CSP BitLocker

Artigo
01/18/2024

Dica

Este CSP contém políticas apoiadas pelo ADMX que exigem um formato SyncML especial para habilitar ou desabilitar. Você deve especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, consulte Noções básicas sobre políticas apoiadas pelo ADMX.

A carga do SyncML deve ser codificada por XML; para essa codificação XML, há uma variedade de codificadores online que você pode usar. Para evitar codificar a carga, você pode usar a CDATA se o MDM der suporte a ela. Para obter mais informações, confira Seções CDATA.

O CSP (provedor de serviços de configuração do BitLocker) é usado pela empresa para gerenciar a criptografia de PCs e dispositivos. Este CSP foi adicionado no Windows 10, versão 1703. A partir de Windows 10, versão 1809, também há suporte em Windows 10 Pro.

Observação

Para gerenciar o BitLocker por meio do CSP, exceto para habilitá-lo e desabilitá-lo usando a RequireDeviceEncryption política, uma das seguintes licenças deve ser atribuída aos usuários independentemente da plataforma de gerenciamento:

Windows 10/11 Enterprise E3 ou E5 (incluído em Microsoft 365 F3, E3 e E5).
Windows 10/11 Enterprise A3 ou A5 (incluído em Microsoft 365 A3 e A5).

Uma Get operação em qualquer uma das configurações, exceto para RequireDeviceEncryption e RequireStorageCardEncryption, retorna a configuração configurada pelo administrador.

Para RequireDeviceEncryption e RequireStorageCardEncryption, a operação Get retorna o status real de imposição ao administrador, como se a proteção do TPM (Trusted Platform Module) for necessária e se a criptografia for necessária. E se o dispositivo tiver o BitLocker habilitado, mas com o protetor de senha, o status relatado será 0. Uma operação Get em RequireDeviceEncryption não verifica se um comprimento mínimo de PIN é imposto (SystemDrivesMinimumPINLength).

Observação

As configurações são impostas somente no momento em que a criptografia é iniciada. A criptografia não é reiniciada com alterações de configurações.
Você deve enviar todas as configurações em um único SyncML para ser eficaz.

A lista a seguir mostra os nós do provedor de serviços de configuração do BitLocker:

./Device/Vendor/MSFT/BitLocker

AllowStandardUserEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1809 [10.0.17763] e posterior

./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Permite que Administração imponha a política "RequireDeviceEncryption" para cenários em que a política é pressionada enquanto o usuário conectado atual não é administrador/usuário padrão.

A política "AllowStandardUserEncryption" está vinculada à política "AllowWarningForOtherDiskEncryption" que está sendo definida como "0", ou seja, a criptografia silenciosa é imposta.

Se "AllowWarningForOtherDiskEncryption" não estiver definido ou estiver definido como "1", a política "RequireDeviceEncryption" não tentará criptografar a unidade se um usuário padrão for o usuário conectado atual no sistema.

Os valores esperados para esta política são:

1 = A política "RequireDeviceEncryption" tentará habilitar a criptografia em todas as unidades fixas, mesmo que um usuário conectado atual seja um usuário padrão.

0 = Esse é o padrão, quando a política não é definida. Se o usuário conectado atual for um usuário padrão, a política "RequireDeviceEncryption" não tentará habilitar a criptografia em nenhuma unidade.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0
Dependência [AllowWarningForOtherDiskEncryptionDependency]	Tipo de dependência: `DependsOn` URI de dependência: `Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption` Valor permitido de dependência: `[0]` Tipo de valor permitido de dependência: `Range`

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Esse é o padrão, quando a política não é definida. Se o usuário conectado atual for um usuário padrão, a política "RequireDeviceEncryption" não tentará habilitar a criptografia em nenhuma unidade.
1	A política "RequireDeviceEncryption" tentará habilitar a criptografia em todas as unidades fixas, mesmo que um usuário conectado atual seja um usuário padrão.

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Permite que Administração desabilite toda a interface do usuário (notificação para criptografia e prompt de aviso para outra criptografia de disco) e ative a criptografia nos computadores de usuário silenciosamente.

Aviso

Quando você habilita o BitLocker em um dispositivo com criptografia de terceiros, ele pode tornar o dispositivo inutilizável e exigirá a reinstalação do Windows.

Observação

Essa política só entrará em vigor se a política "RequireDeviceEncryption" estiver definida como 1.

Os valores esperados para esta política são:

1 = Esse é o padrão, quando a política não é definida. O prompt de aviso e a notificação de criptografia são permitidos.

0 = Desabilita o prompt de aviso e a notificação de criptografia. A partir de Windows 10, próxima grande atualização, o valor 0 só entra em vigor em Microsoft Entra dispositivos ingressados.

O Windows tentará habilitar silenciosamente o BitLocker para o valor 0.

Observação

Quando você desabilitar o prompt de aviso, a chave de recuperação da unidade do sistema operacional fará backup da conta Microsoft Entra do usuário. Quando você permite o prompt de aviso, o usuário que recebe o prompt pode selecionar onde fazer backup da chave de recuperação da unidade do sistema operacional.

O ponto de extremidade do backup de uma unidade de dados fixa é escolhido na seguinte ordem:

A conta de Windows Server Active Directory Domain Services do usuário.
A conta de Microsoft Entra do usuário.
O OneDrive pessoal do usuário (somente MDM/MAM).

A criptografia aguardará até que um desses três locais faça backup com êxito.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	1

Valores Permitidos:

Valor	Descrição
0	Desabilita o prompt de aviso. A partir de Windows 10, versão 1803, o valor 0 só pode ser definido para Microsoft Entra dispositivos ingressados. O Windows tentará habilitar silenciosamente o BitLocker para o valor 0.
1 (Padrão)	Aviso de aviso permitido.

Exemplo:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigurarRecoveryPasswordRotation

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1909 [10.0.18363] e posterior

./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Permite que Administração configure a Rotação de Senha de Recuperação Numérica após o uso para sistema operacional e unidades fixas em dispositivos ingressados em domínio híbrido e Microsoft Entra ID.

Quando não configurado, a rotação é ativada por padrão para Microsoft Entra ID apenas e desativada em híbrido. A Política só será eficaz quando o Active Directory fazer backup para a senha de recuperação estiver configurado como necessário.

Para unidade do sistema operacional: ative "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional".

Para unidades fixas: ative "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas".

Valores com suporte: 0 – Rotação de senhas de recuperação numérica OFF.

1 – Rotação de senhas de recuperação numérica ao usar ON para dispositivos ingressados Microsoft Entra. Valor padrão 2 – Rotação de senhas de recuperação numérica ao usar ON para dispositivos Microsoft Entra ID e híbridos.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Atualização (padrão).
1	Atualize-se para Microsoft Entra dispositivos ingressados.
2	Atualize-se para Microsoft Entra dispositivos ingressados e híbridos.

EncryptionMethodByDriveType

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Essa configuração de política configura se a proteção do BitLocker é necessária para que um computador possa gravar dados em uma unidade de dados removível.

Se você habilitar essa configuração de política, todas as unidades de dados removíveis que não são protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade estiver protegida pelo BitLocker, ela será montada com acesso de leitura e gravação.

Se a opção "Negar acesso de gravação a dispositivos configurados em outra organização" for selecionada, somente unidades com campos de identificação correspondentes aos campos de identificação do computador terão acesso à gravação. Quando uma unidade de dados removível for acessada, ela será verificada no campo de identificação válido e nos campos de identificação permitidos. Esses campos são definidos pela configuração da política "Fornecer os identificadores exclusivos para sua organização".

Se você desabilitar ou não configurar essa configuração de política, todas as unidades de dados removíveis no computador serão montadas com acesso de leitura e gravação.

Observação

Essa configuração de política pode ser substituída pelas configurações de política em Configuração do Usuário\Modelos Administrativos\Sistema\Acesso ao Armazenamento Removível. Se a configuração da política "Discos Removíveis: Negar acesso à gravação" estiver habilitada, essa configuração de política será ignorada.

Observação

Ao habilitar EncryptionMethodByDriveType, você deve especificar valores para todas as três unidades (sistema operacional, dados fixos e dados removíveis), caso contrário, ele falhará (500 status de retorno). Por exemplo, se você definir apenas o método de criptografia para o sistema operacional e unidades removíveis, obterá 500 status de retorno.

Elementos de ID de dados:

EncryptionMethodWithXtsOsDropDown_Name = Selecione o método de criptografia para unidades do sistema operacional.
EncryptionMethodWithXtsFdvDropDown_Name = Selecione o método de criptografia para unidades de dados fixas.
EncryptionMethodWithXtsRdvDropDown_Name = Selecione o método de criptografia para unidades de dados removíveis.

O valor de exemplo desse nó para habilitar essa política e definir os métodos de criptografia é:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

Os valores possíveis para 'xx' são:

3 = AES-CBC 128
4 = AES-CBC 256
6 = XTS-AES 128
7 = XTS-AES 256

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	RDVDenyWriteAccess_Name
Nome Amigável	Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Localização	Configuração do Computador
Caminho	Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker
Nome da Chave do Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro	RDVDenyWriteAccess
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Essa configuração de política permite configurar o tipo de criptografia usado pela Criptografia de Unidade do BitLocker. Essa configuração de política é aplicada quando você ativa o BitLocker. A alteração do tipo de criptografia não terá efeito se a unidade já estiver criptografada ou se a criptografia estiver em andamento. Escolha criptografia completa para exigir que toda a unidade seja criptografada quando o BitLocker estiver ativado. Escolha a criptografia de espaço usado apenas para exigir que apenas a parte da unidade usada para armazenar dados seja criptografada quando o BitLocker estiver ativado.

Se você habilitar essa política configurando o tipo de criptografia que o BitLocker usará para criptografar unidades é definido por essa política e a opção de tipo de criptografia não será apresentada no assistente de configuração do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Valores possíveis:

0: permitir que o usuário escolha.
1: criptografia completa.
2: Criptografia somente de espaço usado.

Observação

Essa política é ignorada quando você está reduzindo ou expandindo um volume e o driver BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando criptografia somente espaço usado é expandida, o novo espaço livre não é apagado como seria para uma unidade que está usando criptografia completa. O usuário poderia apagar o espaço livre em uma unidade somente espaço usado usando o seguinte comando: manage-bde -w. Se o volume for reduzido, nenhuma ação será tomada para o novo espaço livre.

Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte manage-bde.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	FDVEncryptionType_Name
Nome Amigável	Impor o tipo de criptografia de unidade em unidades de dados fixas
Localização	Configuração do Computador
Caminho	Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	FDVEncryptionType
Nome do Arquivo ADMX	VolumeEncryption.admx

FixedDrivesRecoveryOptions

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Essa configuração de política permite controlar como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das credenciais necessárias. Essa configuração de política é aplicada quando você ativa o BitLocker.

A caixa marcar "Permitir agente de recuperação de dados" é usada para especificar se um agente de recuperação de dados pode ser usado com unidades de dados fixas protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item Políticas de Chave Pública no Console de Gerenciamento de Política de Grupo ou na Política de Grupo Editor Local. Consulte o Guia de Implantação de Criptografia de Unidade do BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.

Em "Configurar o armazenamento do usuário das informações de recuperação do BitLocker" selecione se os usuários são permitidos, necessários ou não autorizados a gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits.

Selecione "Opções de recuperação Omitir do assistente de instalação do BitLocker" para impedir que os usuários especifiquem as opções de recuperação quando ativarem o BitLocker em uma unidade. Isso significa que você não poderá especificar qual opção de recuperação usar ao ativar o BitLocker, em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política.

Em "Salvar informações de recuperação do BitLocker para Active Directory Domain Services" escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades de dados fixas. Se você selecionar "Senha de recuperação de backup e pacote de chave", a senha de recuperação do BitLocker e o pacote de chaves serão armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi fisicamente corrompida. Se você selecionar "Somente senha de recuperação de backup", apenas a senha de recuperação será armazenada no AD DS.

Selecione a caixa marcar "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas" se você quiser impedir que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker no AD DS seja bem-sucedido.

Observação

Se a caixa "Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas" marcar for selecionada, uma senha de recuperação será gerada automaticamente.

Se você habilitar essa configuração de política, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades de dados fixas protegidas pelo BitLocker.
Se essa configuração de política não estiver configurada ou desabilitada, as opções de recuperação padrão serão compatíveis com a recuperação do BitLocker. Por padrão, uma DRA é permitida, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não fazem backup do AD DS.

Elementos de ID de dados:

FDVAllowDRA_Name: permitir o agente de recuperação de dados
FDVRecoveryPasswordUsageDropDown_Name e FDVRecoveryKeyUsageDropDown_Name: configurar o armazenamento do usuário das informações de recuperação do BitLocker
FDVHideRecoveryPage_Name: Omitir opções de recuperação do assistente de instalação do BitLocker
FDVActiveDirectoryBackup_Name: salvar informações de recuperação do BitLocker para Active Directory Domain Services
FDVActiveDirectoryBackupDropDown_Name: configurar o armazenamento de informações de recuperação do BitLocker para o AD DS
FDVRequireActiveDirectoryBackup_Name: não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

Os valores possíveis para 'xx' são:

true = Permitir explicitamente
false = Política não definida

Os valores possíveis para 'yy' são:

0 = Não permitido
1 = Obrigatório
2 = Permitido

Os valores possíveis para 'zz' são:

1 = Armazenar senhas de recuperação e pacotes-chave
2 = Armazenar somente senhas de recuperação

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	FDVRecoveryUsage_Name
Nome Amigável	Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Localização	Configuração do Computador
Caminho	Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	FDVRecovery
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Essa configuração de política determina se a proteção do BitLocker é necessária para que unidades de dados fixas sejam graváveis em um computador.

Se você habilitar essa configuração de política, todas as unidades de dados fixas que não são protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade estiver protegida pelo BitLocker, ela será montada com acesso de leitura e gravação.
Se você desabilitar ou não configurar essa configuração de política, todas as unidades de dados fixas no computador serão montadas com acesso de leitura e gravação.

O valor de exemplo desse nó para habilitar essa política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	FDVDenyWriteAccess_Name
Nome Amigável	Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker
Localização	Configuração do Computador
Caminho	Unidades de dados fixas de criptografia > de unidade bitlocker de componentes > do Windows
Nome da Chave do Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro	FDVDenyWriteAccess
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/IdentificationField

Essa configuração de política permite associar identificadores organizacionais exclusivos a uma nova unidade habilitada com o BitLocker. Esses identificadores são armazenados como o campo de identificação e o campo de identificação permitido. O campo de identificação permite que você associe um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Esse identificador é adicionado automaticamente a novas unidades protegidas pelo BitLocker e pode ser atualizado em unidades existentes protegidas pelo BitLocker usando a ferramenta de linha de comando manage-bde . Um campo de identificação é necessário para o gerenciamento de agentes de recuperação de dados baseados em certificados em unidades protegidas pelo BitLocker e para possíveis atualizações para o leitor BitLocker To Go. O BitLocker só gerenciará e atualizará agentes de recuperação de dados quando o campo de identificação na unidade corresponder ao valor configurado no campo de identificação. Da mesma forma, o BitLocker só atualizará o Leitor de BitLocker Para Ir quando o campo de identificação na unidade corresponder ao valor configurado para o campo de identificação.

O campo de identificação permitido é usado em combinação com a configuração de política "Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker" para ajudar a controlar o uso de unidades removíveis em sua organização. É uma lista separada por vírgulas de campos de identificação de sua organização ou de outras organizações externas.

Você pode configurar os campos de identificação em unidades existentes usando o manage-bde.exe.

Se você habilitar essa configuração de política, poderá configurar o campo de identificação na unidade protegida pelo BitLocker e em qualquer campo de identificação permitido usado pela sua organização.

Quando uma unidade protegida pelo BitLocker for montada em outro computador habilitado para BitLocker, o campo de identificação e o campo de identificação permitido serão usados para determinar se a unidade é de uma organização externa.

Se você desabilitar ou não configurar essa configuração de política, o campo de identificação não será necessário.

Observação

Os campos de identificação são necessários para o gerenciamento de agentes de recuperação de dados baseados em certificado em unidades protegidas pelo BitLocker. O BitLocker só gerenciará e atualizará agentes de recuperação de dados baseados em certificado quando o campo de identificação estiver presente em uma unidade e for idêntico ao valor configurado no computador. O campo de identificação pode ser qualquer valor de 260 caracteres ou menos.

Elementos de ID de dados:

IdentificationField: este é um campo de identificação do BitLocker.
SecIdentificationField: este é um campo de identificação do BitLocker permitido.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	IdentificationField_Name
Nome Amigável	Forneça os identificadores exclusivos para sua organização
Localização	Configuração do Computador
Caminho	Criptografia de unidade bitlocker de componentes > do Windows
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	IdentificationField
Nome do Arquivo ADMX	VolumeEncryption.admx

RemovableDrivesConfigureBDE

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Essa configuração de política controla o uso do BitLocker em unidades de dados removíveis. Essa configuração de política é aplicada quando você ativa o BitLocker.

Quando essa configuração de política estiver habilitada, você poderá selecionar configurações de propriedade que controlam como os usuários podem configurar o BitLocker. Escolha "Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis" para permitir que o usuário execute o assistente de instalação do BitLocker em uma unidade de dados removível. Escolha "Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis" para permitir que o usuário remova a criptografia do BitLocker Drive da unidade ou suspenda a criptografia enquanto a manutenção é executada. Para obter informações sobre como suspender a proteção do BitLocker, consulte Implantação Básica do BitLocker.

Se você não configurar essa configuração de política, os usuários poderão usar o BitLocker em unidades de disco removíveis.
Se você desabilitar essa configuração de política, os usuários não poderão usar o BitLocker em unidades de disco removíveis.

Elementos de ID de dados:

RDVAllowBDE_Name: permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis.
RDVDisableBDE_Name: permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	RDVConfigureBDE
Nome Amigável	Controlar o uso do BitLocker em unidades removíveis
Localização	Configuração do Computador
Caminho	Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	RDVConfigureBDE
Nome do Arquivo ADMX	VolumeEncryption.admx

RemovableDrivesEncryptionType

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Se você habilitar essa política configurando o tipo de criptografia que o BitLocker usará para criptografar unidades é definido por essa política e a opção de tipo de criptografia não será apresentada no assistente de configuração do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Valores possíveis:

0: permitir que o usuário escolha.
1: criptografia completa.
2: Criptografia somente de espaço usado.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Dependência [BDEAllowed]	Tipo de dependência: `DependsOn` URI de dependência: `Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE` Tipo de valor permitido de dependência: `ADMX`

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	RDVEncryptionType_Name
Nome Amigável	Impor o tipo de criptografia de unidade em unidades de dados removíveis
Localização	Configuração do Computador
Caminho	Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	RDVEncryptionType
Nome do Arquivo ADMX	VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Quando habilitado, permite excluir unidades removíveis e dispositivos conectados pela interface USB da Criptografia de Dispositivo BitLocker. Dispositivos excluídos não podem ser criptografados, mesmo manualmente. Além disso, se "Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker" for configurada, o usuário não será solicitado para criptografia e a unidade será montada no modo de leitura/gravação. Forneça uma lista separada por vírgulas de unidades removíveis excluídas\dispositivos, usando a ID de hardware do dispositivo de disco. Exemplo USBSTOR\SEAGATE_ST39102LW_______0004.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Lista (Delimitador: `,`)

RemovableDrivesRequireEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Essa configuração de política configura se a proteção do BitLocker é necessária para que um computador possa gravar dados em uma unidade de dados removível.

Se você habilitar essa configuração de política, todas as unidades de dados removíveis que não são protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade estiver protegida pelo BitLocker, ela será montada com acesso de leitura e gravação.

Se você desabilitar ou não configurar essa configuração de política, todas as unidades de dados removíveis no computador serão montadas com acesso de leitura e gravação.

Observação

Elementos de ID de dados:

RDVCrossOrg: negar acesso de gravação a dispositivos configurados em outra organização

O valor de exemplo desse nó para habilitar essa política é:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

Os valores possíveis para 'xx' são:

true = Permitir explicitamente
false = Política não definida

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	RDVDenyWriteAccess_Name
Nome Amigável	Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Localização	Configuração do Computador
Caminho	Unidades de dados removíveis de criptografia > de unidade do Windows Components > BitLocker
Nome da Chave do Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro	RDVDenyWriteAccess
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Permite que o Administração exija que a criptografia seja ativada usando BitLocker\Device Encryption.

Valor de exemplo para este nó para habilitar esta política:

Desabilitar a política não desligará a criptografia na unidade do sistema. Mas deixará de solicitar que o usuário o ative.

Observação

Atualmente, há suporte apenas para criptografia de disco completo ao usar esse CSP para criptografia silenciosa. Para criptografia não silenciosa, o tipo de criptografia dependerá SystemDrivesEncryptionType e FixedDrivesEncryptionType será configurado no dispositivo.

O status de volumes do sistema operacional e volumes de dados fixos criptografados é verificado com uma operação Get. Normalmente, o BitLocker/Device Encryption seguirá qualquer valor que a política EncryptionMethodByDriveType estiver definida como. No entanto, essa configuração de política será ignorada para auto-criptografar unidades fixas e autocriptografar unidades do sistema operacional.

Volumes de dados fixos criptografados são tratados de forma semelhante aos volumes do sistema operacional. No entanto, os volumes de dados fixos devem atender a outros critérios para serem considerados criptografados:

Não deve ser um volume dinâmico.
Não deve ser uma partição de recuperação.
Não deve ser um volume oculto.
Não deve ser uma partição do sistema.
Ele não deve ser apoiado pelo armazenamento virtual.
Ele não deve ter uma referência no repositório BCD.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Desabilitar. Se a configuração da política não estiver definida ou estiver definida como 0, o status de imposição do dispositivo não será verificado. A política não impõe criptografia e não descriptografa volumes criptografados.
1	Habilitar. O status de imposição do dispositivo é verificado. Definir essa política como 1 dispara a criptografia de todas as unidades (silenciosamente ou não silenciosamente com base na política AllowWarningForOtherDiskEncryption).

Exemplo:

Para desabilitar RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Observação

Essa política é preterida e pode ser removida em uma versão futura.

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Permite que o Administração exija criptografia de cartão de armazenamento no dispositivo.

Essa política só é válida para SKU móvel.

Valor de exemplo para este nó para habilitar esta política:

Desabilitar a política não desligará a criptografia no cartão de armazenamento. Mas deixará de solicitar que o usuário o ative.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Os cartões de armazenamento não precisam ser criptografados.
1	Exigir que os cartões de armazenamento sejam criptografados.

RotateRecoveryPasswords

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1909 [10.0.18363] e posterior

./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Permite que o administrador faça push de rotação única de todas as senhas de recuperação numéricas para unidades de sistema operacional e dados fixos em um dispositivo de Microsoft Entra ID ou de junção híbrida.

Essa política é Executar tipo e gira todas as senhas numéricas quando emitidas de ferramentas MDM.

A política só entra em vigor quando o backup do Active Directory para uma senha de recuperação é configurado como "necessário".

Para unidades do sistema operacional, habilite "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas para Active Directory Domain Services para unidades do sistema operacional".
Para unidades fixas, habilite "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas para Active Directory Domain Services para unidades de dados fixas".

O cliente retorna status DM_S_ACCEPTED_FOR_PROCESSING para indicar que a rotação foi iniciada. O servidor pode consultar status com os seguintes nós status:

status\RotateRecoveryPasswordsStatus
status\RotateRecoveryPasswordsRequestID.

Valores com suporte: forma de cadeia de caracteres da ID da solicitação. O formato de exemplo da ID de solicitação é GUID. O servidor pode escolher o formato conforme necessário de acordo com as ferramentas de gerenciamento.

Observação

Há suporte somente para rotação de chaves nesses tipos de registro. Para obter mais informações, consulte deviceEnrollmentType enum.

windowsAzureADJoin.
windowsBulkAzureDomainJoin.
windowsAzureADJoinUsingDeviceAuth.
windowsCoManagement.

Dica

O recurso de rotação de chaves só funcionará quando:

Para unidades do sistema operacional:
- OSRequireActiveDirectoryBackup_Name está definido como 1 ("Obrigatório").
- OSActiveDirectoryBackup_Name está definido como true.
Para unidades de dados fixas:
- FDVRequireActiveDirectoryBackup_Name está definido como 1 = ("Obrigatório").
- FDVActiveDirectoryBackup_Name está definido como true.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Exec

Status

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1903 [10.0.18362] e posterior

./Device/Vendor/MSFT/BitLocker/Status

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`node`
Tipo de acesso	Obter

Status/DeviceEncryptionStatus

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1903 [10.0.18362] e posterior

./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Esse nó relata o estado de conformidade da criptografia do dispositivo no sistema.

O valor '0' significa que o dispositivo está em conformidade. Qualquer outro valor representa um dispositivo não compatível.

Esse valor representa uma máscara de bits com cada bit e o código de erro correspondente descrito na tabela a seguir:

Pouco	Código de Erro
0	A política BitLocker exige o consentimento do usuário para iniciar o Assistente de Criptografia de Unidade do BitLocker para iniciar a criptografia do volume do sistema operacional, mas o usuário não consentiu.
1	O método de criptografia do volume do sistema operacional não corresponde à política do BitLocker.
2	O volume do sistema operacional está desprotegido.
3	A política BitLocker requer um protetor somente TPM para o volume do sistema operacional, mas a proteção TPM não é usada.
4	A política BitLocker requer proteção TPM+PIN para o volume do sistema operacional, mas um protetor TPM+PIN não é usado.
5	A política BitLocker requer proteção de chave de inicialização TPM+para o volume do sistema operacional, mas um protetor de chave de inicialização TPM+não é usado.
6	A política BitLocker requer proteção de chave de inicialização TPM+PIN+para o volume do sistema operacional, mas um protetor de chave TPM+PIN+inicialização não é usado.
7	A política BitLocker requer um protetor TPM para proteger o volume do sistema operacional, mas um TPM não é usado.
8	Falha no backup da chave de recuperação.
9	Uma unidade fixa está desprotegida.
10	O método de criptografia da unidade fixa não corresponde à política do BitLocker.
11	Para criptografar unidades, a política Do BitLocker exige que o usuário entre como administrador ou se o dispositivo estiver associado a Microsoft Entra ID, a política AllowStandardUserEncryption deve ser definida como 1.
12	O WinRE (Ambiente de Recuperação do Windows) não está configurado.
13	Um TPM não está disponível para BitLocker, seja porque ele não está presente, ele foi disponibilizado indisponível no Registro ou o sistema operacional está em uma unidade removível.
14	O TPM não está pronto para o BitLocker.
15	A rede não está disponível, o que é necessário para o backup da chave de recuperação.
16	O tipo de criptografia do volume do sistema operacional para o disco completo versus a criptografia de espaço usado não corresponde à política do BitLocker.
17	O tipo de criptografia da unidade fixa para disco completo versus espaço usado somente criptografia não corresponde à política do BitLocker.
18-31	Para uso futuro.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Obter

Status/RemovableDrivesEncryptionStatus

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Esse nó relata o estado de conformidade da criptografia da unidade de remoção. Valor "0" significa que a unidade de remoção é criptografada seguindo todas as configurações de unidade de remoção definidas.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Obter

Status/RotateRecoveryPasswordsRequestID

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1909 [10.0.18363] e posterior

./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Este Nó relata o RequestID correspondente a RotateRecoveryPasswordsStatus.

Esse nó precisa ser consultado na sincronização com RotateRecoveryPasswordsStatus para garantir que o status seja correspondido corretamente à ID da solicitação.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Obter

Status/RotateRecoveryPasswordsStatus

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1909 [10.0.18363] e posterior

./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Este Nó relata o status da solicitação RotateRecoveryPasswords.

O código de status pode ser um dos seguintes:

NotStarted(2), Pending (1), Pass (0), Outros códigos de erro em caso de falha.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`int`
Tipo de acesso	Obter

SystemDrivesDisallowStandardUsersCanChangePIN

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Essa configuração de política permite configurar se os usuários padrão podem ou não alterar PINs de volume do BitLocker, desde que eles sejam capazes de fornecer o PIN existente primeiro.

Essa configuração de política é aplicada quando você ativa o BitLocker.

Se você habilitar essa configuração de política, os usuários padrão não poderão alterar PINs ou senhas do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, os usuários padrão poderão alterar PINs e senhas do BitLocker.

Observação

Para alterar o PIN ou a senha, o usuário deve ser capaz de fornecer o PIN ou a senha atual.

O valor de exemplo desse nó para desabilitar essa política é: <disabled/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	DisallowStandardUsersCanChangePIN_Name
Nome Amigável	Não permitir que os usuários padrão alterem o PIN ou a senha
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	DisallowStandardUserPINReset
Nome do Arquivo ADMX	VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Essa configuração de política permite que os usuários ativem opções de autenticação que exigem a entrada do usuário do ambiente de pré-inicialização, mesmo que a plataforma não tenha capacidade de entrada de pré-inicialização.

O teclado sensível ao toque do Windows (como o usado por tablets) não está disponível no ambiente de pré-inicialização em que o BitLocker requer informações adicionais, como um PIN ou Senha.

Se você habilitar essa configuração de política, os dispositivos devem ter um meio alternativo de entrada pré-inicialização (como um teclado USB anexado).
Se essa política não estiver habilitada, o Ambiente de Recuperação do Windows deve ser habilitado em tablets para dar suporte à entrada da senha de recuperação do BitLocker. Quando o Ambiente de Recuperação do Windows não está habilitado e essa política não está habilitada, você não pode ativar o BitLocker em um dispositivo que usa o teclado sensível ao toque do Windows.

Observe que, se você não habilitar essa configuração de política, as opções na política "Exigir autenticação adicional na inicialização" poderão não estar disponíveis nesses dispositivos. Essas opções incluem:

Configurar o PIN de inicialização do TPM: Obrigatório/Permitido
Configurar a chave de inicialização do TPM e o PIN: Obrigatório/Permitido
Configurar o uso de senhas para unidades do sistema operacional.

O valor de exemplo desse nó para habilitar essa política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	EnablePrebootInputProtectorsOnSlates_Name
Nome Amigável	Habilitar o uso da autenticação do BitLocker que exige entrada de teclado preboot em ardósias
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	OSEnablePrebootInputProtectorsOnSlates
Nome do Arquivo ADMX	VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Essa configuração de política permite que os usuários em dispositivos compatíveis com o InstantGo ou a HSTI (Interface de Teste de Segurança de Hardware da Microsoft) não tenham um PIN para autenticação pré-inicialização. Isso substitui as opções "Exigir PIN de inicialização com TPM" e "Exigir chave de inicialização e PIN com TPM" da política "Exigir autenticação adicional na inicialização" em hardware compatível.

Se você habilitar essa configuração de política, os usuários em dispositivos compatíveis com InstantGo e HSTI terão a opção de ativar o BitLocker sem autenticação de pré-inicialização.
Se essa política não estiver habilitada, as opções da política "Exigir autenticação adicional na inicialização" serão aplicadas.

O valor de exemplo desse nó para habilitar essa política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	EnablePreBootPinExceptionOnDECapableDevice_Name
Nome Amigável	Permitir que dispositivos compatíveis com InstantGo ou HSTI optem por sair do PIN de pré-inicialização.
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	OSEnablePreBootPinExceptionOnDECapableDevice
Nome do Arquivo ADMX	VolumeEncryption.admx

SystemDrivesEncryptionType

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Se você habilitar essa política configurando o tipo de criptografia que o BitLocker usará para criptografar unidades é definido por essa política e a opção de tipo de criptografia não será apresentada no assistente de configuração do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, o assistente de configuração do BitLocker pedirá ao usuário que selecione o tipo de criptografia antes de ativar o BitLocker.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Valores possíveis:

0: permitir que o usuário escolha.
1: criptografia completa.
2: Criptografia somente de espaço usado.

Observação

Essa política é ignorada ao reduzir ou expandir um volume e o driver BitLocker usa o método de criptografia atual. Por exemplo, quando uma unidade que está usando criptografia Somente Espaço Usado é expandida, o novo espaço livre não é apagado como seria para uma unidade que usa criptografia completa. O usuário poderia apagar o espaço livre em uma unidade somente espaço usado usando o seguinte comando: manage-bde -w. Se o volume for reduzido, nenhuma ação será tomada para o novo espaço livre.

Para obter mais informações sobre a ferramenta para gerenciar o BitLocker, consulte manage-bde.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	OSEncryptionType_Name
Nome Amigável	Impor o tipo de criptografia de unidade em unidades do sistema operacional
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	OSEncryptionType
Nome do Arquivo ADMX	VolumeEncryption.admx

SystemDrivesEnhancedPIN

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 2004 [10.0.19041.1202] e posterior ✅Windows 10, versão 2009 [10.0.19042.1202] e posterior ✅Windows 10, versão 21H1 [10.0.19043.1202] e posterior ✅Windows 11, versão 21H2 [10.0.22000] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Essa configuração de política permite configurar se pins de inicialização aprimorados ou não são usados com BitLocker.

PiNs de inicialização aprimorados permitem o uso de caracteres, incluindo letras maiúsculas e minúsculas, símbolos, números e espaços. Essa configuração de política é aplicada quando você ativa o BitLocker.

Se você habilitar essa configuração de política, todo o novo conjunto de PINs de inicialização do BitLocker será aprimorado.

Observação

Nem todos os computadores podem dar suporte a PINs aprimorados no ambiente de pré-inicialização. É altamente recomendável que os usuários executem um marcar do sistema durante a instalação do BitLocker.

Se você desabilitar ou não configurar essa configuração de política, PINs aprimorados não serão usados.

O valor de exemplo desse nó para habilitar essa política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	EnhancedPIN_Name
Nome Amigável	Permitir PINs aprimorados para inicialização
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Valor do Registro	UseEnhancedPin
Nome do Arquivo ADMX	VolumeEncryption.admx

SystemDrivesMinimumPINLength

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Essa configuração de política permite configurar um comprimento mínimo para um PIN de inicialização do TPM (Trusted Platform Module). Essa configuração de política é aplicada quando você ativa o BitLocker. O PIN de inicialização deve ter um comprimento mínimo de 4 dígitos e pode ter um comprimento máximo de 20 dígitos.

Se você habilitar essa configuração de política, poderá exigir um número mínimo de dígitos para ser usado ao definir o PIN de inicialização.
Se você desabilitar ou não configurar essa configuração de política, os usuários poderão configurar um PIN de inicialização de qualquer comprimento entre 6 e 20 dígitos.

Observação

Se o comprimento mínimo do PIN for definido abaixo de 6 dígitos, o Windows tentará atualizar o período de bloqueio do TPM 2.0 para ser maior que o padrão quando um PIN for alterado. Se for bem-sucedido, o Windows só redefinirá o período de bloqueio do TPM de volta ao padrão se o TPM for redefinido.

Observação

Em Windows 10, versão 1703 versão B, você pode usar um comprimento mínimo de PIN de 4 dígitos.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/><data id="MinPINLength" value="xx"/>

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	MinimumPINLength_Name
Nome Amigável	Configurar o comprimento mínimo do PIN para inicialização
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Essa configuração de política permite configurar toda a mensagem de recuperação ou substituir a URL existente exibida na tela de recuperação de chave de pré-inicialização quando a unidade do sistema operacional está bloqueada.

Se você selecionar a opção "Usar a mensagem de recuperação padrão e a URL", a mensagem de recuperação e a URL padrão do BitLocker serão exibidas na tela de recuperação de chave de pré-inicialização. Se você tiver configurado anteriormente uma mensagem ou URL de recuperação personalizada e quiser reverter à mensagem padrão, você deve manter a política habilitada e selecionar a opção "Usar mensagem de recuperação padrão e URL".

Se você selecionar a opção "Usar mensagem de recuperação personalizada", a mensagem que você digitar na caixa de texto "Opção de mensagem de recuperação personalizada" será exibida na tela de recuperação da chave de pré-inicialização. Se uma URL de recuperação estiver disponível, inclua-a na mensagem.

Se você selecionar a opção "Usar URL de recuperação personalizada", a URL que você digitar na caixa de texto "Opção de URL de recuperação personalizada" substituirá a URL padrão na mensagem de recuperação padrão, que será exibida na tela de recuperação da chave de pré-inicialização.

Observação

Nem todos os caracteres e idiomas têm suporte na pré-inicialização. É altamente recomendável testar que os caracteres usados para a mensagem personalizada ou URL apareçam corretamente na tela de recuperação de pré-inicialização.

Elementos de ID de dados:

PrebootRecoveryInfoDropDown_Name: selecione uma opção para a mensagem de recuperação de pré-inicialização.
RecoveryMessage_Input: Mensagem de recuperação personalizada
RecoveryUrl_Input: URL de recuperação personalizada

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

Os valores possíveis para 'xx' são:

0 = Vazio
1 = Use a mensagem de recuperação padrão e a URL (nesse caso, você não precisa especificar um valor para "RecoveryMessage_Input" ou "RecoveryUrl_Input").
2 = A mensagem de recuperação personalizada está definida.
3 = A URL de recuperação personalizada está definida.

O valor possível para 'yy' e 'zz' é uma cadeia de caracteres de comprimento máximo 900 e 500, respectivamente.

Observação

Ao habilitar o SystemDrivesRecoveryMessage, você deve especificar valores para todas as três configurações (tela de recuperação de pré-inicialização, mensagem de recuperação e URL de recuperação), caso contrário, ele falhará (500 status de retorno). Por exemplo, se você especificar apenas valores para mensagem e URL, receberá 500 status de retorno.
Nem todos os caracteres e idiomas têm suporte na pré-inicialização. É altamente recomendável testar que os caracteres usados para a mensagem personalizada ou URL apareçam corretamente na tela de recuperação de pré-inicialização.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	PrebootRecoveryInfo_Name
Nome Amigável	Configurar a mensagem de recuperação de pré-inicialização e a URL
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	Software\Policies\Microsoft\FVE
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Essa configuração de política permite controlar como as unidades do sistema operacional protegidas pelo BitLocker são recuperadas na ausência das informações de chave de inicialização necessárias. Essa configuração de política é aplicada quando você ativa o BitLocker.

A caixa "Permitir agente de recuperação de dados baseado em certificado marcar" é usada para especificar se um agente de recuperação de dados pode ser usado com unidades do sistema operacional protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item Políticas de Chave Pública no Console de Gerenciamento de Política de Grupo ou na Política de Grupo Editor Local. Consulte o Guia de Implantação de Criptografia de Unidade do BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.

Em "Salvar informações de recuperação do BitLocker para Active Directory Domain Services", escolha quais informações de recuperação do BitLocker armazenar no AD DS para unidades do sistema operacional. Se você selecionar "Senha de recuperação de backup e pacote de chave", a senha de recuperação do BitLocker e o pacote de chaves serão armazenados no AD DS. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que foi fisicamente corrompida. Se você selecionar "Somente senha de recuperação de backup", apenas a senha de recuperação será armazenada no AD DS.

Selecione a caixa "Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional" marcar caixa se você quiser impedir que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao domínio e o backup das informações de recuperação do BitLocker ao AD DS seja bem-sucedido.

Observação

Se a caixa "Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional" marcar caixa for selecionada, uma senha de recuperação será gerada automaticamente.

Se você habilitar essa configuração de política, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades do sistema operacional protegidas pelo BitLocker.
Se essa configuração de política estiver desabilitada ou não estiver configurada, as opções de recuperação padrão serão compatíveis com a recuperação do BitLocker. Por padrão, uma DRA é permitida, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e as informações de recuperação não fazem backup do AD DS.

Elementos de ID de dados:

OSAllowDRA_Name: permitir o agente de recuperação de dados baseado em certificado
OSRecoveryPasswordUsageDropDown_Name e OSRecoveryKeyUsageDropDown_Name: configurar o armazenamento do usuário das informações de recuperação do BitLocker
OSHideRecoveryPage_Name: Omitir opções de recuperação do assistente de instalação do BitLocker
OSActiveDirectoryBackup_Name e OSActiveDirectoryBackupDropDown_Name: salvar informações de recuperação do BitLocker para Active Directory Domain Services
OSRequireActiveDirectoryBackup_Name: não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

Os valores possíveis para 'xx' são:

true = Permitir explicitamente
false = Política não definida

Os valores possíveis para 'yy' são:

0 = Não permitido
1 = Obrigatório
2 = Permitido

Os valores possíveis para 'zz' são:

1 = Armazenar senhas de recuperação e pacotes-chave.
2 = Armazenar somente senhas de recuperação.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	OSRecoveryUsage_Name
Nome Amigável	Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	OSRecovery
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows 10, versão 1703 [10.0.15063] e posterior

./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Essa configuração de política permite configurar se o BitLocker requer autenticação adicional sempre que o computador for iniciado e se você estiver usando o BitLocker com ou sem um TPM (Módulo de Plataforma Confiável). Essa configuração de política é aplicada quando você ativa o BitLocker.

Observação

Somente uma das opções de autenticação adicionais pode ser necessária na inicialização, caso contrário, ocorrerá um erro de política.

Se você quiser usar o BitLocker em um computador sem um TPM, selecione a caixa de marcar "Permitir BitLocker sem um TPM compatível". Nesse modo, uma senha ou uma unidade USB são necessárias para a inicialização. Ao usar uma chave de inicialização, as principais informações usadas para criptografar a unidade são armazenadas na unidade USB, criando uma chave USB. Quando a chave USB é inserida, o acesso à unidade é autenticado e a unidade é acessível. Se a chave USB estiver perdida ou indisponível ou se você esqueceu a senha, precisará usar uma das opções de recuperação do BitLocker para acessar a unidade.

Em um computador com um TPM compatível, quatro tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a inserção de uma unidade flash USB contendo uma chave de inicialização, a entrada de um PIN (número de identificação pessoal) de 6 dígitos a 20 dígitos ou ambos.

Se você habilitar essa configuração de política, os usuários poderão configurar opções avançadas de inicialização no assistente de instalação do BitLocker.
Se você desabilitar ou não configurar essa configuração de política, os usuários poderão configurar apenas opções básicas em computadores com um TPM.

Observação

Se você quiser exigir o uso de um PIN de inicialização e uma unidade flash USB, você deve configurar as configurações do BitLocker usando a ferramenta de linha de comando manage-bde em vez do assistente de configuração de Criptografia de Unidade do BitLocker.

Observação

Em Windows 10, versão 1703 versão B, você pode usar um PIN mínimo de 4 dígitos. A política SystemDrivesMinimumPINLength deve ser definida para permitir PINs com menos de 6 dígitos.
Os dispositivos que passam pela validação HSTI (Especificação de Teste de Segurança de Hardware) ou dispositivos de Espera Moderna não poderão configurar um PIN de Inicialização usando este CSP. Os usuários são obrigados a configurar manualmente o PIN. Elementos de ID de dados:

ConfigureNonTPMStartupKeyUsage_Name = Permitir BitLocker sem um TPM compatível (requer uma senha ou uma chave de inicialização em uma unidade flash USB).
ConfigureTPMStartupKeyUsageDropDown_Name = (para computador com TPM) Configurar a chave de inicialização do TPM.
ConfigurePINUsageDropDown_Name = (para computador com TPM) Configurar o PIN de inicialização do TPM.
ConfigureTPMPINKeyUsageDropDown_Name = (para computador com TPM) Configurar a chave de inicialização do TPM e o PIN.
ConfigureTPMUsageDropDown_Name = (para computador com TPM) Configurar a inicialização do TPM.

O valor de exemplo desse nó para habilitar essa política é:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

Os valores possíveis para 'xx' são:

true = Permitir explicitamente
false = Política não definida

Os valores possíveis para 'yy' são:

2 = Opcional
1 = Obrigatório
0 = Não permitido

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	`chr` (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Dica

Essa é uma política apoiada pelo ADMX e requer formato SyncML para configuração. Para obter um exemplo de formato SyncML, consulte Habilitar uma política.

Mapeamento do ADMX:

Nome	Valor
Nome	ConfigureAdvancedStartup_Name
Nome Amigável	Exigir autenticação adicional na inicialização
Localização	Configuração do Computador
Caminho	Unidades do sistema operacional BitLocker Drive Encryption > do Windows Components >
Nome da Chave do Registro	SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro	UseAdvancedStartup
Nome do Arquivo ADMX	VolumeEncryption.admx

Exemplo:

Para desabilitar essa política, use o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Exemplo de SyncML

O exemplo a seguir é fornecido para mostrar o formato adequado e não deve ser tomado como uma recomendação.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Referência de provedor de serviços de configuração

CSP BitLocker

AllowStandardUserEncryption

AllowWarningForOtherDiskEncryption

ConfigurarRecoveryPasswordRotation

EncryptionMethodByDriveType

FixedDrivesEncryptionType

FixedDrivesRecoveryOptions

FixedDrivesRequireEncryption

IdentificationField

RemovableDrivesConfigureBDE

RemovableDrivesEncryptionType

RemovableDrivesExcludedFromEncryption

RemovableDrivesRequireEncryption

RequireDeviceEncryption

RequireStorageCardEncryption

RotateRecoveryPasswords

Status

Status/DeviceEncryptionStatus

Status/RemovableDrivesEncryptionStatus

Status/RotateRecoveryPasswordsRequestID

Status/RotateRecoveryPasswordsStatus

SystemDrivesDisallowStandardUsersCanChangePIN

SystemDrivesEnablePrebootInputProtectorsOnSlates

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

SystemDrivesEncryptionType

SystemDrivesEnhancedPIN

SystemDrivesMinimumPINLength

SystemDrivesRecoveryMessage

SystemDrivesRecoveryOptions

SystemDrivesRequireStartupAuthentication

Exemplo de SyncML

Comentários

Comentários

Recursos adicionais

CSP BitLocker

AllowStandardUserEncryption

AllowWarningForOtherDiskEncryption

ConfigurarRecoveryPasswordRotation

EncryptionMethodByDriveType

FixedDrivesEncryptionType

FixedDrivesRecoveryOptions

FixedDrivesRequireEncryption

IdentificationField

RemovableDrivesConfigureBDE

RemovableDrivesEncryptionType

RemovableDrivesExcludedFromEncryption

RemovableDrivesRequireEncryption

RequireDeviceEncryption

RequireStorageCardEncryption

RotateRecoveryPasswords

Status

Status/DeviceEncryptionStatus

Status/RemovableDrivesEncryptionStatus

Status/RotateRecoveryPasswordsRequestID

Status/RotateRecoveryPasswordsStatus

SystemDrivesDisallowStandardUsersCanChangePIN

SystemDrivesEnablePrebootInputProtectorsOnSlates

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

SystemDrivesEncryptionType

SystemDrivesEnhancedPIN

SystemDrivesMinimumPINLength

SystemDrivesRecoveryMessage

SystemDrivesRecoveryOptions

SystemDrivesRequireStartupAuthentication

Exemplo de SyncML

Artigos relacionados

Comentários

Comentários

Recursos adicionais