XenMobile® Server

Directiva de dispositivo BitLocker

April 16, 2026

Contribución de:

Windows 10 y Windows 11 incluyen una función de cifrado de disco llamada BitLocker, que proporciona protecciones adicionales para archivos y sistemas contra el acceso no autorizado a un dispositivo Windows perdido o robado. Para mayor protección, puedes usar BitLocker con chips Trusted Platform Module (TPM), versión 1.2 o posterior. Un chip TPM gestiona las operaciones criptográficas y genera, almacena y limita el uso de claves criptográficas.

A partir de Windows 10, compilación 1703, las directivas MDM pueden controlar BitLocker. Usas la directiva de dispositivo BitLocker en XenMobile® para configurar los ajustes disponibles en el asistente de BitLocker en dispositivos Windows 10 y Windows 11. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker puede preguntar a los usuarios cómo quieren desbloquear su unidad al inicio, cómo hacer una copia de seguridad de su clave de recuperación y cómo desbloquear una unidad fija. Los ajustes de la directiva de dispositivo BitLocker también configuran si:

Habilitar BitLocker en dispositivos sin un chip TPM.
Mostrar opciones de recuperación en la interfaz de BitLocker.
Denegar el acceso de escritura a una unidad fija o extraíble cuando BitLocker no está habilitado.

Nota:

Una vez que el cifrado de BitLocker se inicia en un dispositivo, no puedes cambiar la configuración de BitLocker en el dispositivo más tarde implementando una directiva de dispositivo BitLocker actualizada.

Para agregar o configurar esta directiva, ve a Configurar > Directivas de dispositivo. Para obtener más información, consulta Directivas de dispositivo.

Requisitos

La directiva de dispositivo BitLocker requiere Windows 10 o Windows 11 Enterprise edition.
Antes de implementar la directiva de dispositivo BitLocker, prepara tu entorno para el uso de BitLocker. Para obtener información detallada de Microsoft, incluidos los requisitos del sistema de BitLocker y la configuración, consulta BitLocker y los artículos bajo ese nodo.

Ajustes de Windows Desktop y Tablet

Imagen de la pantalla de configuración de Directivas de dispositivo

Requerir que el dispositivo esté cifrado: Determina si se debe pedir a los usuarios que habiliten el cifrado de BitLocker en Windows Desktop o Tablet. Si está en Activado, el dispositivo muestra un mensaje después de que se completa la inscripción, indicando que la empresa requiere el cifrado del dispositivo. Si está en Desactivado, no se le pide al usuario y BitLocker usa los ajustes de la directiva. El valor predeterminado es Desactivado.
Configurar métodos de cifrado: Determina los métodos de cifrado a usar para tipos de unidad específicos. Si está en Desactivado, el asistente de BitLocker pide al usuario el método de cifrado a usar para un tipo de unidad. El método de cifrado para todas las unidades predetermina a XTS-AES de 128 bits. El método de cifrado para unidades extraíbles predetermina a AES-CBC de 128 bits. Si está en Activado, BitLocker usa el método de cifrado especificado en la directiva. Si está en Activado, aparecen estos ajustes adicionales: Unidad del sistema operativo, Unidad fija y Unidad extraíble. Elige el método de cifrado predeterminado para cada tipo de unidad. El valor predeterminado es Desactivado.
Requerir autenticación adicional al inicio: Especifica la autenticación adicional requerida durante el inicio del dispositivo. También especifica si se permite BitLocker en dispositivos que no tienen un chip TPM. Si está en Desactivado, los dispositivos sin TPM no pueden usar el cifrado de BitLocker. Para obtener información sobre TPM, consulta el artículo de Microsoft, Trusted Platform Module Technology Overview. Si está en Activado, aparecen los siguientes ajustes adicionales. El valor predeterminado es Desactivado.
- Bloquear BitLocker en dispositivos sin chip TPM: En un dispositivo sin chip TPM, BitLocker requiere que los usuarios creen una contraseña de desbloqueo o una clave de inicio. La clave de inicio se almacena en una unidad USB, que el usuario debe conectar al dispositivo antes del inicio. La contraseña de desbloqueo tiene un mínimo de ocho caracteres. El valor predeterminado es Desactivado.
- Inicio de TPM: En un dispositivo con TPM, hay cuatro modos de desbloqueo: solo TPM, TPM + PIN, TPM + clave y TPM + PIN + clave. El inicio de TPM es para el modo solo TPM, en el que las claves de cifrado se almacenan en el chip TPM. Este modo no requiere que un usuario proporcione más datos de desbloqueo. El dispositivo del usuario se desbloquea automáticamente durante el reinicio, usando la clave de cifrado del chip TPM. El valor predeterminado es Permitir TPM.
- PIN de inicio de TPM: Este ajuste es el modo de desbloqueo TPM + PIN. Un PIN puede tener hasta 20 dígitos. Usa el ajuste Longitud mínima del PIN para especificar la longitud mínima del PIN. Un usuario configura un PIN durante la configuración de BitLocker y proporciona el PIN durante el inicio del dispositivo.
- Clave de inicio de TPM: Este ajuste es el modo de desbloqueo TPM + clave. La clave de inicio se almacena en una unidad USB u otra unidad extraíble, que el usuario debe conectar al dispositivo antes del inicio.
- Clave de inicio y PIN de TPM: Este ajuste es el modo de desbloqueo TPM + PIN + clave.
  
  Si el desbloqueo tiene éxito, el sistema operativo comienza a cargarse. Si el desbloqueo falla, el dispositivo entra en modo de recuperación.
Longitud mínima del PIN: La longitud mínima del PIN de inicio de TPM. El valor predeterminado es 6.
Configurar la recuperación de la unidad del sistema operativo: Si el paso de desbloqueo falla, BitLocker pide al usuario la clave de recuperación configurada. Este ajuste configura las opciones de recuperación de la unidad del sistema operativo disponibles para los usuarios si no tienen la contraseña de desbloqueo o la clave de inicio USB. El valor predeterminado es Desactivado.
- Permitir agente de recuperación de datos basado en certificado: Especifica si se permite un agente de recuperación de datos basado en certificado. Agrega un agente de recuperación de datos desde Directivas de clave pública, que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local. Para obtener más información sobre los agentes de recuperación de datos, consulta el artículo de Microsoft, BitLocker Group Policy settings. El valor predeterminado es Desactivado.
- Crear contraseña de recuperación de 48 bits para la recuperación de la unidad del sistema operativo: Especifica si se permite o se requiere que los usuarios usen una contraseña de recuperación. BitLocker genera la contraseña y la almacena en un archivo o en una cuenta de Microsoft Cloud. El valor predeterminado es Permitir contraseña de 48 dígitos.
- Crear clave de recuperación de 256 bits: Especifica si se permite o se requiere que los usuarios usen una clave de recuperación. Una clave de recuperación es un archivo BEK, que se almacena en una unidad USB. El valor predeterminado es Permitir clave de recuperación de 256 bits.
- Ocultar opciones de recuperación de la unidad del sistema operativo: Especifica si se muestran u ocultan las opciones de recuperación en la interfaz de BitLocker. Si está en Activado, no aparecen opciones de recuperación en la interfaz de BitLocker. En ese caso, registra el dispositivo en Active Directory, guarda las opciones de recuperación en Active Directory y establece Guardar información de recuperación en AD DS en Activado. El valor predeterminado es Desactivado.
- Guardar información de recuperación en AD DS: Especifica si se guardan las opciones de recuperación en Active Directory Domain Services. El valor predeterminado es Desactivado.
- Configurar la información de recuperación almacenada en AD DS: Especifica si se almacena la contraseña de recuperación de BitLocker o la contraseña de recuperación y el paquete de claves en Active Directory Domain Services. Almacenar el paquete de claves permite recuperar datos de una unidad físicamente dañada. El valor predeterminado es Copia de seguridad de la contraseña de recuperación.
- Habilitar BitLocker después de almacenar la información de recuperación en AD DS: Especifica si se impide a los usuarios habilitar BitLocker a menos que el dispositivo esté conectado a un dominio y la copia de seguridad de la información de recuperación de BitLocker en Active Directory tenga éxito. Si está en Activado, un dispositivo debe estar unido a un dominio antes de iniciar BitLocker. El valor predeterminado es Desactivado.
Personalizar mensaje y URL de recuperación previa al arranque: Especifica si BitLocker muestra un mensaje y una URL personalizados en la pantalla de recuperación. Si está en Activado, aparecen los siguientes ajustes adicionales: Usar mensaje y URL de recuperación predeterminados, Usar mensaje y URL de recuperación vacíos, Usar mensaje de recuperación personalizado y Usar URL de recuperación personalizada. Si está en Desactivado, se muestran el mensaje y la URL de recuperación predeterminados. El valor predeterminado es Desactivado.
Configurar la recuperación de la unidad fija: Configura las opciones de recuperación para los usuarios de una unidad fija cifrada con BitLocker. BitLocker no muestra un mensaje a los usuarios sobre el cifrado de la unidad fija. Para desbloquear una unidad durante el inicio, un usuario proporciona una contraseña o una tarjeta inteligente. Los ajustes de desbloqueo de inicio, que no están en esta directiva, aparecen en la interfaz de BitLocker cuando un usuario habilita el cifrado de BitLocker en una unidad fija. Para obtener información sobre los ajustes relacionados, consulta Configurar la recuperación de la unidad del sistema operativo, anteriormente en esta lista. El valor predeterminado es Desactivado.
Bloquear el acceso de escritura a unidades fijas que no usan BitLocker: Si está en Activado, los usuarios solo pueden escribir en unidades fijas cuando estas están cifradas con BitLocker. El valor predeterminado es Desactivado.
Bloquear el acceso de escritura a unidades extraíbles que no usan BitLocker: Si está en Activado, los usuarios solo pueden escribir en unidades extraíbles cuando estas están cifradas con BitLocker. Configura este ajuste según si tu organización permite el acceso de escritura en otras unidades extraíbles de la organización. El valor predeterminado es Desactivado.
Solicitar otro cifrado de disco: Te permite deshabilitar la solicitud de advertencia para otro cifrado de disco en los dispositivos. El valor predeterminado es Desactivado.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Directiva de dispositivo BitLocker

April 16, 2026

Contribución de:

April 16, 2026

Contribución de:

¿Le ha resultado útil?