Saltar al contenido
Inicio / Azure / Microsoft Endpoint Manager: Cifrado de discos con BitLocker

Microsoft Endpoint Manager: Cifrado de discos con BitLocker

Siempre es recomendable/obligatorio que pensemos/configuremos el cifrado de discos de nuestros equipos, no solo de nuestros dispositivos de almacenamiento externo. En Windows tenemos BitLocker desde Windows Vista, el cual ha ido mejorando con el tiempo y el cual está muy presente en Windows 10 e integrado con Active Directory y Azure Active Directory. Hoy voy a mostraros como podemos habilitarlo sin intervención de administradores o usuarios, en modelo silencioso, archivar las claves de recuperación en Azure Active Directory y todo ello desde Intune.

Será un artículo muy sencillo, no voy a entrar en los detalles específicos de BitLocker, puesto que son muchos y cada entorno tendrá sus particularidades. Voy a mostrar la configuración exacta que debéis aplicar para habilitar BitLocker y que las claves de recuperación se almacenen directamente en Azure Active Directory (configuración válida para equipos unidos a AzureAD y en modo híbrido).

A continuación, la infografía para este artículo:

Para configurar BitLocker desde Intune, nos iremos a la sección de EndPoint SecurityDisk Encryption y luego pulsamos en Create Policy:

Elegimos la plataforma en cuestión, en mi caso Windows 10 and later y en cuanto al perfil elegimos BitLocker:

Especificamos un nombre para nuestra política, en mi caso BitLocker – TMP. Esta configuración es válida para equipos con un módulo de TMP  habilitado, debéis tenerlo en cuenta, sino fallará.

Ahora debemos empezar a ajustar la directa:

Para ser más directo, lo que haré será mostrarnos el resumen de la configuración de con las diferentes opciones que debéis ir habilitando. Las secciones a configurar son las siguientes:

A continuación, os mostraré las opciones que yo he utilizando para habilitado BitLocker de forma silenciosa y que las claves de recuperación se almacenen en la cuenta de equipo en Azure Active Directory. Lo primero que configuraremos serán las opciones generales:

BitLocker- Base Settings

BitLocker – Fixed Drive Settings

BitLocker – OS Drive Settings

BitLocker – Removable Drive Settings

Esta política se aplicará a un grupo o todos los dispositivos que estén en Azure AD (Azure AD Join o Híbrido), en cuanto se vaya aplicando a los diferentes equipos veremos que se va aplicando poco a poco a todos los dispositivos afectados por la política:

Por último, para ver la Recovery Key de un equipo, debéis buscar el dispositivos en EndPoint Manager y una vez seleccionado acceder a la sección Recovery Keys y ahí las tendréis disponibles por si las necesitáis utilizar.

Si accedemos a uno de los equipos a los cuales le hemos aplicado la directiva de BitLocker podemos ver que ya lo tenemos activo sin intervención del usuario (ni alguien de IT):

Como veis es muy sencilla la configuración, yo la he centrado en cifrar silenciosamente, pero podemos configurar para solicitar una clave de desbloqueo al usuario final, etc… pero bueno, era para que empezásemos a trabajar con BitLocker  de forma sencilla y rápida.

Ahora, como siempre, os toca probarlo a vosotros!!!

10 comentarios en «Microsoft Endpoint Manager: Cifrado de discos con BitLocker»

  1. Hola,
    el artículo está muy bien, como siempre. Solo una pregunta, si tengo varias particiones en un disco duro ¿qué tengo que hacer para que me encripte las dos unidades?
    Gracias.

    1. Santiago Buitrago Reis

      Hola:

      Debes configurar la sección BitLocker – Fixed Drive Settings, ahí es donde habilitarás BitLocker para los discos de datos. (https://docs.microsoft.com/en-us/mem/intune/protect/endpoint-security-disk-encryption-profile-settings):

      BitLocker fixed drive policy
      CSP: BitLocker – EncryptionMethodByDriveType

      Fixed drive recovery
      CSP: BitLocker – FixedDrivesRecoveryOptions

      Control how BitLocker-protected fixed data-drives are recovered in the absence of the required startup key information.

      Not configured (default) – The default recovery options are supported including the data recovery agent (DRA). The end user can specify recovery options and recovery information isn’t backed up to Azure Active Directory.
      Configure – Enable access to configure various drive recovery techniques.

      Un saludo

  2. Buenas!
    Soy nueva en todo esto e igual mi pregunta es muy simple.
    He configurado la GPO de Bitlocker en un AD WINDOWS SERVER 2012 R2 STANDARD, sus clientes son Win10 con TPM y Bitlocker instalado y activado.
    El almacenamiento de la contraseña será en AD.
    ¿Cuando los equipos se reinicien me pedirá contraseña? Y si es así, ¿qué tendría que hacer para que arranquen sin pedir contraseña y que solo la pida si el disco duro es extraido del equipo?

    Gracias de antemano
    Un saludo

    1. Santiago Buitrago Reis

      Hola María:

      Si la configuración la has realizado vía GPO, el que no te pida la clave de inicio lo puedes configurar desde ahi: https://docs.microsoft.com/es-es/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-dpinchange

      Un saludo

  3. Muchas gracias, Muy buen aporte Santiago,

    Una consulta: Cuando se desencripta un disco queda algún registro en Intune de quien desencripto el disco.?, esto a modo de poder identificar por que se generan varias claves de bitlocker

    1. Santiago Buitrago Reis

      Hola DAniel:

      Creo que había algo por parte de MSFT, pero está más ligado a quien lee las recovery keys que su utilización: https://docs.microsoft.com/en-us/graph/api/resources/bitlockerrecoverykey?view=graph-rest-1.0&viewFallbackFrom=graph-rest-bet.

      Pero lo que sí, eso queda registrado en el registro de eventos del propio equipo.

      Un saludo

  4. Hola, He estado intentando realizar el cifrado de discos en equipo de prueba dentro de una red unida a un dominio modo hibrido.
    Creé un grupo de seguridad en AD y agregué la cuenta de usuario que quiero que se aplique el cifrado cuando inicie con sus credenciales en un equipo.
    Este grupo lo agregué en Asignaciones en en la parte de configuración de la directiva Seguridad de los puntos de conexión | Cifrado de disco
    Realicé la misma configuración de este articulo pero en equipo cliente no pasa nada, no aplica ningún cambio, por favor si me pueden ayudar no he encontrado solución, muchas gracias

    1. Santiago Buitrago Reis

      Hola Moises:

      Entiendo que el equipo de pruebas tiene módulo TPM, verdad? Sin el, no va a ser posible hacer el cifrado desde disco. Además, ¿has visto el error en el Visor de Eventos de porque no te lo cifra? Es que solo con esa información no sabría que decirte la verdad.

      Un saludo

      1. Muchas gracias Santiago. Ya lo solucioné, no había realizado nada para inscribir los dispositivos para que queden en Azure AD como Joined. Tuve que modificar el AD Connect y y otras funciones de Azure y funcionó. Muchas gracias

        1. Santiago Buitrago Reis

          Muy bien, si nos puedes contar que has tenido que modificar sería de gran ayuda para todos por si nos llega a ocurrir.

          Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!