Partilhar via


CSP BitLocker

Dica

Este CSP contém políticas apoiadas por ADMX que requerem um formato SyncML especial para ativar ou desativar. Tem de especificar o tipo de dados no SyncML como <Format>chr</Format>. Para obter detalhes, veja Understanding ADMX-backed policies (Compreender as políticas apoiadas pelo ADMX).

O payload do SyncML tem de ter codificação XML; para esta codificação XML, existem vários codificadores online que pode utilizar. Para evitar codificar o payload, pode utilizar o CDATA se o MDM o suportar. Para obter mais informações, veja Secções CDATA.

O fornecedor de serviços de configuração (CSP) bitLocker é utilizado pela empresa para gerir a encriptação de PCs e dispositivos. Este CSP foi adicionado ao Windows 10, versão 1703. A partir do Windows 10, versão 1809, também é suportado no Windows 10 Pro.

Observação

Para gerir o BitLocker através do CSP, exceto para a ativar e desativar através da RequireDeviceEncryption política, tem de ser atribuída uma das seguintes licenças aos seus utilizadores, independentemente da sua plataforma de gestão:

  • Windows 10/11 Enterprise E3 ou E5 (incluído no Microsoft 365 F3, E3 e E5).
  • Windows 10/11 Enterprise A3 ou A5 (incluído no Microsoft 365 A3 e A5).

Uma Get operação em qualquer uma das definições, exceto em RequireDeviceEncryption e RequireStorageCardEncryption, devolve a definição configurada pelo administrador.

Para RequireDeviceEncryption e RequireStorageCardEncryption, a operação Get devolve o estado real da imposição ao administrador, como se a proteção do Trusted Platform Module (TPM) fosse necessária e se a encriptação fosse necessária. Se o dispositivo tiver o BitLocker ativado, mas com o protetor de palavra-passe, o estado comunicado é 0. Uma operação Get em RequireDeviceEncryption não verifica se é imposto um comprimento mínimo do PIN (SystemDrivesMinimumPINLength).

Observação

  • As definições são impostas apenas no momento em que a encriptação é iniciada. A encriptação não é reiniciada com alterações de definições.
  • Tem de enviar todas as definições em conjunto num único SyncML para ser eficaz.

A lista seguinte mostra os nós do fornecedor de serviços de configuração do BitLocker:

AllowStandardUserEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1809 [10.0.17763] e posterior
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Permite ao Administrador impor a política "RequireDeviceEncryption" para cenários em que a política é emitida enquanto o utilizador com sessão iniciada atual não é administrador/utilizador padrão.

A política "AllowStandardUserEncryption" está associada à política "AllowWarningForOtherDiskEncryption" que está a ser definida como "0", ou seja, a encriptação silenciosa é imposta.

Se "AllowWarningForOtherDiskEncryption" não estiver definido ou estiver definido como "1", a política "RequireDeviceEncryption" não tentará encriptar unidades se um utilizador padrão for o utilizador com sessão iniciada atual no sistema.

Os valores esperados para esta política são:

1 = a política "RequireDeviceEncryption" tentará ativar a encriptação em todas as unidades fixas, mesmo que um utilizador com sessão iniciada atual seja um utilizador padrão.

0 = Esta é a predefinição, quando a política não está definida. Se o utilizador com sessão iniciada atual for um utilizador padrão, a política "RequireDeviceEncryption" não tentará ativar a encriptação em nenhuma unidade.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0
Dependency [AllowWarningForOtherDiskEncryptionDependency] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
Valor Permitido da Dependência: [0]
Tipo de Valor Permitido de Dependência: Range

Valores Permitidos:

Valor Descrição
0 (Padrão) Esta é a predefinição, quando a política não está definida. Se o utilizador com sessão iniciada atual for um utilizador padrão, a política "RequireDeviceEncryption" não tentará ativar a encriptação em nenhuma unidade.
1 A política "RequireDeviceEncryption" tentará ativar a encriptação em todas as unidades fixas, mesmo que um utilizador com sessão iniciada atual seja um utilizador padrão.

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Permite que o Administrador desative toda a IU (notificação para encriptação e aviso de encriptação para outra encriptação de disco) e ative a encriptação nos computadores de utilizador silenciosamente.

Aviso

Quando ativa o BitLocker num dispositivo com encriptação de terceiros, este pode tornar o dispositivo inutilizável e exigir a reinstalação do Windows.

Observação

Esta política só entra em vigor se a política "RequireDeviceEncryption" estiver definida como 1.

Os valores esperados para esta política são:

1 = Esta é a predefinição, quando a política não está definida. A notificação de aviso e encriptação é permitida.

0 = Desativa o pedido de aviso e a notificação de encriptação. A partir do Windows 10, próxima grande atualização, o valor 0 só entra em vigor em dispositivos associados ao Microsoft Entra.

O Windows tentará ativar automaticamente o BitLocker para o valor 0.

Observação

Quando desativar o pedido de aviso, a chave de recuperação da unidade do SO fará uma cópia de segurança para a conta Microsoft Entra do utilizador. Quando permite o pedido de aviso, o utilizador que recebe o pedido pode selecionar onde fazer uma cópia de segurança da chave de recuperação da unidade de SO.

O ponto final da cópia de segurança de uma unidade de dados fixa é escolhido pela seguinte ordem:

  1. A conta dos Serviços de Domínio do Active Directory do Windows Server do utilizador.
  2. A conta Microsoft Entra do utilizador.
  3. O OneDrive pessoal do utilizador (apenas MDM/MAM).

A encriptação aguardará até que uma destas três localizações faça uma cópia de segurança com êxito.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 1

Valores Permitidos:

Valor Descrição
0 Desativa o pedido de aviso. A partir do Windows 10, versão 1803, o valor 0 só pode ser definido para dispositivos associados ao Microsoft Entra. O Windows tentará ativar automaticamente o BitLocker para o valor 0.
1 (Predefinição) Aviso de aviso permitido.

Exemplo:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigurarRecoveryPasswordRotation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1909 [10.0.18363] e posterior
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Permite que o Administrador configure a Rotação de Palavras-passe de Recuperação Numérica após a utilização para o SO e unidades fixas no Microsoft Entra ID e em dispositivos associados a um domínio híbrido.

Quando não estiver configurado, a Rotação está ativada por predefinição apenas para o Microsoft Entra ID e desativado na funcionalidade híbrida. A Política só será eficaz quando a cópia de segurança do Active Directory para palavra-passe de recuperação estiver configurada para ser necessária.

Para unidade de SO: ative "Não ative o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo".

Para Unidades fixas: ative "Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas".

Valores Suportados: 0 - Rotação de Palavras-passe de Recuperação Numérica DESATIVADA.

1 - Rotação de Palavras-passe de Recuperação Numéricas após a utilização em dispositivos associados ao Microsoft Entra. Valor predefinido 2 - Rotação de Palavras-passe de Recuperação Numéricas após a utilização em dispositivos híbridos e ID do Microsoft Entra.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Atualize (predefinição).
1 Atualize para dispositivos associados ao Microsoft Entra.
2 Atualize para dispositivos associados e associados híbridos ao Microsoft Entra.

EncryptionMethodByDriveType

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Esta definição de política configura se a proteção do BitLocker é necessária para que um computador possa escrever dados numa unidade de dados amovível.

  • Se ativar esta definição de política, todas as unidades de dados amovíveis que não estejam protegidas pelo BitLocker serão montadas como só de leitura. Se a unidade estiver protegida pelo BitLocker, será montada com acesso de leitura e escrita.

Se a opção "Negar acesso de escrita a dispositivos configurados noutra organização" estiver selecionada, apenas as unidades com campos de identificação correspondentes aos campos de identificação do computador terão acesso de escrita. Quando uma unidade de dados amovível é acedida, será verificada se existe um campo de identificação válido e campos de identificação permitidos. Estes campos são definidos pela definição de política "Fornecer os identificadores exclusivos para a sua organização".

  • Se desativar ou não configurar esta definição de política, todas as unidades de dados amovíveis no computador serão montadas com acesso de leitura e escrita.

Observação

Esta definição de política pode ser substituída pelas definições de política em Configuração do Utilizador\Modelos Administrativos\Sistema\Acesso de Armazenamento Amovível. Se a definição de política "Discos Amovíveis: Negar acesso de escrita" estiver ativada, esta definição de política será ignorada.

Observação

Quando ativar EncryptionMethodByDriveType, tem de especificar valores para as três unidades (sistema operativo, dados fixos e dados amovíveis), caso contrário, falhará (500 estados de retorno). Por exemplo, se definir apenas o método de encriptação para o SO e as unidades amovíveis, obterá um estado de retorno 500.

Elementos de ID de Dados:

  • EncryptionMethodWithXtsOsDropDown_Name = Selecione o método de encriptação para unidades do sistema operativo.
  • EncryptionMethodWithXtsFdvDropDown_Name = Selecione o método de encriptação para unidades de dados fixas.
  • EncryptionMethodWithXtsRdvDropDown_Name = Selecione o método de encriptação para unidades de dados amovíveis.

O valor de exemplo deste nó para ativar esta política e definir os métodos de encriptação é:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

Os valores possíveis para "xx" são:

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome RDVDenyWriteAccess_Name
Nome Amigável Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidade Amovível Unidades de Dados Amovíveis
Nome da Chave do Registro System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro RDVDenyWriteAccess
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Esta definição de política permite-lhe configurar o tipo de encriptação utilizado pela Encriptação de Unidade BitLocker. Esta definição de política é aplicada quando ativa o BitLocker. Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso. Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado. Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado.

  • Se ativar esta definição de política, o tipo de encriptação que o BitLocker utilizará para encriptar unidades é definido por esta política e a opção de tipo de encriptação não será apresentada no assistente de configuração do BitLocker.

  • Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pedirá ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.

O valor de exemplo deste nó para ativar esta política é:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Valores possíveis:

  • 0: permitir que o utilizador escolha.
  • 1: Encriptação completa.
  • 2: Encriptação apenas de espaço utilizado.

Observação

Esta política é ignorada quando está a encolher ou a expandir um volume e o controlador BitLocker utiliza o método de encriptação atual. Por exemplo, quando uma unidade que está a utilizar a encriptação Apenas Espaço Utilizado é expandida, o novo espaço livre não é apagado como seria para uma unidade que está a utilizar a Encriptação completa. O utilizador pode apagar o espaço livre numa unidade Apenas Espaço Utilizado com o seguinte comando: manage-bde -w. Se o volume diminuir, não é tomada nenhuma ação para o novo espaço livre.

Para obter mais informações sobre a ferramenta para gerir o BitLocker, veja manage-bde.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome FDVEncryptionType_Name
Nome Amigável Impor o tipo de encriptação de unidade em unidades de dados fixas
Localização Configuração do Computador
Caminho Unidades de Dados Fixas > de Encriptação > de Unidade BitLocker de Componentes do Windows
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro FDVEncryptionType
Nome do Arquivo ADMX VolumeEncryption.admx

FixedDrivesRecoveryOptions

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Esta definição de política permite-lhe controlar a forma como as unidades de dados fixas protegidas pelo BitLocker são recuperadas na ausência das credenciais necessárias. Esta definição de política é aplicada quando ativa o BitLocker.

A caixa de verificação "Permitir agente de recuperação de dados" é utilizada para especificar se um agente de recuperação de dados pode ser utilizado com unidades de dados fixas protegidas pelo BitLocker. Para que um agente de recuperação de dados possa ser utilizado, tem de ser adicionado a partir do item Políticas de Chave Pública na Consola de Gestão de Políticas de Grupo ou no Editor de Políticas de Grupo Local. Consulte o Guia de Implementação da Encriptação de Unidade BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.

Em "Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker", selecione se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits.

Selecione "Omitir opções de recuperação do assistente de configuração do BitLocker" para impedir que os utilizadores especifiquem opções de recuperação quando ativam o BitLocker numa unidade. Isto significa que não poderá especificar a opção de recuperação a utilizar quando ativar o BitLocker. Em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela definição de política.

Em "Guardar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory", escolha as informações de recuperação do BitLocker a armazenar no AD DS para unidades de dados fixas. Se selecionar "Cópia de segurança da palavra-passe de recuperação e do pacote de chaves", a palavra-passe de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves suporta a recuperação de dados de uma unidade que foi fisicamente danificada. Se selecionar "Apenas palavra-passe de recuperação da cópia de segurança", apenas a palavra-passe de recuperação é armazenada no AD DS.

Selecione a caixa de verificação "Não ativar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas" se pretender impedir que os utilizadores ativem o BitLocker, a menos que o computador esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida.

Observação

Se a caixa de verificação "Não ativar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas" estiver selecionada, será gerada automaticamente uma palavra-passe de recuperação.

  • Se ativar esta definição de política, pode controlar os métodos disponíveis para os utilizadores recuperarem dados de unidades de dados fixas protegidas pelo BitLocker.

  • Se esta definição de política não estiver configurada ou desativada, as opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitida uma DRA, as opções de recuperação podem ser especificadas pelo utilizador, incluindo a palavra-passe de recuperação e a chave de recuperação, e as informações de recuperação não têm cópia de segurança no AD DS.

Elementos de ID de Dados:

  • FDVAllowDRA_Name: Permitir agente de recuperação de dados
  • FDVRecoveryPasswordUsageDropDown_Name e FDVRecoveryKeyUsageDropDown_Name: Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker
  • FDVHideRecoveryPage_Name: Omitir opções de recuperação do assistente de configuração do BitLocker
  • FDVActiveDirectoryBackup_Name: Guardar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory
  • FDVActiveDirectoryBackupDropDown_Name: Configurar o armazenamento de informações de recuperação do BitLocker para o AD DS
  • FDVRequireActiveDirectoryBackup_Name: Não ative o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades de dados fixas

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

Os valores possíveis para "xx" são:

  • true = Permitir explicitamente
  • false = Política não definida

Os valores possíveis para "yy" são:

  • 0 = Não permitido
  • 1 = Necessário
  • 2 = Permitido

Os valores possíveis para "zz" são:

  • 1 = Armazenar palavras-passe de recuperação e pacotes de chaves
  • 2 = Armazenar apenas palavras-passe de recuperação

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome FDVRecoveryUsage_Name
Nome Amigável Escolha como as unidades fixas protegidas pelo BitLocker podem ser recuperadas
Localização Configuração do Computador
Caminho Unidades de Dados Fixas > de Encriptação > de Unidade BitLocker de Componentes do Windows
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro FDVRecovery
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Esta definição de política determina se a proteção bitLocker é necessária para que as unidades de dados fixas sejam graváveis num computador.

  • Se ativar esta definição de política, todas as unidades de dados fixas que não estejam protegidas pelo BitLocker serão montadas como só de leitura. Se a unidade estiver protegida pelo BitLocker, será montada com acesso de leitura e escrita.

  • Se desativar ou não configurar esta definição de política, todas as unidades de dados fixas no computador serão montadas com acesso de leitura e escrita.

O valor de exemplo deste nó para ativar esta política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome FDVDenyWriteAccess_Name
Nome Amigável Negar o acesso de gravação a unidades fixas não protegidas pelo BitLocker
Localização Configuração do Computador
Caminho Unidades de Dados Fixas > de Encriptação > de Unidade BitLocker de Componentes do Windows
Nome da Chave do Registro System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro FDVDenyWriteAccess
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Campo de Identificação

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/IdentificationField

Esta definição de política permite-lhe associar identificadores organizacionais exclusivos a uma nova unidade que está ativada com o BitLocker. Estes identificadores são armazenados como o campo de identificação e o campo de identificação permitido. O campo de identificação permite-lhe associar um identificador organizacional exclusivo a unidades protegidas pelo BitLocker. Este identificador é adicionado automaticamente às novas unidades protegidas pelo BitLocker e pode ser atualizado em unidades protegidas pelo BitLocker existentes com a ferramenta de linha de comandos manage-bde . É necessário um campo de identificação para a gestão de agentes de recuperação de dados baseados em certificados em unidades protegidas pelo BitLocker e para potenciais atualizações ao Leitor BitLocker To Go. O BitLocker só irá gerir e atualizar os agentes de recuperação de dados quando o campo de identificação na unidade corresponder ao valor configurado no campo de identificação. Da mesma forma, o BitLocker só atualizará o Leitor BitLocker To Go quando o campo de identificação na unidade corresponder ao valor configurado para o campo de identificação.

O campo de identificação permitido é utilizado em combinação com a definição de política "Negar acesso de escrita a unidades amovíveis não protegidas pelo BitLocker" para ajudar a controlar a utilização de unidades amovíveis na sua organização. É uma lista separada por vírgulas de campos de identificação da sua organização ou de outras organizações externas.

Pode configurar os campos de identificação em unidades existentes através da .exe manage-bde .

  • Se ativar esta definição de política, pode configurar o campo de identificação na unidade protegida pelo BitLocker e qualquer campo de identificação permitido utilizado pela sua organização.

Quando uma unidade protegida por BitLocker é montada noutro computador compatível com o BitLocker, o campo de identificação e o campo de identificação permitido serão utilizados para determinar se a unidade é de uma organização externa.

  • Se desativar ou não configurar esta definição de política, o campo de identificação não é necessário.

Observação

Os campos de identificação são necessários para a gestão de agentes de recuperação de dados baseados em certificados em unidades protegidas pelo BitLocker. O BitLocker só irá gerir e atualizar agentes de recuperação de dados baseados em certificados quando o campo de identificação estiver presente numa unidade e for idêntico ao valor configurado no computador. O campo de identificação pode ter um valor igual ou inferior a 260 carateres.

Elementos de ID de Dados:

  • IdentificationField: este é um campo de identificação do BitLocker.
  • SecIdentificationField: este é um campo de identificação bitLocker permitido.

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome IdentificationField_Name
Nome Amigável Indique os identificadores exclusivos para a sua organização
Localização Configuração do Computador
Caminho Encriptação de Unidade BitLocker de Componentes > do Windows
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro Campo de Identificação
Nome do Arquivo ADMX VolumeEncryption.admx

RemovableDrivesConfigureBDE

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Esta definição de política controla a utilização do BitLocker em unidades de dados amovíveis. Esta definição de política é aplicada quando ativa o BitLocker.

Quando esta definição de política está ativada, pode selecionar definições de propriedade que controlam a forma como os utilizadores podem configurar o BitLocker. Selecione "Permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis" para permitir que o utilizador execute o assistente de configuração do BitLocker numa unidade de dados amovível. Selecione "Permitir que os utilizadores suspendam e desencriptem o BitLocker em unidades de dados amovíveis" para permitir que o utilizador remova a encriptação bitLocker Drive da unidade ou suspenda a encriptação enquanto a manutenção é efetuada. Para obter informações sobre a suspensão da proteção bitLocker, veja Implementação Básica do BitLocker.

  • Se não configurar esta definição de política, os utilizadores podem utilizar o BitLocker em unidades de disco amovíveis.

  • Se desativar esta definição de política, os utilizadores não poderão utilizar o BitLocker em unidades de disco amovíveis.

Elementos de ID de Dados:

  • RDVAllowBDE_Name: permitir que os utilizadores apliquem a proteção BitLocker em unidades de dados amovíveis.
  • RDVDisableBDE_Name: permitir que os utilizadores suspendam e desencriptem o BitLocker em unidades de dados amovíveis.

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome RDVConfigureBDE
Nome Amigável Controlar a utilização do BitLocker em unidades amovíveis
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidade Amovível Unidades de Dados Amovíveis
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro RDVConfigureBDE
Nome do Arquivo ADMX VolumeEncryption.admx

RemovableDrivesEncryptionType

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Esta definição de política permite-lhe configurar o tipo de encriptação utilizado pela Encriptação de Unidade BitLocker. Esta definição de política é aplicada quando ativa o BitLocker. Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso. Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado. Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado.

  • Se ativar esta definição de política, o tipo de encriptação que o BitLocker utilizará para encriptar unidades é definido por esta política e a opção de tipo de encriptação não será apresentada no assistente de configuração do BitLocker.

  • Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pedirá ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.

O valor de exemplo deste nó para ativar esta política é:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Valores possíveis:

  • 0: permitir que o utilizador escolha.
  • 1: Encriptação completa.
  • 2: Encriptação apenas de espaço utilizado.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Dependência [BDEAllowed] Tipo de Dependência: DependsOn
URI de Dependência: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
Tipo de Valor Permitido de Dependência: ADMX

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome RDVEncryptionType_Name
Nome Amigável Impor o tipo de encriptação de unidade em unidades de dados amovíveis
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidade Amovível Unidades de Dados Amovíveis
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro RDVEncryptionType
Nome do Arquivo ADMX VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Quando ativada, permite-lhe excluir unidades amovíveis e dispositivos ligados através da interface USB da Encriptação de Dispositivo BitLocker. Os dispositivos excluídos não podem ser encriptados, mesmo manualmente. Além disso, se a opção "Negar acesso de escrita a unidades amovíveis não protegidas pelo BitLocker" estiver configurada, não será pedido ao utilizador para encriptação e a unidade será montada no modo de leitura/escrita. Forneça uma lista separada por vírgulas de unidades amovíveis excluídas\dispositivos, utilizando o ID de Hardware do dispositivo de disco. USBSTOR\SEAGATE_ST39102LW_______0004 de exemplo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: ,)

RemovableDrivesRequireEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Esta definição de política configura se a proteção do BitLocker é necessária para que um computador possa escrever dados numa unidade de dados amovível.

  • Se ativar esta definição de política, todas as unidades de dados amovíveis que não estejam protegidas pelo BitLocker serão montadas como só de leitura. Se a unidade estiver protegida pelo BitLocker, será montada com acesso de leitura e escrita.

Se a opção "Negar acesso de escrita a dispositivos configurados noutra organização" estiver selecionada, apenas as unidades com campos de identificação correspondentes aos campos de identificação do computador terão acesso de escrita. Quando uma unidade de dados amovível é acedida, será verificada se existe um campo de identificação válido e campos de identificação permitidos. Estes campos são definidos pela definição de política "Fornecer os identificadores exclusivos para a sua organização".

  • Se desativar ou não configurar esta definição de política, todas as unidades de dados amovíveis no computador serão montadas com acesso de leitura e escrita.

Observação

Esta definição de política pode ser substituída pelas definições de política em Configuração do Utilizador\Modelos Administrativos\Sistema\Acesso de Armazenamento Amovível. Se a definição de política "Discos Amovíveis: Negar acesso de escrita" estiver ativada, esta definição de política será ignorada.

Elementos de ID de Dados:

  • RDVCrossOrg: Negar o acesso de escrita a dispositivos configurados noutra organização

O valor de exemplo deste nó para ativar esta política é:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

Os valores possíveis para "xx" são:

  • true = Permitir explicitamente
  • false = Política não definida

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome RDVDenyWriteAccess_Name
Nome Amigável Negar o acesso de gravação a unidades removíveis não protegidas pelo BitLocker
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidade Amovível Unidades de Dados Amovíveis
Nome da Chave do Registro System\CurrentControlSet\Policies\Microsoft\FVE
Nome do Valor do Registro RDVDenyWriteAccess
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Permite que o Administrador exija que a encriptação seja ativada com o BitLocker\Encriptação de Dispositivo.

Valor de exemplo para este nó para ativar esta política:

1

Desativar a política não desativa a encriptação na unidade do sistema. No entanto, deixará de pedir ao utilizador para o ativar.

Observação

Atualmente, apenas a encriptação de disco completa é suportada ao utilizar este CSP para encriptação silenciosa. Para encriptação não silenciosa, o tipo de encriptação dependerá SystemDrivesEncryptionType e FixedDrivesEncryptionType será configurado no dispositivo.

O estado dos volumes do SO e dos volumes de dados fixos encriptados é verificado com uma operação Get. Normalmente, o BitLocker/Encriptação de Dispositivos seguirá o valor que a política EncryptionMethodByDriveType estiver definida. No entanto, esta definição de política será ignorada para a encriptação automática de unidades fixas e a encriptação automática de unidades de SO.

Os volumes de dados fixos encriptados são tratados de forma semelhante aos volumes do SO. No entanto, os volumes de dados fixos têm de cumprir outros critérios para serem considerados encriptados:

  • Não pode ser um volume dinâmico.
  • Não pode ser uma partição de recuperação.
  • Não pode ser um volume oculto.
  • Não pode ser uma partição do sistema.
  • Não pode ser suportada pelo armazenamento virtual.
  • Não pode ter uma referência no arquivo BCD.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Desabilitar. Se a definição de política não estiver definida ou estiver definida como 0, o estado de imposição do dispositivo não será verificado. A política não impõe a encriptação e não desencripta volumes encriptados.
1 Habilitar. O estado de imposição do dispositivo está verificado. Definir esta política como 1 aciona a encriptação de todas as unidades (silenciosa ou não silenciosamente com base na política AllowWarningForOtherDiskEncryption).

Exemplo:

Para desativar RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Observação

Esta política foi preterida e poderá ser removida numa versão futura.

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Permite ao Administrador exigir a encriptação do cartão de armazenamento no dispositivo.

Esta política só é válida para o SKU móvel.

Valor de exemplo para este nó para ativar esta política:

1

Desativar a política não desativa a encriptação no cartão de armazenamento. No entanto, deixará de pedir ao utilizador para o ativar.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valor Padrão 0

Valores Permitidos:

Valor Descrição
0 (Padrão) Os cartões de armazenamento não precisam de ser encriptados.
1 Exigir que os cartões de armazenamento sejam encriptados.

RotateRecoveryPasswords

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1909 [10.0.18363] e posterior
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Permite que o administrador envie uma rotação única de todas as palavras-passe de recuperação numérica para unidades de SO e Dados Fixos num ID do Microsoft Entra ou num dispositivo associado híbrido.

Esta política é Tipo de execução e roda todas as palavras-passe numéricas quando emitidas a partir de ferramentas mdm.

A política só entra em vigor quando a cópia de segurança do Active Directory para uma palavra-passe de recuperação está configurada como "necessária".

  • Para unidades de SO, ative "Não ative o BitLocker até que as informações de recuperação estejam armazenadas nos Serviços de Domínio do Active Directory para unidades do sistema operativo".

  • Para unidades fixas, ative "Não ative o BitLocker até que as informações de recuperação sejam armazenadas nos Serviços de Domínio do Active Directory para unidades de dados fixas".

O cliente devolve o estado DM_S_ACCEPTED_FOR_PROCESSING para indicar que a rotação foi iniciada. O servidor pode consultar o estado com os seguintes nós de estado:

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID.

Valores Suportados: formulário de cadeia do ID do pedido. O formato de exemplo do ID do pedido é GUID. O servidor pode escolher o formato conforme necessário de acordo com as ferramentas de gestão.

Observação

A rotação de chaves só é suportada nestes tipos de inscrição. Para obter mais informações, veja deviceEnrollmentType enum.

  • windowsAzureADJoin.
  • windowsBulkAzureDomainJoin.
  • windowsAzureADJoinUsingDeviceAuth.
  • windowsCoManagement.

Dica

A funcionalidade de rotação de chaves só funcionará quando:

  • Para unidades do sistema operativo:

    • OSRequireActiveDirectoryBackup_Name está definido como 1 ("Obrigatório").
    • OSActiveDirectoryBackup_Name está definido como verdadeiro.
  • Para unidades de dados fixas:

    • FDVRequireActiveDirectoryBackup_Name está definido como 1 = ("Obrigatório").
    • FDVActiveDirectoryBackup_Name está definido como verdadeiro.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Executivo

Status

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1903 [10.0.18362] e posterior
./Device/Vendor/MSFT/BitLocker/Status

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato node
Tipo de acesso Obter

Estado/DeviceEncryptionStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1903 [10.0.18362] e posterior
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Este nó comunica o estado de conformidade da encriptação do dispositivo no sistema.

O valor "0" significa que o dispositivo está em conformidade. Qualquer outro valor representa um dispositivo não conforme.

Este valor representa uma máscara de bits com cada bit e o código de erro correspondente descrito na seguinte tabela:

Bit Código de Erro
0 A política BitLocker requer o consentimento do utilizador para iniciar o Assistente de Encriptação de Unidade BitLocker para iniciar a encriptação do volume do SO, mas o utilizador não consentiu.
1 O método de encriptação do volume do SO não corresponde à política do BitLocker.
2 O volume do SO está desprotegido.
3 A política BitLocker requer um protetor apenas TPM para o volume do SO, mas a proteção TPM não é utilizada.
4 A política BitLocker requer proteção TPM+PIN para o volume do SO, mas não é utilizado um protetor TPM+PIN.
5 A política BitLocker requer proteção TPM+chave de arranque para o volume do SO, mas não é utilizado um protetor de chave de arranque TPM+.
6 A política BitLocker requer proteção TPM+PIN+chave de arranque para o volume do SO, mas não é utilizado um protetor TPM+PIN+chave de arranque.
7 A política BitLocker requer um protetor TPM para proteger o volume do SO, mas não é utilizado um TPM.
8 Falha na cópia de segurança da chave de recuperação.
9 Uma unidade fixa está desprotegida.
10 O método de encriptação da unidade fixa não corresponde à política do BitLocker.
11 Para encriptar unidades, a política bitLocker requer que o utilizador inicie sessão como Administrador ou, se o dispositivo estiver associado ao ID do Microsoft Entra, a política AllowStandardUserEncryption tem de ser definida como 1.
12 O Ambiente de Recuperação do Windows (WinRE) não está configurado.
13 Um TPM não está disponível para o BitLocker, porque não está presente, foi indisponível no Registo ou o SO está numa unidade amovível.
14 O TPM não está pronto para o BitLocker.
15 A rede não está disponível, o que é necessário para a cópia de segurança da chave de recuperação.
16 O tipo de encriptação do volume do SO para disco completo versus encriptação apenas de espaço utilizado não corresponde à política bitLocker.
17 O tipo de encriptação da unidade fixa para o disco completo versus a encriptação apenas de espaço utilizado não corresponde à política bitLocker.
18-31 Para utilização futura.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Obter

Status/RemovableDrivesEncryptionStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Este nó comunica o estado de conformidade da encriptação da unidade de remoção. Valor "0" significa que a unidade de remoção é encriptada ao seguir todas as definições da unidade de remoção definidas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Obter

Status/RotateRecoveryPasswordsRequestID

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1909 [10.0.18363] e posterior
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Este Nó comunica o RequestID correspondente a RotateRecoveryPasswordsStatus.

Este nó tem de ser consultado na sincronização com RotateRecoveryPasswordsStatus para garantir que o estado corresponde corretamente ao ID do pedido.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Obter

Status/RotateRecoveryPasswordsStatus

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1909 [10.0.18363] e posterior
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Este Nó comunica o estado do pedido RotateRecoveryPasswords.

O código de estado pode ser um dos seguintes:

NotStarted(2), Pending (1), Pass (0), Outros códigos de erro em caso de falha.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato int
Tipo de acesso Obter

SystemDrivesDisallowStandardUsersCanChangePIN

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Esta definição de política permite-lhe configurar se os utilizadores padrão estão ou não autorizados a alterar os PINs de volume do BitLocker, desde que consigam fornecer primeiro o PIN existente.

Esta definição de política é aplicada quando ativa o BitLocker.

  • Se ativar esta definição de política, os utilizadores padrão não poderão alterar os PINs ou palavras-passe do BitLocker.

  • Se desativar ou não configurar esta definição de política, os utilizadores padrão terão permissão para alterar os PINs e palavras-passe do BitLocker.

Observação

Para alterar o PIN ou a palavra-passe, o utilizador tem de conseguir fornecer o PIN ou palavra-passe atual.

O valor de exemplo para este nó desativar esta política é: <disabled/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome DisallowStandardUsersCanChangePIN_Name
Nome Amigável Não permitir que os utilizadores padrão alterem o PIN ou a palavra-passe
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro DisallowStandardUserPINReset
Nome do Arquivo ADMX VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Esta definição de política permite que os utilizadores ativem as opções de autenticação que requerem a entrada do utilizador a partir do ambiente de pré-arranque, mesmo que a plataforma não tenha capacidade de entrada de pré-arranque.

O teclado tátil do Windows (como o utilizado pelos tablets) não está disponível no ambiente de pré-arranque onde o BitLocker necessita de informações adicionais, como um PIN ou Palavra-passe.

  • Se ativar esta definição de política, os dispositivos têm de ter um meio alternativo de introdução de pré-arranque (como um teclado USB ligado).

  • Se esta política não estiver ativada, o Ambiente de Recuperação do Windows tem de estar ativado em tablets para suportar a entrada da palavra-passe de recuperação bitLocker. Quando o Ambiente de Recuperação do Windows não está ativado e esta política não está ativada, não pode ativar o BitLocker num dispositivo que utilize o teclado tátil do Windows.

Tenha em atenção que, se não ativar esta definição de política, as opções na política "Exigir autenticação adicional no arranque" poderão não estar disponíveis nesses dispositivos. Estas opções incluem:

  • Configurar o PIN de arranque do TPM: Necessário/Permitido
  • Configurar a chave de arranque do TPM e o PIN: Necessário/Permitido
  • Configurar a utilização de palavras-passe para unidades do sistema operativo.

O valor de exemplo deste nó para ativar esta política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome EnablePrebootInputProtectorsOnSlates_Name
Nome Amigável Ativar a utilização da autenticação BitLocker que requer introdução de teclado pré-inicial em ardósias
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro OSEnablePrebootInputProtectorsOnSlates
Nome do Arquivo ADMX VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Esta definição de política permite que os utilizadores em dispositivos em conformidade com o InstantGo ou o Microsoft Hardware Security Test Interface (HSTI) não tenham um PIN para autenticação de pré-arranque. Isto substitui as opções "Exigir PIN de arranque com TPM" e "Exigir chave de arranque e PIN com TPM" da política "Exigir autenticação adicional no arranque" em hardware compatível.

  • Se ativar esta definição de política, os utilizadores em dispositivos compatíveis com InstantGo e HSTI terão a opção de ativar o BitLocker sem autenticação de pré-arranque.

  • Se esta política não estiver ativada, aplicam-se as opções da política "Exigir autenticação adicional no arranque".

O valor de exemplo deste nó para ativar esta política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome EnablePreBootPinExceptionOnDECapableDevice_Name
Nome Amigável Permitir que os dispositivos conformes com InstantGo ou HSTI optem por não utilizar o PIN de pré-arranque.
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro OSEnablePreBootPinExceptionOnDECapableDevice
Nome do Arquivo ADMX VolumeEncryption.admx

SystemDrivesEncryptionType

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Esta definição de política permite-lhe configurar o tipo de encriptação utilizado pela Encriptação de Unidade BitLocker. Esta definição de política é aplicada quando ativa o BitLocker. Alterar o tipo de encriptação não tem efeito se a unidade já estiver encriptada ou se a encriptação estiver em curso. Escolha a encriptação completa para exigir que toda a unidade seja encriptada quando o BitLocker estiver ativado. Escolha a encriptação apenas de espaço utilizado para exigir que apenas a parte da unidade utilizada para armazenar dados seja encriptada quando o BitLocker está ativado.

  • Se ativar esta definição de política, o tipo de encriptação que o BitLocker utilizará para encriptar unidades é definido por esta política e a opção de tipo de encriptação não será apresentada no assistente de configuração do BitLocker.

  • Se desativar ou não configurar esta definição de política, o assistente de configuração do BitLocker pedirá ao utilizador para selecionar o tipo de encriptação antes de ativar o BitLocker.

O valor de exemplo deste nó para ativar esta política é:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Valores possíveis:

  • 0: permitir que o utilizador escolha.
  • 1: Encriptação completa.
  • 2: Encriptação apenas de espaço utilizado.

Observação

Esta política é ignorada ao encolher ou expandir um volume e o controlador BitLocker utiliza o método de encriptação atual. Por exemplo, quando uma unidade que está a utilizar a encriptação Apenas Espaço Utilizado é expandida, o novo espaço livre não é apagado como seria para uma unidade que utiliza Encriptação completa. O utilizador pode apagar o espaço livre numa unidade Apenas Espaço Utilizado com o seguinte comando: manage-bde -w. Se o volume diminuir, não é tomada nenhuma ação para o novo espaço livre.

Para obter mais informações sobre a ferramenta para gerir o BitLocker, veja manage-bde.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome OSEncryptionType_Name
Nome Amigável Impor o tipo de encriptação de unidade em unidades do sistema operativo
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro OSEncryptionType
Nome do Arquivo ADMX VolumeEncryption.admx

SystemDrivesEnhancedPIN

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 2004 com KB5005101 [10.0.19041.1202] e posterior
✅ Windows 10, versão 20H2 com KB5005101 [10.0.19042.1202] e posterior
✅ Windows 10, versão 21H1 com KB5005101 [10.0.19043.1202] e posterior
✅ Windows 11, versão 21H2 [10.0.22000] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Esta definição de política permite-lhe configurar se os PINs de arranque melhorados são ou não utilizados com o BitLocker.

Os PINs de arranque melhorados permitem a utilização de carateres, incluindo letras maiúsculas e minúsculas, símbolos, números e espaços. Esta definição de política é aplicada quando ativa o BitLocker.

  • Se ativar esta definição de política, todos os novos PINs de arranque do BitLocker definidos serão PINs melhorados.

Observação

Nem todos os computadores podem suportar PINs melhorados no ambiente de pré-arranque. Recomenda-se vivamente que os utilizadores efetuem uma verificação do sistema durante a configuração do BitLocker.

  • Se desativar ou não configurar esta definição de política, os PINs melhorados não serão utilizados.

O valor de exemplo deste nó para ativar esta política é: <enabled/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome EnhancedPIN_Name
Nome Amigável Permitir PINs melhorados para arranque
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Valor do Registro UseEnhancedPin
Nome do Arquivo ADMX VolumeEncryption.admx

SystemDrivesMinimumPINLength

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Esta definição de política permite-lhe configurar um comprimento mínimo para um PIN de arranque do Trusted Platform Module (TPM). Esta definição de política é aplicada quando ativa o BitLocker. O PIN de arranque tem de ter um comprimento mínimo de 4 dígitos e pode ter um comprimento máximo de 20 dígitos.

  • Se ativar esta definição de política, pode exigir um número mínimo de dígitos para ser utilizado ao definir o PIN de arranque.

  • Se desativar ou não configurar esta definição de política, os utilizadores podem configurar um PIN de arranque de qualquer comprimento entre 6 e 20 dígitos.

Observação

Se o comprimento mínimo do PIN estiver definido abaixo dos 6 dígitos, o Windows tentará atualizar o período de bloqueio do TPM 2.0 para ser maior do que a predefinição quando um PIN é alterado. Se for bem-sucedido, o Windows só reporá o período de bloqueio do TPM para a predefinição se o TPM for reposto.

Observação

No Windows 10, versão 1703, versão B, pode utilizar um comprimento mínimo de PIN de 4 dígitos.

O valor de exemplo deste nó para ativar esta política é:

<enabled/><data id="MinPINLength" value="xx"/>

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome MinimumPINLength_Name
Nome Amigável Configurar o comprimento mínimo do PIN para o arranque
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Esta definição de política permite-lhe configurar toda a mensagem de recuperação ou substituir o URL existente que é apresentado no ecrã de recuperação da chave de pré-arranque quando a unidade do SO está bloqueada.

Se selecionar a opção "Utilizar mensagem de recuperação predefinida e URL", a mensagem de recuperação bitLocker predefinida e o URL serão apresentados no ecrã de recuperação da chave de pré-arranque. Se tiver configurado anteriormente um URL ou mensagem de recuperação personalizada e quiser reverter para a mensagem predefinida, tem de manter a política ativada e selecionar a opção "Utilizar mensagem de recuperação predefinida e URL".

Se selecionar a opção "Utilizar mensagem de recuperação personalizada", a mensagem que escrever na caixa de texto "Opção de mensagem de recuperação personalizada" será apresentada no ecrã de recuperação da chave de pré-arranque. Se estiver disponível um URL de recuperação, inclua-o na mensagem.

Se selecionar a opção "Utilizar URL de recuperação personalizada", o URL que escrever na caixa de texto "Opção de URL de recuperação personalizada" substituirá o URL predefinido na mensagem de recuperação predefinida, que será apresentada no ecrã de recuperação da chave de pré-arranque.

Observação

Nem todos os carateres e idiomas são suportados no pré-arranque. Recomenda-se vivamente que teste que os carateres que utiliza para a mensagem personalizada ou o URL apareçam corretamente no ecrã de recuperação de pré-arranque.

Elementos de ID de Dados:

  • PrebootRecoveryInfoDropDown_Name: selecione uma opção para a mensagem de recuperação de pré-arranque.
  • RecoveryMessage_Input: mensagem de recuperação personalizada
  • RecoveryUrl_Input: URL de recuperação personalizado

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

Os valores possíveis para "xx" são:

  • 0 = Vazio
  • 1 = Utilize a mensagem de recuperação predefinida e o URL (neste caso, não precisa de especificar um valor para "RecoveryMessage_Input" ou "RecoveryUrl_Input").
  • 2 = A mensagem de recuperação personalizada está definida.
  • 3 = O URL de recuperação personalizado está definido.

O valor possível para "yy" e "zz" é uma cadeia de comprimento máximo de 900 e 500, respetivamente.

Observação

  • Quando ativar o SystemDrivesRecoveryMessage, tem de especificar valores para as três definições (ecrã de recuperação de pré-arranque, mensagem de recuperação e URL de recuperação), caso contrário, falhará (500 estados de retorno). Por exemplo, se especificar apenas valores para mensagem e URL, obterá um estado de devolução de 500.
  • Nem todos os carateres e idiomas são suportados no pré-arranque. Recomenda-se vivamente que teste que os carateres que utiliza para a mensagem personalizada ou o URL apareçam corretamente no ecrã de recuperação de pré-arranque.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome PrebootRecoveryInfo_Name
Nome Amigável Configurar a mensagem de recuperação pré-arranque e o URL
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro Software\Policies\Microsoft\FVE
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Esta definição de política permite-lhe controlar a forma como as unidades do sistema operativo protegidas pelo BitLocker são recuperadas na ausência das informações de chave de arranque necessárias. Esta definição de política é aplicada quando ativa o BitLocker.

A caixa de verificação "Permitir agente de recuperação de dados baseado em certificados" é utilizada para especificar se um agente de recuperação de dados pode ser utilizado com unidades de sistema operativo protegidas pelo BitLocker. Para que um agente de recuperação de dados possa ser utilizado, tem de ser adicionado a partir do item Políticas de Chave Pública na Consola de Gestão de Políticas de Grupo ou no Editor de Políticas de Grupo Local. Consulte o Guia de Implementação da Encriptação de Unidade BitLocker no Microsoft TechNet para obter mais informações sobre como adicionar agentes de recuperação de dados.

Em "Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker", selecione se os utilizadores são permitidos, necessários ou não autorizados a gerar uma palavra-passe de recuperação de 48 dígitos ou uma chave de recuperação de 256 bits.

Selecione "Omitir opções de recuperação do assistente de configuração do BitLocker" para impedir que os utilizadores especifiquem opções de recuperação quando ativam o BitLocker numa unidade. Isto significa que não poderá especificar a opção de recuperação a utilizar quando ativar o BitLocker. Em vez disso, as opções de recuperação do BitLocker para a unidade são determinadas pela definição de política.

Em "Guardar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory", escolha as informações de recuperação do BitLocker a armazenar no AD DS para unidades do sistema operativo. Se selecionar "Cópia de segurança da palavra-passe de recuperação e do pacote de chaves", a palavra-passe de recuperação do BitLocker e o pacote de chaves são armazenados no AD DS. Armazenar o pacote de chaves suporta a recuperação de dados de uma unidade que foi fisicamente danificada. Se selecionar "Apenas palavra-passe de recuperação da cópia de segurança", apenas a palavra-passe de recuperação é armazenada no AD DS.

Selecione a caixa de verificação "Não ativar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operativo" se pretender impedir que os utilizadores ativem o BitLocker, a menos que o computador esteja ligado ao domínio e a cópia de segurança das informações de recuperação do BitLocker para o AD DS seja bem-sucedida.

Observação

Se a caixa de verificação "Não ativar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operativo" estiver selecionada, será gerada automaticamente uma palavra-passe de recuperação.

  • Se ativar esta definição de política, pode controlar os métodos disponíveis para os utilizadores recuperarem dados de unidades de sistema operativo protegidas pelo BitLocker.

  • Se esta definição de política estiver desativada ou não estiver configurada, as opções de recuperação predefinidas são suportadas para a recuperação do BitLocker. Por predefinição, é permitida uma DRA, as opções de recuperação podem ser especificadas pelo utilizador, incluindo a palavra-passe de recuperação e a chave de recuperação, e as informações de recuperação não têm cópia de segurança no AD DS.

Elementos de ID de Dados:

  • OSAllowDRA_Name: Permitir o agente de recuperação de dados baseado em certificados
  • OSRecoveryPasswordUsageDropDown_Name e OSRecoveryKeyUsageDropDown_Name: Configurar o armazenamento de utilizadores das informações de recuperação do BitLocker
  • OSHideRecoveryPage_Name: Omitir opções de recuperação do assistente de configuração do BitLocker
  • OSActiveDirectoryBackup_Name e OSActiveDirectoryBackupDropDown_Name: Guardar informações de recuperação do BitLocker nos Serviços de Domínio do Active Directory
  • OSRequireActiveDirectoryBackup_Name: Não ative o BitLocker até que as informações de recuperação estejam armazenadas no AD DS para unidades do sistema operativo

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

Os valores possíveis para "xx" são:

  • true = Permitir explicitamente
  • false = Política não definida

Os valores possíveis para "yy" são:

  • 0 = Não permitido
  • 1 = Necessário
  • 2 = Permitido

Os valores possíveis para "zz" são:

  • 1 = Armazenar palavras-passe de recuperação e pacotes de chaves.
  • 2 = Armazenar apenas palavras-passe de recuperação.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome OSRecoveryUsage_Name
Nome Amigável Escolha como as unidades do sistema operacional protegidas pelo BitLocker podem ser recuperadas
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro OsRecovery
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅ Windows 10, versão 1703 [10.0.15063] e posterior
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Esta definição de política permite-lhe configurar se o BitLocker necessita de autenticação adicional sempre que o computador é iniciado e se está a utilizar o BitLocker com ou sem um Trusted Platform Module (TPM). Esta definição de política é aplicada quando ativa o BitLocker.

Observação

Apenas uma das opções de autenticação adicionais pode ser necessária no arranque, caso contrário ocorre um erro de política.

Se quiser utilizar o BitLocker num computador sem um TPM, selecione a caixa de verificação "Permitir BitLocker sem um TPM compatível". Neste modo, é necessária uma palavra-passe ou uma pen USB para o arranque. Ao utilizar uma chave de arranque, as principais informações utilizadas para encriptar a unidade são armazenadas na pen USB, criando uma chave USB. Quando a tecla USB é inserida, o acesso à unidade é autenticado e a unidade é acessível. Se a chave USB estiver perdida ou indisponível ou se se tiver esquecido da palavra-passe, terá de utilizar uma das opções de recuperação do BitLocker para aceder à unidade.

Num computador com um TPM compatível, podem ser utilizados quatro tipos de métodos de autenticação no arranque para fornecer proteção adicional para dados encriptados. Quando o computador é iniciado, pode utilizar apenas o TPM para autenticação ou também pode exigir a inserção de uma pen USB com uma chave de arranque, a entrada de um número de identificação pessoal de 6 dígitos a 20 dígitos (PIN) ou ambos.

  • Se ativar esta definição de política, os utilizadores podem configurar opções de arranque avançadas no assistente de configuração do BitLocker.

  • Se desativar ou não configurar esta definição de política, os utilizadores só podem configurar opções básicas em computadores com um TPM.

Observação

Se quiser exigir a utilização de um PIN de arranque e de uma pen USB, tem de configurar as definições do BitLocker com a ferramenta de linha de comandos manage-bde em vez do assistente de configuração da Encriptação de Unidade BitLocker.

Observação

  • No Windows 10, versão 1703, versão B, pode utilizar um PIN mínimo de 4 dígitos. A política SystemDrivesMinimumPINLength tem de ser definida para permitir PINs com menos de 6 dígitos.
  • Os dispositivos que passam pela validação da Especificação de Testabilidade de Segurança de Hardware (HSTI) ou dispositivos de Espera Modernos não conseguirão configurar um PIN de Arranque com este CSP. Os utilizadores têm de configurar manualmente o PIN. Elementos de ID de Dados:
  • ConfigureNonTPMStartupKeyUsage_Name = Permitir o BitLocker sem um TPM compatível (requer uma palavra-passe ou uma chave de arranque numa pen USB).
  • ConfigureTPMStartupKeyUsageDropDown_Name = (para computador com TPM) Configure a chave de arranque do TPM.
  • ConfigurePINUsageDropDown_Name = (para computador com TPM) Configure o PIN de arranque do TPM.
  • ConfigureTPMPINKeyUsageDropDown_Name = (para computador com TPM) Configure o PIN e a chave de arranque do TPM.
  • ConfigureTPMUsageDropDown_Name = (para computador com TPM) Configurar o arranque do TPM.

O valor de exemplo deste nó para ativar esta política é:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

Os valores possíveis para "xx" são:

  • true = Permitir explicitamente
  • false = Política não definida

Os valores possíveis para "yy" são:

  • 2 = Opcional
  • 1 = Necessário
  • 0 = Não permitido

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir

Dica

Esta é uma política suportada pelo ADMX e requer o formato SyncML para configuração. Para obter um exemplo de formato SyncML, veja Ativar uma política.

Mapeamento do ADMX:

Nome Valor
Nome ConfigureAdvancedStartup_Name
Nome Amigável Exigir autenticação adicional no arranque
Localização Configuração do Computador
Caminho Componentes > do Windows Unidade BitLocker Unidade > Unidades de Sistema Operativo
Nome da Chave do Registro SOFTWARE\Policies\Microsoft\FVE
Nome do Valor do Registro UseAdvancedStartup
Nome do Arquivo ADMX VolumeEncryption.admx

Exemplo:

Para desativar esta política, utilize o seguinte SyncML:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Exemplo de SyncML

O exemplo seguinte é fornecido para mostrar o formato adequado e não deve ser considerado como uma recomendação.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Referência de provedor de serviços de configuração