Política de dispositivo BitLocker
O Windows 10 e o Windows 11 incluem um recurso de criptografia de disco chamado BitLocker, que fornece proteções de arquivos e sistemas adicionais contra o acesso não autorizado de um dispositivo Windows perdido ou roubado. Para obter mais proteção, você pode usar o BitLocker com chips TPM (Trusted Platform Module), versão 1.2 ou posterior. Um chip TPM manipula operações criptográficas e gera, armazena e limita o uso de chaves criptográficas.
Começando com o Windows 10, compilação 1703, as políticas do MDM podem controlar o BitLocker. Você pode usar a política de dispositivo de BitLocker no XenMobile para definir as configurações disponíveis no Assistente de BitLocker nos dispositivos Windows 10 e Windows 11. Por exemplo, em um dispositivo com o BitLocker habilitado, o BitLocker pode solicitar aos usuários como eles querem desbloquear sua unidade na inicialização, como fazer backup de sua chave de recuperação e como desbloquear uma unidade fixa. A configuração da política do dispositivo BitLocker também configura se o seguinte deve ocorrer ou não:
- Ativar o BitLocker em dispositivos sem chip TPM
- Mostrar opções de recuperação na interface BitLocker.
- Negar acesso de gravação a uma unidade fixa ou removível quando o BitLocker não está habilitado.
Nota:
Depois de a criptografia BitLocker ter sido iniciada em um dispositivo, você não pode alterar posteriormente as configurações de BitLocker no dispositivo por meio da implantação de uma atualização da política BitLocker no dispositivo.
Para adicionar ou configurar essa política, acesse Configurar > Políticas de dispositivo. Para obter mais informações, consulte a Política de dispositivo de VPN.
Requisitos
-
A política de dispositivo BitLocker requer o Windows 10 ou Windows 11 Enterprise Edition.
-
Antes de implantar a política do dispositivo BitLocker, prepare seu ambiente para o uso do BitLocker. Para obter informações detalhadas da Microsoft, incluindo requisitos e configuração do sistema BitLocker, consulte BitLocker e os artigos abaixo daquele nó.
Configurações do Windows Desktop e Tablet
-
Exigir que o dispositivo seja criptografado: determina se os usuários devem para ativar a criptografia de BitLocker em um cartão de sistema do Windows Desktop ou Tablet. Se o valor for Ativado, os dispositivos mostram uma mensagem após a conclusão do registro, indicando que a empresa requer criptografia do dispositivo. Se o valor for Desativado, o usuário não é solicitado e o BitLocker usa as configurações de política. O padrão é Desativado.
-
Configurar métodos de criptografia: determina os métodos de criptografia a serem usados para tipos de unidade específicos. Se o valor for Desativado, o Assistente para BitLocker solicita ao usuário para identificar o método de criptografia a ser usado para um tipo de unidade. O método de criptografia para todas as unidades padrão é XTS-AES de 128 bits. O método de criptografia para as unidades removíveis é AES-CBC de 128 bits. Se o valor for Ativado, o BitLocker usa o método de criptografia especificado na política. Se o valor for Ativado, essas configurações adicionais são exibidas: unidade do sistema operacional, unidade fixa e unidade removível. Escolha o método de criptografia padrão para cada tipo de unidade. O padrão é Desativado.
-
Exigir autenticação adicional na inicialização: Especifica a autenticação adicional necessária durante a inicialização do dispositivo. Especifica se deseja permitir BitLocker em dispositivos que não têm um chip TPM também. Se o valor for Desativado, os dispositivos sem TPM não podem usar criptografia BitLocker. Para obter informações sobre TPM, consulte o artigo da Microsoft Trusted Platform Module Technology Overview. Se o valor for Ativado, as seguintes configurações adicionais são exibidas. O padrão é Desativado.
-
Bloquear o BitLocker em dispositivos sem chip TPM: em um dispositivo sem chip TPM, o BitLocker exige que os usuários criem uma senha de desbloqueio ou uma chave de inicialização. A chave de inicialização é armazenada em uma unidade USB, que o usuário deve conectar ao dispositivo antes da inicialização. A senha de desbloqueio tem um mínimo de oito caracteres. O padrão é Desativado.
-
Inicialização TPM: em um dispositivo com TPM, há quatro modos de desbloquear: somente TPM, TPM + PIN, TPM + chave, e TPM + PIN + chave. A inicialização do TPM é para o modo somente TPM, no qual as chaves de criptografia são armazenadas no chip TPM. Este modo não exige que um usuário forneça dados de desbloqueio adicionais. O dispositivo do usuário desbloqueie automaticamente durante a reinicialização, usando a chave de criptografia do chip TPM. O padrão é Permitir TPM.
-
PIN de inicialização TPM: esta configuração é o modo de desbloqueio TPM + PIN. Um PIN pode ter até 20 dígitos. Use a configuração de Comprimento mínimo do PIN para especificar o tamanho mínimo do PIN. Um usuário configura um PIN durante a instalação do BitLocker e fornece o PIN durante a inicialização do dispositivo.
-
Chave de inicialização TPM: esta configuração é o modo de desbloqueio TPM + Chave. A chave de inicialização é armazenada em uma unidade USB ou outra unidade removível, que o usuário deve conectar ao dispositivo antes da inicialização.
-
Chave de inicialização TPM e PIN: esta configuração é o modo de desbloqueio TPM + PIN + Chave.
Se o desbloqueio for bem-sucedido, o sistema operacional inicia o carregamento. Se o desbloqueio falhar, o dispositivo entra no modo de recuperação.
-
-
Comprimento mínimo do PIN: o tamanho mínimo do PIN de inicialização do TPM. O padrão é 6.
-
Configurar recuperação da unidade do sistema operacional: se a etapa de desbloqueio falhar, o BitLocker solicita ao usuário a chave de recuperação configurada. Essa configuração define as opções de recuperação da unidade do sistema operacional, disponíveis para os usuários que não tenham a senha de desbloqueio ou a chave de inicialização USB. O padrão é Desativado.
-
Permitir agente de recuperação de dados baseado em certificado: especifica se deseja ou não permitir um agente de recuperação de dados baseado em certificado. Adicione um agente de recuperação de dados das Políticas de chave pública, que está localizado no Console de Gerenciamento de Política de Grupo (GPMC) ou no Editor de Política de Grupo Local. Para obter mais informações sobre agentes de recuperação de dados, consulte o artigo Microsoft de Configurações de Política de Grupo do BitLocker. O padrão é Desativado.
-
Criar senha de recuperação de 48 bits para recuperação da unidade do sistema operacional: especifica se você deseja permitir ou exigir que os usuários usem uma senha de recuperação. O BitLocker gera a senha e a armazena em um arquivo ou conta do Microsoft Cloud. O padrão é Permitir senha de 48 dígitos.
-
Criar chave de recuperação de 256 bits: especifica se você deseja permitir ou exigir que os usuários usem uma chave de recuperação. Uma chave de recuperação é um arquivo BEK, que é armazenado em uma unidade USB. O padrão é Permitir uma chave de recuperação de 256 bits.
-
Ocultar opções de recuperação da unidade do sistema operacional: especifica se você deseja mostrar ou ocultar as opções de recuperação na interface do BitLocker. Se o valor for Ativado, nenhuma opção de recuperação aparece na interface BitLocker. Nesse caso, registre os dispositivos no Active Directory, salve as opções de recuperação no Active Directory e defina Salvar informações de recuperação no AD DS para Ativado. O padrão é Desativado.
-
Salvar informações de recuperação no AD DS: especifica se deseja salvar as opções de recuperação nos Serviços de Domínio do Active Directory. O padrão é Desativado.
-
Configurar informações de recuperação armazenadas no AD DS: especifica se deseja armazenar a senha de recuperação do BitLocker ou a senha de recuperação e o pacote de chaves nos Serviços do Domínio Active Directory. Armazenar o pacote de chaves dá suporte à recuperação de dados de uma unidade que está fisicamente corrompida. O padrão é Senha de recuperação de backup.
-
Ativar BitLocker depois de armazenar as informações de recuperação no AD DS: especifica se deseja impedir que os usuários ativem o BitLocker, a menos que o dispositivo esteja conectado ao domínio e o backup das informações de recuperação de BitLocker no Active Directory seja bem-sucedido. Se estiver Ativado, um dispositivo deve ser ingressado no domínio antes de iniciar o BitLocker. O padrão é Desativado.
-
-
Personalizar mensagem de recuperação de pré-inicialização e URL: especifica se o BitLocker mostra uma mensagem personalizada e a URL na tela de recuperação. Se o valor for Ativado, as seguintes configurações adicionais são exibidas: Usar mensagem de recuperação e URL padrão, Usar mensagem de recuperação vazia e URL, Usar mensagem personalizada de recuperação e Usar URL de recuperação personalizada. Se o valor for Desativado, são exibidas a mensagem de recuperação de padrão e a URL. O padrão é Desativado.
-
Configurar recuperação da unidade fixa: configura as opções de recuperação aos usuários para uma unidade fixa de criptografia BitLocker. O BitLocker não exibe uma mensagem aos usuários sobre a criptografia de unidade fixa. Para desbloquear uma unidade durante a inicialização, um usuário fornece uma senha ou um cartão inteligente. As configurações de desbloqueio de inicialização, que não estão nesta política, aparecem na interface BitLocker quando um usuário habilita a criptografia BitLocker em uma unidade fixa. Para obter informações sobre as configurações relacionadas, consulte Configurar recuperação da unidade do sistema operacional, anteriormente nessa lista. O padrão é Desativado.
-
Bloquear acesso de gravação a unidades fixas que não usam BitLocker: Se Ativado, os usuários podem gravar em unidades fixas somente quando essas unidades são criptografadas com o BitLocker. O padrão é Desativado.
-
Bloquear acesso de gravação a unidades removíveis que não usam BitLocker: Se Ativado, os usuários podem gravar em unidades removíveis somente quando essas unidades são criptografadas com o BitLocker. Defina essa configuração dependendo se a sua organização permite ou não o acesso de gravação em unidades removíveis de outra organização. O padrão é Desativado.
-
Solicitar outra criptografia de disco: permite que você desabilite a mensagem de aviso para outra criptografia de disco em dispositivos. O padrão é Desativado.