CSP de BitLocker

Artículo
01/18/2024

Sugerencia

Este CSP contiene directivas respaldadas por ADMX que requieren un formato SyncML especial para habilitar o deshabilitar. Debe especificar el tipo de datos en SyncML como <Format>chr</Format>. Para obtener más información, consulte Descripción de las directivas respaldadas por ADMX.

La carga de SyncML debe estar codificada en XML; para esta codificación XML, hay una variedad de codificadores en línea que puede usar. Para evitar la codificación de la carga, puede usar CDATA si su MDM lo admite. Para obtener más información, vea Secciones de CDATA.

La empresa usa el proveedor de servicios de configuración de BitLocker (CSP) para administrar el cifrado de equipos y dispositivos. Este CSP se agregó en Windows 10, versión 1703. A partir de Windows 10, versión 1809, también se admite en Windows 10 Pro.

Nota

Para administrar BitLocker a través de CSP, excepto para habilitarlo y deshabilitarlo mediante la RequireDeviceEncryption directiva, se debe asignar una de las siguientes licencias a los usuarios independientemente de la plataforma de administración:

Windows 10/11 Enterprise E3 o E5 (incluidos en Microsoft 365 F3, E3 y E5).
Windows 10/11 Enterprise A3 o A5 (incluidos en Microsoft 365 A3 y A5).

Una Get operación en cualquiera de los valores, excepto para RequireDeviceEncryption y RequireStorageCardEncryption, devuelve la configuración configurada por el administrador.

En el caso de RequireDeviceEncryption y RequireStorageCardEncryption, la operación Get devuelve el estado real de cumplimiento al administrador, como si se requiere la protección del módulo de plataforma segura (TPM) y si se requiere cifrado. Y si el dispositivo tiene BitLocker habilitado, pero con el protector de contraseña, el estado notificado es 0. Una operación Get en RequireDeviceEncryption no comprueba que se aplique una longitud mínima del PIN (SystemDrivesMinimumPINLength).

Nota

La configuración solo se aplica en el momento en que se inicia el cifrado. El cifrado no se reinicia con los cambios de configuración.
Debe enviar todas las configuraciones juntas en un único SyncML para que sean eficaces.

En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de BitLocker:

./Device/Vendor/MSFT/BitLocker

AllowStandardUserEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Permite Administración aplicar la directiva "RequireDeviceEncryption" para escenarios en los que la directiva se inserta mientras el usuario que ha iniciado sesión actual no es administrador o usuario estándar.

La directiva "AllowStandardUserEncryption" está asociada a la directiva "AllowWarningForOtherDiskEncryption" que se establece en "0", es decir, se aplica el cifrado silencioso.

Si no se establece "AllowWarningForOtherDiskEncryption" o se establece en "1", la directiva "RequireDeviceEncryption" no intentará cifrar las unidades si un usuario estándar es el usuario que ha iniciado sesión actual en el sistema.

Los valores esperados para esta directiva son:

1 = La directiva "RequireDeviceEncryption" intentará habilitar el cifrado en todas las unidades fijas, incluso si un usuario que ha iniciado sesión actual es un usuario estándar.

0 = Este es el valor predeterminado, cuando no se establece la directiva. Si el usuario que ha iniciado sesión actual es un usuario estándar, la directiva "RequireDeviceEncryption" no intentará habilitar el cifrado en ninguna unidad.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	0
Dependencia [AllowWarningForOtherDiskEncryptionDependency]	Tipo de dependencia: `DependsOn` URI de dependencia: `Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption` Valor permitido de dependencia: `[0]` Tipo de valor permitido de dependencia: `Range`

Valores permitidos:

Valor	Descripción
0 (Predeterminado)	Este es el valor predeterminado, cuando no se establece la directiva. Si el usuario que ha iniciado sesión actual es un usuario estándar, la directiva "RequireDeviceEncryption" no intentará habilitar el cifrado en ninguna unidad.
1	La directiva "RequireDeviceEncryption" intentará habilitar el cifrado en todas las unidades fijas, incluso si un usuario que ha iniciado sesión actual es un usuario estándar.

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Permite que Administración deshabilite toda la interfaz de usuario (notificación para el cifrado y aviso para otro cifrado de disco) y active el cifrado en las máquinas de usuario de forma silenciosa.

Advertencia

Al habilitar BitLocker en un dispositivo con cifrado de terceros, puede que el dispositivo no se pueda usar y requerirá la reinstalación de Windows.

Nota

Esta directiva solo surte efecto si la directiva "RequireDeviceEncryption" está establecida en 1.

Los valores esperados para esta directiva son:

1 = Este es el valor predeterminado, cuando la directiva no está establecida. Se permite el aviso de advertencia y la notificación de cifrado.

0 = Deshabilita el aviso de advertencia y la notificación de cifrado. A partir de Windows 10, la siguiente actualización principal, el valor 0 solo surte efecto en Microsoft Entra dispositivos unidos.

Windows intentará habilitar BitLocker de forma silenciosa para el valor 0.

Nota

Al deshabilitar el aviso de advertencia, la clave de recuperación de la unidad del sistema operativo hará una copia de seguridad en la cuenta de Microsoft Entra del usuario. Cuando se permite el aviso de advertencia, el usuario que recibe el aviso puede seleccionar dónde hacer una copia de seguridad de la clave de recuperación de la unidad del sistema operativo.

El punto de conexión de la copia de seguridad de una unidad de datos fija se elige en el orden siguiente:

Cuenta de Windows Server Active Directory Servicios de dominio del usuario.
Cuenta de Microsoft Entra del usuario.
OneDrive personal del usuario (solo MDM/MAM).

El cifrado esperará hasta que una de estas tres ubicaciones realice una copia de seguridad correctamente.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	1

Valores permitidos:

Valor	Descripción
0	Deshabilita el aviso de advertencia. A partir de Windows 10, versión 1803, el valor 0 solo se puede establecer para Microsoft Entra dispositivos unidos. Windows intentará habilitar BitLocker de forma silenciosa para el valor 0.
1 (valor predeterminado)	Aviso de advertencia permitido.

Ejemplo:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1909 [10.0.18363] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Permite Administración configurar la rotación de contraseñas de recuperación numérica al usarse para el sistema operativo y las unidades fijas en dispositivos unidos a Microsoft Entra ID y dominio híbrido.

Cuando no está configurado, la rotación está activada de forma predeterminada para Microsoft Entra ID solo y desactivado en híbrido. La directiva solo entrará en vigor cuando la copia de seguridad de Active Directory para la contraseña de recuperación esté configurada como necesaria.

Para la unidad del sistema operativo: active "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo".

Para las unidades fijas: active "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas".

Valores admitidos: 0: rotación de contraseñas de recuperación numérica desactivada.

1- Rotación de contraseñas de recuperación numéricas al usar ON para Microsoft Entra dispositivos unidos. Valor predeterminado 2: rotación de contraseñas de recuperación numéricas al usar ON tanto para dispositivos Microsoft Entra ID como híbridos.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	0

Valores permitidos:

Valor	Descripción
0 (Predeterminado)	Actualizar desactivado (valor predeterminado).
1	Actualice para Microsoft Entra dispositivos unidos.
2	Actualice tanto para dispositivos unidos a Microsoft Entra como híbridos.

EncryptionMethodByDriveType

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Esta configuración de directiva configura si es necesaria la protección de BitLocker para que un equipo pueda escribir datos en una unidad de datos extraíble.

Si habilita esta configuración de directiva, todas las unidades de datos extraíbles que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.

Si se selecciona la opción "Denegar el acceso de escritura a dispositivos configurados en otra organización", solo se concederá acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo. Cuando se accede a una unidad de datos extraíble, se comprobará si hay campos de identificación válidos y campos de identificación permitidos. Estos campos se definen mediante la configuración de directiva "Proporcionar los identificadores únicos para su organización".

Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.

Nota

Esta configuración de directiva se puede invalidar mediante la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble. Si la configuración de directiva "Discos extraíbles: Denegar acceso de escritura" está habilitada, se omitirá esta configuración de directiva.

Nota

Al habilitar EncryptionMethodByDriveType, debe especificar valores para las tres unidades (sistema operativo, datos fijos y datos extraíbles), de lo contrario, se producirá un error (estado devuelto de 500). Por ejemplo, si solo establece el método de cifrado para el sistema operativo y las unidades extraíbles, obtendrá un estado de devolución de 500.

Elementos de id. de datos:

EncryptionMethodWithXtsOsDropDown_Name = Seleccione el método de cifrado para las unidades del sistema operativo.
EncryptionMethodWithXtsFdvDropDown_Name = Seleccione el método de cifrado para las unidades de datos fijas.
EncryptionMethodWithXtsRdvDropDown_Name = Seleccione el método de cifrado para las unidades de datos extraíbles.

El valor de ejemplo de este nodo para habilitar esta directiva y establecer los métodos de cifrado es:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

Los valores posibles de 'xx' son:

3 = AES-CBC 128
4 = AES-CBC 256
6 = XTS-AES 128
7 = XTS-AES 256

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	RDVDenyWriteAccess_Name
Nombre descriptivo	Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nombre del valor de registro	RDVDenyWriteAccess
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Esta configuración de directiva le permite configurar el tipo de cifrado usado por el cifrado de unidad BitLocker. Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elija el cifrado completo para requerir que toda la unidad se cifre cuando BitLocker esté activado. Elija el cifrado de espacio usado solo para requerir que solo la parte de la unidad usada para almacenar datos esté cifrada cuando BitLocker esté activado.

Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Valores posibles:

0: Permitir que el usuario elija.
1: Cifrado completo.
2: Solo se usa el cifrado de espacio.

Nota

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.

Para obtener más información sobre la herramienta para administrar BitLocker, consulte manage-bde.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	FDVEncryptionType_Name
Nombre descriptivo	Aplicación del tipo de cifrado de unidad en unidades de datos fijas
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	FDVEncryptionType
Nombre de archivo ADMX	VolumeEncryption.admx

FixedDrivesRecoveryOptions

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Esta configuración de directiva permite controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de las credenciales necesarias. Esta configuración de directiva se aplica al activar BitLocker.

La casilla "Permitir agente de recuperación de datos" se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directiva de grupo o en la directiva de grupo Editor local. Consulte la Guía de implementación de cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre cómo agregar agentes de recuperación de datos.

En "Configure user storage of BitLocker recovery information" (Configurar el almacenamiento de usuario de la información de recuperación de BitLocker), seleccione si se permiten, requieren o no los usuarios para generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.

Seleccione "Omitir opciones de recuperación del Asistente para la instalación de BitLocker" para evitar que los usuarios especifiquen opciones de recuperación cuando activen BitLocker en una unidad. Esto significa que no podrá especificar qué opción de recuperación usar al activar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.

En "Guardar información de recuperación de BitLocker en Servicios de dominio de Active Directory" elija qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos fijas. Si selecciona "Contraseña de recuperación de copia de seguridad y paquete de claves", tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona "Solo contraseña de recuperación de copia de seguridad", solo la contraseña de recuperación se almacena en AD DS.

Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.

Nota

Si la casilla "No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para unidades de datos fijas" está activada, se genera automáticamente una contraseña de recuperación.

Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de datos fijas protegidas por BitLocker.
Si esta configuración de directiva no está configurada o deshabilitada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.

Elementos de id. de datos:

FDVAllowDRA_Name: Permitir agente de recuperación de datos
FDVRecoveryPasswordUsageDropDown_Name y FDVRecoveryKeyUsageDropDown_Name: Configurar el almacenamiento del usuario de la información de recuperación de BitLocker
FDVHideRecoveryPage_Name: Omitir las opciones de recuperación del Asistente para la instalación de BitLocker
FDVActiveDirectoryBackup_Name: Guardar información de recuperación de BitLocker en Servicios de dominio de Active Directory
FDVActiveDirectoryBackupDropDown_Name: Configuración del almacenamiento de información de recuperación de BitLocker en AD DS
FDVRequireActiveDirectoryBackup_Name: No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

Los valores posibles de 'xx' son:

true = permitir explícitamente
false = Directiva no establecida

Los valores posibles de 'yy' son:

0 = No permitido
1 = Obligatorio
2 = Permitido

Los valores posibles de 'zz' son:

1 = Almacenar contraseñas de recuperación y paquetes de claves
2 = Almacenar solo contraseñas de recuperación

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	FDVRecoveryUsage_Name
Nombre descriptivo	Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	FDVRecovery
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Esta configuración de directiva determina si es necesaria la protección de BitLocker para que las unidades de datos fijas se puedan escribir en un equipo.

Si habilita esta configuración de directiva, todas las unidades de datos fijas que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos fijas del equipo se montarán con acceso de lectura y escritura.

El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	FDVDenyWriteAccess_Name
Nombre descriptivo	Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nombre del valor de registro	FDVDenyWriteAccess
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/IdentificationField

Esta configuración de directiva permite asociar identificadores organizativos únicos a una nueva unidad habilitada con BitLocker. Estos identificadores se almacenan como campo de identificación y campo de identificación permitido. El campo de identificación permite asociar un identificador organizativo único a unidades protegidas por BitLocker. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en unidades protegidas por BitLocker existentes mediante la herramienta de línea de comandos manage-bde . Se requiere un campo de identificación para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker y para posibles actualizaciones del lector de BitLocker To Go. BitLocker solo administrará y actualizará los agentes de recuperación de datos cuando el campo de identificación de la unidad coincida con el valor configurado en el campo de identificación. De forma similar, BitLocker solo actualizará el lector de BitLocker To Go cuando el campo de identificación de la unidad coincida con el valor configurado para el campo de identificación.

El campo de identificación permitido se usa en combinación con la configuración de directiva "Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker" para ayudar a controlar el uso de unidades extraíbles en su organización. Es una lista separada por comas de campos de identificación de su organización u otras organizaciones externas.

Puede configurar los campos de identificación en unidades existentes mediante manage-bde.exe.

Si habilita esta configuración de directiva, puede configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que use su organización.

Cuando una unidad protegida por BitLocker se monta en otro equipo habilitado para BitLocker, se usará el campo de identificación y el campo de identificación permitido para determinar si la unidad procede de una organización externa.

Si deshabilita o no establece esta configuración de directiva, no se requiere el campo de identificación.

Nota

Los campos de identificación son necesarios para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker. BitLocker solo administrará y actualizará agentes de recuperación de datos basados en certificados cuando el campo de identificación esté presente en una unidad y sea idéntico al valor configurado en el equipo. El campo de identificación puede tener cualquier valor de 260 caracteres o menos.

Elementos de id. de datos:

IdentificationField: se trata de un campo de identificación de BitLocker.
SecIdentificationField: se trata de un campo de identificación de BitLocker permitido.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	IdentificationField_Name
Nombre descriptivo	Proporcionar los identificadores únicos de la organización
Ubicación	Configuración del equipo
Ruta de acceso	Cifrado de unidad bitlocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	IdentificationField
Nombre de archivo ADMX	VolumeEncryption.admx

RemovableDrivesConfigureBDE

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Esta configuración de directiva controla el uso de BitLocker en unidades de datos extraíbles. Esta configuración de directiva se aplica al activar BitLocker.

Cuando esta configuración de directiva está habilitada, puede seleccionar valores de propiedad que controlen cómo los usuarios pueden configurar BitLocker. Elija "Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles" para permitir que el usuario ejecute el Asistente para la instalación de BitLocker en una unidad de datos extraíble. Elija "Permitir que los usuarios suspendan y descifren BitLocker en unidades de datos extraíbles" para permitir al usuario quitar el cifrado de unidad BitLocker de la unidad o suspender el cifrado mientras se realiza el mantenimiento. Para obtener información sobre cómo suspender la protección de BitLocker, vea Implementación básica de BitLocker.

Si no configura esta configuración de directiva, los usuarios pueden usar BitLocker en unidades de disco extraíbles.
Si deshabilita esta configuración de directiva, los usuarios no pueden usar BitLocker en unidades de disco extraíbles.

Elementos de id. de datos:

RDVAllowBDE_Name: permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles.
RDVDisableBDE_Name: permitir que los usuarios suspendan y descifren BitLocker en unidades de datos extraíbles.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	RDVConfigureBDE
Nombre descriptivo	Controlar el uso de BitLocker en unidades extraíbles
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	RDVConfigureBDE
Nombre de archivo ADMX	VolumeEncryption.admx

RemovableDrivesEncryptionType

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Valores posibles:

0: Permitir que el usuario elija.
1: Cifrado completo.
2: Solo se usa el cifrado de espacio.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Dependencia [BDEAllowed]	Tipo de dependencia: `DependsOn` URI de dependencia: `Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE` Tipo de valor permitido de dependencia: `ADMX`

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	RDVEncryptionType_Name
Nombre descriptivo	Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	RDVEncryptionType
Nombre de archivo ADMX	VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Cuando está habilitado, permite excluir unidades extraíbles y dispositivos conectados a través de la interfaz USB del cifrado de dispositivos BitLocker. Los dispositivos excluidos no se pueden cifrar, ni siquiera manualmente. Además, si se configura "Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker", no se le pedirá al usuario el cifrado y la unidad se montará en modo de lectura y escritura. Proporcione una lista separada por comas de unidades o dispositivos extraíbles excluidos mediante el identificador de hardware del dispositivo de disco. Ejemplo de USBSTOR\SEAGATE_ST39102LW_______0004.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, eliminar, obtener y reemplazar
Valores permitidos	List (Delimitador: `,`)

RemovableDrivesRequireEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Esta configuración de directiva configura si es necesaria la protección de BitLocker para que un equipo pueda escribir datos en una unidad de datos extraíble.

Si habilita esta configuración de directiva, todas las unidades de datos extraíbles que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.

Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.

Nota

Elementos de id. de datos:

RDVCrossOrg: denegar el acceso de escritura a los dispositivos configurados en otra organización

El valor de ejemplo de este nodo para habilitar esta directiva es:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

Los valores posibles de 'xx' son:

true = permitir explícitamente
false = Directiva no establecida

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	RDVDenyWriteAccess_Name
Nombre descriptivo	Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker
Ubicación	Configuración del equipo
Ruta de acceso	Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	System\CurrentControlSet\Policies\Microsoft\FVE
Nombre del valor de registro	RDVDenyWriteAccess
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Permite que el Administración requiera que el cifrado se active mediante BitLocker\Device Encryption.

Valor de ejemplo de este nodo para habilitar esta directiva:

Deshabilitar la directiva no desactivará el cifrado en la unidad del sistema. Pero dejará de pedir al usuario que lo active.

Nota

Actualmente solo se admite el cifrado de disco completo cuando se usa este CSP para el cifrado silencioso. Para el cifrado no silencioso, el tipo de cifrado dependerá SystemDrivesEncryptionType y FixedDrivesEncryptionType se configurará en el dispositivo.

El estado de los volúmenes del sistema operativo y de los volúmenes de datos fijos cifrados se comprueba con una operación Get. Normalmente, BitLocker/Device Encryption seguirá el valor en el que esté establecida la directiva EncryptionMethodByDriveType . Sin embargo, esta configuración de directiva se omitirá para el cifrado automático de unidades fijas y el cifrado automático de unidades del sistema operativo.

Los volúmenes de datos fijos cifrados se tratan de forma similar a los volúmenes del sistema operativo. Sin embargo, los volúmenes de datos fijos deben cumplir otros criterios para que se consideren cifrados:

No debe ser un volumen dinámico.
No debe ser una partición de recuperación.
No debe ser un volumen oculto.
No debe ser una partición del sistema.
No debe estar respaldado por el almacenamiento virtual.
No debe tener una referencia en el almacén BCD.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	0

Valores permitidos:

Valor	Descripción
0 (Predeterminado)	Deshabilitar. Si la configuración de directiva no está establecida o está establecida en 0, el estado de cumplimiento del dispositivo no se comprueba. La directiva no aplica el cifrado y no descifra volúmenes cifrados.
1	Habilitar. Se comprueba el estado de cumplimiento del dispositivo. Al establecer esta directiva en 1, se desencadena el cifrado de todas las unidades (de forma silenciosa o no silenciosa en función de la directiva AllowWarningForOtherDiskEncryption).

Ejemplo:

Para deshabilitar RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Nota

Esta directiva está en desuso y puede quitarse en una versión futura.

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Permite que el Administración requiera el cifrado de la tarjeta de almacenamiento en el dispositivo.

Esta directiva solo es válida para la SKU móvil.

Valor de ejemplo de este nodo para habilitar esta directiva:

Deshabilitar la directiva no desactivará el cifrado en la tarjeta de almacenamiento. Pero dejará de pedir al usuario que lo active.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado	0

Valores permitidos:

Valor	Descripción
0 (Predeterminado)	No es necesario cifrar las tarjetas de almacenamiento.
1	Requerir que las tarjetas de almacenamiento se cifren.

RotateRecoveryPasswords

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1909 [10.0.18363] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Permite al administrador insertar la rotación única de todas las contraseñas de recuperación numéricas para unidades de sistema operativo y datos fijos en un dispositivo unido a Microsoft Entra ID o híbrido.

Esta directiva es Tipo de ejecución y gira todas las contraseñas numéricas cuando se emiten desde las herramientas de MDM.

La directiva solo entra en vigor cuando la copia de seguridad de Active Directory para una contraseña de recuperación está configurada como "requerida".

Para las unidades del sistema operativo, habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en Servicios de dominio de Active Directory para las unidades del sistema operativo".
En el caso de las unidades fijas, habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en Servicios de dominio de Active Directory para unidades de datos fijas".

El cliente devuelve el estado DM_S_ACCEPTED_FOR_PROCESSING para indicar que se ha iniciado la rotación. El servidor puede consultar el estado con los siguientes nodos de estado:

status\RotateRecoveryPasswordsStatus
status\RotateRecoveryPasswordsRequestID.

Valores admitidos: forma de cadena del identificador de solicitud. El formato de ejemplo del identificador de solicitud es GUID. El servidor puede elegir el formato según sea necesario según las herramientas de administración.

Nota

La rotación de claves solo se admite en estos tipos de inscripción. Para obtener más información, vea enumeración deviceEnrollmentType.

windowsAzureADJoin.
windowsBulkAzureDomainJoin.
windowsAzureADJoinUsingDeviceAuth.
windowsCoManagement.

Sugerencia

La característica de rotación de claves solo funcionará cuando:

Para las unidades del sistema operativo:
- OSRequireActiveDirectoryBackup_Name se establece en 1 ("Obligatorio").
- OSActiveDirectoryBackup_Name se establece en true.
Para las unidades de datos fijas:
- FDVRequireActiveDirectoryBackup_Name se establece en 1 = ("Obligatorio").
- FDVActiveDirectoryBackup_Name se establece en true.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Exec

Estado

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/Status

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`node`
Tipo de acceso	Obtener

Estado/DeviceEncryptionStatus

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Este nodo notifica el estado de cumplimiento del cifrado de dispositivos en el sistema.

El valor '0' significa que el dispositivo es compatible. Cualquier otro valor representa un dispositivo no compatible.

Este valor representa una máscara de bits con cada bit y el código de error correspondiente descrito en la tabla siguiente:

Poco	Código de error
0	La directiva de BitLocker requiere el consentimiento del usuario para iniciar el Asistente para cifrado de unidad BitLocker para iniciar el cifrado del volumen del sistema operativo, pero el usuario no ha consentida.
1	El método de cifrado del volumen del sistema operativo no coincide con la directiva de BitLocker.
2	El volumen del sistema operativo está desprotegido.
3	La directiva de BitLocker requiere un protector de solo TPM para el volumen del sistema operativo, pero no se usa la protección de TPM.
4	La directiva de BitLocker requiere protección de TPM+PIN para el volumen del sistema operativo, pero no se usa un protector TPM+PIN.
5	La directiva de BitLocker requiere tpm+ protección de clave de inicio para el volumen del sistema operativo, pero no se usa un protector de clave de inicio y TPM.
6	La directiva de BitLocker requiere tpm+PIN+protección de clave de inicio para el volumen del sistema operativo, pero no se usa un protector de clave de inicio+PIN+TPM.
7	La directiva de BitLocker requiere un protector de TPM para proteger el volumen del sistema operativo, pero no se usa un TPM.
8	Error en la copia de seguridad de la clave de recuperación.
9	Una unidad fija está desprotegida.
10	El método de cifrado de la unidad fija no coincide con la directiva de BitLocker.
11	Para cifrar las unidades, la directiva de BitLocker requiere que el usuario inicie sesión como administrador o, si el dispositivo está unido a Microsoft Entra ID, la directiva AllowStandardUserEncryption debe establecerse en 1.
12	Windows Recovery Environment (WinRE) no está configurado.
13	Un TPM no está disponible para BitLocker, ya sea porque no está presente, se ha dejado de estar disponible en el Registro o el sistema operativo está en una unidad extraíble.
14	El TPM no está listo para BitLocker.
15	La red no está disponible, lo que es necesario para la copia de seguridad de claves de recuperación.
16	El tipo de cifrado del volumen del sistema operativo para el disco completo frente al espacio usado solo el cifrado no coincide con la directiva de BitLocker.
17	El tipo de cifrado de la unidad fija para el disco completo frente al espacio usado solo el cifrado no coincide con la directiva de BitLocker.
18-31	Para uso futuro.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Obtener

Status/RemovableDrivesEncryptionStatus

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Este nodo notifica el estado de cumplimiento del cifrado de la unidad de eliminación. Valor "0" significa que la unidad de eliminación se cifra siguiendo todos los valores establecidos de la unidad de eliminación.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Obtener

Status/RotateRecoveryPasswordsRequestID

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1909 [10.0.18363] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Este nodo notifica el RequestID correspondiente a RotateRecoveryPasswordsStatus.

Este nodo debe consultarse en sincronización con RotateRecoveryPasswordsStatus para asegurarse de que el estado coincide correctamente con el identificador de solicitud.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Obtener

Status/RotateRecoveryPasswordsStatus

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1909 [10.0.18363] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Este nodo notifica el estado de la solicitud RotateRecoveryPasswords.

El código de estado puede ser uno de los siguientes:

NotStarted(2), Pending (1), Pass (0), Otros códigos de error en caso de error.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`int`
Tipo de acceso	Obtener

SystemDrivesDisallowStandardUsersCanChangePIN

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Esta configuración de directiva le permite configurar si los usuarios estándar pueden cambiar los PIN de volumen de BitLocker, siempre que puedan proporcionar primero el PIN existente.

Esta configuración de directiva se aplica al activar BitLocker.

Si habilita esta configuración de directiva, los usuarios estándar no podrán cambiar los PIN o contraseñas de BitLocker.
Si deshabilita o no establece esta configuración de directiva, los usuarios estándar podrán cambiar los PIN y contraseñas de BitLocker.

Nota

Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales.

El valor de ejemplo de este nodo para deshabilitar esta directiva es: <disabled/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	DisallowStandardUsersCanChangePIN_Name
Nombre descriptivo	No permitir que los usuarios estándar cambien el PIN o la contraseña
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	No permitirStandardUserPINReset
Nombre de archivo ADMX	VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Esta configuración de directiva permite a los usuarios activar opciones de autenticación que requieren la entrada del usuario desde el entorno previo al arranque, incluso si la plataforma carece de capacidad de entrada previa al arranque.

El teclado táctil de Windows (como el que usan las tabletas) no está disponible en el entorno previo al arranque, donde BitLocker requiere información adicional, como un PIN o una contraseña.

Si habilita esta configuración de directiva, los dispositivos deben tener un medio alternativo de entrada previa al arranque (por ejemplo, un teclado USB conectado).
Si esta directiva no está habilitada, el entorno de recuperación de Windows debe estar habilitado en tabletas para admitir la entrada de la contraseña de recuperación de BitLocker. Cuando el entorno de recuperación de Windows no está habilitado y esta directiva no está habilitada, no puedes activar BitLocker en un dispositivo que use el teclado táctil de Windows.

Tenga en cuenta que si no habilita esta configuración de directiva, es posible que las opciones de la directiva "Requerir autenticación adicional al iniciar" no estén disponibles en estos dispositivos. Estas opciones incluyen:

Configuración del PIN de inicio de TPM: obligatorio o permitido
Configuración de la clave de inicio y el PIN de TPM: obligatorio o permitido
Configure el uso de contraseñas para unidades de sistema operativo.

El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	EnablePrebootInputProtectorsOnSlates_Name
Nombre descriptivo	Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en pizarras
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	OSEnablePrebootInputProtectorsOnSlates
Nombre de archivo ADMX	VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Esta configuración de directiva permite a los usuarios de dispositivos compatibles con InstantGo o Microsoft Hardware Security Test Interface (HSTI) no tener un PIN para la autenticación previa al arranque. Esto invalida las opciones "Requerir PIN de inicio con TPM" y "Requerir clave de inicio y PIN con TPM" de la directiva "Requerir autenticación adicional al inicio" en hardware compatible.

Si habilita esta configuración de directiva, los usuarios de dispositivos compatibles con InstantGo y HSTI tendrán la opción de activar BitLocker sin autenticación previa al arranque.
Si esta directiva no está habilitada, se aplican las opciones de la directiva "Requerir autenticación adicional al inicio".

El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	EnablePreBootPinExceptionOnDECapableDevice_Name
Nombre descriptivo	Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan optar por no usar el PIN previo al arranque.
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	OSEnablePreBootPinExceptionOnDECapableDevice
Nombre de archivo ADMX	VolumeEncryption.admx

SystemDrivesEncryptionType

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Si habilita esta configuración de directiva, el tipo de cifrado que BitLocker usará para cifrar las unidades se define mediante esta directiva y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, el Asistente para la instalación de BitLocker pedirá al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Valores posibles:

0: Permitir que el usuario elija.
1: Cifrado completo.
2: Solo se usa el cifrado de espacio.

Nota

Para obtener más información sobre la herramienta para administrar BitLocker, consulte manage-bde.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	OSEncryptionType_Name
Nombre descriptivo	Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	OSEncryptionType
Nombre de archivo ADMX	VolumeEncryption.admx

SystemDrivesEnhancedPIN

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 2004 [10.0.19041.1202] y versiones posteriores ✅Windows 10, versión 2009 [10.0.19042.1202] y versiones posteriores ✅Windows 10, versión 21H1 [10.0.19043.1202] y versiones posteriores ✅Windows 11, versión 21H2 [10.0.22000] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Esta configuración de directiva le permite configurar si se usan o no PIN de inicio mejorados con BitLocker.

Los PIN de inicio mejorados permiten el uso de caracteres como letras mayúsculas y minúsculas, símbolos, números y espacios. Esta configuración de directiva se aplica al activar BitLocker.

Si habilita esta configuración de directiva, todos los PIN de inicio de BitLocker nuevos se mejorarán.

Nota

No todos los equipos pueden admitir PIN mejorados en el entorno previo al arranque. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker.

Si deshabilita o no establece esta configuración de directiva, no se usarán los PIN mejorados.

El valor de ejemplo de este nodo para habilitar esta directiva es: <enabled/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	EnhancedPIN_Name
Nombre descriptivo	Permitir PIN mejorados para el inicio
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre del valor de registro	UseEnhancedPin
Nombre de archivo ADMX	VolumeEncryption.admx

SystemDrivesMinimumPINLength

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Esta configuración de directiva le permite configurar una longitud mínima para un PIN de inicio del módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.

Si habilita esta configuración de directiva, puede requerir que se use un número mínimo de dígitos al establecer el PIN de inicio.
Si deshabilita o no establece esta configuración de directiva, los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

Nota

Si la longitud mínima del PIN se establece por debajo de 6 dígitos, Windows intentará actualizar el período de bloqueo de TPM 2.0 para que sea mayor que el predeterminado cuando se cambie un PIN. Si se ejecuta correctamente, Windows solo restablecerá el período de bloqueo de TPM al valor predeterminado si se restablece el TPM.

Nota

En Windows 10, versión 1703 B, puede usar una longitud mínima de PIN de 4 dígitos.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/><data id="MinPINLength" value="xx"/>

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	MinimumPINLength_Name
Nombre descriptivo	Configuración de la longitud mínima del PIN para el inicio
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Esta configuración de directiva le permite configurar todo el mensaje de recuperación o reemplazar la dirección URL existente que se muestra en la pantalla de recuperación de claves previa al arranque cuando la unidad del sistema operativo está bloqueada.

Si selecciona la opción "Usar el mensaje de recuperación predeterminado y la dirección URL", el mensaje de recuperación y la dirección URL predeterminados de BitLocker se mostrarán en la pantalla de recuperación de claves previa al arranque. Si anteriormente ha configurado un mensaje de recuperación personalizado o una dirección URL y quiere revertir al mensaje predeterminado, debe mantener habilitada la directiva y seleccionar la opción "Usar el mensaje de recuperación predeterminado y la dirección URL".

Si selecciona la opción "Usar mensaje de recuperación personalizada", el mensaje que escriba en el cuadro de texto "Opción de mensaje de recuperación personalizada" se mostrará en la pantalla de recuperación de claves previa al arranque. Si hay una dirección URL de recuperación disponible, insclúyela en el mensaje.

Si selecciona la opción "Usar dirección URL de recuperación personalizada", la dirección URL que escriba en el cuadro de texto "Custom recovery URL option" (Dirección URL de recuperación personalizada) reemplazará la dirección URL predeterminada en el mensaje de recuperación predeterminado, que se mostrará en la pantalla de recuperación de claves previa al arranque.

Nota

No todos los caracteres e idiomas se admiten en el arranque previo. Se recomienda encarecidamente probar que los caracteres que se usan para el mensaje personalizado o la dirección URL aparecen correctamente en la pantalla de recuperación previa al arranque.

Elementos de id. de datos:

PrebootRecoveryInfoDropDown_Name: seleccione una opción para el mensaje de recuperación previa al arranque.
RecoveryMessage_Input: mensaje de recuperación personalizado
RecoveryUrl_Input: Dirección URL de recuperación personalizada

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

Los valores posibles de 'xx' son:

0 = Vacío
1 = Use el mensaje de recuperación y la dirección URL predeterminados (en este caso, no es necesario especificar un valor para "RecoveryMessage_Input" o "RecoveryUrl_Input").
2 = Se ha establecido el mensaje de recuperación personalizado.
3 = Se ha establecido la dirección URL de recuperación personalizada.

El valor posible de 'yy' y 'zz' es una cadena de longitud máxima de 900 y 500 respectivamente.

Nota

Al habilitar SystemDrivesRecoveryMessage, debe especificar valores para los tres valores (pantalla de recuperación previa al arranque, mensaje de recuperación y dirección URL de recuperación), de lo contrario, se producirá un error (estado devuelto 500). Por ejemplo, si solo especifica valores para el mensaje y la dirección URL, obtendrá un estado devuelto de 500.
No todos los caracteres e idiomas se admiten en el arranque previo. Se recomienda encarecidamente probar que los caracteres que se usan para el mensaje personalizado o la dirección URL aparecen correctamente en la pantalla de recuperación previa al arranque.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	PrebootRecoveryInfo_Name
Nombre descriptivo	Configuración del mensaje y la dirección URL de la recuperación previa al arranque
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	Software\Policies\Microsoft\FVE
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Esta configuración de directiva permite controlar cómo se recuperan las unidades de sistema operativo protegidas por BitLocker en ausencia de la información de clave de inicio necesaria. Esta configuración de directiva se aplica al activar BitLocker.

La casilla "Permitir agente de recuperación de datos basada en certificados" se usa para especificar si se puede usar un agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directiva de grupo o en la directiva de grupo Editor local. Consulte la Guía de implementación de cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre cómo agregar agentes de recuperación de datos.

En "Guardar información de recuperación de BitLocker en Servicios de dominio de Active Directory", elija qué información de recuperación de BitLocker almacenar en AD DS para las unidades del sistema operativo. Si selecciona "Contraseña de recuperación de copia de seguridad y paquete de claves", tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona "Solo contraseña de recuperación de copia de seguridad", solo la contraseña de recuperación se almacena en AD DS.

Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.

Nota

Si la casilla "No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para unidades del sistema operativo" está activada, se genera automáticamente una contraseña de recuperación.

Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de sistema operativo protegidas por BitLocker.
Si esta configuración de directiva está deshabilitada o no está configurada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.

Elementos de id. de datos:

OSAllowDRA_Name: Permitir el agente de recuperación de datos basado en certificados
OSRecoveryPasswordUsageDropDown_Name y OSRecoveryKeyUsageDropDown_Name: Configurar el almacenamiento del usuario de la información de recuperación de BitLocker
OSHideRecoveryPage_Name: Omitir las opciones de recuperación del Asistente para la instalación de BitLocker
OSActiveDirectoryBackup_Name y OSActiveDirectoryBackupDropDown_Name: Guarde la información de recuperación de BitLocker en Servicios de dominio de Active Directory
OSRequireActiveDirectoryBackup_Name: No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

Los valores posibles de 'xx' son:

true = permitir explícitamente
false = Directiva no establecida

Los valores posibles de 'yy' son:

0 = No permitido
1 = Obligatorio
2 = Permitido

Los valores posibles de 'zz' son:

1 = Almacenar contraseñas de recuperación y paquetes de claves.
2 = Almacenar solo contraseñas de recuperación.

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	OSRecoveryUsage_Name
Nombre descriptivo	Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	OSRecovery
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Ámbito	Ediciones	Sistema operativo aplicable
Dispositivo ✅ ❌ Usuario	✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC	✅Windows 10, versión 1703 [10.0.15063] y versiones posteriores

./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Esta configuración de directiva le permite configurar si BitLocker requiere autenticación adicional cada vez que se inicia el equipo y si usa BitLocker con o sin un módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker.

Nota

Solo se puede requerir una de las opciones de autenticación adicionales durante el inicio; de lo contrario, se produce un error de directiva.

Si desea usar BitLocker en un equipo sin TPM, active la casilla "Permitir BitLocker sin un TPM compatible". En este modo, se requiere una contraseña o una unidad USB para el inicio. Cuando se usa una clave de inicio, la información de clave utilizada para cifrar la unidad se almacena en la unidad USB, creando una clave USB. Cuando se inserta la clave USB, el acceso a la unidad se autentica y se puede acceder a la unidad. Si la clave USB se pierde o no está disponible o si ha olvidado la contraseña, tendrá que usar una de las opciones de recuperación de BitLocker para acceder a la unidad.

En un equipo con un TPM compatible, se pueden usar cuatro tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la inserción de una unidad flash USB que contenga una clave de inicio, la entrada de un número de identificación personal (PIN) de 6 dígitos a 20 dígitos, o ambos.

Si habilita esta configuración de directiva, los usuarios pueden configurar opciones de inicio avanzadas en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, los usuarios solo podrán configurar opciones básicas en equipos con un TPM.

Nota

Si desea requerir el uso de un PIN de inicio y una unidad flash USB, debe configurar los valores de BitLocker mediante la herramienta de línea de comandos manage-bde en lugar del Asistente para la configuración de cifrado de unidad BitLocker.

Nota

En Windows 10, versión 1703 B, puede usar un PIN mínimo de 4 dígitos. La directiva SystemDrivesMinimumPINLength debe establecerse para permitir PIN de menos de 6 dígitos.
Los dispositivos que pasan la validación de la especificación de estabilidad de seguridad de hardware (HSTI) o los dispositivos en espera modernos no podrán configurar un PIN de inicio mediante este CSP. Los usuarios deben configurar manualmente el PIN. Elementos de id. de datos:

ConfigureNonTPMStartupKeyUsage_Name = Permitir BitLocker sin un TPM compatible (requiere una contraseña o una clave de inicio en una unidad flash USB).
ConfigureTPMStartupKeyUsageDropDown_Name = (para el equipo con TPM) Configure la clave de inicio de TPM.
ConfigurePINUsageDropDown_Name = (para el equipo con TPM) Configure el PIN de inicio de TPM.
ConfigureTPMPINKeyUsageDropDown_Name = (para el equipo con TPM) Configure la clave de inicio y el PIN de TPM.
ConfigureTPMUsageDropDown_Name = (para el equipo con TPM) Configure el inicio de TPM.

El valor de ejemplo de este nodo para habilitar esta directiva es:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

Los valores posibles de 'xx' son:

true = permitir explícitamente
false = Directiva no establecida

Los valores posibles de 'yy' son:

2 = Opcional
1 = Obligatorio
0 = No permitido

Propiedades del marco de descripción:

Nombre de la propiedad	Valor de propiedad
Formato	`chr` (cadena)
Tipo de acceso	Agregar, Eliminar, Obtener, Reemplazar

Sugerencia

Se trata de una directiva respaldada por ADMX y requiere el formato SyncML para la configuración. Para obtener un ejemplo de formato SyncML, consulte Habilitación de una directiva.

Asignación de ADMX:

Nombre	Valor
Nombre	ConfigureAdvancedStartup_Name
Nombre descriptivo	Requerir autenticación adicional en el inicio
Ubicación	Configuración del equipo
Ruta de acceso	Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Nombre de la clave del Registro	SOFTWARE\Policies\Microsoft\FVE
Nombre del valor de registro	UseAdvancedStartup
Nombre de archivo ADMX	VolumeEncryption.admx

Ejemplo:

Para deshabilitar esta directiva, use el siguiente syncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Ejemplo de SyncML

El ejemplo siguiente se proporciona para mostrar el formato adecuado y no debe tomarse como recomendación.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Referencia de proveedor de servicios de configuración

CSP de BitLocker

AllowStandardUserEncryption

AllowWarningForOtherDiskEncryption

ConfigureRecoveryPasswordRotation

EncryptionMethodByDriveType

FixedDrivesEncryptionType

FixedDrivesRecoveryOptions

FixedDrivesRequireEncryption

IdentificationField

RemovableDrivesConfigureBDE

RemovableDrivesEncryptionType

RemovableDrivesExcludedFromEncryption

RemovableDrivesRequireEncryption

RequireDeviceEncryption

RequireStorageCardEncryption

RotateRecoveryPasswords

Estado

Estado/DeviceEncryptionStatus

Status/RemovableDrivesEncryptionStatus

Status/RotateRecoveryPasswordsRequestID

Status/RotateRecoveryPasswordsStatus

SystemDrivesDisallowStandardUsersCanChangePIN

SystemDrivesEnablePrebootInputProtectorsOnSlates

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

SystemDrivesEncryptionType

SystemDrivesEnhancedPIN

SystemDrivesMinimumPINLength

SystemDrivesRecoveryMessage

SystemDrivesRecoveryOptions

SystemDrivesRequireStartupAuthentication

Ejemplo de SyncML

Comentarios

Comentarios

Recursos adicionales

CSP de BitLocker

AllowStandardUserEncryption

AllowWarningForOtherDiskEncryption

ConfigureRecoveryPasswordRotation

EncryptionMethodByDriveType

FixedDrivesEncryptionType

FixedDrivesRecoveryOptions

FixedDrivesRequireEncryption

IdentificationField

RemovableDrivesConfigureBDE

RemovableDrivesEncryptionType

RemovableDrivesExcludedFromEncryption

RemovableDrivesRequireEncryption

RequireDeviceEncryption

RequireStorageCardEncryption

RotateRecoveryPasswords

Estado

Estado/DeviceEncryptionStatus

Status/RemovableDrivesEncryptionStatus

Status/RotateRecoveryPasswordsRequestID

Status/RotateRecoveryPasswordsStatus

SystemDrivesDisallowStandardUsersCanChangePIN

SystemDrivesEnablePrebootInputProtectorsOnSlates

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

SystemDrivesEncryptionType

SystemDrivesEnhancedPIN

SystemDrivesMinimumPINLength

SystemDrivesRecoveryMessage

SystemDrivesRecoveryOptions

SystemDrivesRequireStartupAuthentication

Ejemplo de SyncML

Artículos relacionados

Comentarios

Comentarios

Recursos adicionales