CSP BitLocker
Aviso
Algumas informações dizem respeito a produtos de pré-lançamento que poderão ser substancialmente modificados antes do lançamento comercial. A Microsoft não faz nenhuma garantia, expressa ou implícita, com relação às informações fornecidas aqui.
O provedor de serviços de configuração do BitLocker (CSP) é usado pela empresa para gerenciar a criptografia de computadores e dispositivos. Esse CSP foi adicionado no Windows 10, versão 1703. A partir do Windows 10, versão 1809, também é compatível com o Windows 10 pro.
Observação
As configurações são impostas apenas no momento em que a criptografia é iniciada. A criptografia não é reiniciada com as alterações de configurações.
Você deve enviar todas as configurações juntas em um único SyncML para ser eficaz.
Uma operação obter em qualquer uma das configurações, exceto para RequireDeviceEncryption e RequireStorageCardEncryption, retorna a configuração configurada pelo administrador.
Para o RequireDeviceEncryption e o RequireStorageCardEncryption, a operação obter retorna o status real da imposição para o administrador, como se a proteção TPM for necessária e se a criptografia for necessária. E se o dispositivo tiver BitLocker habilitado, mas com o protetor de senha, o status informado será 0. Uma operação de obtenção no RequireDeviceEncryption não verifica se o comprimento mínimo do PIN é aplicado (SystemDrivesMinimumPINLength).
O diagrama a seguir mostra o provedor de serviços de configuração do BitLocker no formato de árvore.
./Device/Vendor/MSFT/BitLocker
Define o nó raiz para o provedor de serviços de configuração do BitLocker.
Permite que o administrador exija a criptografia do cartão de armazenamento no dispositivo. Essa política é válida somente para uma SKU móvel.
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
 |
|
|
|
|
 |
|
O tipo de dados é inteiro. Exemplo de valor deste nó para habilitar essa política: 1. Desabilitar essa política não desativará a criptografia no cartão de armazenamento, mas o usuário não será mais solicitado a ativá-la.
- 0 (padrão) – os cartões de armazenamento não precisam ser criptografados.
- 1 – exija que os cartões de armazenamento sejam criptografados.
Desabilitar essa política não desativará a criptografia no cartão do sistema, mas o usuário não será mais solicitado a ativá-la.
Se você quiser desabilitar essa política, use o seguinte SyncML:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
O tipo de dados é inteiro. As operações com suporte são adicionar, obter, substituir e excluir.
Permite que o administrador exija que a criptografia seja ativada usando a criptografia BitLocker\Device.
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
O tipo de dados é inteiro. Exemplo de valor deste nó para habilitar essa política: 1. Desabilitar essa política não desativará a criptografia no cartão do sistema, mas o usuário não será mais solicitado a ativá-la.
Se você quiser desabilitar essa política, use o seguinte SyncML:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
O tipo de dados é inteiro. As operações com suporte são adicionar, obter, substituir e excluir.
Permite definir o método encrytion padrão para cada um dos diferentes tipos de unidade: unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis. As partições ocultas, de sistema e de recuperação são ignoradas da criptografia. Essa configuração é um mapeamento direto para a política "de grupo do BitLocker escolha o método de criptografia de unidade e o nível de codificação (Windows 10"[versão 1511] e posterior).
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome inglês do GP : escolher método de criptografia de unidade e nível de codificação (Windows 10 [versão 1511] e posterior)
- Nome da GP : EncryptionMethodWithXts_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite configurar o algoritmo e a intensidade de codificação usadas pela criptografia de unidade de disco BitLocker. Essa configuração é aplicada quando você ativa o BitLocker. Alterar o método de criptografia não terá efeito se a unidade já estiver criptografada ou se a criptografia estiver em andamento.
Se você habilitar essa configuração, poderá configurar um algoritmo de criptografia e um nível de codificação de chave para unidades de dados fixos, unidades do sistema operacional e unidades de dados removíveis individualmente. Para unidades de sistema fixas e operacionais, recomendamos que você use o algoritmo XTS-AES. Para unidades removíveis, você deve usar o AES-CBC 128-bit ou o AES-CBC 256-bit se a unidade for usada em outros dispositivos que não executam o Windows 10, versão 1511.
Se você desabilitar ou não definir essa configuração de política, o BitLocker usará o método de criptografia padrão do XTS-AES 128-bit ou o método de criptografia especificado por qualquer script de instalação.
O valor de exemplo deste nó para habilitar essa política e definir os métodos de criptografia é:
<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
EncryptionMethodWithXtsOsDropDown_Name = selecionar o método de criptografia para unidades do sistema operacional
EncryptionMethodWithXtsFdvDropDown_Name = selecione o método de criptografia para unidades de dados fixas.
EncryptionMethodWithXtsRdvDropDown_Name = selecione o método de criptografia para unidades de dados removíveis.
Os valores possíveis para 'XX' são:
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Observação
Ao habilitar o EncryptionMethodByDriveType, você deve especificar valores para todas as três unidades (sistema operacional, dados fixos e dados removíveis), caso contrário, ele falhará (500 status de retorno). Por exemplo, se você definir somente o método encrytion para o sistema operacional e unidades removíveis, receberá um status de retorno de 500.
Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
SystemDrivesRequireStartupAuthentication
Essa configuração é um mapeamento direto para a política "de grupo BitLocker requer autenticação adicional na"inicialização.
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome inglês do GP : exigir autenticação adicional na inicialização
- Nome da GP : ConfigureAdvancedStartup_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades do sistema operacional
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite que você configure se o BitLocker exige autenticação adicional toda vez que o computador é iniciado e se você está usando o BitLocker com ou sem um TPM (Trusted Platform Module). Essa configuração é aplicada quando você ativa o BitLocker.
Observação
Apenas uma das opções de autenticação adicionais pode ser necessária na inicialização; caso contrário, ocorrerá um erro.
Se você quiser usar o BitLocker em um computador sem um TPM, defina os "dados" ConfigureNonTPMStartupKeyUsage_Name. Nesse modo, é preciso ter uma senha ou uma unidade USB para a inicialização. Ao usar uma chave de inicialização, as informações principais usadas para criptografar a unidade são armazenadas na unidade USB, criando uma chave USB. Quando a chave USB é inserida, o acesso à unidade é autenticado e a unidade pode ser acessada. Se a chave USB for perdida ou não estiver disponível ou se você tiver esquecido a senha, será necessário usar uma das opções de recuperação do BitLocker para acessar a unidade.
Em um computador com um TPM compatível, quatro tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a inserção de uma unidade flash USB contendo uma chave de inicialização, a entrada de um PIN (número de identificação pessoal) de 6 dígitos a 20 dígitos ou ambos.
Observação
No Windows 10, versão 1703 Release B, você pode usar um PIN mínimo de 4 dígitos. A política SystemDrivesMinimumPINLength deve ser definida para permitir pinos menores que 6 dígitos.
Se você habilitar essa configuração de política, os usuários poderão configurar opções de inicialização avançada no assistente de configuração do BitLocker.
Se você desabilitar ou não definir essa configuração, os usuários poderão configurar apenas as opções básicas em computadores com TPM.
Observação
Se quiser exigir o uso de um PIN de inicialização e uma unidade flash USB, você deve definir as configurações de BitLocker usando a ferramenta de linha de comando Manage-bde em vez do assistente de configuração da criptografia de unidade de disco BitLocker.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/><data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/><data id="ConfigurePINUsageDropDown_Name" value="yy"/><data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/><data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
ID de dados:
- ConfigureNonTPMStartupKeyUsage_Name = permitir o BitLocker sem um TPM compatível (requer uma senha ou uma chave de inicialização em uma unidade flash USB).
- ConfigureTPMStartupKeyUsageDropDown_Name = (para computador com TPM) Configure a chave de inicialização do TPM.
- ConfigurePINUsageDropDown_Name = (para computador com TPM) Configure o PIN de inicialização do TPM.
- ConfigureTPMPINKeyUsageDropDown_Name = (para computador com TPM) Configure a chave de inicialização e o PIN do TPM.
- ConfigureTPMUsageDropDown_Name = (para computador com TPM) Configure a inicialização do TPM.
Os valores possíveis para 'XX' são:
- true = permitir explicitamente
- falso = política não definida
Os valores possíveis para os 'YY' são:
- 2 = opcional
- 1 = obrigatório
- 0 = não permitido
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
Essa configuração é um mapeamento direto para a política "de grupo do BitLocker configurar o comprimento mínimo"do PIN para a inicialização.
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome em inglês doGP: configurar o comprimento mínimo do PIN para a inicialização
- Nome da GP : MinimumPINLength_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades do sistema operacional
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite que você configure um comprimento mínimo para um PIN de inicialização do TPM (Trusted Platform Module). Essa configuração é aplicada quando você ativa o BitLocker. O PIN de inicialização deve ter um comprimento mínimo de 6 dígitos e pode ter um comprimento máximo de 20 dígitos.
Observação
No Windows 10, versão 1703 Release B, você pode usar um comprimento mínimo de PIN de 4 dígitos.
No TPM 2,0 se o comprimento mínimo do PIN for definido abaixo de 6 dígitos, o Windows tentará atualizar o período de bloqueio do TPM para ser maior do que o padrão quando um pino for alterado. Se for bem-sucedida, o Windows redefinirá o período de bloqueio do TPM novamente para o padrão se o TPM for redefinido. Isso não se aplica ao TPM 1,2.
Se você habilitar essa configuração, poderá exigir um número mínimo de dígitos a ser usado ao definir o PIN de inicialização.
Se você desabilitar ou não definir essa configuração, os usuários poderão configurar um PIN de inicialização de qualquer tamanho entre 6 e 20 dígitos.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="MinPINLength" value="xx"/>
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
Essa configuração é um mapeamento direto para a política "de grupo do BitLocker Configurando a mensagem e" a URL de recuperação pré-inicialização (PrebootRecoveryInfo_Name).
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome inglês do GP : configurar a URL e a mensagem de recuperação antes da inicialização
- Nome da GP : PrebootRecoveryInfo_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades do sistema operacional
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite que você configure toda a mensagem de recuperação ou substitua a URL existente que é exibida na tela de recuperação da chave de pré-inicialização quando a unidade do sistema operacional estiver bloqueada.
Se você definir o valor como "1" (usar mensagem de recuperação padrão e URL), a mensagem de recuperação do BITLOCKER padrão e a URL serão exibidas na tela de recuperação da chave de pré-inicialização. Se você configurou anteriormente uma mensagem ou URL de recuperação personalizada e quer reverter para a mensagem padrão, deve manter a política habilitada e definir o valor "1" (usar mensagem de recuperação padrão e URL).
Se você definir o valor como "2" (usar mensagem de recuperação personalizada), a mensagem que você definir "no" campo de dados RecoveryMessage_Input será exibida na tela de recuperação da chave de pré-inicialização. Se uma URL de recuperação estiver disponível, inclua-a na mensagem.
Se você definir o valor para "3" (usar a URL de recuperação personalizada), a URL que você "digitar" no campo dados RecoveryUrl_Input substituirá a URL padrão na mensagem de recuperação padrão, que será exibida na tela de recuperação da chave de pré-inicialização.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="PrebootRecoveryInfoDropDown_Name" value="xx"/><data id="RecoveryMessage_Input" value="yy"/><data id="RecoveryUrl_Input" value="zz"/>
Os valores possíveis para 'XX' são:
- 0 = vazio
- 1 = usar a mensagem e a URL de recuperação padrão (neste caso, você não precisa especificar um valor para "RecoveryMessage_Input" ou "RecoveryUrl_Input").
- 2 = a mensagem de recuperação personalizada está definida.
- 3 = a URL de recuperação personalizada está definida.
- ' yy ' = cadeia de caracteres de comprimento máximo 900.
- ' ZZ ' = cadeia de caracteres de comprimento máximo 500.
Observação
Ao habilitar SystemDrivesRecoveryMessage, você deve especificar valores para todas as três configurações (tela de recuperação de pré-inicialização, mensagem de recuperação e URL de recuperação), caso contrário, falhará (500 status de retorno). Por exemplo, se você especificar apenas valores para mensagem e URL, receberá um status de retorno de 500.
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Observação
Nem todos os caracteres e idiomas têm suporte na pré-inicialização. É altamente recomendável que você teste se os caracteres que você usa para a mensagem ou a URL personalizada aparecem corretamente na tela de recuperação antes da inicialização.
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
Essa configuração é um mapeamento direto para a política "de grupo do BitLocker escolha como as unidades do sistema operacional protegidas" pelo BitLocker podem ser recuperadas (OSRecoveryUsage_Name).
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome do Português ( Brasil): escolher como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
- Nome da GP : OSRecoveryUsage_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades do sistema operacional
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite que você controle como as unidades do sistema operacional protegidas pelo BitLocker são recuperadas na ausência das informações necessárias da chave de inicialização. Essa configuração é aplicada quando você ativa o BitLocker.
O "campo" de dados OSAllowDRA_Name (permitir agente de recuperação de dados com base em certificados) é usado para especificar se um agente de recuperação de dados pode ser usado com unidades do sistema operacional protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item de diretivas de chave pública no console de gerenciamento de política de grupo ou no editor de política de grupo local. Consulte o guia de implantação de criptografia de unidade de disco BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.
No "OSRecoveryPasswordUsageDropDown_Name" e "no" OSRecoveryKeyUsageDropDown_Name (configurar o armazenamento de usuários das informações de recuperação do BitLocker) Defina se os usuários são permitidos, necessários ou não podem gerar um 48- senha de recuperação de dígitos ou uma chave de recuperação de 256 bits.
Defina "OSHideRecoveryPage_Name" (omitir opções de recuperação do assistente de configuração do BitLocker) para impedir que os usuários especifiquem opções de recuperação quando ativarem o BitLocker em uma unidade. Isso significa que você não poderá especificar qual opção de recuperação usar quando ativar o BitLocker, em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política.
Defina "OSActiveDirectoryBackup_Name" (salvar informações de recuperação do BitLocker nos serviços de domínio do Active Directory) para escolher quais informações de recuperação do BITLOCKER armazenar no AD DS para unidades do sistema operacional (OSActiveDirectoryBackupDropDown _Name). Se você definir "1" (senha de recuperação de backup e pacote de chaves), tanto a senha de recuperação quanto o pacote de chaves do BITLOCKER serão armazenados no AD DS. O armazenamento do pacote de chaves dá suporte à recuperação de dados de um disco que tenha sido fisicamente corrompido. Se você definir "2" (somente a senha de recuperação de backup), somente a senha de recuperação será armazenada no AD DS.
Defina o "campo" de dados OSRequireActiveDirectoryBackup_Name (não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional) se você quiser impedir que os usuários habilitem o BitLocker, a menos que o computador esteja conectado para o domínio e o backup das informações de recuperação do BitLocker para o AD DS for bem-sucedido.
> [!Note]
>Se o "campo" de dados OSRequireActiveDirectoryBackup_Name (não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional) estiver definido, uma senha de recuperação será gerada automaticamente.
Se você habilitar essa configuração, poderá controlar os métodos disponíveis para que os usuários recuperem dados de unidades do sistema operacional protegidas pelo BitLocker.
Se essa configuração estiver desabilitada ou não configurada, as opções de recuperação padrão serão aceitas para a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e não é feito o backup das informações de recuperação no AD DS.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="OSAllowDRA_Name" value="xx"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/><data id="OSHideRecoveryPage_Name" value="xx"/><data id="OSActiveDirectoryBackup_Name" value="xx"/><data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/><data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Os valores possíveis para 'XX' são:
- true = permitir explicitamente
- falso = política não definida
Os valores possíveis para os 'YY' são:
- 2 = permitido
- 1 = obrigatório
- 0 = não permitido
Os valores possíveis para 'ZZ' são:
- 2 = somente senhas de recuperação da loja
- 1 = armazenar senhas de recuperação e pacotes de chaves
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
Essa configuração é um mapeamento direto para a política "de grupo do BitLocker escolha como as unidades fixas protegidas" pelo BitLocker podem ser recuperadas ().
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome do Português ( Brasil): escolher como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
- Nome da GP : FDVRecoveryUsage_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades fixas
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração permite controlar como os drives de dados fixos protegidos pelo BitLocker são recuperados na ausência de credenciais necessárias. Essa configuração é aplicada quando você ativa o BitLocker.
O "campo" de dados FDVAllowDRA_Name (permitir agente de recuperação de dados) é usado para especificar se um agente de recuperação de dados pode ser usado com unidades de dados fixos protegidas pelo BitLocker. Antes que um agente de recuperação de dados possa ser usado, ele deve ser adicionado do item de diretivas de chave pública no console de gerenciamento de política de grupo ou no editor de política de grupo local. Consulte o guia de implantação de criptografia de unidade de disco BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.
No "FDVRecoveryPasswordUsageDropDown_Name" (configurar o armazenamento do usuário das informações de recuperação do BitLocker) Defina se os usuários são permitidos, obrigatórios ou não podem gerar uma senha de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits.
Defina "FDVHideRecoveryPage_Name" (omitir opções de recuperação do assistente de configuração do BitLocker) para impedir que os usuários especifiquem opções de recuperação quando ativarem o BitLocker em uma unidade. Isso significa que você não poderá especificar qual opção de recuperação usar quando ativar o BitLocker, em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela configuração da política.
Defina "FDVActiveDirectoryBackup_Name" (salvar informações de recuperação do BitLocker nos serviços de domínio do Active Directory) para habilitar o salvamento da chave de recuperação para o AD.
Defina o "campo" de dados FDVRequireActiveDirectoryBackup_Name (não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas) se desejar impedir que os usuários habilitem o BitLocker, a menos que o computador esteja conectado ao o domínio e o backup das informações de recuperação do BitLocker no AD DS serão bem-sucedidos.
Defina o "FDVActiveDirectoryBackupDropDown_Name" (configurar o armazenamento de informações de recuperação do BITLOCKER com o AD DS) para escolher quais informações de recuperação do BITLOCKER armazenar no AD DS para unidades de dados fixas. Se você selecionar "1" (senha de recuperação de backup e pacote de chaves), tanto a senha de recuperação quanto o pacote de chaves do BITLOCKER serão armazenados no AD DS. O armazenamento do pacote de chaves dá suporte à recuperação de dados de um disco que tenha sido fisicamente corrompido. Se você selecionar "2" (somente senha de recuperação de backup), somente a senha de recuperação será armazenada no AD DS.
> [!Note]
>Se o "campo" de dados FDVRequireActiveDirectoryBackup_Name (não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas) estiver definido, uma senha de recuperação será gerada automaticamente.
Se você habilitar essa configuração, poderá controlar os métodos disponíveis para os usuários recuperarem dados de unidades de dados fixas protegidas pelo BitLocker.
Se essa configuração não for definida ou desabilitada, as opções de recuperação padrão serão aceitas para a recuperação do BitLocker. Por padrão, um DRA é permitido, as opções de recuperação podem ser especificadas pelo usuário, incluindo a senha de recuperação e a chave de recuperação, e não é feito o backup das informações de recuperação no AD DS.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="FDVAllowDRA_Name" value="xx"/><data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/><data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/><data id="FDVHideRecoveryPage_Name" value="xx"/><data id="FDVActiveDirectoryBackup_Name" value="xx"/><data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/><data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Os valores possíveis para 'XX' são:
- true = permitir explicitamente
- falso = política não definida
Os valores possíveis para os 'YY' são:
- 2 = permitido
- 1 = obrigatório
- 0 = não permitido
Os valores possíveis para 'ZZ' são:
- 2 = somente senhas de recuperação da loja
- 1 = armazenar senhas de recuperação e pacotes de chaves
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
Essa configuração é um mapeamento direto para a política "de grupo BitLocker negar o acesso de gravação a unidades fixas" não protegidas pelo BitLocker (FDVDenyWriteAccess_Name).
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome do Português ( Brasil): negar acesso de gravação a unidades fixas não protegidas pelo BitLocker
- Nome da GP : FDVDenyWriteAccess_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades fixas
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração determina se a proteção do BitLocker é necessária para que as unidades de dados fixas sejam graváveis em um computador.
Se você habilitar essa configuração, todas as unidades de dados fixas que não são protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade for protegida pelo BitLocker, será montada com acesso de leitura e gravação.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/>
Se você desabilitar ou não definir esta configuração, todas as unidades de dados fixas no computador serão montadas com acesso de leitura e gravação. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Tipo de dados é cadeia de caracteres. As operações com suporte são adicionar, obter, substituir e excluir.
RemovableDrivesRequireEncryption
Essa configuração é um mapeamento direto para a política "de grupo BitLocker negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker" (RDVDenyWriteAccess_Name).
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
Informações do ADMX:
- Nome inglês do GP : negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker
- Nome da GP : RDVDenyWriteAccess_Name
- Caminho GP: componentes do Windows/criptografia de unidade de disco BitLocker/unidades removível
- Nome do arquivo. admx do GP: VolumeEncryption. admx
Dica
Para obter um guia passo a passo para habilitar políticas com backup em ADMX, consulte habilitar políticas com backup em ADMX no MDM. Para obter informações adicionais, consulte noções básicas sobre as políticas de backup em ADMX.
Essa configuração define se a proteção do BitLocker é necessária para que um computador possa gravar dados em uma unidade de dados removível.
Se você habilitar essa configuração, todas as unidades de dados removíveis que não forem protegidas pelo BitLocker serão montadas como somente leitura. Se a unidade for protegida pelo BitLocker, será montada com acesso de leitura e gravação.
Se a "opção" RDVCrossOrg (negar acesso de gravação a dispositivos configurados em outra organização) estiver definida, somente unidades com campos de identificação correspondentes aos campos de identificação do computador's receberão acesso de gravação. Quando uma unidade de dados removível for acessada, ela será verificada quanto a um campo de identificação válido e campos de identificação permitidos. Esses campos são definidos pela configuração "fornecer os identificadores exclusivos para a política" de grupo da sua organização.
Se você desabilitar ou não definir essa configuração de política, todas as unidades de dados removíveis no computador serão montadas com acesso de leitura e gravação.
> [!Note]
>Essa configuração de política pode ser substituída pelas configurações de política de grupo em configuração do usuário \ Configuração do usuário Templates\System\Removable o acesso ao armazenamento. Se a "configuração de política de grupo discos removíveis: negar acesso" de gravação estiver habilitada, essa configuração de política será ignorada.
O valor de exemplo deste nó para habilitar essa política é:
<enabled/><data id="RDVCrossOrg" value="xx"/>
Os valores possíveis para 'XX' são:
- true = permitir explicitamente
- falso = política não definida
A desabilitação da política permitirá que o sistema escolha os comportamentos padrão. Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
Permite que o administrador desabilite a solicitação de aviso para outra criptografia de disco nas máquinas do usuário direcionadas quando a política RequireDeviceEncryption também é definida como 1.
Importante
A partir do Windows 10, versão 1803, o valor 0 só pode ser definido para dispositivos de ingresso do Azure Active Directory. Quando RequireDeviceEncryption está definido como 1 e AllowWarningForOtherDiskEncryption está definido como 0, o Windows tenta habilitar o BitLockerde forma silenciosa.
Aviso
Quando você habilita o BitLocker em um dispositivo com criptografia de terceiros, ele pode tornar o dispositivo inutilizável e exigir a reinstalação do Windows.
| Home | Pro | Negócios | Enterprise | Education | Mobile | Mobile Enterprise |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
A lista a seguir mostra os valores com suporte:
- 0 – desabilita o prompt de aviso. A partir do Windows 10, versão 1803, o valor 0 só pode ser definido para dispositivos de ingresso do Azure Active Directory. O Windows tentará habilitar o BitLocker silenciosamente para o valor 0.
- 1 (padrão) – solicitação de aviso permitida.
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
Observação
Ao desabilitar o prompt de aviso, a chave de recuperação da unidade de sistema operacional fará o backup para a conta do Active Directory do usuário do Azure. Quando você permite o prompt de aviso, o usuário que recebe o prompt pode selecionar onde fazer backup da chave de recuperação da unidade de sistema operacional.
O ponto de extremidade para o backup de uma unidade de dados fixa é escolhido na seguinte ordem:
- A conta do usuário do Windows Server Active Directory Domain Services.
- A conta do Azure Active Directory do usuário.
- O OneDrive pessoal do usuário (somente MDM/MAM).
A criptografia aguardará até que um desses três locais seja redimensionado com êxito.
AllowStandardUserEncryption
Permite que o administrador imponha a política "RequireDeviceEncryption" para cenários em que a política é enviada enquanto o usuário atualmente conectado não é administrador/conta de usuário padrão do Azure AD.
Observação
Essa política tem suporte apenas nas contas do Azure AD.
A política "AllowStandardUserEncryption" está vinculada à política "AllowWarningForOtherDiskEncryption" sendo definida como "0", ou seja, a criptografia silenciosa é imposta.
Se "AllowWarningForOtherDiskEncryption" não estiver definido ou se for definido como "1", "RequireDeviceEncryption" não tentará criptografar unidade (s) se um usuário padrão for o usuário conectado no momento.
Os valores esperados para essa política são:
- 1 = a política "RequireDeviceEncryption" tentará habilitar a criptografia em todos os drives fixos, mesmo que um usuário atualmente conectado seja um usuário padrão.
- 0 = é o padrão, quando a política não está definida. Se o usuário atual conectado for um usuário padrão, a política "RequireDeviceEncryption" não tentará habilitar a criptografia em qualquer unidade.
Se você quiser desabilitar essa política, use o seguinte SyncML:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
Exemplo de SyncML
O exemplo a seguir é fornecido para mostrar o formato adequado e não deve ser considerado como recomendação.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Comentários
Submeter e ver comentários