Cómo configurar BitLocker en dispositivos con Windows 10 u 11

Ediciones admitidas para esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; Cloud Identity Premium.  Comparar tu edición

Como administrador, puedes especificar cómo se encriptan los dispositivos Microsoft Windows 10 o 11 que están inscritos en la administración de dispositivos de Windows. La configuración que elijas entrará en vigencia si el dispositivo tiene activada la encriptación de unidades de BitLocker. Los parámetros de configuración más comunes que se pueden establecer son los siguientes:

  • Encriptación de unidades
  • Autenticación de inicio adicional
  • Opciones de recuperación previas al inicio
  • Encriptación de las unidades fijas
  • Opciones de recuperación de las unidades fijas
  • Encriptación de las unidades extraíbles

Antes de comenzar

Los dispositivos deben estar inscritos en la administración de dispositivos de Windows para que se aplique esta configuración. Más información

Configura la encriptación de unidades de BitLocker

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luego Dispositivos móviles y extremos y luego Configuración y luego Windows

    Es necesario tener el privilegio de administrador de los Servicios y dispositivos.

  2. Haz clic en Configuración de BitLocker.
  3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  4. En Encriptación de unidades, selecciona Habilitado en la lista de elementos.
  5. Configura las opciones:

    Encriptación de unidades

    • Opción de encriptación para las unidades del sistema : Selecciona el método de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades del sistema operativo.
    • Autenticación de inicio adicional: Selecciona si BitLocker requiere autenticación adicional cada vez que se inicia la computadora y especifica si usas un Módulo de plataforma segura (TPM). Si lo está, podrás establecer lo siguiente:
      • Permitir BitLocker sin un TPM compatible : Marca la casilla para exigir una contraseña o una unidad USB para el inicio.
      • Configurar el inicio del TPM sin un PIN o una clave: Puedes exigir el TPM como autenticación de inicio en lugar de un PIN o una clave.
      • PIN de inicio del TPM: Puedes exigir que se ingrese un PIN de 6 a 20 dígitos antes del inicio. También puedes configurar la longitud mínima del PIN.
      • Clave de inicio del TPM: Puedes exigir que los usuarios se autentiquen con una clave de inicio del TPM para acceder a una unidad. Una clave de inicio es una llave USB con la información para encriptar la unidad. Cuando se inserte esta llave USB en el dispositivo, se autenticará el acceso a la unidad y se podrá acceder a ella.
      • Clave de inicio y PIN del TPM: Puedes exigir una clave de inicio y un PIN.
    • Opciones de recuperación previas al inicio: Habilita esta opción para establecer el mensaje de recuperación o personalizar la URL que se proporciona en la pantalla de recuperación de la clave previa al inicio cuando la unidad del sistema operativo está bloqueada.
    • Opciones de recuperación de las unidades del sistema : Habilita esta opción para establecer opciones para que los usuarios recuperen datos de las unidades del sistema operativo que protege BitLocker. Si lo está, podrás establecer lo siguiente:
      • Permitir agente de recuperación de datos: Los agentes de recuperación de datos son personas cuyos certificados de infraestructura de clave pública (PKI) se utilizan para crear un protector de claves de BitLocker. Si se permite, estas personas pueden utilizar sus credenciales de PKI para desbloquear las unidades protegidas por BitLocker.
      • Especifica la contraseña de recuperación de 48 dígitos: Selecciona si los usuarios pueden, deben o no pueden generar una contraseña de recuperación de 48 dígitos.
      • Clave de recuperación de 256 bits: Selecciona si los usuarios pueden, deben o no pueden generar una clave de recuperación de 256 bits.
      • Ocultar las opciones de recuperación del asistente de configuración de BitLocker : Marca la casilla para impedir que los usuarios especifiquen opciones de recuperación cuando activan BitLocker.
      • Guardar la información de recuperación de BitLocker en los servicios de dominio de Active Directory : Si está marcada, puedes elegir qué información de recuperación de BitLocker se almacenará en Active Directory. Puedes seleccionar la opción Crear copia de seguridad de la contraseña de recuperación y el paquete de claves o Crear copia de seguridad de la contraseña de recuperación únicamente. Si lo está, podrás establecer lo siguiente:
        • No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory : Marca la casilla para impedir que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y se cree correctamente la copia de seguridad de la información de recuperación de BitLocker en Active Directory.

    Encriptación de las unidades fijas

    • Encriptación de las unidades fijas: Habilita esta opción para exigir que se encripten las unidades fijas para que se otorgue acceso de escritura. Si lo está, podrás establecer lo siguiente:
      • Encriptación de las unidades fijas : Configura el método de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades fijas.
      • Opciones de recuperación de las unidades fijas : Habilita esta opción para establecer opciones para que los usuarios recuperen datos de las unidades fijas que protege BitLocker. Si lo está, podrás establecer lo siguiente:
        • Permitir agente de recuperación de datos: Los agentes de recuperación de datos son personas cuyos certificados de infraestructura de clave pública (PKI) se utilizan para crear un protector de claves de BitLocker. Si se permite, estas personas pueden utilizar sus credenciales de PKI para desbloquear las unidades protegidas por BitLocker.
        • Contraseña de recuperación de 48 dígitos: Selecciona si los usuarios pueden, deben o no pueden generar una contraseña de recuperación de 48 dígitos.
        • Clave de recuperación de 256 bits: Selecciona si los usuarios pueden, deben o no pueden generar una clave de recuperación de 256 bits.
        • Ocultar las opciones de recuperación del asistente de configuración de BitLocker : Marca la casilla para impedir que los usuarios especifiquen opciones de recuperación cuando activan BitLocker.
        • Guardar la información de recuperación de BitLocker en los servicios de dominio de Active Directory : Si está marcada, puedes elegir qué información de recuperación de BitLocker se almacenará en Active Directory. Puedes seleccionar la opción Crear copia de seguridad de la contraseña de recuperación y el paquete de claves o Crear copia de seguridad de la contraseña de recuperación únicamente. Si lo está, podrás establecer lo siguiente:
          • No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory : Marca la casilla para impedir que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y se cree correctamente la copia de seguridad de la información de recuperación de BitLocker en Active Directory.

    Encriptación de las unidades extraíbles

    • Encriptación de las unidades extraíbles: Habilita esta opción para exigir que se encripten todas las unidades extraíbles para que se otorgue acceso de escritura. Si lo está, podrás establecer lo siguiente:
      • Encriptación de las unidades extraíbles: Configura el algoritmo de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades extraíbles.
      • Denegar el acceso de escritura a dispositivos configurados en otra organización: Si está marcada, solo se les otorgará acceso de escritura a las unidades cuyos campos de identificación coincidan con los campos de identificación de la computadora. Estos campos se definen en la política de grupo de tu organización.
  6. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Establece la encriptación de unidades como No configurado

Si seleccionas No configurado para Encriptación de unidades, ya no se aplicará la política de BitLocker que estableciste en la Consola del administrador. En los dispositivos de los usuarios, la política vuelve al parámetro de configuración que tenía antes. Si el usuario encriptó el dispositivo, no se realizarán cambios en el dispositivo ni en los datos que contiene.

Inhabilita la encriptación de unidades de BitLocker

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luego Dispositivos móviles y extremos y luego Configuración y luego Windows

    Es necesario tener el privilegio de administrador de los Servicios y dispositivos.

  2. Haz clic en Configuración de BitLocker.
  3. Si quieres inhabilitar un perfil solo para algunos usuarios, selecciona una unidad organizativa de la lista de la izquierda. De lo contrario, se aplicará a todos.
  4. En Encriptación de unidades, selecciona Inhabilitado en la lista de elementos.
  5. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.