Configuración de la directiva de cifrado de discos para seguridad de los puntos de conexión en IntuneDisk encryption policy settings for endpoint security in Intune

Vea la configuración que puede definir en los perfiles de la directiva de Cifrado de discos en el nodo Seguridad de los puntos de conexión de Intune como parte de una directiva de seguridad de los puntos de conexión.View the settings you can configure in profiles for Disk Encryption policy in the Endpoint security node of Intune as part of an Endpoint security policy.

Perfiles y plataformas compatibles:Supported platforms and profiles:

  • macOS:macOS:
    • Perfil: FileVaultProfile: FileVault
  • Windows 10 y versiones posteriores:Windows 10 and later:
    • Perfil: BitLockerProfile: BitLocker

FileVaultFileVault

CifradoEncryption

Habilitación de FileVaultEnable FileVault

  • Sin configurar (valor predeterminado).Not configured (default)

  • : habilite el cifrado de disco completo mediante XTS-AES 128 con FileVault en dispositivos que ejecuten macOS 10.13 y versiones posteriores.Yes - Enable Full Disk Encryption using XTS-AES 128 with FileVault on devices that run macOS 10.13 and later. FileVault se habilita cuando el usuario cierra la sesión del dispositivo.FileVault is enabled when the user signs off of the device.

    Cuando se establece en , pueden configurarse otras opciones para FileVault.When set to Yes, you can configure additional settings for FileVault.

    • Tipo de clave de recuperación Se crean claves de recuperación de clave personal para los dispositivos.Recovery key type Personal key recovery keys are created for devices. Configure las opciones siguientes para la clave personal:Configure the following settings for the personal key:

      • Rotación de clave de recuperación personalPersonal recovery key rotation
        Especifique la frecuencia con la que se rotará la clave de recuperación personal para un dispositivo.Specify how frequently the personal recovery key for a device will rotate. Puede seleccionar el valor predeterminado, que es No configurado, o un valor de 1 a 12 meses.You can select the default of Not configured, or a value of 1 to 12 months.
      • Descripción de la ubicación secundaria de la clave de recuperación personalEscrow location description of personal recovery key
        Especifique un mensaje breve para el usuario que explique cómo puede recuperar su clave de recuperación personal.Specify a short message to the user that explains how they can retrieve their personal recovery key. El usuario ve este texto en la pantalla de inicio de sesión cuando se le pide que escriba su clave de recuperación personal en caso de que se le haya olvidado una contraseña.The user sees this message on their sign in screen when prompted to enter their personal recovery key if a password is forgotten.
    • Número de veces que se permite omitirNumber of times allowed to bypass
      Establece el número de veces que un usuario puede pasar por alto los mensajes para habilitar FileVault antes de que sea necesario para iniciar sesión.Set the number of times a user can ignore prompts to enable FileVault before FileVault is required for the user to sign in.

      • No configurado (valor predeterminado): se requiere cifrado en el dispositivo antes de que se permita el siguiente inicio de sesión.Not configured (default) - Encryption on the device is required before the next sign-in is allowed.
      • De 1 a 10: permite al usuario omitir el mensaje de 1 a 10 veces antes de requerir el cifrado en el dispositivo.1 to 10 - Allow a user to ignore the prompt from 1 to 10 times before requiring encryption on the device.
      • No hay límite, avisar siempre: se solicita al usuario que habilite FileVault, pero el cifrado nunca es necesario.No limit, always prompt - The user is prompted to enable FileVault, but encryption is never required.
    • Permitir aplazamiento hasta el cierre de sesiónAllow deferral until sign out

      • Sin configurar (valor predeterminado).Not configured (default)
      • : aplace el aviso para habilitar FileVault hasta que el usuario cierra la sesión.Yes - Defer the prompt to enable FileVault until the user signs out.
    • Deshabilitar mensaje al cerrar sesiónDisable prompt at sign out
      Evite el mensaje en el que se solicita al usuario que habilite FileVault cuando cierre la sesión. Cuando se establece en Deshabilitar, al cerrar la sesión el mensaje está deshabilitado y, en su lugar, se le solicita cuando el usuario inicia sesión.Prevent the prompt to the user that requests they enable FileVault when they sign out. When set to Disable, the prompt at sign-out is disabled and instead, the user is prompted when they sign in.

      • Sin configurar (valor predeterminado).Not configured (default)
      • : deshabilite el aviso para habilitar FileVault que aparece en el cierre de sesión.Yes - Disable the prompt to enable FileVault that appears at sign-out.
    • Ocultar clave de recuperaciónHide recovery key
      La clave de recuperación personal del usuario del dispositivo macOS se oculta durante el cifrado.Hide the personal recovery key from the user of the macOS device during encryption. Una vez cifrado el disco, un usuario puede usar cualquier dispositivo para ver su clave de recuperación personal a través del sitio web del Portal de empresa de Intune o la aplicación Portal de empresa en una plataforma compatible.After the disk is encrypted, a user can use any device to view their personal recovery key through the Intune Company Portal website, or company portal app on a supported platform.

      • Sin configurar (valor predeterminado).Not configured (default)
      • : se oculta la clave de recuperación personal durante el cifrado del dispositivo.Yes - Hide the personal recovery key during device encryption.

BitLockerBitLocker

BitLocker: configuración baseBitLocker – Base Settings

  • Habilitar el cifrado de disco completo para las unidades de datos fijas y de sistema operativoEnable full disk encryption for OS and fixed data drives
    CSP: RequireDeviceEncryptionCSP: RequireDeviceEncryption

    Si la unidad se cifró antes de aplicar esta directiva, no se realiza ninguna acción adicional.If the drive was encrypted before this policy applied, no extra action is taken. Si el método y las opciones de cifrado coinciden con los de esta directiva, la configuración debe devolver un valor correcto.If the encryption method and options match that of this policy, configuration should return success. Si una opción de configuración de BitLocker en contexto no coincide con esta directiva, es probable que la configuración devuelva un error.If an in-place BitLocker configuration option doesn't match this policy, configuration will likely return an error.

    Para aplicar esta directiva a un disco ya cifrado, descifre la unidad y vuelva a aplicar la directiva MDM.To apply this policy to a disk already encrypted, decrypt the drive and reapply the MDM policy. El valor predeterminado de Windows es no requerir cifrado de unidad BitLocker.Windows default is to not require BitLocker drive encryption. Aunque es posible que el cifrado automático de registro/inicio de sesión en Unión a Azure AD y la cuenta Microsoft (MSA) apliquen la habilitación de BitLocker en el cifrado XTS-AES de 128 bits.However, on Azure AD Join and Microsoft Account (MSA) registration/login automatic encryption can apply enabling BitLocker at XTS-AES 128-bit encryption.

    • No configurado (valor predeterminado): no se produce la aplicación de BitLocker.Not configured (default) - No BitLocker enforcement takes place.
    • : se aplica el uso de BitLocker.Yes - Enforce use of BitLocker.
  • Exigir cifrado de tarjeta de almacenamiento (solo dispositivos móviles)Require storage cards to be encrypted (mobile only)
    CSP: RequireStorageCardEncryptionCSP: RequireStorageCardEncryption

    Esta opción solo se aplica a dispositivos de SKU de Windows Mobile y Mobile Enterprise.This setting only applies to Windows Mobile and Mobile Enterprise SKU devices.

    • No configurado (valor predeterminado): está opción vuelve al valor predeterminado del sistema operativo, que no requiere cifrado de tarjeta de almacenamiento.Not configured (default) - The setting returns to the OS default, which is to not require storage card encryption.
    • : se requiere cifrado en tarjetas de almacenamiento para dispositivos móviles.Yes - Encryption on storage cards is required for mobile devices.

    Nota

    La compatibilidad con Windows 10 Mobile y Windows Phone 8.1 ha finalizado en agosto de 2020.Support for Windows 10 Mobile and Windows Phone 8.1 ended in August of 2020.

  • Ocultar aviso sobre el cifrado de tercerosHide prompt about third-party encryption
    CSP: AllowWarningForOtherDiskEncryptionCSP: AllowWarningForOtherDiskEncryption

    Si BitLocker está habilitado en un sistema que ya está cifrado mediante un producto de cifrado de terceros, es posible que el dispositivo no se pueda usar.If BitLocker is enabled on a system that's already encrypted by a third-party encryption product, it might render the device unusable. Puede producirse una pérdida de datos y es posible que haya que volver a instalar Windows.Data loss can occur and you might need to reinstall Windows. Se recomienda no habilitar nunca BitLocker en un dispositivo que tenga instalado o habilitado el cifrado de terceros.It's highly suggested to never enable BitLocker on a device that has third-party encryption installed or enabled.

    De forma predeterminada, el Asistente para la instalación de BitLocker solicita al usuario que confirme que no hay ningún cifrado de terceros.By default, the BitLocker setup wizard prompts users to confirm that no third-party encryption is in place.

    • No configurado (valor predeterminado): el Asistente para la instalación de BitLocker muestra una advertencia y pide a los usuarios que confirmen que no existe ningún cifrado de terceros.Not configured (default) – The BitLocker setup wizard displays a warning and prompts users to confirm no third-party encryption is present.
    • : oculta el aviso del Asistente para la instalación de BitLocker de los usuarios.Yes - Hide the BitLocker setup wizards prompt from users.

    Si se requieren características de habilitación silenciosa de BitLocker, se debe ocultar la advertencia de cifrado de otro fabricante, ya que los mensajes de confirmación necesarios interrumpen los flujos de trabajo de habilitación silenciosa.If BitLocker silent enable features are required, the third-party encryption warning must be hidden as any required prompt breaks silent enablement workflows.

    Cuando se establece en , se pueden configurar estos valores:When set to Yes, you can then configure the following setting:

    • Permitir a los usuarios estándar habilitar el cifrado durante AutopilotAllow standard users to enable encryption during Autopilot
      CSP: AllowStandardUserEncryptionCSP: AllowStandardUserEncryption

      • No configurado (valor predeterminado): durante escenarios de habilitación silenciosa de Azure Active Directory (AADJ), los usuarios no han de ser administradores locales para habilitar BitLocker.Not configured (default) – During Azure Active Directory Join (AADJ) silent enable scenarios, users don't need to be local administrators to enable BitLocker.
      • : el valor se deja como cliente predeterminado, que requiere acceso de administrador local para habilitar BitLocker.Yes - The setting is left as client default, which is to require local admin access to enable BitLocker.

      En los escenarios de habilitación no silenciosa y Autopilot, el usuario debe ser un administrador local para completar el Asistente para la instalación de BitLocker.For non-silent enablement and Autopilot scenarios, the user must be a local admin to complete the BitLocker setup wizard.

  • Habilitar la contraseña de recuperación controlada por el cliente paraEnable client-driven recovery password for
    CSP: ConfigureRecoveryPasswordRotationCSP: ConfigureRecoveryPasswordRotation

    No se admiten dispositivos de adición de cuenta profesional (AWS, Unidos al área de trabajo) para la rotación de claves.Add Work Account (AWA, formally Workplace Joined) devices aren't supported for key rotation.

    • No configurado (valor predeterminado): el cliente no girará las claves de recuperación de BitLocker.Not configured (default) – The client won’t rotate BitLocker recovery keys.
    • DeshabilitadoDisabled
    • Dispositivos unidos a Azure ADAzure AD-joined devices
    • Dispositivos unidos a Azure AD híbridosAzure AD and Hybrid-joined devices

BitLocker: configuración de unidades de datos fijasBitLocker - Fixed Drive Settings

  • Directiva de unidad fija de BitLockerBitLocker fixed drive policy
    Configuración de directiva de grupo de BitLockerBitLocker Group Policy settings

    • Recuperación de unidad fijaFixed drive recovery
      CSP: FixedDrivesRecoveryOptionsCSP: FixedDrivesRecoveryOptions

      Controle cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de la información de clave de inicio necesaria.Control how BitLocker-protected fixed data-drives are recovered in the absence of the required startup key information.

      • No configurado (valor predeterminado): se admiten las opciones de recuperación predeterminadas incluido el Agente de recuperación de datos (DRA).Not configured (default) - The default recovery options are supported including the data recovery agent (DRA). El usuario final puede especificar opciones de recuperación y no se realiza una copia de seguridad de la información de recuperación en Azure Active Directory.The end user can specify recovery options and recovery information isn't backed up to Azure Active Directory.
      • Configurar: permite el acceso para configurar varias técnicas de recuperación de unidad.Configure – Enable access to configure various drive recovery techniques.

      Cuando se establece en Configurar, están disponibles las opciones siguientes:When set to Configure the following settings are available:

      • Creación de clave de recuperación por el usuarioUser creation of recovery key

        • Bloqueado (valor predeterminado)Blocked (default)
        • RequeridoRequired
        • PermitidoAllowed
      • Configurar el paquete de recuperación de BitLockerConfigure BitLocker recovery package

        • Contraseña y clave (valor predeterminado): incluya la contraseña de recuperación de BitLocker que usan los administradores y usuarios para desbloquear las unidades protegidas y los paquetes de claves de recuperación utilizados por los administradores para la recuperación de datos) en Active Directory.Password and Key (default) - Include both the BitLocker recovery password that's used by admins and users to unlock protected drives, and recovery key packages that are used by admins for data recovery purposes) in Active Directory.
        • Solo contraseña: es posible que los paquetes de claves de recuperación no sean accesibles cuando sea necesario.Password only - The recovery key packages might not be accessible when needed.
      • Require device to back up recovery information to Azure Ad (Requerir que el dispositivo realice copias de seguridad de la información de recuperación en Azure AD)Require device to back up recovery information to Azure Ad

        • No configurado (valor predeterminado): la habilitación de BitLocker se completará aunque se produzca un error en la copia de seguridad de la clave de recuperación en Azure AD.Not configured (default) - BitLocker enablement will complete even if recovery key backup to Azure AD fails. Esto puede traducirse en que no se almacene externamente ninguna información de recuperación.This can result in no recovery information being stored externally.
        • : BitLocker no completará la habilitación hasta que se hayan guardado correctamente las claves de recuperación en Azure Active Directory.Yes - BitLocker won't complete enablement until recovery keys have been successfully saved to Azure Active Directory.
      • Creación de contraseña de recuperación por el usuarioUser creation of recovery password

        • Bloqueado (valor predeterminado)Blocked (default)
        • RequeridoRequired
        • PermitidoAllowed
      • Hide recovery options during BitLocker setup (Ocultar opciones de recuperación durante la configuración de BitLocker)Hide recovery options during BitLocker setup

        • No configurado (valor predeterminado): permite al usuario acceder a opciones de recuperación adicionales.Not configured (default) - Allow the user to access extra recovery options.
        • : impide que el usuario final elija opciones de recuperación adicionales, como la impresión de claves de recuperación durante el Asistente para la instalación de BitLocker.Yes - Block the end user from choosing extra recovery options such as printing recovery keys during the BitLocker setup wizard.
      • Habilitar BitLocker después de la información de recuperación para almacenarEnable BitLocker after recovery information to store

        • Sin configurar (valor predeterminado).Not configured (default)
        • Yes
      • Bloquear el uso del Agente de recuperación de datos basada en certificados (DRA)Block the use of certificate-based data recovery agent (DRA)

        • No configurado (valor predeterminado): permite configurar el uso de DRA.Not configured (default) - Allow the use of DRA to be set up. La configuración de DRA requiere una PKI de empresa y objetos de directiva de grupo para implementar el agente y los certificados de DRA.Setting up DRA requires an enterprise PKI and Group Policy Objects to deploy the DRA agent and certificates.
        • : bloquee la capacidad de usar el Agente de recuperación de datos (DRA) para recuperar las unidades habilitadas para BitLocker.Yes - Block the ability to use Data Recovery Agent (DRA) to recover BitLocker enabled drives.
    • Denegar acceso de escritura a unidad de datos fija no protegida con BitLockerBlock write access to fixed data-drives not protected by BitLocker
      CSP: FixedDrivesRequireEncryptionCSP: FixedDrivesRequireEncryption
      Esta opción está disponible cuando Directiva de unidades fijas de BitLocker se establece en Configurar.This setting is available when BitLocker fixed drive policy is set to Configure.

      • No configurado (valor predeterminado): pueden escribirse datos en unidades fijas no cifradas.Not configured (default) - Data can be written to non-encrypted fixed drives.
      • : Windows no permitirá que se escriban datos en unidades fijas que no estén protegidas con BitLocker.Yes - Windows won't allow any data to be written to fixed drives that aren't BitLocker protected. Si no se cifra una unidad fija, el usuario ha de completar el Asistente para la instalación de BitLocker para la unidad antes de que se conceda acceso de escritura.If a fixed drive isn't encrypted, the user will need to complete the BitLocker setup wizard for the drive before write access is granted.
    • Cifrado para unidades de datos fijasConfigure encryption method for fixed data-drives
      CSP: EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType

      Configure el método de cifrado y la intensidad de cifrado para los discos de unidades de datos fijas.Configure the encryption method and cipher strength for fixed data-drives disks. XTS-AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.XTS- AES 128-bit is the Windows default encryption method and the recommended value.

      • Sin configurar (valor predeterminado).Not configured (default)
      • CBC-AES de 128 bitsAES 128bit CBC
      • AES-CBC de 256 bitsAES 256bit CBC
      • XTS-AES de 128 bitsAES 128bit XTS
      • AES-XTS de 256 bitsAES 256bit XTS

BitLocker: configuración de unidades de sistema operativoBitLocker - OS Drive Settings

  • Directiva de unidad del sistema de BitLockerBitLocker system drive policy
    CSP: Configuración de directiva de grupo de BitLockerCSP: BitLocker Group Policy settings

    • Configurar (valor predeterminado)Configure (default)
    • No configurado.Not configured

    Cuando se establece en Configurar, se pueden configurar estos valores:When set to Configure you can configure the following settings:

    • Autenticación de inicio requeridaStartup authentication required
      CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

      • Sin configurar (valor predeterminado).Not configured (default)
      • : configure los requisitos de autenticación adicionales al inicio del sistema, como el uso del Módulo de plataforma segura (TPM) o los requisitos del PIN de inicio.Yes - Configure the additional authentication requirements at system startup, including the use of Trusted Platform Module (TPM) or startup PIN requirements.

      Cuando se establece en , se pueden configurar estos valores:When set to Yes you can configure the following settings:

      • Inicio de TPM compatibleCompatible TPM startup
        CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

        Se recomienda exigir un TPM para BitLocker.It's recommended to require a TPM for BitLocker. Esta configuración solo se aplica cuando BitLocker se habilita por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.This setting only applies when first enabling BitLocker and has no effect if BitLocker is already enabled.

        • Bloqueado (valor predeterminado): BitLocker no usa el TPM.Blocked (default) - BitLocker doesn’t use the TPM.
        • Obligatorio: BitLocker solo se habilita si un TPM está presente y se puede usar.Required - BitLocker enables only if a TPM is present and usable.
        • Permitido: BitLocker usa el TPM, si está presente.Allowed - BitLocker uses the TPM if it's present.
      • PIN de inicio de TPM compatibleCompatible TPM startup PIN
        CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquea el uso de un PIN.Blocked (default) - Block the use of a PIN.
        • Obligatorio: requiere que un PIN y el TPM estén presentes para habilitar BitLocker.Required - Require a PIN and TPM be present to enable BitLocker.
        • Permitido: BitLocker usa el TPM si está presente y permite que el usuario configure un PIN de inicio.Allowed - BitLocker uses the TPM if it's present and allows a startup PIN to be configured by the user.

        En los escenarios de habilitación silenciosa, ha de establecerla en Bloqueado.For silent enable scenarios, you must set this to Blocked. Los escenarios de habilitación silenciosa (como Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.Silent enable scenarios (including Autopilot) won't be successful when user interaction is required.

      • Clave de inicio de TPM compatibleCompatible TPM startup key
        CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquea el uso de claves de inicio.Blocked (default) - Block the use of startup keys.
        • Obligatorio: requiere que una clave de inicio y el TPM estén presentes para habilitar BitLocker.Required - Require a startup key and TPM be present to enable BitLocker.
        • Permitido: BitLocker usa el TPM si está presente y permite que una clave de inicio (como una unidad USB) esté presente para desbloquear las unidades.Allowed - BitLocker uses the TPM if it's present and allows a startup key (such as a USB drive) be present to unlock the drives.

        En los escenarios de habilitación silenciosa, ha de establecerla en Bloqueado.For silent enable scenarios, you must set this to Blocked. Los escenarios de habilitación silenciosa (como Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.Silent enable scenarios (including Autopilot) won't be successful when user interaction is required.

      • PIN y clave de inicio de TPM compatibleCompatible TPM startup key and PIN
        CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

        • Bloqueado (valor predeterminado): bloquea el uso de una combinación de teclas de inicio y de PIN.Blocked (default) - Block the use of a startup key and PIN combination.
        • Obligatorio: requiere que BitLocker tenga una clave de inicio y el PIN presente para que se habilite.Required - Require BitLocker have a startup key and PIN present to become enabled.
        • Permitido: BitLocker usa el TPM si está presente y permite una clave de inicio y la combinación de PIN.Allowed - BitLocker uses the TPM if it's present and allows a startup key) and PIN combination.

        En los escenarios de habilitación silenciosa, ha de establecerla en Bloqueado.For silent enable scenarios, you must set this to Blocked. Los escenarios de habilitación silenciosa (como Autopilot) no se realizarán correctamente cuando se requiera la interacción del usuario.Silent enable scenarios (including Autopilot) won't be successful when user interaction is required.

      • Deshabilitar BitLocker en dispositivos en los que TPM es incompatibleDisable BitLocker on devices where TPM is incompatible
        CSP: SystemDrivesRequireStartupAuthenticationCSP: SystemDrivesRequireStartupAuthentication

        Si no hay ningún TPM presente, BitLocker requiere una contraseña o una unidad USB para el inicio.If no TPM is present, BitLocker requires a password or USB drive for startup.

        Esta configuración solo se aplica cuando BitLocker se habilita por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.This setting only applies when first enabling BitLocker and has no effect if BitLocker is already enabled.

        • Sin configurar (valor predeterminado).Not configured (default)
        • : bloquea la configuración de BitLocker sin un chip TPM compatible.Yes - Block BitLocker from being configured without a compatible TPM chip.
      • Habilitar dirección URL y mensaje de recuperación previos al arranqueEnable preboot recovery message and url
        CSP: configuración de SystemDrivesRecoveryMessageCSP: SystemDrivesRecoveryMessageconfigure

        • No configurado (valor predeterminado): use la información de recuperación previa al arranque de BitLocker predeterminada.Not configured (default) – Use the default BitLocker pre-boot recovery information.
        • : habilite la configuración de una dirección URL y un mensaje de recuperación previo al arranque para ayudar a los usuarios a comprender cómo encontrar su contraseña de recuperación.Yes – Enable the configuration of a custom pre-boot recovery message and URL to help your users understand how to find their recovery password. Los usuarios ven el mensaje y la dirección URL previos al arranque cuando están bloqueados en el modo de recuperación.The pre-boot message and URL are seen by users when they're locked out of their PC in recovery mode.

        Cuando se establece en , se pueden configurar estos valores:When set to Yes you can configure the following settings:

        • Mensaje de recuperación previo al arranquePreboot recovery message
          Especifique un mensaje de recuperación previo al arranque personalizado.Specify a custom pre-boot recovery message.

        • Dirección URL de recuperación previa al arranquePreboot recovery url
          Especifique una dirección URL de recuperación previa al arranque personalizada.Specify a custom pre-boot recovery URL.

      • Recuperación de unidad fijaSystem drive recovery
        CSP: SystemDrivesRecoveryOptionsCSP: SystemDrivesRecoveryOptions

        • Sin configurar (valor predeterminado).Not configured (default)
        • Configurar: habilite la configuración de opciones adicionales.Configure - Enable the configuration of additional settings.

        Cuando se establece en Configurar, están disponibles las opciones siguientes:When set to Configure the following settings are available:

        • Creación de clave de recuperación por el usuarioUser creation of recovery key

          • Bloqueado (valor predeterminado)Blocked (default)
          • RequeridoRequired
          • PermitidoAllowed
        • Configurar el paquete de recuperación de BitLockerConfigure BitLocker recovery package

          • Contraseña y clave (valor predeterminado): incluya la contraseña de recuperación de BitLocker que usan los administradores y usuarios para desbloquear las unidades protegidas y los paquetes de claves de recuperación utilizados por los administradores para la recuperación de datos) en Active Directory.Password and Key (default) - Include both the BitLocker recovery password that's used by admins and users to unlock protected drives, and recovery key packages that are used by admins for data recovery purposes) in Active Directory.
          • Solo contraseña: es posible que los paquetes de claves de recuperación no sean accesibles cuando sea necesario.Password only - The recovery key packages might not be accessible when needed.
        • Require device to back up recovery information to Azure Ad (Requerir que el dispositivo realice copias de seguridad de la información de recuperación en Azure AD)Require device to back up recovery information to Azure Ad

          • No configurado (valor predeterminado): la habilitación de BitLocker se completará aunque se produzca un error en la copia de seguridad de la clave de recuperación en Azure AD.Not configured (default) - BitLocker enablement will complete even if recovery key backup to Azure AD fails. Esto puede traducirse en que no se almacene externamente ninguna información de recuperación.This can result in no recovery information being stored externally.
          • : BitLocker no completará la habilitación hasta que se hayan guardado correctamente las claves de recuperación en Azure Active Directory.Yes - BitLocker won't complete enablement until recovery keys have been successfully saved to Azure Active Directory.
        • Creación de contraseña de recuperación por el usuarioUser creation of recovery password

          • Bloqueado (valor predeterminado)Blocked (default)
          • RequeridoRequired
          • PermitidoAllowed
        • Hide recovery options during BitLocker setup (Ocultar opciones de recuperación durante la configuración de BitLocker)Hide recovery options during BitLocker setup

          • No configurado (valor predeterminado): permite al usuario acceder a opciones de recuperación adicionales.Not configured (default) - Allow the user to access extra recovery options.
          • : impide que el usuario final elija opciones de recuperación adicionales, como la impresión de claves de recuperación durante el Asistente para la instalación de BitLocker.Yes - Block the end user from choosing extra recovery options such as printing recovery keys during the BitLocker setup wizard.
        • Habilitar BitLocker después de la información de recuperación para almacenarEnable BitLocker after recovery information to store

          • Sin configurar (valor predeterminado).Not configured (default)
          • Yes
        • Bloquear el uso del Agente de recuperación de datos basada en certificados (DRA)Block the use of certificate-based data recovery agent (DRA)

          • No configurado (valor predeterminado): permite configurar el uso de DRA.Not configured (default) - Allow the use of DRA to be set up. La configuración de DRA requiere una PKI de empresa y objetos de directiva de grupo para implementar el agente y los certificados de DRA.Setting up DRA requires an enterprise PKI and Group Policy Objects to deploy the DRA agent and certificates.
          • : bloquee la capacidad de usar el Agente de recuperación de datos (DRA) para recuperar las unidades habilitadas para BitLocker.Yes - Block the ability to use Data Recovery Agent (DRA) to recover BitLocker enabled drives.
      • Longitud mínima del PINMinimum PIN length
        CSP: SystemDrivesMinimumPINLengthCSP: SystemDrivesMinimumPINLength

        Especifique la longitud mínima del PIN de inicio cuando se requiere TPM+PIN durante la habilitación de BitLocker.Specify the minimum startup PIN length when TPM + PIN is required during BitLocker enablement. La longitud mínima del PIN debe tener entre 4 y 20 dígitos.The PIN length must be between 4 and 20 digits.

        Si no configura esta opción, los usuarios pueden configurar un PIN de inicio de cualquier longitud (entre 4 y 20 dígitos).If you don't configure this setting, users can configure a startup PIN of any length (between 4 and 20 digits)

        Esta configuración solo se aplica cuando BitLocker se habilita por primera vez y no tiene ningún efecto si BitLocker ya está habilitado.This setting only applies when first enabling BitLocker and has no effect if BitLocker is already enabled.

    • Cifrado para unidades del sistema operativoConfigure encryption method for Operating System drives
      CSP: EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType

      Configure el método de cifrado y la intensidad de cifrado para las unidades del sistema operativo.Configure the encryption method and cipher strength for OS drives. XTS-AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.XTS- AES 128-bit is the Windows default encryption method and the recommended value.

      • Sin configurar (valor predeterminado).Not configured (default)
      • CBC-AES de 128 bitsAES 128bit CBC
      • AES-CBC de 256 bitsAES 256bit CBC
      • XTS-AES de 128 bitsAES 128bit XTS
      • AES-XTS de 256 bitsAES 256bit XTS

BitLocker: configuración de unidades de datos extraíblesBitLocker - Removable Drive Settings

  • Cifrado para unidades del sistema operativoConfigure encryption method for Operating System drives
    CSP: Configuración de directiva de grupo de BitLockerCSP: BitLocker Group Policy settings

    • Sin configurar (valor predeterminado).Not configured (default)
    • ConfigureConfigure

    Cuando se establece en Configurar, se pueden configurar estos valores.When set to Configure you can configure the following settings.

    • Cifrado para unidades de datos extraíblesConfigure encryption method for removable data-drives
      CSP: EncryptionMethodByDriveTypeCSP: EncryptionMethodByDriveType

      Seleccione el método de cifrado para los discos de unidades de datos extraíbles.Select the desired encryption method for removable data-drives disks.

      • Sin configurar (valor predeterminado).Not configured (default)
      • CBC-AES de 128 bitsAES 128bit CBC
      • AES-CBC de 256 bitsAES 256bit CBC
      • XTS-AES de 128 bitsAES 128bit XTS
      • AES-XTS de 256 bitsAES 256bit XTS
    • Denegar acceso de escritura a discos de datos extraíbles no protegidos con BitLockerBlock write access to removable data-drives not protected by BitLocker
      CSP: RemovableDrivesRequireEncryptionCSP: RemovableDrivesRequireEncryption

      • No configurado (valor predeterminado): pueden escribirse datos en unidades extraíbles no cifradas.Not configured (default) - Data can be written to non-encrypted removable drives.

      • : Windows no permitirá que se escriban datos en unidades extraíbles que no estén protegidas por BitLocker.Yes - Windows doesn’t allow data to be written to removable drives that aren't BitLocker protected. Si una unidad extraíble insertada no se cifra, el usuario ha de completar el Asistente para la instalación de BitLocker antes de que se conceda acceso de escritura a la unidad.If an inserted removable drive isn't encrypted, the user must complete the BitLocker setup wizard before write access is granted to drive.

      • Denegar acceso de escritura a discos de datos extraíbles no protegidos con BitLockerBlock write access to removable data-drives not protected by BitLocker
        CSP: RemovableDrivesRequireEncryptionCSP: RemovableDrivesRequireEncryption

        • No configurado (valor predeterminado): se puede usar cualquier unidad cifrada de BitLocker.Not configured (default) - Any BitLocker encrypted drive can be used.
        • : bloquea el acceso a las unidades extraíbles a menos que se hayan cifrado en un equipo propiedad de su organización.Yes - Block access to removable drives unless they were encrypted on a computer owned by your organization.

Pasos siguientesNext steps

Directiva de seguridad de los puntos de conexión para cifrado de discosEndpoint security policy for disk encryption