Administrar la directiva de BitLocker para dispositivos Windows con Intune

Use Intune para configurar el Cifrado de unidad BitLocker en los dispositivos que ejecutan Windows 10/11.

BitLocker está disponible en los dispositivos que ejecutan Windows 10/11. Algunas configuraciones de BitLocker requieren que el dispositivo tenga un TPM compatible.

Use uno de los siguientes tipos de directivas para configurar BitLocker en sus dispositivos administrados:

• directiva de cifrado de disco de seguridad de punto de conexión para BitLocker. El perfil de BitLocker en seguridad de punto de conexión es un grupo centrado en la configuración de BitLocker.

  Ver la configuración de BitLocker que está disponible en losperfiles de BitLocker desde la directiva de cifrado de disco.

• Perfil de configuración de dispositivos para la protección de puntos de conexión para BitLocker. La configuración de BitLocker es una de las categorías de configuración disponibles para la protección de puntos de conexión de Windows 10/11.

  Ver las opciones de BitLocker disponibles para BitLocker en los perfiles de protección de punto de conexión de la directiva de configuración de dispositivo.

Sugerencia

Intune proporciona un informe de cifrado integrado que presenta los detalles sobre el estado de cifrado de los dispositivos en todos los dispositivos administrados. Luego de que Intune cifre un dispositivo Windows con BitLocker, puede ver y administrar las claves de recuperación de BitLocker cuando vea el informe de cifrado.

También puede tener acceso a información importante para BitLocker desde sus dispositivos, tal como se ha encontrado en Azure Active Directory (Azure AD).

Permisos para administrar BitLocker

Para administrar BitLocker en Intune, la cuenta debe tener los permisos de control de acceso basado en roles (RBAC) de Intune aplicables.

A continuación se muestran los permisos de BitLocker, que forman parte de la categoría Tareas remotas, y los roles de RBAC integrados que conceden el permiso:

• Rotación de claves de BitLocker
  • Operador del Servicio de asistencia

Creación e implementación de la directiva

Use uno de los procedimientos siguientes para crear el tipo de directiva que prefiera.

Creación de una directiva de seguridad de punto de conexión para BitLocker

1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

2. Seleccione Seguridad de los puntos de conexión > Cifrado de disco > Crear directiva.

3. Establecer las siguientes opciones:

   1. Plataforma: Windows 10/11
   2. Perfil: BitLocker

   

4. En la página Opciones de configuración, configure los valores de BitLocker para satisfacer las necesidades empresariales.

   Seleccione Siguiente.

5. En la página Ámbito (etiquetas), seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas a fin de asignar etiquetas de ámbito al perfil.

   Seleccione Siguiente para continuar.

6. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

   Seleccione Siguiente.

7. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Creación de un perfil de configuración de dispositivo para BitLocker

1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.

3. Establecer las siguientes opciones:

   1. Plataforma: Windows 10/11
   2. Tipo de perfil: Protección del punto de conexión

   

4. En la página Opciones de configuración, expanda Cifrado de Windows.

   

5. Configurar los valores de BitLocker para satisfacer las necesidades empresariales.

   Si desea habilitar BitLocker silenciosamente, consulte Habilitar BitLocker de forma silenciosa en los dispositivos, en este artículo para obtener los requisitos previos adicionales y las configuraciones de opciones específicas que debe usar.

6. Seleccione Siguiente para continuar.

7. Complete la configuración de los ajustes adicionales y guarde el perfil.

Administración de BitLocker

Para ver información sobre los dispositivos que reciben la directiva de BitLocker, consulte Supervisión del cifrado de discos.

Habilitar silenciosamente BitLocker en los dispositivos

Puedes configurar una directiva de BitLocker para habilitar BitLocker de forma automática y silenciosa en un dispositivo. Esto significa que BitLocker se habilita correctamente sin presentar ninguna interfaz de usuario al usuario final, aunque ese usuario no sea administrador local en el dispositivo. Puedes usar el perfil de BitLocker de una directiva de cifrado de disco de seguridad de punto de conexión o la plantilla de protección de puntos de conexión de una directiva de configuración de dispositivo.

Los dispositivos deben cumplir los siguientes requisitos previos, recibir la configuración aplicable para habilitar BitLocker de forma silenciosa y no tener una configuración incompatible para el PIN o la clave de inicio del TPM.

Requisitos previos del dispositivo

Un dispositivo debe cumplir las siguientes condiciones para poder habilitar BitLocker silenciosamente:

• Si los usuarios finales inician sesión en los dispositivos como Administradores, el dispositivo debe ejecutar Windows 10 versión 1803 o posterior, o Windows 11.
• Si los usuarios finales inician sesión en los dispositivos como usuarios estándar, el dispositivo debe ejecutar Windows 10 versión 1809 o posterior, o Windows 11.
• El dispositivo debe estar unido a Azure AD o unido a Azure AD híbrido.
• El dispositivo debe contener al menos TPM (Módulo de plataforma segura) 1.2.
• El modo BIOS debe establecerse en solo UEFI nativo.

Configuración necesaria para habilitar BitLocker de forma silenciosa

Según el tipo de directiva que use para habilitar BitLocker de forma silenciosa, configure las siguientes opciones.

Directiva de cifrado de disco de seguridad de punto de conexión : configure las siguientes opciones en el perfil de BitLocker:

• Ocultar mensaje sobre cifrado de terceros = Sí
• Permitir que los usuarios estándar habiliten el cifrado durante Autopilot = Sí

Directiva de configuración de dispositivos: configure las siguientes opciones en la plantilla de Endpoint Protection o en un perfil de configuración personalizada:

• Advertencia para otro cifrado de disco = Bloquear.
• Permitir a los usuarios estándar habilitar el cifrado durante la unión a Azure AD = Permitir

Sugerencia

Aunque las etiquetas de configuración y las opciones de los dos tipos de directiva siguientes son diferentes entre sí, ambas aplican la misma configuración a los CSP de cifrado de Windows que administran BitLocker en dispositivos Windows.

Cifrado de disco completo vs. Solo espacio usado

Tres opciones de configuración determinan si una unidad del sistema operativo se cifrará usando solo espacio usado o cifrado de disco completo:

• Si el hardware del dispositivo está en modo de espera moderno
• Si se ha configurado la habilitación silenciosa para BitLocker
  • (''Advertencia para otro cifrado de disco'' = Bloquear u ''Ocultar mensaje sobre cifrado de terceros'' = Sí)
• Configuración de SystemDrivesEncryptionType
  • (Aplicar el tipo de cifrado de unidad en unidades del sistema operativo)

Suponiendo que SystemDrivesEncryptionType no se ha configurado, el comportamiento esperado es el siguiente. Cuando se ha configurado la habilitación silenciosa en un dispositivo de espera moderno, la unidad del sistema operativo se cifrará utilizando solo el espacio utilizado. Cuando la habilitación silenciosa se ha configurado en un dispositivo que no es capaz de usar el modo de espera moderno, la unidad del sistema operativo se cifrará mediante el cifrado de disco completo. El resultado es el mismo si usa una Directiva de cifrado de disco de seguridad de punto de conexión para BitLocker o un perfil de configuración de dispositivo de punto de conexión para BitLocker. Si se requiere un estado final diferente, el tipo de cifrado se puede controlar configurando SystemDrivesEncryptionType mediante el catálogo de configuración, como se muestra a continuación.

Para comprobar si el hardware es compatible con el modo de espera moderno, ejecute el siguiente comando desde un símbolo del sistema:

powercfg /a

Si el dispositivo admite el modo de espera moderno, mostrará que la red conectada a la red en espera (S0 de baja energía inactiva) está disponible

Si el dispositivo no admite el modo de espera moderno, como una máquina virtual, mostrará que no se ha admitido la red conectada en modo de espera (S0 de bajo consumo inactivo).

Para comprobar el tipo de cifrado, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados (administrador):

manage-bde -status c:

El campo "Estado de conversión" reflejará el tipo de cifrado como Cifrado de solo espacio usado o Totalmente cifrado.

Para cambiar el tipo de cifrado de disco entre el cifrado de disco completo y el cifrado de solo espacio usado, aproveche la configuración "Aplicar el tipo de cifrado de unidad en unidades del sistema operativo" en el catálogo de configuración.

Clave o PIN de inicio de TPM

Un dispositivo no debe requerir el uso de un PIN de inicio o una clave de inicio.

Cuando se requiere un PIN de inicio de TPM o una clave de inicio en un dispositivo, BitLocker no puede habilitarse silenciosamente en el dispositivo y, en su lugar, requiere la interacción del usuario final. Las opciones para configurar el PIN o la clave de inicio del TPM están disponible tanto en la plantilla de Endpoint Protection como en la directiva de BitLocker. De forma predeterminada, estas directivas no configuran estas opciones.

A continuación se muestra la configuración relevante para cada tipo de perfil:

Directiva de cifrado de disco de seguridad de punto de conexión : En el perfil de BitLocker encontrará la siguiente configuración en la categoría Configuración de unidad de sistema operativo de BitLocker cuando la directiva de unidad del sistema BitLocker se establece en Configurar y, a continuación, la autenticación de inicio necesaria se establece en Sí.

• Inicio de TPM compatible : configure como Permitido o Obligatorio
• PIN de inicio de TPM compatible : configure como Bloqueado
• Clave de inicio de TPM compatible : configure como Bloqueado
• Clave de inicio y PIN de TPM compatibles : configure como Bloqueado

Directiva de configuración de dispositivos: En la plantilla de protección de puntos de conexión encontrará la siguiente configuración en la categoría de cifrado de Windows:

• Inicio de TPM compatible : configure como Permitir TPM o Requerir TPM
• PIN de inicio de TPM compatible : configure como No permitir el PIN de inicio con TPM
• Clave de inicio de TPM compatible : configure como No permitir la clave de inicio con TPM
• Clave de inicio y PIN de TPM compatibles: configure como No permitir la clave de inicio y el PIN con TPM

Advertencia

Aunque ni las directivas de seguridad de punto de conexión ni de configuración de dispositivos configuran las opciones de TPM de forma predeterminada, algunas versiones de la línea de base de seguridad para Microsoft Defender para punto de conexión configurará tanto el PIN de inicio de TPM compatible y la clave de inicio de TPM compatible de forma predeterminada. Estas configuraciones pueden bloquear la habilitación silenciosa de BitLocker.

Si implementa esta línea base en dispositivos en los que quiera habilitar BitLocker de forma silenciosa, revise las configuraciones de línea base para ver posibles conflictos. Para eliminar conflictos, vuelva a configurar los valores de las líneas base para eliminar el conflicto o quite los dispositivos aplicables para que no reciban las instancias de línea base que configuran las opciones de TPM que bloquean la habilitación silenciosa de BitLocker.

Ver detalles de las claves de recuperación

Intune proporciona acceso a la hoja Azure AD de BitLocker para que pueda ver los identificadores de clave de BitLocker y las claves de recuperación de los dispositivos Windows 10/11, desde el Centro de administración de Microsoft Endpoint Manager. La compatibilidad para ver las claves de recuperación también puede [extender en los dispositivos conectados al espacio empresarial](#view-recovery-keys-for-tenant-attached devices).

Para que sea accesible, el dispositivo debe tener sus claves custodiadas en Azure AD.

1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

2. Seleccione Dispositivos > Todos los dispositivos.

3. Seleccione un dispositivo de la lista y, en Supervisión, seleccione Claves de recuperación.

4. Presione Mostrar clave de recuperación. Si selecciona esta opción, se generará una entrada de registro de auditoría en la actividad "KeyManagement".

   Cuando las claves están disponibles en Azure AD, está disponible la siguiente información:

   • Identificador de clave de BitLocker
   • Clave de recuperación de BitLocker
   • Tipo de unidad

   Cuando las claves no están en Azure AD, Intune mostrará No se encontró ninguna clave de BitLocker para este dispositivo.

Nota

Actualmente, Azure AD admite un máximo de 200 claves de recuperación de BitLocker por dispositivo. Si alcanza este límite, se producirá un error en el cifrado silencioso debido a un error en la copia de seguridad de las claves de recuperación antes de iniciar el cifrado en el dispositivo.

La información de BitLocker se obtiene mediante el proveedor de servicios de configuración de BitLocker (CSP). BitLocker CSP es compatible con Windows 10 versión 1703 y posterior, Windows 10 Pro versión 1809 y posterior, y Windows 11.

Los administradores de TI necesitan tener un permiso específico dentro de Azure Active Directory para poder ver las claves de recuperación de BitLocker del dispositivo: microsoft.directory/bitlockerKeys/key/read. Hay algunas funciones dentro de Azure AD que vienen con este permiso, incluyendo el Administrador de dispositivos de la Nube, el Administrador del servicio de ayuda, etc. Para obtener más información sobre qué roles de Azure AD tienen qué permisos, consulte Descripciones de las funciones de Azure AD.

Todos los accesos a la clave de recuperación de BitLocker son auditados. Para obtener más información sobre las entradas del registro de auditoría, vea los registros de auditoría de Azure Portal.

Nota

Si elimina el objeto de Azure AD de un dispositivo unido a Azure AD protegido por BitLocker, la próxima vez que el dispositivo se sincronice con Azure AD quitará los protectores de clave para el volumen del sistema operativo. La eliminación del protector de claves deja BitLocker en un estado suspendido en ese volumen. Esto es necesario porque la información de recuperación de BitLocker para dispositivos unidos a Azure AD está adjunta al objeto de equipo de Azure AD y eliminarla puede hacer que no pueda recuperarse de un evento de recuperación de BitLocker.

Ver claves de recuperación para dispositivos conectados a inquilinos

Cuando haya configurado el escenario de adjuntar inquilino, Microsoft Endpoint Manager puede mostrar datos clave de recuperación para dispositivos conectados al espacio empresarial.

• Para admitir la presentación de claves de recuperación para dispositivos conectados a inquilinos, los sitios de Configuration Manager deben ejecutar la versión 2107 o posterior. Para los sitios que ejecutan 2107, debe instalar una acumulación de actualizaciones para admitir dispositivos unidos a Azure AD: Consulte KB11121541.

• Para ver las claves de recuperación, la cuenta de Intune debe tener los permisos rbac de Intune para ver las claves de BitLocker y debe estar asociada a un usuario local que tenga los permisos relacionados para Administrador de configuración de rol de colección, con permiso de lectura > permiso de lectura de clave de recuperación de BitLocker. Para obtener más información, vea Configurar la administración basada en roles para Administrador de configuración.

Giro de claves de recuperación de BitLocker

Puede usar una acción de dispositivo de Intune para girar de forma remota la clave de recuperación de BitLocker de un dispositivo que ejecute Windows 10 versión 1909 o posterior, y Windows 11.

Requisitos previos

Los dispositivos deben cumplir los siguientes requisitos previos para admitir la rotación de la clave de recuperación de BitLocker:

• Los dispositivos deben ejecutar Windows 10 versión 1909 o posterior, o Windows 11

• Los dispositivos unidos a Azure AD e híbridos deben tener habilitada la rotación de claves mediante la configuración de directivas de BitLocker:

  • Rotación de contraseña de recuperación controlada por el cliente para Habilitar la rotación en los dispositivos unidos a Azure AD o Habilitar la rotación en los dispositivos unidos a Azure AD e híbridos
  • Guardar información de recuperación de BitLocker en Azure Active Directory en Habilitado
  • Almacenar la información de recuperación en Azure Active Directory antes de habilitar BitLocker en Obligatorio

Para información sobre las implementaciones y los requisitos de BitLocker, vea la tabla de comparación de implementaciones de BitLocker.

Para rotar la clave de recuperación de BitLocker

1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

2. Seleccione Dispositivos > Todos los dispositivos.

3. En la lista de dispositivos que administra, seleccione un dispositivo, seleccione Más, y luego, seleccione la acción remota de dispositivo Rotación de clave BitLocker.

4. En la página Información general del dispositivo, seleccione la Rotación de claves de BitLocker. Si no ve esta opción, seleccione los puntos suspensivos (…) para mostrar las opciones adicionales, y luego, seleccione la acción remota del dispositivo de rotación de claves de BitLocker.

   

Siguientes pasos

• Administrar directiva de FileVault
• Supervisión del cifrado de disco
• Solución de problemas de la directiva de BitLocker
• Problemas conocidos de la aplicación de directivas de BitLocker con Intune
• Administración de BitLocker para empresas, en la documentación de seguridad de Windows