CSP de BitLocker
Sugerencia
Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>
. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.
La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.
La empresa usa el proveedor de servicios de configuración de BitLocker (CSP) para administrar el cifrado de equipos y dispositivos. Este CSP se agregó en Windows 10, versión 1703. A partir de Windows 10, versión 1809, también se admite en Windows 10 Pro.
Nota
Para administrar BitLocker a través de CSP, excepto para habilitarlo y deshabilitarlo mediante la RequireDeviceEncryption
directiva, se debe asignar una de las siguientes licencias a los usuarios independientemente de la plataforma de administración:
- Windows 10/11 Enterprise E3 o E5 (incluidos en Microsoft 365 F3, E3 y E5).
- Windows 10/11 Enterprise A3 o A5 (incluidos en Microsoft 365 A3 y A5).
Una Get
operación en cualquiera de los valores, excepto para RequireDeviceEncryption
y RequireStorageCardEncryption
, devuelve la configuración configurada por el administrador.
En el caso de RequireDeviceEncryption y RequireStorageCardEncryption, la operación Get devuelve el estado real de cumplimiento al administrador, como si se requiere la protección del módulo de plataforma segura (TPM) y si se requiere cifrado. Y si el dispositivo tiene BitLocker habilitado, pero con el protector de contraseña, el estado notificado es 0. Una operación Get en RequireDeviceEncryption no comprueba que se aplique una longitud mínima del PIN (SystemDrivesMinimumPINLength).
Nota
- La configuración solo se aplica en el momento en que se inicia el cifrado. El cifrado no se reinicia con los cambios de configuración.
- Debe enviar todas las configuraciones juntas en un único SyncML para que sean eficaces.
En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de BitLocker:
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- Estado
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Permite al administrador aplicar la directiva "RequireDeviceEncryption" para escenarios en los que la directiva se inserta mientras el usuario que ha iniciado sesión actual no es administrador o usuario estándar.
La directiva "AllowStandardUserEncryption" está asociada a la directiva "AllowWarningForOtherDiskEncryption" que se establece en "0", es decir, se aplica el cifrado silencioso.
Si no se establece "AllowWarningForOtherDiskEncryption" o se establece en "1", la directiva "RequireDeviceEncryption" no intentará cifrar las unidades si un usuario estándar es el usuario que ha iniciado sesión actual en el sistema.
Los valores esperados para esta directiva son:
1 = La directiva "RequireDeviceEncryption" intentará habilitar el cifrado en todas las unidades fijas, incluso si un usuario que ha iniciado sesión actual es un usuario estándar.
0 = Este es el valor predeterminado, cuando no se establece la directiva. Si el usuario que ha iniciado sesión actual es un usuario estándar, la directiva "RequireDeviceEncryption" no intentará habilitar el cifrado en ninguna unidad.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Dependencia [AllowWarningForOtherDiskEncryptionDependency] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption Valor permitido de dependencia: [0] Tipo de valor permitido de dependencia: Range |
Valores permitidos:
Valor | Descripción |
---|---|
0 (Predeterminado) | Este es el valor predeterminado, cuando no se establece la directiva. Si el usuario que ha iniciado sesión actual es un usuario estándar, la directiva "RequireDeviceEncryption" no intentará habilitar el cifrado en ninguna unidad. |
1 | La directiva "RequireDeviceEncryption" intentará habilitar el cifrado en todas las unidades fijas, incluso si un usuario que ha iniciado sesión actual es un usuario estándar. |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Permite que el administrador deshabilite toda la interfaz de usuario (notificación para cifrado y aviso para otro cifrado de disco) y active el cifrado en las máquinas del usuario de forma silenciosa.
Advertencia
Al habilitar BitLocker en un dispositivo con cifrado de terceros, puede que el dispositivo no se pueda usar y requerirá la reinstalación de Windows.
Nota
Esta directiva solo surte efecto si la directiva "RequireDeviceEncryption" está establecida en 1.
Los valores esperados para esta directiva son:
1 = Este es el valor predeterminado, cuando la directiva no está establecida. Se permite el aviso de advertencia y la notificación de cifrado.
0 = Deshabilita el aviso de advertencia y la notificación de cifrado. A partir de Windows 10, la siguiente actualización principal, el valor 0 solo surte efecto en los dispositivos unidos a Microsoft Entra.
Windows intentará habilitar BitLocker de forma silenciosa para el valor 0.
Nota
Al deshabilitar el aviso de advertencia, la clave de recuperación de la unidad del sistema operativo hará una copia de seguridad en la cuenta microsoft entra del usuario. Cuando se permite el aviso de advertencia, el usuario que recibe el aviso puede seleccionar dónde hacer una copia de seguridad de la clave de recuperación de la unidad del sistema operativo.
El punto de conexión de la copia de seguridad de una unidad de datos fija se elige en el orden siguiente:
- Cuenta de Servicios de dominio de Windows Server Active Directory del usuario.
- Cuenta microsoft entra del usuario.
- OneDrive personal del usuario (solo MDM/MAM).
El cifrado esperará hasta que una de estas tres ubicaciones realice una copia de seguridad correctamente.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 1 |
Valores permitidos:
Valor | Descripción |
---|---|
0 | Deshabilita el aviso de advertencia. A partir de Windows 10, versión 1803, el valor 0 solo se puede establecer para los dispositivos unidos a Microsoft Entra. Windows intentará habilitar BitLocker de forma silenciosa para el valor 0. |
1 (valor predeterminado) | Aviso de advertencia permitido. |
Ejemplo:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1909 [10.0.18363] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Permite al administrador configurar la rotación de contraseñas de recuperación numérica cuando se usa para el sistema operativo y las unidades fijas en el identificador de Microsoft Entra y los dispositivos unidos a un dominio híbrido.
Cuando no está configurado, la rotación está activada de forma predeterminada solo para el identificador de Microsoft Entra y desactivada en híbrido. La directiva solo entrará en vigor cuando la copia de seguridad de Active Directory para la contraseña de recuperación esté configurada como necesaria.
Para la unidad del sistema operativo: active "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo".
Para las unidades fijas: active "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas".
Valores admitidos: 0: rotación de contraseñas de recuperación numérica desactivada.
1- Rotación de contraseñas de recuperación numérica al usar ON para dispositivos unidos a Microsoft Entra. Valor predeterminado 2: rotación de contraseñas de recuperación numéricas al usar ON tanto para el identificador de Microsoft Entra como para los dispositivos híbridos.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Valores permitidos:
Valor | Descripción |
---|---|
0 (Predeterminado) | Actualizar desactivado (valor predeterminado). |
1 | Actualice para dispositivos unidos a Microsoft Entra. |
2 | Actualice tanto para dispositivos unidos a Microsoft Entra como híbridos. |
EncryptionMethodByDriveType
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Esta configuración de directiva configura si es necesaria la protección de BitLocker para que un equipo pueda escribir datos en una unidad de datos extraíble.
- Si habilita esta configuración de directiva, todas las unidades de datos extraíbles que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si se selecciona la opción "Denegar el acceso de escritura a dispositivos configurados en otra organización", solo se concederá acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo. Cuando se accede a una unidad de datos extraíble, se comprobará si hay campos de identificación válidos y campos de identificación permitidos. Estos campos se definen mediante la configuración de directiva "Proporcionar los identificadores únicos para su organización".
- Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.
Nota
Esta configuración de directiva se puede invalidar mediante la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble. Si la configuración de directiva "Discos extraíbles: Denegar acceso de escritura" está habilitada, se omitirá esta configuración de directiva.
Nota
Al habilitar EncryptionMethodByDriveType, debe especificar valores para las tres unidades (sistema operativo, datos fijos y datos extraíbles), de lo contrario, se producirá un error (estado devuelto de 500). Por ejemplo, si solo establece el método de cifrado para el sistema operativo y las unidades extraíbles, obtendrá un estado de devolución de 500.
Elementos de id. de datos:
- EncryptionMethodWithXtsOsDropDown_Name = Seleccione el método de cifrado para las unidades del sistema operativo.
- EncryptionMethodWithXtsFdvDropDown_Name = Seleccione el método de cifrado para las unidades de datos fijas.
- EncryptionMethodWithXtsRdvDropDown_Name = Seleccione el método de cifrado para las unidades de datos extraíbles.
El valor de ejemplo de este nodo para habilitar esta directiva y establecer los métodos de cifrado es:
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
Los valores posibles de 'xx' son:
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | RDVDenyWriteAccess_Name |
Nombre descriptivo | Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | System\CurrentControlSet\Policies\Microsoft\FVE |
Nombre del valor de registro | RDVDenyWriteAccess |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
Esta configuración de directiva le permite configurar el tipo de cifrado usado por el cifrado de unidad BitLocker. Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elija el cifrado completo para requerir que toda la unidad se cifre cuando BitLocker esté activado. Elija el cifrado de espacio usado solo para requerir que solo la parte de la unidad usada para almacenar datos esté cifrada cuando BitLocker esté activado.
Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
Valores posibles:
- 0: Permitir que el usuario elija.
- 1: Cifrado completo.
- 2: Solo se usa el cifrado de espacio.
Nota
Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde -w
. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.
Para obtener más información sobre la herramienta para administrar BitLocker, consulte manage-bde.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | FDVEncryptionType_Name |
Nombre descriptivo | Aplicación del tipo de cifrado de unidad en unidades de datos fijas |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | FDVEncryptionType |
Nombre de archivo ADMX | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
Esta configuración de directiva permite controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de las credenciales necesarias. Esta configuración de directiva se aplica al activar BitLocker.
La casilla "Permitir agente de recuperación de datos" se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas por BitLocker. Antes de que se pueda usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directivas de grupo o en el Editor de directivas de grupo local. Consulte la Guía de implementación de cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre cómo agregar agentes de recuperación de datos.
En "Configure user storage of BitLocker recovery information" (Configurar el almacenamiento de usuario de la información de recuperación de BitLocker), seleccione si se permiten, requieren o no los usuarios para generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione "Omitir opciones de recuperación del Asistente para la instalación de BitLocker" para evitar que los usuarios especifiquen opciones de recuperación cuando activen BitLocker en una unidad. Esto significa que no podrá especificar qué opción de recuperación usar al activar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.
En "Guardar información de recuperación de BitLocker en Active Directory Domain Services" elija qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos fijas. Si selecciona "Contraseña de recuperación de copia de seguridad y paquete de claves", tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona "Solo contraseña de recuperación de copia de seguridad", solo la contraseña de recuperación se almacena en AD DS.
Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.
Nota
Si la casilla "No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para unidades de datos fijas" está activada, se genera automáticamente una contraseña de recuperación.
Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de datos fijas protegidas por BitLocker.
Si esta configuración de directiva no está configurada o deshabilitada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.
Elementos de id. de datos:
- FDVAllowDRA_Name: Permitir agente de recuperación de datos
- FDVRecoveryPasswordUsageDropDown_Name y FDVRecoveryKeyUsageDropDown_Name: Configurar el almacenamiento del usuario de la información de recuperación de BitLocker
- FDVHideRecoveryPage_Name: Omitir las opciones de recuperación del Asistente para la instalación de BitLocker
- FDVActiveDirectoryBackup_Name: Guardar información de recuperación de BitLocker en Active Directory Domain Services
- FDVActiveDirectoryBackupDropDown_Name: Configuración del almacenamiento de información de recuperación de BitLocker en AD DS
- FDVRequireActiveDirectoryBackup_Name: No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Los valores posibles de 'xx' son:
- true = permitir explícitamente
- false = Directiva no establecida
Los valores posibles de 'yy' son:
- 0 = No permitido
- 1 = Obligatorio
- 2 = Permitido
Los valores posibles de 'zz' son:
- 1 = Almacenar contraseñas de recuperación y paquetes de claves
- 2 = Almacenar solo contraseñas de recuperación
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | FDVRecoveryUsage_Name |
Nombre descriptivo | Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | FDVRecovery |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
Esta configuración de directiva determina si es necesaria la protección de BitLocker para que las unidades de datos fijas se puedan escribir en un equipo.
Si habilita esta configuración de directiva, todas las unidades de datos fijas que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos fijas del equipo se montarán con acceso de lectura y escritura.
El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | FDVDenyWriteAccess_Name |
Nombre descriptivo | Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | System\CurrentControlSet\Policies\Microsoft\FVE |
Nombre del valor de registro | FDVDenyWriteAccess |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/IdentificationField
Esta configuración de directiva permite asociar identificadores organizativos únicos a una nueva unidad habilitada con BitLocker. Estos identificadores se almacenan como campo de identificación y campo de identificación permitido. El campo de identificación permite asociar un identificador organizativo único a unidades protegidas por BitLocker. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en unidades protegidas por BitLocker existentes mediante la herramienta de línea de comandos manage-bde . Se requiere un campo de identificación para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker y para posibles actualizaciones del lector de BitLocker To Go. BitLocker solo administrará y actualizará los agentes de recuperación de datos cuando el campo de identificación de la unidad coincida con el valor configurado en el campo de identificación. De forma similar, BitLocker solo actualizará el lector de BitLocker To Go cuando el campo de identificación de la unidad coincida con el valor configurado para el campo de identificación.
El campo de identificación permitido se usa en combinación con la configuración de directiva "Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker" para ayudar a controlar el uso de unidades extraíbles en su organización. Es una lista separada por comas de campos de identificación de su organización u otras organizaciones externas.
Puede configurar los campos de identificación en unidades existentes mediante manage-bde.exe.
- Si habilita esta configuración de directiva, puede configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que use su organización.
Cuando una unidad protegida por BitLocker se monta en otro equipo habilitado para BitLocker, se usará el campo de identificación y el campo de identificación permitido para determinar si la unidad procede de una organización externa.
- Si deshabilita o no establece esta configuración de directiva, no se requiere el campo de identificación.
Nota
Los campos de identificación son necesarios para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker. BitLocker solo administrará y actualizará agentes de recuperación de datos basados en certificados cuando el campo de identificación esté presente en una unidad y sea idéntico al valor configurado en el equipo. El campo de identificación puede tener cualquier valor de 260 caracteres o menos.
Elementos de id. de datos:
- IdentificationField: se trata de un campo de identificación de BitLocker.
- SecIdentificationField: se trata de un campo de identificación de BitLocker permitido.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | IdentificationField_Name |
Nombre descriptivo | Proporcionar los identificadores únicos de la organización |
Ubicación | Configuración del equipo |
Ruta de acceso | Cifrado de unidad bitlocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | IdentificationField |
Nombre de archivo ADMX | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
Esta configuración de directiva controla el uso de BitLocker en unidades de datos extraíbles. Esta configuración de directiva se aplica al activar BitLocker.
Cuando esta configuración de directiva está habilitada, puede seleccionar valores de propiedad que controlen cómo los usuarios pueden configurar BitLocker. Elija "Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles" para permitir que el usuario ejecute el Asistente para la instalación de BitLocker en una unidad de datos extraíble. Elija "Permitir que los usuarios suspendan y descifren BitLocker en unidades de datos extraíbles" para permitir al usuario quitar el cifrado de unidad BitLocker de la unidad o suspender el cifrado mientras se realiza el mantenimiento. Para obtener información sobre cómo suspender la protección de BitLocker, vea Implementación básica de BitLocker.
Si no configura esta configuración de directiva, los usuarios pueden usar BitLocker en unidades de disco extraíbles.
Si deshabilita esta configuración de directiva, los usuarios no pueden usar BitLocker en unidades de disco extraíbles.
Elementos de id. de datos:
- RDVAllowBDE_Name: permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles.
- RDVDisableBDE_Name: permitir que los usuarios suspendan y descifren BitLocker en unidades de datos extraíbles.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | RDVConfigureBDE |
Nombre descriptivo | Controlar el uso de BitLocker en unidades extraíbles |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | RDVConfigureBDE |
Nombre de archivo ADMX | VolumeEncryption.admx |
RemovableDrivesEncryptionType
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
Esta configuración de directiva le permite configurar el tipo de cifrado usado por el cifrado de unidad BitLocker. Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elija el cifrado completo para requerir que toda la unidad se cifre cuando BitLocker esté activado. Elija el cifrado de espacio usado solo para requerir que solo la parte de la unidad usada para almacenar datos esté cifrada cuando BitLocker esté activado.
Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
Valores posibles:
- 0: Permitir que el usuario elija.
- 1: Cifrado completo.
- 2: Solo se usa el cifrado de espacio.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Dependencia [BDEAllowed] | Tipo de dependencia: DependsOn URI de dependencia: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE Tipo de valor permitido de dependencia: ADMX |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | RDVEncryptionType_Name |
Nombre descriptivo | Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | RDVEncryptionType |
Nombre de archivo ADMX | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
Cuando está habilitado, permite excluir unidades extraíbles y dispositivos conectados a través de la interfaz USB del cifrado de dispositivos BitLocker. Los dispositivos excluidos no se pueden cifrar, ni siquiera manualmente. Además, si se configura "Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker", no se le pedirá al usuario el cifrado y la unidad se montará en modo de lectura y escritura. Proporcione una lista separada por comas de unidades o dispositivos extraíbles excluidos mediante el identificador de hardware del dispositivo de disco. Ejemplo de USBSTOR\SEAGATE_ST39102LW_______0004.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
Valores permitidos | List (Delimitador: , ) |
RemovableDrivesRequireEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
Esta configuración de directiva configura si es necesaria la protección de BitLocker para que un equipo pueda escribir datos en una unidad de datos extraíble.
- Si habilita esta configuración de directiva, todas las unidades de datos extraíbles que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si se selecciona la opción "Denegar el acceso de escritura a dispositivos configurados en otra organización", solo se concederá acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo. Cuando se accede a una unidad de datos extraíble, se comprobará si hay campos de identificación válidos y campos de identificación permitidos. Estos campos se definen mediante la configuración de directiva "Proporcionar los identificadores únicos para su organización".
- Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.
Nota
Esta configuración de directiva se puede invalidar mediante la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble. Si la configuración de directiva "Discos extraíbles: Denegar acceso de escritura" está habilitada, se omitirá esta configuración de directiva.
Elementos de id. de datos:
- RDVCrossOrg: denegar el acceso de escritura a los dispositivos configurados en otra organización
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/><data id="RDVCrossOrg" value="xx"/>
Los valores posibles de 'xx' son:
- true = permitir explícitamente
- false = Directiva no establecida
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | RDVDenyWriteAccess_Name |
Nombre descriptivo | Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | System\CurrentControlSet\Policies\Microsoft\FVE |
Nombre del valor de registro | RDVDenyWriteAccess |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Permite que el administrador requiera que se active el cifrado mediante BitLocker\Device Encryption.
Valor de ejemplo de este nodo para habilitar esta directiva:
1
Deshabilitar la directiva no desactivará el cifrado en la unidad del sistema. Pero dejará de pedir al usuario que lo active.
Nota
Actualmente solo se admite el cifrado de disco completo cuando se usa este CSP para el cifrado silencioso. Para el cifrado no silencioso, el tipo de cifrado dependerá SystemDrivesEncryptionType
y FixedDrivesEncryptionType
se configurará en el dispositivo.
El estado de los volúmenes del sistema operativo y de los volúmenes de datos fijos cifrados se comprueba con una operación Get. Normalmente, BitLocker/Device Encryption seguirá el valor en el que esté establecida la directiva EncryptionMethodByDriveType . Sin embargo, esta configuración de directiva se omitirá para el cifrado automático de unidades fijas y el cifrado automático de unidades del sistema operativo.
Los volúmenes de datos fijos cifrados se tratan de forma similar a los volúmenes del sistema operativo. Sin embargo, los volúmenes de datos fijos deben cumplir otros criterios para que se consideren cifrados:
- No debe ser un volumen dinámico.
- No debe ser una partición de recuperación.
- No debe ser un volumen oculto.
- No debe ser una partición del sistema.
- No debe estar respaldado por el almacenamiento virtual.
- No debe tener una referencia en el almacén BCD.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Valores permitidos:
Valor | Descripción |
---|---|
0 (Predeterminado) | Deshabilitar. Si la configuración de directiva no está establecida o está establecida en 0, el estado de cumplimiento del dispositivo no se comprueba. La directiva no aplica el cifrado y no descifra volúmenes cifrados. |
1 | Habilitar. Se comprueba el estado de cumplimiento del dispositivo. Al establecer esta directiva en 1, se desencadena el cifrado de todas las unidades (de forma silenciosa o no silenciosa en función de la directiva AllowWarningForOtherDiskEncryption). |
Ejemplo:
Para deshabilitar RequireDeviceEncryption:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
Nota
Esta directiva está en desuso y puede quitarse en una versión futura.
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
Permite al administrador requerir el cifrado de tarjetas de almacenamiento en el dispositivo.
Esta directiva solo es válida para la SKU móvil.
Valor de ejemplo de este nodo para habilitar esta directiva:
1
Deshabilitar la directiva no desactivará el cifrado en la tarjeta de almacenamiento. Pero dejará de pedir al usuario que lo active.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Valor predeterminado | 0 |
Valores permitidos:
Valor | Descripción |
---|---|
0 (Predeterminado) | No es necesario cifrar las tarjetas de almacenamiento. |
1 | Requerir que las tarjetas de almacenamiento se cifren. |
RotateRecoveryPasswords
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1909 [10.0.18363] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
Permite al administrador insertar la rotación única de todas las contraseñas de recuperación numéricas para unidades de sistema operativo y datos fijos en un identificador de Microsoft Entra o un dispositivo unido a un sistema híbrido.
Esta directiva es Tipo de ejecución y gira todas las contraseñas numéricas cuando se emiten desde las herramientas de MDM.
La directiva solo entra en vigor cuando la copia de seguridad de Active Directory para una contraseña de recuperación está configurada como "requerida".
En el caso de las unidades del sistema operativo, habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory Domain Services para las unidades del sistema operativo".
En el caso de las unidades fijas, habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory Domain Services para unidades de datos fijas".
El cliente devuelve el estado DM_S_ACCEPTED_FOR_PROCESSING para indicar que se ha iniciado la rotación. El servidor puede consultar el estado con los siguientes nodos de estado:
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID.
Valores admitidos: forma de cadena del identificador de solicitud. El formato de ejemplo del identificador de solicitud es GUID. El servidor puede elegir el formato según sea necesario según las herramientas de administración.
Nota
La rotación de claves solo se admite en estos tipos de inscripción. Para obtener más información, vea enumeración deviceEnrollmentType.
- windowsAzureADJoin.
- windowsBulkAzureDomainJoin.
- windowsAzureADJoinUsingDeviceAuth.
- windowsCoManagement.
Sugerencia
La característica de rotación de claves solo funcionará cuando:
Para las unidades del sistema operativo:
- OSRequireActiveDirectoryBackup_Name se establece en 1 ("Obligatorio").
- OSActiveDirectoryBackup_Name se establece en true.
Para las unidades de datos fijas:
- FDVRequireActiveDirectoryBackup_Name se establece en 1 = ("Obligatorio").
- FDVActiveDirectoryBackup_Name se establece en true.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Exec |
Estado
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1903 [10.0.18362] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/Status
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | node |
Tipo de acceso | Obtener |
Estado/DeviceEncryptionStatus
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1903 [10.0.18362] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
Este nodo notifica el estado de cumplimiento del cifrado de dispositivos en el sistema.
El valor '0' significa que el dispositivo es compatible. Cualquier otro valor representa un dispositivo no compatible.
Este valor representa una máscara de bits con cada bit y el código de error correspondiente descrito en la tabla siguiente:
Bit | Código de error |
---|---|
0 | La directiva de BitLocker requiere el consentimiento del usuario para iniciar el Asistente para cifrado de unidad BitLocker para iniciar el cifrado del volumen del sistema operativo, pero el usuario no ha consentida. |
1 | El método de cifrado del volumen del sistema operativo no coincide con la directiva de BitLocker. |
2 | El volumen del sistema operativo está desprotegido. |
3 | La directiva de BitLocker requiere un protector de solo TPM para el volumen del sistema operativo, pero no se usa la protección de TPM. |
4 | La directiva de BitLocker requiere protección de TPM+PIN para el volumen del sistema operativo, pero no se usa un protector TPM+PIN. |
5 | La directiva de BitLocker requiere tpm+ protección de clave de inicio para el volumen del sistema operativo, pero no se usa un protector de clave de inicio y TPM. |
6 | La directiva de BitLocker requiere tpm+PIN+protección de clave de inicio para el volumen del sistema operativo, pero no se usa un protector de clave de inicio+PIN+TPM. |
7 | La directiva de BitLocker requiere un protector de TPM para proteger el volumen del sistema operativo, pero no se usa un TPM. |
8 | Error en la copia de seguridad de la clave de recuperación. |
9 | Una unidad fija está desprotegida. |
10 | El método de cifrado de la unidad fija no coincide con la directiva de BitLocker. |
11 | Para cifrar las unidades, la directiva de BitLocker requiere que el usuario inicie sesión como administrador o, si el dispositivo está unido al identificador de Microsoft Entra, la directiva AllowStandardUserEncryption debe establecerse en 1. |
12 | Windows Recovery Environment (WinRE) no está configurado. |
13 | Un TPM no está disponible para BitLocker, ya sea porque no está presente, se ha dejado de estar disponible en el Registro o el sistema operativo está en una unidad extraíble. |
14 | El TPM no está listo para BitLocker. |
15 | La red no está disponible, lo que es necesario para la copia de seguridad de claves de recuperación. |
16 | El tipo de cifrado del volumen del sistema operativo para el disco completo frente al espacio usado solo el cifrado no coincide con la directiva de BitLocker. |
17 | El tipo de cifrado de la unidad fija para el disco completo frente al espacio usado solo el cifrado no coincide con la directiva de BitLocker. |
18-31 | Para uso futuro. |
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Obtener |
Status/RemovableDrivesEncryptionStatus
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
Este nodo notifica el estado de cumplimiento del cifrado de la unidad de eliminación. Valor "0" significa que la unidad de eliminación se cifra siguiendo todos los valores establecidos de la unidad de eliminación.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Obtener |
Status/RotateRecoveryPasswordsRequestID
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1909 [10.0.18363] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
Este nodo notifica el RequestID correspondiente a RotateRecoveryPasswordsStatus.
Este nodo debe consultarse en sincronización con RotateRecoveryPasswordsStatus para asegurarse de que el estado coincide correctamente con el identificador de solicitud.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Obtener |
Status/RotateRecoveryPasswordsStatus
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1909 [10.0.18363] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
Este nodo notifica el estado de la solicitud RotateRecoveryPasswords.
El código de estado puede ser uno de los siguientes:
NotStarted(2), Pending (1), Pass (0), Otros códigos de error en caso de error.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato | int |
Tipo de acceso | Obtener |
SystemDrivesDisallowStandardUsersCanChangePIN
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
Esta configuración de directiva le permite configurar si los usuarios estándar pueden cambiar los PIN de volumen de BitLocker, siempre que puedan proporcionar primero el PIN existente.
Esta configuración de directiva se aplica al activar BitLocker.
Si habilita esta configuración de directiva, los usuarios estándar no podrán cambiar los PIN o contraseñas de BitLocker.
Si deshabilita o no establece esta configuración de directiva, los usuarios estándar podrán cambiar los PIN y contraseñas de BitLocker.
Nota
Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales.
El valor de ejemplo de este nodo para deshabilitar esta directiva es: <disabled/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | DisallowStandardUsersCanChangePIN_Name |
Nombre descriptivo | No permitir que los usuarios estándar cambien el PIN o la contraseña |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | No permitirStandardUserPINReset |
Nombre de archivo ADMX | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
Esta configuración de directiva permite a los usuarios activar opciones de autenticación que requieren la entrada del usuario desde el entorno previo al arranque, incluso si la plataforma carece de capacidad de entrada previa al arranque.
El teclado táctil de Windows (como el que usan las tabletas) no está disponible en el entorno previo al arranque, donde BitLocker requiere información adicional, como un PIN o una contraseña.
Si habilita esta configuración de directiva, los dispositivos deben tener un medio alternativo de entrada previa al arranque (por ejemplo, un teclado USB conectado).
Si esta directiva no está habilitada, el entorno de recuperación de Windows debe estar habilitado en tabletas para admitir la entrada de la contraseña de recuperación de BitLocker. Cuando el entorno de recuperación de Windows no está habilitado y esta directiva no está habilitada, no puedes activar BitLocker en un dispositivo que use el teclado táctil de Windows.
Tenga en cuenta que si no habilita esta configuración de directiva, es posible que las opciones de la directiva "Requerir autenticación adicional al iniciar" no estén disponibles en estos dispositivos. Estas opciones incluyen:
- Configuración del PIN de inicio de TPM: obligatorio o permitido
- Configuración de la clave de inicio y el PIN de TPM: obligatorio o permitido
- Configure el uso de contraseñas para unidades de sistema operativo.
El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | EnablePrebootInputProtectorsOnSlates_Name |
Nombre descriptivo | Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en pizarras |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | OSEnablePrebootInputProtectorsOnSlates |
Nombre de archivo ADMX | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Esta configuración de directiva permite a los usuarios de dispositivos compatibles con InstantGo o Microsoft Hardware Security Test Interface (HSTI) no tener un PIN para la autenticación previa al arranque. Esto invalida las opciones "Requerir PIN de inicio con TPM" y "Requerir clave de inicio y PIN con TPM" de la directiva "Requerir autenticación adicional al inicio" en hardware compatible.
Si habilita esta configuración de directiva, los usuarios de dispositivos compatibles con InstantGo y HSTI tendrán la opción de activar BitLocker sin autenticación previa al arranque.
Si esta directiva no está habilitada, se aplican las opciones de la directiva "Requerir autenticación adicional al inicio".
El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | EnablePreBootPinExceptionOnDECapableDevice_Name |
Nombre descriptivo | Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan optar por no usar el PIN previo al arranque. |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | OSEnablePreBootPinExceptionOnDECapableDevice |
Nombre de archivo ADMX | VolumeEncryption.admx |
SystemDrivesEncryptionType
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
Esta configuración de directiva le permite configurar el tipo de cifrado usado por el cifrado de unidad BitLocker. Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elija el cifrado completo para requerir que toda la unidad se cifre cuando BitLocker esté activado. Elija el cifrado de espacio usado solo para requerir que solo la parte de la unidad usada para almacenar datos esté cifrada cuando BitLocker esté activado.
Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
Valores posibles:
- 0: Permitir que el usuario elija.
- 1: Cifrado completo.
- 2: Solo se usa el cifrado de espacio.
Nota
Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual.
Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde -w
. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.
Para obtener más información sobre la herramienta para administrar BitLocker, consulte manage-bde.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | OSEncryptionType_Name |
Nombre descriptivo | Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | OSEncryptionType |
Nombre de archivo ADMX | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 2004 con KB5005101 [10.0.19041.1202] y versiones posteriores ✅ Windows 10, versión 20H2 con KB5005101 [10.0.19042.1202] y versiones posteriores ✅ Windows 10, versión 21H1 con KB5005101 [10.0.19043.1202] y versiones posteriores ✅ Windows 11, versión 21H2 [10.0.22000] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
Esta configuración de directiva le permite configurar si se usan o no PIN de inicio mejorados con BitLocker.
Los PIN de inicio mejorados permiten el uso de caracteres como letras mayúsculas y minúsculas, símbolos, números y espacios. Esta configuración de directiva se aplica al activar BitLocker.
- Si habilita esta configuración de directiva, todos los PIN de inicio de BitLocker nuevos se mejorarán.
Nota
No todos los equipos pueden admitir PIN mejorados en el entorno previo al arranque. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker.
- Si deshabilita o no establece esta configuración de directiva, no se usarán los PIN mejorados.
El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | EnhancedPIN_Name |
Nombre descriptivo | Permitir PIN mejorados para el inicio |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre del valor de registro | UseEnhancedPin |
Nombre de archivo ADMX | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
Esta configuración de directiva le permite configurar una longitud mínima para un PIN de inicio del módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.
Si habilita esta configuración de directiva, puede requerir que se use un número mínimo de dígitos al establecer el PIN de inicio.
Si deshabilita o no establece esta configuración de directiva, los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.
Nota
Si la longitud mínima del PIN se establece por debajo de 6 dígitos, Windows intentará actualizar el período de bloqueo de TPM 2.0 para que sea mayor que el predeterminado cuando se cambie un PIN. Si se ejecuta correctamente, Windows solo restablecerá el período de bloqueo de TPM al valor predeterminado si se restablece el TPM.
Nota
En Windows 10, versión 1703 B, puedes usar una longitud mínima de PIN de 4 dígitos.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/><data id="MinPINLength" value="xx"/>
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | MinimumPINLength_Name |
Nombre descriptivo | Configuración de la longitud mínima del PIN para el inicio |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Esta configuración de directiva le permite configurar todo el mensaje de recuperación o reemplazar la dirección URL existente que se muestra en la pantalla de recuperación de claves previa al arranque cuando la unidad del sistema operativo está bloqueada.
Si selecciona la opción "Usar el mensaje de recuperación predeterminado y la dirección URL", el mensaje de recuperación y la dirección URL predeterminados de BitLocker se mostrarán en la pantalla de recuperación de claves previa al arranque. Si anteriormente ha configurado un mensaje de recuperación personalizado o una dirección URL y quiere revertir al mensaje predeterminado, debe mantener habilitada la directiva y seleccionar la opción "Usar el mensaje de recuperación predeterminado y la dirección URL".
Si selecciona la opción "Usar mensaje de recuperación personalizada", el mensaje que escriba en el cuadro de texto "Opción de mensaje de recuperación personalizada" se mostrará en la pantalla de recuperación de claves previa al arranque. Si hay una dirección URL de recuperación disponible, insclúyela en el mensaje.
Si selecciona la opción "Usar dirección URL de recuperación personalizada", la dirección URL que escriba en el cuadro de texto "Custom recovery URL option" (Dirección URL de recuperación personalizada) reemplazará la dirección URL predeterminada en el mensaje de recuperación predeterminado, que se mostrará en la pantalla de recuperación de claves previa al arranque.
Nota
No todos los caracteres e idiomas se admiten en el arranque previo. Se recomienda encarecidamente probar que los caracteres que se usan para el mensaje personalizado o la dirección URL aparecen correctamente en la pantalla de recuperación previa al arranque.
Elementos de id. de datos:
- PrebootRecoveryInfoDropDown_Name: seleccione una opción para el mensaje de recuperación previa al arranque.
- RecoveryMessage_Input: mensaje de recuperación personalizado
- RecoveryUrl_Input: Dirección URL de recuperación personalizada
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
Los valores posibles de 'xx' son:
- 0 = Vacío
- 1 = Use el mensaje de recuperación y la dirección URL predeterminados (en este caso, no es necesario especificar un valor para "RecoveryMessage_Input" o "RecoveryUrl_Input").
- 2 = Se ha establecido el mensaje de recuperación personalizado.
- 3 = Se ha establecido la dirección URL de recuperación personalizada.
El valor posible de 'yy' y 'zz' es una cadena de longitud máxima de 900 y 500 respectivamente.
Nota
- Al habilitar SystemDrivesRecoveryMessage, debe especificar valores para los tres valores (pantalla de recuperación previa al arranque, mensaje de recuperación y dirección URL de recuperación), de lo contrario, se producirá un error (estado devuelto 500). Por ejemplo, si solo especifica valores para el mensaje y la dirección URL, obtendrá un estado devuelto de 500.
- No todos los caracteres e idiomas se admiten en el arranque previo. Se recomienda encarecidamente probar que los caracteres que se usan para el mensaje personalizado o la dirección URL aparecen correctamente en la pantalla de recuperación previa al arranque.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | PrebootRecoveryInfo_Name |
Nombre descriptivo | Configuración del mensaje y la dirección URL de la recuperación previa al arranque |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | Software\Policies\Microsoft\FVE |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
Esta configuración de directiva permite controlar cómo se recuperan las unidades de sistema operativo protegidas por BitLocker en ausencia de la información de clave de inicio necesaria. Esta configuración de directiva se aplica al activar BitLocker.
La casilla "Permitir agente de recuperación de datos basada en certificados" se usa para especificar si se puede usar un agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker. Antes de que se pueda usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directivas de grupo o en el Editor de directivas de grupo local. Consulte la Guía de implementación de cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre cómo agregar agentes de recuperación de datos.
En "Configure user storage of BitLocker recovery information" (Configurar el almacenamiento de usuario de la información de recuperación de BitLocker), seleccione si se permiten, requieren o no los usuarios para generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione "Omitir opciones de recuperación del Asistente para la instalación de BitLocker" para evitar que los usuarios especifiquen opciones de recuperación cuando activen BitLocker en una unidad. Esto significa que no podrá especificar qué opción de recuperación usar al activar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.
En "Guardar información de recuperación de BitLocker en Active Directory Domain Services", elija qué información de recuperación de BitLocker almacenar en AD DS para las unidades del sistema operativo. Si selecciona "Contraseña de recuperación de copia de seguridad y paquete de claves", tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona "Solo contraseña de recuperación de copia de seguridad", solo la contraseña de recuperación se almacena en AD DS.
Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.
Nota
Si la casilla "No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para unidades del sistema operativo" está activada, se genera automáticamente una contraseña de recuperación.
Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de sistema operativo protegidas por BitLocker.
Si esta configuración de directiva está deshabilitada o no está configurada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.
Elementos de id. de datos:
- OSAllowDRA_Name: Permitir el agente de recuperación de datos basado en certificados
- OSRecoveryPasswordUsageDropDown_Name y OSRecoveryKeyUsageDropDown_Name: Configurar el almacenamiento del usuario de la información de recuperación de BitLocker
- OSHideRecoveryPage_Name: Omitir las opciones de recuperación del Asistente para la instalación de BitLocker
- OSActiveDirectoryBackup_Name y OSActiveDirectoryBackupDropDown_Name: Guardar información de recuperación de BitLocker en Active Directory Domain Services
- OSRequireActiveDirectoryBackup_Name: No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Los valores posibles de 'xx' son:
- true = permitir explícitamente
- false = Directiva no establecida
Los valores posibles de 'yy' son:
- 0 = No permitido
- 1 = Obligatorio
- 2 = Permitido
Los valores posibles de 'zz' son:
- 1 = Almacenar contraseñas de recuperación y paquetes de claves.
- 2 = Almacenar solo contraseñas de recuperación.
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | OSRecoveryUsage_Name |
Nombre descriptivo | Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | OSRecovery |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
Ámbito | Ediciones | Sistema operativo aplicable |
---|---|---|
Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, versión 1703 [10.0.15063] y versiones posteriores |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
Esta configuración de directiva le permite configurar si BitLocker requiere autenticación adicional cada vez que se inicia el equipo y si usa BitLocker con o sin un módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker.
Nota
Solo se puede requerir una de las opciones de autenticación adicionales durante el inicio; de lo contrario, se produce un error de directiva.
Si desea usar BitLocker en un equipo sin TPM, active la casilla "Permitir BitLocker sin un TPM compatible". En este modo, se requiere una contraseña o una unidad USB para el inicio. Cuando se usa una clave de inicio, la información de clave utilizada para cifrar la unidad se almacena en la unidad USB, creando una clave USB. Cuando se inserta la clave USB, el acceso a la unidad se autentica y se puede acceder a la unidad. Si la clave USB se pierde o no está disponible o si ha olvidado la contraseña, tendrá que usar una de las opciones de recuperación de BitLocker para acceder a la unidad.
En un equipo con un TPM compatible, se pueden usar cuatro tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la inserción de una unidad flash USB que contenga una clave de inicio, la entrada de un número de identificación personal (PIN) de 6 dígitos a 20 dígitos, o ambos.
Si habilita esta configuración de directiva, los usuarios pueden configurar opciones de inicio avanzadas en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, los usuarios solo podrán configurar opciones básicas en equipos con un TPM.
Nota
Si desea requerir el uso de un PIN de inicio y una unidad flash USB, debe configurar los valores de BitLocker mediante la herramienta de línea de comandos manage-bde en lugar del Asistente para la configuración de cifrado de unidad BitLocker.
Nota
- En Windows 10, versión 1703 B, puedes usar un PIN mínimo de 4 dígitos. La directiva SystemDrivesMinimumPINLength debe establecerse para permitir PIN de menos de 6 dígitos.
- Los dispositivos que pasan la validación de la especificación de estabilidad de seguridad de hardware (HSTI) o los dispositivos en espera modernos no podrán configurar un PIN de inicio mediante este CSP. Los usuarios deben configurar manualmente el PIN. Elementos de id. de datos:
- ConfigureNonTPMStartupKeyUsage_Name = Permitir BitLocker sin un TPM compatible (requiere una contraseña o una clave de inicio en una unidad flash USB).
- ConfigureTPMStartupKeyUsageDropDown_Name = (para el equipo con TPM) Configure la clave de inicio de TPM.
- ConfigurePINUsageDropDown_Name = (para el equipo con TPM) Configure el PIN de inicio de TPM.
- ConfigureTPMPINKeyUsageDropDown_Name = (para el equipo con TPM) Configure la clave de inicio y el PIN de TPM.
- ConfigureTPMUsageDropDown_Name = (para el equipo con TPM) Configure el inicio de TPM.
El valor de ejemplo de este nodo para habilitar esta directiva es:
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
Los valores posibles de 'xx' son:
- true = permitir explícitamente
- false = Directiva no establecida
Los valores posibles de 'yy' son:
- 2 = Opcional
- 1 = Obligatorio
- 0 = No permitido
Propiedades del marco de descripción:
Nombre de la propiedad | Valor de propiedad |
---|---|
Formato |
chr (cadena) |
Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Sugerencia
Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.
Asignación de ADMX:
Nombre | Valor |
---|---|
Nombre | ConfigureAdvancedStartup_Name |
Nombre descriptivo | Requerir autenticación adicional en el inicio |
Ubicación | Configuración del equipo |
Ruta de acceso | Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows |
Nombre de la clave del Registro | SOFTWARE\Policies\Microsoft\FVE |
Nombre del valor de registro | UseAdvancedStartup |
Nombre de archivo ADMX | VolumeEncryption.admx |
Ejemplo:
Para deshabilitar esta directiva, use el siguiente syncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Ejemplo de SyncML
El ejemplo siguiente se proporciona para mostrar el formato adecuado y no debe tomarse como recomendación.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>