Compartilhar via


Referência de configurações do BitLocker

Aplica-se a: Configuration Manager (branch atual)

As políticas de gerenciamento do BitLocker no Configuration Manager contêm os seguintes grupos de políticas:

  • Configurar
  • Unidade do sistema operacional
  • Unidade fixa
  • Unidade removível
  • Gerenciamento de clientes

As seções a seguir descrevem e sugerem configurações para as configurações em cada grupo.

Configurar

As configurações nesta página configuram opções globais de criptografia BitLocker.

Método de criptografia de unidade e força de codificação

Configuração sugerida: habilitada com o método de criptografia padrão ou maior.

Observação

A página Propriedades de instalação inclui dois grupos de configurações para versões diferentes do Windows. Esta seção descreve ambos.

Windows 8.1 dispositivos

Para dispositivos Windows 8.1, habilite a opção para o método de criptografia drive e a força da criptografia e selecione um dos seguintes métodos de criptografia:

  • AES de 128 bits com Difusor
  • AES 256 bits com Difusor
  • AES de 128 bits (padrão)
  • AES 256 bits

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMBLEncryptionMethodPolicy.

Windows 10 ou dispositivos posteriores

Para dispositivos Windows 10 ou posteriores, habilite a opção para o método de criptografia drive e a força da criptografia (Windows 10 ou posterior). Em seguida, selecione individualmente um dos seguintes métodos de criptografia para unidades do sistema operacional, unidades de dados fixas e unidades de dados removíveis:

  • AES-CBC de 128 bits
  • AES-CBC de 256 bits
  • XTS-AES de 128 bits (padrão)
  • XTS-AES de 256 bits

Dica

O BitLocker usa o AES (Advanced Encryption Standard) como seu algoritmo de criptografia com comprimentos de chave configuráveis de 128 ou 256 bits. Em dispositivos Windows 10 ou posteriores, a criptografia do AES dá suporte ao CBC (encadeamento de blocos de criptografia) ou ao XTS (roubo de criptografia).

Se você precisar usar uma unidade removível em dispositivos que não executam Windows 10, use a AES-CBC.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMBLEncryptionMethodWithXts.

Notas de uso geral para criptografia de unidade e força de codificação

  • Se você desabilitar ou não configurar essas configurações, o BitLocker usará o método de criptografia padrão.

  • Configuration Manager aplica essas configurações ao ativar o BitLocker.

  • Se a unidade já estiver criptografada ou estiver em andamento, qualquer alteração nessas configurações de política não alterará a criptografia de unidade no dispositivo.

  • Se você usar o valor padrão, o relatório de conformidade do computador BitLocker poderá exibir a força da cifra como desconhecida. Para contornar esse problema, habilite essa configuração e defina um valor explícito para a força da cifra.

Impedir substituição de memória na reinicialização

Configuração sugerida: não configurada

Configure essa política para melhorar o desempenho de reinicialização sem substituir os segredos do BitLocker na memória na reinicialização.

Quando você não configura essa política, o BitLocker remove seus segredos da memória quando o computador é reiniciado.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMNoOverwritePolicy.

Validar a conformidade da regra de uso de certificado de cartão inteligente

Configuração sugerida: não configurada

Configure essa política para usar a proteção BitLocker baseada em certificado smartcard. Em seguida, especifique o identificador de objeto de certificado.

Quando você não configura essa política, o BitLocker usa o identificador 1.3.6.1.4.1.311.67.1.1 de objeto padrão para especificar um certificado.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMScCompliancePolicy.

Identificadores exclusivos da organização

Configuração sugerida: não configurada

Configure essa política para usar um agente de recuperação de dados baseado em certificado ou o leitor BitLocker To Go.

Quando você não configura essa política, o BitLocker não usa o campo Identificação .

Se sua organização exigir medidas de segurança mais altas, configure o campo Identificação . Defina esse campo em todos os dispositivos USB direcionados e alinhe-o com essa configuração.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMUidPolicy.

Unidade do sistema operacional

As configurações nesta página configuram as configurações de criptografia para a unidade na qual o Windows está instalado.

Configurações de criptografia de unidade do sistema operacional

Configuração sugerida: habilitada

Se você habilitar essa configuração, o usuário precisará proteger a unidade do sistema operacional e o BitLocker criptografará a unidade. Se você desabilitar, o usuário não poderá proteger a unidade. Se você não configurar essa política, a proteção do BitLocker não será necessária na unidade do sistema operacional.

Observação

Se a unidade já estiver criptografada e você desabilitar essa configuração, o BitLocker descriptografa a unidade.

Se você tiver dispositivos sem um TPM (Módulo de Plataforma Confiável), use a opção para permitir o BitLocker sem um TPM compatível (requer uma senha). Essa configuração permite que o BitLocker criptografe a unidade do sistema operacional, mesmo que o dispositivo não tenha um TPM. Se você permitir essa opção, o Windows solicitará que o usuário especifique uma senha do BitLocker.

Em dispositivos com um TPM compatível, dois tipos de métodos de autenticação podem ser usados na inicialização para fornecer proteção adicional para dados criptografados. Quando o computador é iniciado, ele pode usar apenas o TPM para autenticação ou também pode exigir a entrada de um número de identificação pessoal (PIN). Defina as seguinte configurações:

  • Selecione protetor para unidade do sistema operacional: configure-o para usar um TPM e PIN ou apenas o TPM.

  • Configurar o comprimento mínimo do PIN para inicialização: se você precisar de um PIN, esse valor será o comprimento mais curto que o usuário pode especificar. O usuário insere esse PIN quando o computador inicializa para desbloquear a unidade. Por padrão, o comprimento mínimo do PIN é 4.

Dica

Para maior segurança, ao habilitar dispositivos com protetor TPM + PIN, considere desabilitar as seguintes configurações de política de grupo nasConfigurações de Sono do System>Power Management>:

  • Permitir estados de espera (S1-S3) ao dormir (conectado)

  • Permitir estados de espera (S1-S3) ao dormir (em bateria)

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMBMSOSDEncryptionPolicy.

Permitir PINs aprimorados para inicialização

Configuração sugerida: não configurada

Configure o BitLocker para usar PINs de inicialização aprimorados. Esses PINs permitem o uso de mais caracteres, como letras maiúsculas e minúsculas, símbolos, números e espaços. Essa configuração se aplica quando você ativa o BitLocker.

Importante

Nem todos os computadores podem dar suporte a PINs aprimorados no ambiente de pré-inicialização. Antes de habilitar seu uso, avalie se seus dispositivos são compatíveis com esse recurso.

Se você habilitar essa configuração, todos os novos PINs de inicialização do BitLocker permitirão que o usuário crie PINs aprimorados.

  • Exigir PINs somente ASCII: ajude a tornar os PINs aprimorados mais compatíveis com computadores que limitam o tipo ou o número de caracteres que você pode inserir no ambiente de pré-inicialização.

Se você desabilitar ou não configurar essa configuração de política, o BitLocker não usará PINs aprimorados.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMEnhancedPIN.

Política de senha da unidade do sistema operacional

Configuração sugerida: não configurada

Use essas configurações para definir as restrições para senhas para desbloquear unidades do sistema operacional protegidas pelo BitLocker. Se você permitir protetores não TPM em unidades do sistema operacional, configure as seguintes configurações:

  • Configurar a complexidade de senha para unidades do sistema operacional: para impor requisitos de complexidade na senha, selecione Exigir complexidade de senha.

  • Comprimento mínimo de senha para a unidade do sistema operacional: por padrão, o comprimento mínimo é 8.

  • Exigir senhas somente ASCII para unidades de sistema operacional removíveis

Se você habilitar essa configuração de política, os usuários poderão configurar uma senha que atenda aos requisitos definidos.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMOSPassphrase.

Notas de uso geral para a política de senha de unidade do sistema operacional

  • Para que essas configurações de requisito de complexidade sejam eficazes, também habilite a configuração da política de grupo Senha deve atender aos requisitos de complexidade naPolítica de Senha dasPolíticas>>> deConta de ConfiguraçõesdoWindowsde Configuração> do Computador.

  • O BitLocker impõe essas configurações ao ativá-la, não quando você desbloqueia um volume. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.

  • Se você usar a política de grupo para habilitar algoritmos compatíveis com FIPS para criptografia, hash e assinatura, não poderá permitir senhas como protetor do BitLocker.

Redefinir dados de validação da plataforma após a recuperação do BitLocker

Configuração sugerida: não configurada

Controle se o Windows atualiza os dados de validação da plataforma quando ele é iniciado após a recuperação do BitLocker.

Se você habilitar ou não configurar essa configuração, o Windows atualizará os dados de validação da plataforma nessa situação.

Se você desabilitar essa configuração de política, o Windows não atualizará os dados de validação da plataforma nessa situação.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMTpmAutoResealPolicy.

Mensagem de recuperação de pré-inicialização e URL

Configuração sugerida: não configurada

Quando o BitLocker bloquear a unidade do sistema operacional, use essa configuração para exibir uma mensagem de recuperação personalizada ou uma URL na tela de recuperação do BitLocker pré-inicialização. Essa configuração só se aplica a dispositivos Windows 10 ou posteriores.

Ao habilitar essa configuração, selecione uma das seguintes opções para a mensagem de recuperação de pré-inicialização:

  • Use a mensagem de recuperação padrão e a URL: exiba a mensagem de recuperação e a URL padrão do BitLocker na tela de recuperação do BitLocker pré-inicialização. Se você tiver configurado anteriormente uma mensagem de recuperação personalizada ou URL, use essa opção para reverter à mensagem padrão.

  • Use a mensagem de recuperação personalizada: inclua uma mensagem personalizada na tela de recuperação do BitLocker pré-inicialização.

    • Opção de mensagem de recuperação personalizada: digite a mensagem personalizada a ser exibida. Se você também quiser especificar uma URL de recuperação, inclua-a como parte desta mensagem de recuperação personalizada. O comprimento máximo da cadeia de caracteres é de 32.768 caracteres.
  • Use a URL de recuperação personalizada: substitua a URL padrão exibida na tela de recuperação do BitLocker pré-inicialização.

    • Opção de URL de recuperação personalizada: digite a URL a ser exibida. O comprimento máximo da cadeia de caracteres é de 32.768 caracteres.

Observação

Nem todos os caracteres e idiomas têm suporte na pré-inicialização. Primeiro teste sua mensagem personalizada ou URL para garantir que ela apareça corretamente na tela de recuperação do BitLocker pré-inicialização.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMPrebootRecoveryInfo.

Configurações de aplicação da política de criptografia (unidade do sistema operacional)

Configuração sugerida: habilitada

Configure o número de dias que os usuários podem adiar a conformidade do BitLocker para a unidade do sistema operacional. O período de carência de não conformidade começa quando Configuration Manager detecta-o pela primeira vez como não compatível. Depois que esse período de carência expirar, os usuários não poderão adiar a ação necessária ou solicitar uma isenção.

Se o processo de criptografia exigir a entrada do usuário, uma caixa de diálogo será exibida no Windows para que o usuário não possa fechar até fornecer as informações necessárias. Notificações futuras de erros ou status não terão essa restrição.

Se o BitLocker não exigir interação do usuário para adicionar um protetor, depois que o período de carência expirar, o BitLocker iniciará a criptografia em segundo plano.

Se você desabilitar ou não configurar essa configuração, Configuration Manager não exigirá que os usuários cumpram as políticas do BitLocker.

Para impor a política imediatamente, defina um período de carência de 0.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMUseOsEnforcePolicy.

Unidade fixa

As configurações nesta página configuram a criptografia para outras unidades de dados em um dispositivo.

Criptografia de unidade de dados fixa

Configuração sugerida: habilitada

Gerencie seu requisito de criptografia de unidades de dados fixas. Se você habilitar essa configuração, o BitLocker exigirá que os usuários coloquem todas as unidades de dados fixas sob proteção. Em seguida, criptografa as unidades de dados.

Ao habilitar essa política, habilite o desbloqueio automático ou as configurações da política de senha de unidade de dados fixa.

  • Configurar o desbloqueio automático para a unidade de dados fixa: permitir ou exigir que o BitLocker desbloqueie automaticamente qualquer unidade de dados criptografada. Para usar o desbloqueio automático, também exija que o BitLocker criptografe a unidade do sistema operacional.

Se você não configurar essa configuração, o BitLocker não exigirá que os usuários coloquem unidades de dados fixas sob proteção.

Se você desabilitar essa configuração, os usuários não poderão colocar suas unidades de dados fixas na proteção do BitLocker. Se você desabilitar essa política depois que o BitLocker criptografar unidades de dados fixas, o BitLocker descriptografa as unidades de dados fixas.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMBMSFDVEncryptionPolicy.

Negar acesso de gravação a unidades fixas não protegidas pelo BitLocker

Configuração sugerida: não configurada

Exigir proteção do BitLocker para o Windows gravar dados em unidades fixas no dispositivo. O BitLocker aplica essa política quando você a ativa.

Ao habilitar essa configuração:

  • Se o BitLocker proteger uma unidade de dados fixa, o Windows a montará com acesso de leitura e gravação.

  • Para qualquer unidade de dados fixa que o BitLocker não protege, o Windows o monta como somente leitura.

Quando você não configura essa configuração, o Windows monta todas as unidades de dados fixas com acesso de leitura e gravação.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMFDVDenyWriteAccessPolicy.

Política de senha de unidade de dados fixa

Configuração sugerida: não configurada

Use essas configurações para definir as restrições para senhas para desbloquear unidades de dados fixas protegidas pelo BitLocker.

Se você habilitar essa configuração, os usuários poderão configurar uma senha que atenda aos seus requisitos definidos.

Para maior segurança, habilite essa configuração e configure as seguintes configurações:

  • Exigir senha para a unidade de dados fixa: os usuários precisam especificar uma senha para desbloquear uma unidade de dados fixa protegida pelo BitLocker.

  • Configurar a complexidade de senha para unidades de dados fixas: para impor requisitos de complexidade na senha, selecione Exigir complexidade de senha.

  • Comprimento mínimo de senha para a unidade de dados fixa: por padrão, o comprimento mínimo é 8.

Se você desabilitar essa configuração, os usuários não poderão configurar uma senha.

Quando a política não está configurada, o BitLocker dá suporte a senhas com as configurações padrão. As configurações padrão não incluem requisitos de complexidade de senha e exigem apenas oito caracteres.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMFDVPassPhrasePolicy.

Notas de uso geral para a política de senha de unidade de dados fixa

  • Para que essas configurações de requisito de complexidade sejam eficazes, também habilite a configuração da política de grupo Senha deve atender aos requisitos de complexidade naPolítica de Senha dasPolíticas>>> deConta de ConfiguraçõesdoWindowsde Configuração> do Computador.

  • O BitLocker impõe essas configurações ao ativá-la, não quando você desbloqueia um volume. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.

  • Se você usar a política de grupo para habilitar algoritmos compatíveis com FIPS para criptografia, hash e assinatura, não poderá permitir senhas como protetor do BitLocker.

Configurações de aplicação da política de criptografia (unidade de dados fixa)

Configuração sugerida: habilitada

Configure o número de dias que os usuários podem adiar a conformidade do BitLocker para unidades de dados fixas. O período de carência de não conformidade começa quando Configuration Manager detecta pela primeira vez a unidade de dados fixa como não compatível. Ele não impõe a política de unidade de dados fixa até que a unidade do sistema operacional esteja em conformidade. Depois que o período de carência expirar, os usuários não poderão adiar a ação necessária ou solicitar uma isenção.

Se o processo de criptografia exigir a entrada do usuário, uma caixa de diálogo será exibida no Windows para que o usuário não possa fechar até fornecer as informações necessárias. Notificações futuras de erros ou status não terão essa restrição.

Se o BitLocker não exigir interação do usuário para adicionar um protetor, depois que o período de carência expirar, o BitLocker iniciará a criptografia em segundo plano.

Se você desabilitar ou não configurar essa configuração, Configuration Manager não exigirá que os usuários cumpram as políticas do BitLocker.

Para impor a política imediatamente, defina um período de carência de 0.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMUseFddEnforcePolicy.

Unidade removível

As configurações nesta página configuram a criptografia para unidades removíveis, como chaves USB.

Criptografia de unidade de dados removível

Configuração sugerida: habilitada

Essa configuração controla o uso do BitLocker em unidades removíveis.

  • Permitir que os usuários apliquem a proteção BitLocker em unidades de dados removíveis: os usuários podem ativar a proteção do BitLocker para uma unidade removível.

  • Permitir que os usuários suspendam e descriptografem o BitLocker em unidades de dados removíveis: os usuários podem remover ou suspender temporariamente a criptografia de unidade do BitLocker de uma unidade removível.

Quando você habilita essa configuração e permite que os usuários apliquem a proteção bitLocker, o cliente Configuration Manager salva informações de recuperação sobre unidades removíveis para o serviço de recuperação no ponto de gerenciamento. Esse comportamento permite que os usuários recuperem a unidade se esquecerem ou perderem o protetor (senha).

Ao habilitar essa configuração:

  • Habilitar as configurações para a política de senha de unidade de dados removível

  • Desabilite as seguintes configurações de política de grupo noAcesso de Armazenamento Removível do Sistema> para configurações de computador & usuário:

    • Todas as classes de armazenamento removíveis: negar todo o acesso
    • Discos removíveis: negar acesso à gravação
    • Discos removíveis: negar acesso de leitura

Se você desabilitar essa configuração, os usuários não poderão usar o BitLocker em unidades removíveis.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMRDVConfigureBDEPolicy.

Negar acesso de gravação a unidades removíveis não protegidas pelo BitLocker

Configuração sugerida: não configurada

Exigir proteção do BitLocker para o Windows gravar dados em unidades removíveis no dispositivo. O BitLocker aplica essa política quando você a ativa.

Ao habilitar essa configuração:

  • Se o BitLocker proteger uma unidade removível, o Windows a montará com acesso de leitura e gravação.

  • Para qualquer unidade removível que o BitLocker não protege, o Windows o monta como somente leitura.

  • Se você habilitar a opção negar acesso de gravação a dispositivos configurados em outra organização, o BitLocker só fornecerá acesso de gravação a unidades removíveis com campos de identificação que correspondam aos campos de identificação permitidos. Defina esses campos com as configurações globais de identificadores exclusivos da Organização na página Configuração .

Quando você desabilitar ou não configurar essa configuração, o Windows monta todas as unidades removíveis com acesso de leitura e gravação.

Observação

Você pode substituir essa configuração com as configurações de política de grupo no Acessoao Armazenamento Removível doSistema>. Se você habilitar a configuração de política de grupo Discos removíveis: negar acesso à gravação, o BitLocker ignorará essa configuração de Configuration Manager.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMRDVDenyWriteAccessPolicy.

Política de senha de unidade de dados removível

Configuração sugerida: habilitada

Use essas configurações para definir as restrições para senhas para desbloquear unidades removíveis protegidas pelo BitLocker.

Se você habilitar essa configuração, os usuários poderão configurar uma senha que atenda aos seus requisitos definidos.

Para maior segurança, habilite essa configuração e configure as seguintes configurações:

  • Exigir senha para a unidade de dados removível: os usuários precisam especificar uma senha para desbloquear uma unidade removível protegida pelo BitLocker.

  • Configurar a complexidade de senha para unidades de dados removíveis: para impor requisitos de complexidade na senha, selecione Exigir complexidade de senha.

  • Comprimento mínimo de senha para a unidade de dados removível: por padrão, o comprimento mínimo é 8.

Se você desabilitar essa configuração, os usuários não poderão configurar uma senha.

Quando a política não está configurada, o BitLocker dá suporte a senhas com as configurações padrão. As configurações padrão não incluem requisitos de complexidade de senha e exigem apenas oito caracteres.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMRDVPassPhrasePolicy.

Notas de uso geral para política de senha de unidade de dados removível

  • Para que essas configurações de requisito de complexidade sejam eficazes, também habilite a configuração da política de grupo Senha deve atender aos requisitos de complexidade naPolítica de Senha dasPolíticas>>> deConta de ConfiguraçõesdoWindowsde Configuração> do Computador.

  • O BitLocker impõe essas configurações ao ativá-la, não quando você desbloqueia um volume. O BitLocker permite desbloquear uma unidade com qualquer um dos protetores disponíveis na unidade.

  • Se você usar a política de grupo para habilitar algoritmos compatíveis com FIPS para criptografia, hash e assinatura, não poderá permitir senhas como protetor do BitLocker.

Gerenciamento de clientes

As configurações nesta página configuram os serviços de gerenciamento do BitLocker e os clientes.

Serviços de Gerenciamento do BitLocker

Configuração sugerida: habilitada

Quando você habilita essa configuração, Configuration Manager faz backup automático e silencioso de informações de recuperação de chave no banco de dados do site. Se você desabilitar ou não configurar essa configuração, Configuration Manager não salvará informações de recuperação de chave.

  • Selecione Informações de recuperação do BitLocker para armazenar: configure o serviço de recuperação de chave para fazer backup das informações de recuperação do BitLocker. Ele fornece um método administrativo de recuperação de dados criptografados pelo BitLocker, o que ajuda a evitar a perda de dados devido à falta de informações importantes.

  • Permitir que as informações de recuperação sejam armazenadas em texto simples: sem um certificado de criptografia de gerenciamento do BitLocker para SQL Server, Configuration Manager armazena as principais informações de recuperação em texto simples. Para obter mais informações, consulte Criptografar dados de recuperação no banco de dados.

  • Verificação do cliente status frequência (minutos): Na frequência configurada, o cliente verifica as políticas de proteção do BitLocker e status no computador e também faz backup da chave de recuperação do cliente. Por padrão, o cliente Configuration Manager verifica o BitLocker status a cada 90 minutos.

    Importante

    Não defina esse valor como menor que 60. Um valor de frequência menor pode fazer com que o cliente reporte brevemente estados de conformidade imprecisos.

Para obter mais informações sobre como criar essas políticas com Windows PowerShell, consulte:

Política de isenção de usuário

Configuração sugerida: não configurada

Configure um método de contato para os usuários solicitarem uma isenção da criptografia BitLocker.

Se você habilitar essa configuração de política, forneça as seguintes informações:

  • Dias máximos para adiar: quantos dias o usuário pode adiar uma política imposta. Por padrão, esse valor é 7 dias (uma semana).

  • Método de contato: especifique como os usuários podem solicitar uma isenção: URL, endereço de email ou número de telefone.

  • Contato: especifique a URL, o endereço de email ou o número de telefone. Quando um usuário solicita uma isenção da proteção BitLocker, ele vê uma caixa de diálogo do Windows com instruções sobre como aplicar. Configuration Manager não valida as informações inseridas.

    • URL: use o formato de URL padrão, https://website.domain.tld. O Windows exibe a URL como um hiperlink.

    • Email endereço: use o formato de endereço de email padrão, user@domain.tld. O Windows exibe o endereço como o seguinte hiperlink: mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Número de telefone: especifique o número que você deseja que seus usuários chamem. O Windows exibe o número com a seguinte descrição: Please call <your number> for applying exemption.

Se você desabilitar ou não configurar essa configuração, o Windows não exibirá as instruções de solicitação de isenção aos usuários.

Observação

O BitLocker gerencia isenções por usuário, não por computador. Se vários usuários entrarem no mesmo computador e qualquer usuário não estiver isento, o BitLocker criptografará o computador.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMBMSUserExemptionPolicy.

Configuração sugerida: habilitada

Especifique uma URL a ser exibida aos usuários como a Política de Segurança da Empresa no Windows. Use este link para fornecer aos usuários informações sobre os requisitos de criptografia. Ele mostra quando o BitLocker solicita que o usuário criptografe uma unidade.

Se você habilitar essa configuração, configure a URL do link da política de segurança.

Se você desabilitar ou não configurar essa configuração, o BitLocker não mostrará o link da política de segurança.

Para obter mais informações sobre como criar essa política com Windows PowerShell, consulte New-CMMoreInfoUrlPolicy.

Próximas etapas

Se você usar Windows PowerShell para criar esses objetos de política, use o cmdlet New-CMBlmSetting. Esse cmdlet cria um objeto de configurações de política de gerenciamento do BitLocker que contém todas as políticas especificadas. Para implantar as configurações de política em uma coleção, use o cmdlet New-CMSettingDeployment .