN aumenta la interacción del usuario |
| Almacenamiento de claves de recuperación | Almacenar claves de recuperación en Microsoft Entra ID | Admite la recuperación del departamento de soporte técnico y el acceso administrativo cuando los usuarios necesitan ayuda. |
Cifrado automático de dispositivos windows
Cifrado automático de dispositivos de Windows o ADE es un comportamiento del sistema operativo Windows que puede cifrar la unidad del sistema operativo durante la experiencia integrada antes de que Intune aplique una directiva de BitLocker. ADE es independiente de la habilitación silenciosa de BitLocker administrada por Intune. El cifrado silencioso es un proceso basado en directivas de Intune, mientras que ADE comienza desde Windows cuando el dispositivo cumple los requisitos de Windows y el usuario completa la configuración inicial con una cuenta microsoft o una cuenta profesional o educativa.
A partir de Windows 11 versión 24H2, ADE se aplica a más tipos de dispositivos que en versiones anteriores de Windows, ya que Windows ya no requiere modern standby o interfaz de prueba de seguridad de hardware o HSTI, cumplimiento de ADE. Este cambio significa que muchos dispositivos de Windows 11 nuevos pueden llegar en Intune con la unidad del sistema operativo ya cifrada.
Cuando la directiva de BitLocker de Intune llega a un dispositivo ya cifrado, Intune valida el estado de cifrado existente en la directiva. Si el dispositivo usa un método de cifrado diferente o se cifró antes de Intune cifrado iniciado, el informe de cifrado puede mostrar un dispositivo cifrado con un error de perfil. Este estado no siempre es un problema de asignación. En primer lugar, confirme si el método de cifrado aplicado por ADE existente y la configuración del protector coinciden con la directiva. Si la directiva requiere un algoritmo de cifrado o un tipo de cifrado diferente al que el dispositivo ya usa, BitLocker debe usar esa configuración cuando se inicie el cifrado por primera vez, por lo que cambiarlo puede requerir descifrar y cifrar la unidad de nuevo.
Los requisitos previos de cifrado silencioso se aplican principalmente cuando el dispositivo aún no está cifrado. Para muchos dispositivos nuevos Windows 11 versión 24H2, las tareas principales Intune son conservar la información de recuperación para Microsoft Entra ID, validar la alineación de directivas y supervisar el cumplimiento en lugar de iniciar el cifrado desde cero.
| Escenario | Qué ocurre | Acción de administrador |
|---|---|---|
| El dispositivo cifra durante OOBE con ADE | Windows inicia BitLocker antes de que se aplique la directiva de Intune | Compruebe la custodia de la clave de recuperación y confirme que la configuración de la directiva coincide con el estado de cifrado existente. |
| Intune directiva llega a un dispositivo ya cifrado | Intune evalúa el método de cifrado, los protectores y el estado de los informes | Use el informe de cifrado para distinguir la falta de coincidencia de directivas de la asignación o el error de preparación |
| El método de cifrado no coincide con la directiva | El informe puede mostrar un dispositivo cifrado con un error de perfil o error de coincidencia de método | Alinear la directiva con el método aplicado por ADE cuando sea aceptable o planear el descifrado y el cifrado cuando la organización requiera un método diferente |
| El dispositivo aún no está cifrado | Intune configuración de cifrado silenciosa inicia y administra el cifrado | Validación de requisitos previos de cifrado silencioso, incluidos TPM, UEFI, Entorno de recuperación de Windows y Microsoft Entra estado de unión |
Asignación de la directiva y control de la experiencia del usuario
La directiva de BitLocker se asigna a un grupo de dispositivos o grupo de usuarios. La asignación basada en dispositivos es común para los dispositivos corporativos porque el cifrado se aplica de forma coherente independientemente de quién inicie sesión. La asignación basada en el usuario puede adaptarse a escenarios en los que la directiva sigue a un usuario en todos los dispositivos inscritos.
La habilitación silenciosa de BitLocker reduce la interacción del usuario. Con el cifrado silencioso, Intune aplica la directiva e inicia el cifrado sin necesidad de que el usuario sea administrador local. Este enfoque funciona mejor cuando los dispositivos cumplen los requisitos previos, incluidas las ediciones compatibles de Windows, la disponibilidad de TPM y la configuración de inicio compatible.
Standard habilitación de BitLocker permite más interacción del usuario. Los usuarios pueden ver mensajes durante la configuración de cifrado o recuperación en función de la configuración de la directiva. Este enfoque proporciona flexibilidad, pero puede crear una varianza de soporte técnico si los usuarios retrasan o malinterpretan las solicitudes.
| Opción de asignación | Cuando se usa | Donde funciona |
|---|---|---|
| Asignación a dispositivos | Dispositivos Windows corporativos o compartidos | El cifrado se aplica de forma coherente a los dispositivos de destino |
| Asignación a usuarios | Escenarios de administración de dispositivos propiedad del usuario o basado en roles | El cifrado sigue a los usuarios de destino en los dispositivos inscritos aplicables |
| Cifrado silencioso | Los dispositivos cumplen los requisitos de preparación y requieren una participación mínima del usuario | Normalmente, los usuarios no ven ninguna solicitud de cifrado |
| cifrado de Standard | Permite la interacción del usuario durante la configuración del cifrado. | Los usuarios pueden ver mensajes de solicitud o configuración |
Supervisión del estado de cifrado y compatibilidad con la recuperación
Para comprobar que la directiva se ha realizado correctamente, use Intune informes. Los informes de cifrado muestran qué dispositivos están cifrados, qué dispositivos necesitan atención y si la información de recuperación está disponible. Esta vista le ayuda a confirmar que la asignación de directivas da como resultado una protección real del dispositivo.
El estado de las directivas de cumplimiento puede basarse en la aplicación de BitLocker. Al combinar el cumplimiento de BitLocker con el acceso condicional, puede bloquear el acceso a los recursos corporativos hasta que el dispositivo notifique el estado de cifrado necesario. Este control conecta el estado de cifrado a decisiones de acceso reales.
La administración de claves de recuperación sigue siendo un requisito operativo. Cuando un dispositivo entra en la recuperación de BitLocker, un administrador autorizado recupera la clave de recuperación de Intune, Microsoft Entra ID o ad local. Este proceso mantiene la recuperación centralizada e impide el almacenamiento de claves locales no administradas.
La supervisión de PDE usa una señal diferente a la supervisión de BitLocker. El estado de PDE no aparece como un estado de clave de recuperación de BitLocker en el informe de cifrado de BitLocker. Compruebe PDE comprobando el estado de configuración del dispositivo y la directiva de Intune y confirmando en un dispositivo de prueba que los archivos protegidos muestran el indicador de protección de PDE en Explorador de archivos o informe de los detalles de protección de PDE con las herramientas de validación locales admitidas.
| Tarea operativa | Dónde se comprueba | ¿Por qué es importante? |
|---|---|---|
| Confirmación del estado de cifrado | Intune informe de cifrado | Muestra si los dispositivos aplican BitLocker correctamente |
| Identificación de problemas de directiva | Informes de cifrado y estado de configuración del dispositivo | Ayuda a aislar los conflictos de asignación, preparación o directiva |
| Recuperación de claves de recuperación | Intune centro de administración o registro de dispositivo Microsoft Entra ID | Admite la recuperación segura cuando un dispositivo requiere ayuda para desbloquear |
| Aplicación del cumplimiento del cifrado | Directiva de cumplimiento de Windows | Vincula el estado de BitLocker a las decisiones de control de acceso |
| Comprobación de la protección contra PDE | Estado de la directiva PDE, estado de configuración del dispositivo e indicadores de protección de archivos de Windows | Confirma que las carpetas seleccionadas reciben protección basada en credenciales de usuario |