Configurar o BitLocker em dispositivos Windows 10 ou 11

Edições compatíveis com este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Comparar sua edição

Como administrador, você pode especificar como os dispositivos Microsoft Windows 10 ou 11 registrados no gerenciamento de dispositivos Windows são criptografados. As configurações escolhidas entrarão em vigor se a criptografia de unidade de disco BitLocker estiver ativada no dispositivo. Estas são as configurações mais comuns:

• Criptografia de unidade de disco
• Autenticação de inicialização adicional
• Opções de recuperação pré-inicialização
• Criptografia de unidades fixas
• Opções de recuperação de drives fixos
• Criptografia de drives removíveis

Antes de começar

Os dispositivos precisam estar registrados no gerenciamento de dispositivos Windows para essas configurações serem aplicadas. Saiba mais

Configurar a criptografia de unidade de disco BitLocker

1. No Google Admin Console, acesse Menu Dispositivos Dispositivos móveis e endpoints Configurações Windows. 

   Acessar o Windows

   É preciso ter o privilégio de admin Serviços e dispositivos.

2. Clique em Configurações do BitLocker.
3. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
4. Em Criptografia de unidade de disco, selecione Ativada na lista de itens.
5. Configure as opções:

   Criptografia de unidade de disco

   • Opção de criptografia para as unidades de disco do sistema: especifique o método de criptografia e o nível de criptografia da chave para as unidades de disco do sistema operacional.
   • Autenticação de inicialização adicional: especifique se o BitLocker exige autenticação extra sempre que o computador é inicializado e se você está usando um Módulo de plataforma confiável (TPM, na sigla em inglês). Quando essa opção estiver ativada, você poderá configurar o seguinte:
     • Permitir o BitLocker sem um TPM compatível: marque a caixa para que a inicialização exija uma senha ou um drive USB.
     • Configurar a inicialização do TPM sem PIN nem chave: você pode exigir o TPM como autenticação de inicialização em vez de um PIN ou uma chave.
     • PIN de inicialização do TPM: você pode exigir que um PIN com 6 a 20 dígitos seja adicionado antes da reinicialização. Você também pode configurar o tamanho mínimo do PIN.
     • Chave de inicialização do TPM: você pode exigir que os usuários façam a autenticação com uma chave de inicialização do TPM para acessar um drive. Uma chave de inicialização é uma chave USB com as informações para criptografar a unidade. Quando essa chave USB é inserida no dispositivo, o acesso à unidade é autenticado, tornando-a acessível.
     • PIN e chave de inicialização do TPM: você pode exigir uma chave de inicialização e um PIN.
   • Opções de recuperação pré-inicialização: ative para configurar a mensagem de recuperação ou personalizar o URL exibido na tela de recuperação da chave pré-inicialização quando a unidade de disco do sistema operacional está bloqueada.
   • Opções de recuperação de unidades de disco do sistema: defina as opções para os usuários recuperarem os dados das unidades do sistema operacional protegidas pelo BitLocker. Quando essa opção estiver ativada, você poderá configurar o seguinte:
     • Permitir agente de recuperação de dados: os agentes de recuperação de dados são pessoas cujos certificados de infraestrutura de chave pública (ICP) foram usados para criar um protetor de chave do BitLocker. Quando permitido, essas pessoas poderão usar as credenciais de ICP para acessar unidades protegidas pelo BitLocker.
     • Especificar senha de recuperação de 48 dígitos: selecione se os usuários podem, precisam ou não podem gerar uma senha de recuperação de 48 dígitos.
     • Chave de recuperação de 256 bits: selecione para determinar se a geração de uma chave de recuperação de 256 bits pelos usuários é permitida, obrigatória ou proibida.
     • Ocultar opções de recuperação do assistente de configuração do BitLocker: marque a caixa para impedir que os usuários especifiquem opções de recuperação ao ativar o BitLocker.
     • Salve as informações de recuperação do BitLocker no Active Directory Domain Services: quando essa opção está marcada, você pode escolher as informações de recuperação do BitLocker que serão armazenadas no Active Directory. Você pode selecionar "Fazer backup da senha de recuperação e do pacote da chave" ou "Fazer backup apenas da senha de recuperação". Quando essa opção estiver ativada, você poderá configurar o seguinte:
       • Só ativar o BitLocker quando as informações de recuperação estiverem armazenadas no Active Directory: marque a caixa para impedir que os usuários ativem o BitLocker, a não ser que o computador esteja conectado ao domínio e seja feito backup das informações de recuperação do BitLocker no Active Directory.

   Criptografia de unidades fixas

   • Criptografia de drives fixos: ative para exigir que os drives fixos sejam criptografados antes de receber acesso de gravação. Quando essa opção estiver ativada, você poderá configurar o seguinte:
     • Criptografia para unidades fixas: selecione o método de criptografia e o nível de criptografia da chave para unidades fixas.
     • Opções de recuperação de unidades fixas: ative para definir as opções para os usuários recuperarem dados de unidades fixas protegidas pelo BitLocker. Quando essa opção estiver ativada, você poderá configurar o seguinte:
       • Permitir agente de recuperação de dados: os agentes de recuperação de dados são pessoas cujos certificados de infraestrutura de chave pública (ICP) foram usados para criar um protetor de chave do BitLocker. Quando permitido, essas pessoas poderão usar as credenciais de ICP para acessar unidades protegidas pelo BitLocker.
       • Senha de recuperação de 48 dígitos: selecione para determinar se a geração de uma senha de recuperação com 48 dígitos pelos usuários é permitida, obrigatória ou proibida.
       • Chave de recuperação de 256 bits: selecione para determinar se a geração de uma chave de recuperação de 256 bits pelos usuários é permitida, obrigatória ou proibida.
       • Ocultar opções de recuperação do assistente de configuração do BitLocker: marque a caixa para impedir que os usuários especifiquem opções de recuperação ao ativar o BitLocker.
       • Salve as informações de recuperação do BitLocker no Active Directory Domain Services: quando essa opção está marcada, você pode escolher as informações de recuperação do BitLocker que serão armazenadas no Active Directory. Você pode selecionar "Fazer backup da senha de recuperação e do pacote da chave" ou "Fazer backup apenas da senha de recuperação". Quando essa opção estiver ativada, você poderá configurar o seguinte:
         • Só ativar o BitLocker quando as informações de recuperação estiverem armazenadas no Active Directory: marque a caixa para impedir que os usuários ativem o BitLocker, a não ser que o computador esteja conectado ao domínio e seja feito backup das informações de recuperação do BitLocker no Active Directory.

   Criptografia de unidades removíveis

   • Criptografia de drives removíveis: ative para exigir que todos os drives removíveis sejam criptografados antes de receber acesso de gravação. Quando essa opção estiver ativada, você poderá configurar o seguinte:
     • Criptografia para unidades removíveis: selecione o algoritmo de criptografia e o nível de codificação de chave para as unidades de disco removíveis.
     • Negar acesso de gravação a dispositivos configurados em outra organização: quando esta opção está selecionada, só as unidades com campos de identificação correspondentes aos do computador recebem acesso de gravação. Esses campos são definidos pela política de grupo da sua organização.
6. Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.

   Para restaurar depois o valor herdado, clique em Herdar.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

Definir a criptografia da unidade de disco como "Não configurada"

Se você selecionar Não configurado em Criptografia da unidade de disco, a política do BitLocker definida no Admin Console não será mais aplicada. Nos dispositivos dos usuários, a política será revertida para a configuração anterior. Se o usuário tiver criptografado o dispositivo, não haverá alteração no dispositivo ou nos dados.

Desativar a criptografia de unidade de disco BitLocker

1. No Google Admin Console, acesse Menu Dispositivos Dispositivos móveis e endpoints Configurações Windows. 

   Acessar o Windows

   É preciso ter o privilégio de admin Serviços e dispositivos.

2. Clique em Configurações do BitLocker.
3. Se você quiser desativar um perfil apenas para alguns usuários, selecione uma unidade organizacional na lista à esquerda. Caso contrário, o recurso será ativado para todos.
4. Em Criptografia de unidade de disco, selecione Desativado na lista de itens.
5. Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.

   Para restaurar depois o valor herdado, clique em Herdar.

Temas relacionados

• Ativar o gerenciamento de dispositivos Windows
• Registrar um dispositivo no gerenciamento de dispositivos Windows

Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.