Cómo configurar BitLocker en dispositivos con Windows 10 u 11

Ediciones compatibles con esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; Cloud Identity Premium.  Compara tu edición

Como administrador, puedes especificar cómo se encriptan los dispositivos con Microsoft Windows 10 u 11 inscritos en la administración de dispositivos de Windows. La configuración que elijas se aplicará si el dispositivo tiene activada la encriptación de unidades de BitLocker. Los parámetros de configuración más comunes que se deben establecer son los siguientes:

• Encriptación de la unidad
• Autenticación de inicio adicional
• Opciones de recuperación previas al inicio
• Encriptación de unidades fijas
• Opciones de recuperación de las unidades fijas
• Encriptación de unidades extraíbles

Antes de comenzar

Para que se aplique esta configuración, los dispositivos deben estar inscritos en la administración de dispositivos con Windows. Más información

Configura la encriptación de unidades de BitLocker

1. En la Consola del administrador de Google, ve a Menú Dispositivos Dispositivos móviles y extremos Configuración Windows. 

   Ir a Windows

   Es necesario tener el privilegio de administrador de Servicios y dispositivos.

2. Haz clic en Configuración de BitLocker.
3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
4. En Drive encryption, selecciona Enabled en la lista de elementos.
5. Configura las opciones:

   Encriptación de la unidad

   • Opción de encriptación para las unidades del sistema: Selecciona el método de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades del sistema operativo.
   • Autenticación de inicio adicional: Selecciona si BitLocker requiere autenticación adicional cada vez que se inicia la computadora y especifica si usas un Módulo de plataforma segura (TPM). Cuando está habilitada, puedes configurar lo siguiente:
     • Permitir BitLocker sin un TPM compatible: Marca la casilla para requerir una contraseña o una unidad USB para el inicio.
     • Configurar el inicio del TPM sin un PIN o una clave: Puedes solicitar el TPM como autenticación de inicio en lugar de un PIN o una clave.
     • PIN de inicio del TPM: Puedes solicitar que se ingrese un PIN de 6 a 20 dígitos antes del inicio. También puedes configurar la longitud mínima del PIN.
     • Clave de inicio del TPM: Puedes exigir que los usuarios se autentiquen con una clave de inicio del TPM para acceder a una unidad. Una clave de inicio es una llave USB con la información para encriptar la unidad. Cuando se inserte esta llave USB en el dispositivo, se autenticará el acceso a la unidad y se podrá acceder a ella.
     • Clave de inicio y PIN del TPM: Puedes solicitar una clave de inicio y un PIN.
   • Opciones de recuperación previas al inicio: Habilita esta opción para establecer el mensaje de recuperación o personalizar la URL que se proporciona en la pantalla de recuperación de la clave previa al inicio cuando la unidad del sistema operativo está bloqueada.
   • Opciones de recuperación de unidades del sistema: Habilita esta opción para establecer opciones para que los usuarios recuperen datos de las unidades del sistema operativo que protege BitLocker. Cuando está habilitada, puedes configurar lo siguiente:
     • Agente de recuperación de datos: Los agentes de recuperación de datos son personas cuyos certificados de infraestructura de clave pública (PKI) se utilizan para crear un protector de claves de BitLocker. Cuando se permite, estas personas pueden usar sus credenciales de PKI para desbloquear las unidades protegidas por BitLocker.
     • Especifica la contraseña de recuperación de 48 dígitos: Selecciona si los usuarios pueden, deben o no generar una contraseña de recuperación de 48 dígitos.
     • Clave de recuperación de 256 bits: Selecciona si los usuarios pueden, deben o no generar una clave de recuperación de 256 bits.
     • Ocultar las opciones de recuperación del asistente de configuración de BitLocker: Marca la casilla para impedir que los usuarios especifiquen opciones de recuperación cuando activen BitLocker.
     • Guardar la información de recuperación de BitLocker en los servicios de dominio de Active Directory: Cuando se selecciona esta opción, puedes elegir qué información de recuperación de BitLocker almacenar en Active Directory. Puedes seleccionar el paquete de clave y contraseña de recuperación de la copia de seguridad o solo la contraseña de recuperación de la copia de seguridad. Cuando está habilitada, puedes configurar lo siguiente:
       • No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory: Marca la casilla para evitar que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en Active Directory.

   Encriptación de unidades fijas

   • Encriptación de las unidades fijas: Habilita esta opción para exigir que se encripten las unidades fijas antes de que se otorgue acceso de escritura. Cuando está habilitada, puedes configurar lo siguiente:
     • Encriptación de unidades fijas: Selecciona el método de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades fijas.
     • Opciones de recuperación de las unidades fijas: Habilita esta opción para establecer opciones para que los usuarios recuperen datos de las unidades fijas protegidas por BitLocker. Cuando está habilitada, puedes configurar lo siguiente:
       • Agente de recuperación de datos: Los agentes de recuperación de datos son personas cuyos certificados de infraestructura de clave pública (PKI) se utilizan para crear un protector de claves de BitLocker. Cuando se permite, estas personas pueden usar sus credenciales de PKI para desbloquear las unidades protegidas por BitLocker.
       • Contraseña de recuperación de 48 dígitos: Selecciona si los usuarios pueden, deben o no generar una contraseña de recuperación de 48 dígitos.
       • Clave de recuperación de 256 bits: Selecciona si los usuarios pueden, deben o no generar una clave de recuperación de 256 bits.
       • Ocultar las opciones de recuperación del asistente de configuración de BitLocker: Marca la casilla para impedir que los usuarios especifiquen opciones de recuperación cuando activen BitLocker.
       • Guardar la información de recuperación de BitLocker en los servicios de dominio de Active Directory: Cuando se selecciona esta opción, puedes elegir qué información de recuperación de BitLocker almacenar en Active Directory. Puedes seleccionar el paquete de clave y contraseña de recuperación de la copia de seguridad o solo la contraseña de recuperación de la copia de seguridad. Cuando está habilitada, puedes configurar lo siguiente:
         • No habilitar BitLocker hasta que la información de recuperación se almacene en Active Directory: Marca la casilla para evitar que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en Active Directory.

   Encriptación de unidades extraíbles

   • Encriptación de unidades extraíbles: Habilita esta opción para exigir que se encripten todas las unidades extraíbles antes de otorgar acceso de escritura. Cuando está habilitada, puedes configurar lo siguiente:
     • Encriptación de las unidades extraíbles: Selecciona el algoritmo de encriptación y la intensidad del algoritmo de cifrado de clave para las unidades extraíbles.
     • Denegar el acceso de escritura a dispositivos configurados en otra organización: Cuando se marca esta opción, solo se les otorga acceso de escritura a las unidades cuyos campos de identificación coincidan con los campos de identificación de la computadora. Estos campos se definen en la política de grupo de tu organización.
6. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

   Para restablecer después el valor heredado, haz clic en Heredar.

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Establece la encriptación de la unidad como No configurada

Si seleccionas Sin configurar para Encriptación de Drive, ya no se aplicará la política de BitLocker que estableciste en la Consola del administrador. En los dispositivos de los usuarios, la política vuelve al parámetro de configuración que tenía antes. Si el usuario encriptó el dispositivo, no se realizan cambios en el dispositivo ni en los datos que contiene.

Cómo inhabilitar la encriptación de unidades de BitLocker

1. En la Consola del administrador de Google, ve a Menú Dispositivos Dispositivos móviles y extremos Configuración Windows. 

   Ir a Windows

   Es necesario tener el privilegio de administrador de Servicios y dispositivos.

2. Haz clic en Configuración de BitLocker.
3. Si deseas inhabilitar un perfil solo para algunos usuarios, selecciona una unidad organizativa en la lista de la izquierda. De lo contrario, se aplica a todos.
4. En Encriptación de la unidad, selecciona Inhabilitada en la lista de elementos.
5. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

   Para restablecer después el valor heredado, haz clic en Heredar.

Temas relacionados

• Habilita la administración de dispositivos con Windows
• Inscribe un dispositivo en la administración de dispositivos con Windows

Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.