CSP BitLocker

Suggerimento

Questo provider di servizi di configurazione contiene criteri supportati da ADMX che richiedono un formato SyncML speciale per l'abilitazione o la disabilitazione. È necessario specificare il tipo di dati in SyncML come <Format>chr</Format>. Per informazioni dettagliate, vedere Informazioni sui criteri supportati da ADMX.

Il payload di SyncML deve essere codificato in XML; per questa codifica XML, è possibile usare un'ampia gamma di codificatori online. Per evitare la codifica del payload, è possibile usare CDATA se MDM lo supporta. Per altre informazioni, vedere Sezioni di CDATA.

Il provider di servizi di configurazione BitLocker (CSP) viene usato dall'organizzazione per gestire la crittografia di PC e dispositivi. Questo CSP è stato aggiunto in Windows 10 versione 1703. A partire da Windows 10 versione 1809, è supportato anche in Windows 10 Pro.

Nota

Per gestire BitLocker tramite CSP tranne per abilitarlo e disabilitarlo usando i RequireDeviceEncryption criteri, è necessario assegnare una delle licenze seguenti agli utenti indipendentemente dalla piattaforma di gestione:

  • Windows 10/11 Enterprise E3 o E5 (incluso in Microsoft 365 F3, E3 ed E5).
  • Windows 10/11 Enterprise A3 o A5 (incluso in Microsoft 365 A3 e A5).

Un'operazione Get su una qualsiasi delle impostazioni, ad eccezione RequireDeviceEncryption di e RequireStorageCardEncryption, restituisce l'impostazione configurata dall'amministratore.

Per RequireDeviceEncryption e RequireStorageCardEncryption, l'operazione Get restituisce l'effettivo stato di imposizione all'amministratore, ad esempio se è necessaria la protezione TPM (Trusted Platform Module) e se è necessaria la crittografia. E se il dispositivo ha BitLocker abilitato ma con protezione password, lo stato segnalato è 0. Un'operazione Get su RequireDeviceEncryption non verifica l'applicazione di una lunghezza minima del PIN (SystemDrivesMinimumPINLength).

Nota

  • Le impostazioni vengono applicate solo al momento dell'avvio della crittografia. La crittografia non viene riavviata con modifiche delle impostazioni.
  • Per essere efficace, è necessario inviare tutte le impostazioni insieme in un singolo SyncML.

L'elenco seguente mostra i nodi del provider di servizi di configurazione BitLocker:

AllowStandardUserEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1809 [10.0.17763] e versioni successive
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Consente all'amministratore di applicare i criteri "RequireDeviceEncryption" per gli scenari in cui viene eseguito il push dei criteri mentre l'utente connesso corrente non è amministratore/utente standard.

Il criterio "AllowStandardUserEncryption" è associato al criterio "AllowWarningForOtherDiskEncryption" impostato su "0", ovvero viene applicata la crittografia invisibile all'utente.

Se "AllowWarningForOtherDiskEncryption" non è impostato o è impostato su "1", i criteri "RequireDeviceEncryption" non proveranno a crittografare le unità se un utente standard è l'utente connesso corrente nel sistema.

I valori previsti per questo criterio sono:

1 = Il criterio "RequireDeviceEncryption" tenterà di abilitare la crittografia in tutte le unità fisse anche se un utente connesso corrente è un utente standard.

0 = Questo è il valore predefinito, quando il criterio non è impostato. Se l'utente connesso corrente è un utente standard, i criteri "RequireDeviceEncryption" non proveranno ad abilitare la crittografia in alcuna unità.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0
Dipendenza [AllowWarningForOtherDiskEncryptionDependency] Tipo di dipendenza: DependsOn
URI di dipendenza: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
Valore consentito per le dipendenze: [0]
Tipo di valore consentito per le dipendenze: Range

Valori consentiti:

Value Descrizione
0 (Predefinito) Si tratta dell'impostazione predefinita, quando il criterio non è impostato. Se l'utente connesso corrente è un utente standard, i criteri "RequireDeviceEncryption" non proveranno ad abilitare la crittografia in alcuna unità.
1 Il criterio "RequireDeviceEncryption" tenterà di abilitare la crittografia in tutte le unità fisse anche se un utente connesso corrente è un utente standard.

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Consente all'amministratore di disabilitare tutta l'interfaccia utente (notifica per la crittografia e richiesta di avviso per la crittografia di altri dischi) e attivare la crittografia nei computer utente in modo invisibile all'utente.

Warning

Quando si abilita BitLocker in un dispositivo con crittografia di terze parti, può rendere il dispositivo inutilizzabile e richiederà la reinstallazione di Windows.

Nota

Questo criterio ha effetto solo se il criterio "RequireDeviceEncryption" è impostato su 1.

I valori previsti per questo criterio sono:

1 = Si tratta dell'impostazione predefinita, quando il criterio non è impostato. La richiesta di avviso e la notifica di crittografia sono consentite.

0 = Disabilita la richiesta di avviso e la notifica di crittografia. A partire da Windows 10, successivo aggiornamento principale, il valore 0 ha effetto solo sui dispositivi aggiunti a Microsoft Entra.

Windows tenterà di abilitare in modo invisibile all'utente BitLocker per il valore 0.

Nota

Quando si disabilita la richiesta di avviso, la chiave di ripristino dell'unità del sistema operativo eseguirà il backup nell'account Microsoft Entra dell'utente. Quando si consente la richiesta di avviso, l'utente che riceve la richiesta può selezionare dove eseguire il backup della chiave di ripristino dell'unità del sistema operativo.

L'endpoint per il backup di un'unità dati fissa viene scelto nell'ordine seguente:

  1. Account di Servizi di dominio Active Directory di Windows Server dell'utente.
  2. Account Microsoft Entra dell'utente.
  3. OneDrive personale dell'utente (solo MDM/MAM).

La crittografia attenderà il backup di una di queste tre posizioni.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 1

Valori consentiti:

Value Descrizione
0 Disabilita la richiesta di avviso. A partire da Windows 10 versione 1803, il valore 0 può essere impostato solo per i dispositivi aggiunti a Microsoft Entra. Windows tenterà di abilitare in modo invisibile all'utente BitLocker per il valore 0.
1 (impostazione predefinita) Richiesta di avviso consentita.

Esempio:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1909 [10.0.18363] e versioni successive
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Consente all'amministratore di configurare la rotazione delle password di ripristino numerico al momento dell'uso per il sistema operativo e le unità fisse in Microsoft Entra ID e nei dispositivi aggiunti a un dominio ibrido.

Se non è configurato, la rotazione è attivata per impostazione predefinita solo per l'ID Microsoft Entra e disattivata in modalità ibrida. I criteri saranno validi solo quando il backup di Active Directory per la password di ripristino è configurato in base alle esigenze.

Per l'unità del sistema operativo: attivare "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo".

Per unità fisse: attivare "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità dati fisse".

Valori supportati: 0 - Rotazione password di ripristino numerico DISATTIVATA.

1 - Rotazione delle password di ripristino numerico all'uso di ON per i dispositivi aggiunti a Microsoft Entra. Valore predefinito 2 - Rotazione delle password di ripristino numerico all'uso di ON sia per i dispositivi Microsoft Entra ID che ibridi.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Aggiornamento disattivato (impostazione predefinita).
1 Aggiornare per i dispositivi aggiunti a Microsoft Entra.
2 Eseguire l'aggiornamento sia per i dispositivi aggiunti a Microsoft Entra che per i dispositivi aggiunti all'ambiente ibrido.

EncryptionMethodByDriveType

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Questa impostazione di criterio consente di configurare se è necessaria la protezione BitLocker per consentire a un computer di scrivere dati in un'unità dati rimovibile.

  • Se si abilita questa impostazione di criterio, tutte le unità dati rimovibili non protette da BitLocker verranno montate in sola lettura. Se l'unità è protetta da BitLocker, verrà montata con accesso in lettura e scrittura.

Se è selezionata l'opzione "Nega accesso in scrittura ai dispositivi configurati in un'altra organizzazione", solo alle unità con campi di identificazione corrispondenti ai campi di identificazione del computer verrà concesso l'accesso in scrittura. Quando si accede a un'unità dati rimovibile, verrà verificata la validità del campo di identificazione e dei campi di identificazione consentiti. Questi campi sono definiti dall'impostazione dei criteri "Specificare gli identificatori univoci per l'organizzazione".

  • Se si disabilita o non si configura questa impostazione di criterio, tutte le unità dati rimovibili nel computer verranno montate con accesso in lettura e scrittura.

Nota

Questa impostazione di criterio può essere sostituita dalle impostazioni dei criteri in Configurazione utente\Modelli amministrativi\Sistema\Accesso all'archiviazione rimovibile. Se l'impostazione del criterio "Dischi rimovibili: Nega accesso in scrittura" è abilitata, questa impostazione di criterio verrà ignorata.

Nota

Quando si abilita EncryptionMethodByDriveType, è necessario specificare i valori per tutte e tre le unità (sistema operativo, dati fissi e dati rimovibili), in caso contrario avrà esito negativo (stato restituito 500). Ad esempio, se si imposta solo il metodo di crittografia per il sistema operativo e le unità rimovibili, si otterrà uno stato restituito di 500.

Elementi dell'ID dati:

  • EncryptionMethodWithXtsOsDropDown_Name = Selezionare il metodo di crittografia per le unità del sistema operativo.
  • EncryptionMethodWithXtsFdvDropDown_Name = Selezionare il metodo di crittografia per le unità dati fisse.
  • EncryptionMethodWithXtsRdvDropDown_Name = Selezionare il metodo di crittografia per le unità dati rimovibili.

Il valore di esempio per questo nodo per abilitare questo criterio e impostare i metodi di crittografia è:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

I valori possibili per 'xx' sono:

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RDVDenyWriteAccess_Name
Nome descrittivo Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Drive Encryption > Unità dati rimovibili
Nome della chiave del Registro di sistema System\CurrentControlSet\Policies\Microsoft\FVE
Nome del valore del registro RDVDenyWriteAccess
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Questa impostazione di criterio consente di configurare il tipo di crittografia usato da Crittografia unità BitLocker. Questa impostazione di criterio viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso. Scegliere la crittografia completa per richiedere che l'intera unità venga crittografata quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

  • Se si abilita questa impostazione di criterio, il tipo di crittografia che BitLocker userà per crittografare le unità è definito da questo criterio e l'opzione del tipo di crittografia non verrà visualizzata nell'installazione guidata di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker richiederà all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Valori possibili:

  • 0: consenti all'utente di scegliere.
  • 1: Crittografia completa.
  • 2: crittografia solo spazio usato.

Nota

Questo criterio viene ignorato quando si riduce o si espande un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa la crittografia Usa solo spazio viene espansa, il nuovo spazio disponibile non viene cancellato come per un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in un'unità Solo spazio usato usando il comando seguente: manage-bde -w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

Per altre informazioni sullo strumento per gestire BitLocker, vedere manage-bde.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome FDVEncryptionType_Name
Nome descrittivo Applicare il tipo di crittografia delle unità nelle unità dati fisse
Posizione Configurazione computer
Percorso Unità > dati fisse crittografia > unità BitLocker componenti Windows
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro FDVEncryptionType
Nome file ADMX VolumeEncryption.admx

FixedDrivesRecoveryOptions

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Questa impostazione di criterio consente di controllare il modo in cui le unità dati fisse protette da BitLocker vengono ripristinate in assenza delle credenziali necessarie. Questa impostazione di criterio viene applicata quando si attiva BitLocker.

La casella di controllo "Consenti agente di ripristino dati" viene usata per specificare se un agente di ripristino dati può essere usato con unità dati fisse protette da BitLocker. Prima di poter usare un agente di ripristino dati, è necessario aggiungerlo dall'elemento Criteri chiave pubblica nella Console Gestione Criteri di gruppo o nell'Editor Criteri di gruppo locali. Per altre informazioni sull'aggiunta di agenti di ripristino dati, vedere la Guida alla distribuzione di Crittografia unità BitLocker in Microsoft TechNet.

In "Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker" selezionare se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre o una chiave di ripristino a 256 bit.

Selezionare "Omettere le opzioni di ripristino dalla configurazione guidata di BitLocker" per impedire agli utenti di specificare le opzioni di ripristino quando attivano BitLocker in un'unità. Ciò significa che non sarà possibile specificare l'opzione di ripristino da usare quando si attiva BitLocker, ma le opzioni di ripristino di BitLocker per l'unità sono determinate dall'impostazione dei criteri.

In "Save BitLocker recovery information to Active Directory Domain Services" (Salva informazioni di ripristino di BitLocker in Servizi di dominio Active Directory) scegliere le informazioni di ripristino di BitLocker da archiviare in Active Directory Domain Services per le unità dati fisse. Se si seleziona "Backup recovery password and key package", sia la password di ripristino di BitLocker che il pacchetto della chiave vengono archiviati in Active Directory Domain Services. L'archiviazione del pacchetto di chiavi supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se si seleziona "Backup solo password di ripristino", solo la password di ripristino viene archiviata in Active Directory Domain Services.

Selezionare la casella di controllo "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse" se si vuole impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e che il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory abbia esito positivo.

Nota

Se la casella di controllo "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse" è selezionata, viene generata automaticamente una password di ripristino.

  • Se si abilita questa impostazione di criterio, è possibile controllare i metodi disponibili per gli utenti per ripristinare i dati dalle unità dati fisse protette da BitLocker.

  • Se questa impostazione di criterio non è configurata o disabilitata, le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita è consentito un ripristino di emergenza, le opzioni di ripristino possono essere specificate dall'utente, tra cui la password di ripristino e la chiave di ripristino, e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Elementi dell'ID dati:

  • FDVAllowDRA_Name: Consenti agente di recupero dati
  • FDVRecoveryPasswordUsageDropDown_Name e FDVRecoveryKeyUsageDropDown_Name: Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker
  • FDVHideRecoveryPage_Name: omettere le opzioni di ripristino dall'installazione guidata di BitLocker
  • FDVActiveDirectoryBackup_Name: Salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory
  • FDVActiveDirectoryBackupDropDown_Name: Configurare l'archiviazione delle informazioni di ripristino di BitLocker in Active Directory Domain Services
  • FDVRequireActiveDirectoryBackup_Name: non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

I valori possibili per 'xx' sono:

  • true = Consenti in modo esplicito
  • false = Criterio non impostato

I valori possibili per 'yy' sono:

  • 0 = Non consentito
  • 1 = Obbligatorio
  • 2 = Consentito

I valori possibili per 'zz' sono:

  • 1 = Archiviare le password di ripristino e i pacchetti di chiavi
  • 2 = Archiviare solo le password di ripristino

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome FDVRecoveryUsage_Name
Nome descrittivo Scegliere come ripristinare le unità fisse protette da BitLocker
Posizione Configurazione computer
Percorso Unità > dati fisse crittografia > unità BitLocker componenti Windows
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro FDVRecovery
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Questa impostazione di criterio determina se è necessaria la protezione BitLocker per le unità dati fisse che devono essere scrivibili in un computer.

  • Se si abilita questa impostazione di criterio, tutte le unità dati fisse non protette da BitLocker verranno montate in sola lettura. Se l'unità è protetta da BitLocker, verrà montata con accesso in lettura e scrittura.

  • Se si disabilita o non si configura questa impostazione di criterio, tutte le unità dati fisse nel computer verranno montate con accesso in lettura e scrittura.

Il valore di esempio per questo nodo per abilitare questo criterio è: <enabled/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome FDVDenyWriteAccess_Name
Nome descrittivo Negare l'accesso in scrittura alle unità fisse non protette da BitLocker
Posizione Configurazione computer
Percorso Unità > dati fisse crittografia > unità BitLocker componenti Windows
Nome della chiave del Registro di sistema System\CurrentControlSet\Policies\Microsoft\FVE
Nome del valore del registro FDVDenyWriteAccess
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/IdentificationField

Questa impostazione di criterio consente di associare identificatori aziendali univoci a una nuova unità abilitata con BitLocker. Questi identificatori vengono archiviati come campo di identificazione e campo di identificazione consentito. Il campo di identificazione consente di associare un identificatore aziendale univoco alle unità protette da BitLocker. Questo identificatore viene aggiunto automaticamente alle nuove unità protette da BitLocker e può essere aggiornato nelle unità protette da BitLocker esistenti usando lo strumento da riga di comando manage-bde . È necessario un campo di identificazione per la gestione degli agenti di recupero dati basati su certificati nelle unità protette da BitLocker e per i potenziali aggiornamenti al lettore BitLocker To Go. BitLocker gestirà e aggiornerà gli agenti di recupero dati solo quando il campo di identificazione nell'unità corrisponde al valore configurato nel campo di identificazione. In modo analogo, BitLocker aggiornerà il lettore BitLocker To Go solo quando il campo di identificazione nell'unità corrisponde al valore configurato per il campo di identificazione.

Il campo di identificazione consentito viene usato in combinazione con l'impostazione dei criteri "Nega accesso in scrittura alle unità rimovibili non protette da BitLocker" per controllare l'uso di unità rimovibili nell'organizzazione. Si tratta di un elenco delimitato da virgole di campi di identificazione dell'organizzazione o di altre organizzazioni esterne.

È possibile configurare i campi di identificazione nelle unità esistenti usando manage-bde.exe.

  • Se si abilita questa impostazione di criterio, è possibile configurare il campo di identificazione nell'unità protetta da BitLocker e qualsiasi campo di identificazione consentito usato dall'organizzazione.

Quando un'unità protetta da BitLocker viene montata in un altro computer abilitato per BitLocker, verranno usati il campo di identificazione e il campo di identificazione consentito per determinare se l'unità proviene da un'organizzazione esterna.

  • Se si disabilita o non si configura questa impostazione di criterio, il campo di identificazione non è obbligatorio.

Nota

I campi di identificazione sono necessari per la gestione degli agenti di recupero dati basati su certificati nelle unità protette da BitLocker. BitLocker gestirà e aggiornerà gli agenti di recupero dati basati su certificati solo quando il campo di identificazione è presente in un'unità ed è identico al valore configurato nel computer. Il campo di identificazione può essere di qualsiasi valore pari o inferiore a 260 caratteri.

Elementi dell'ID dati:

  • IdentificationField: campo di identificazione BitLocker.
  • SecIdentificationField: campo di identificazione BitLocker consentito.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome IdentificationField_Name
Nome descrittivo Specificare gli identificatori univoci per l'organizzazione
Posizione Configurazione computer
Percorso Crittografia unità BitLocker dei componenti > di Windows
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro IdentificationField
Nome file ADMX VolumeEncryption.admx

RemovableDrivesConfigureBDE

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Questa impostazione di criterio controlla l'uso di BitLocker nelle unità dati rimovibili. Questa impostazione di criterio viene applicata quando si attiva BitLocker.

Quando questa impostazione di criterio è abilitata, è possibile selezionare le impostazioni delle proprietà che controllano il modo in cui gli utenti possono configurare BitLocker. Scegliere "Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili" per consentire all'utente di eseguire la configurazione guidata di BitLocker in un'unità dati rimovibile. Scegliere "Consenti agli utenti di sospendere e decrittografare BitLocker nelle unità dati rimovibili" per consentire all'utente di rimuovere la crittografia dell'unità BitLocker dall'unità o sospendere la crittografia durante l'esecuzione della manutenzione. Per informazioni sulla sospensione della protezione BitLocker, vedere Distribuzione di base di BitLocker.

  • Se non si configura questa impostazione di criterio, gli utenti possono usare BitLocker nelle unità disco rimovibili.

  • Se si disabilita questa impostazione di criterio, gli utenti non possono usare BitLocker nelle unità disco rimovibili.

Elementi dell'ID dati:

  • RDVAllowBDE_Name: consente agli utenti di applicare la protezione BitLocker alle unità dati rimovibili.
  • RDVDisableBDE_Name: consente agli utenti di sospendere e decrittografare BitLocker nelle unità dati rimovibili.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RDVConfigureBDE
Nome descrittivo Controllare l'uso di BitLocker nelle unità rimovibili
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Drive Encryption > Unità dati rimovibili
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro RDVConfigureBDE
Nome file ADMX VolumeEncryption.admx

RemovableDrivesEncryptionType

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Questa impostazione di criterio consente di configurare il tipo di crittografia usato da Crittografia unità BitLocker. Questa impostazione di criterio viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso. Scegliere la crittografia completa per richiedere che l'intera unità venga crittografata quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

  • Se si abilita questa impostazione di criterio, il tipo di crittografia che BitLocker userà per crittografare le unità è definito da questo criterio e l'opzione del tipo di crittografia non verrà visualizzata nell'installazione guidata di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker richiederà all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Valori possibili:

  • 0: consenti all'utente di scegliere.
  • 1: Crittografia completa.
  • 2: crittografia solo spazio usato.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Dipendenza [BDEAllowed] Tipo di dipendenza: DependsOn
URI di dipendenza: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
Tipo di valore consentito per le dipendenze: ADMX

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RDVEncryptionType_Name
Nome descrittivo Applicare il tipo di crittografia delle unità nelle unità dati rimovibili
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Drive Encryption > Unità dati rimovibili
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro RDVEncryptionType
Nome file ADMX VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Se abilitata, consente di escludere le unità rimovibili e i dispositivi connessi tramite l'interfaccia USB da Crittografia dispositivi BitLocker. I dispositivi esclusi non possono essere crittografati, nemmeno manualmente. Inoltre, se è configurato "Nega l'accesso in scrittura alle unità rimovibili non protette da BitLocker", all'utente non verrà richiesta la crittografia e l'unità verrà montata in modalità di lettura/scrittura. Specificare un elenco delimitato da virgole di unità rimovibili\dispositivi escluse usando l'ID hardware del dispositivo disco. Esempio di USBSTOR\SEAGATE_ST39102LW_______0004.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti Elenco (delimitatore: ,)

RemovableDrivesRequireEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Questa impostazione di criterio consente di configurare se è necessaria la protezione BitLocker per consentire a un computer di scrivere dati in un'unità dati rimovibile.

  • Se si abilita questa impostazione di criterio, tutte le unità dati rimovibili non protette da BitLocker verranno montate in sola lettura. Se l'unità è protetta da BitLocker, verrà montata con accesso in lettura e scrittura.

Se è selezionata l'opzione "Nega accesso in scrittura ai dispositivi configurati in un'altra organizzazione", solo alle unità con campi di identificazione corrispondenti ai campi di identificazione del computer verrà concesso l'accesso in scrittura. Quando si accede a un'unità dati rimovibile, verrà verificata la validità del campo di identificazione e dei campi di identificazione consentiti. Questi campi sono definiti dall'impostazione dei criteri "Specificare gli identificatori univoci per l'organizzazione".

  • Se si disabilita o non si configura questa impostazione di criterio, tutte le unità dati rimovibili nel computer verranno montate con accesso in lettura e scrittura.

Nota

Questa impostazione di criterio può essere sostituita dalle impostazioni dei criteri in Configurazione utente\Modelli amministrativi\Sistema\Accesso all'archiviazione rimovibile. Se l'impostazione del criterio "Dischi rimovibili: Nega accesso in scrittura" è abilitata, questa impostazione di criterio verrà ignorata.

Elementi dell'ID dati:

  • RDVCrossOrg: Negare l'accesso in scrittura ai dispositivi configurati in un'altra organizzazione

Il valore di esempio per questo nodo per abilitare questo criterio è:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

I valori possibili per 'xx' sono:

  • true = Consenti in modo esplicito
  • false = Criterio non impostato

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome RDVDenyWriteAccess_Name
Nome descrittivo Negare l'accesso in scrittura alle unità rimovibili non protette da BitLocker
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Drive Encryption > Unità dati rimovibili
Nome della chiave del Registro di sistema System\CurrentControlSet\Policies\Microsoft\FVE
Nome del valore del registro RDVDenyWriteAccess
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Consente all'amministratore di richiedere l'attivazione della crittografia tramite BitLocker\Device Encryption.

Valore di esempio per questo nodo per abilitare questo criterio:

1

La disabilitazione dei criteri non disattiva la crittografia nell'unità di sistema. Ma smetterà di richiedere all'utente di attivarlo.

Nota

Attualmente è supportata solo la crittografia completa del disco quando si usa questo CSP per la crittografia invisibile all'utente. Per la crittografia non invisibile all'utente, il tipo di crittografia dipende SystemDrivesEncryptionType e FixedDrivesEncryptionType viene configurato nel dispositivo.

Lo stato dei volumi del sistema operativo e dei volumi di dati fissi crittografabili viene controllato con un'operazione Get. In genere, BitLocker/Device Encryption seguirà il valore del criterio EncryptionMethodByDriveType impostato su . Tuttavia, questa impostazione di criterio verrà ignorata per le unità fisse auto-crittografanti e le unità del sistema operativo auto-crittografanti.

I volumi di dati fissi crittografabili vengono trattati in modo analogo ai volumi del sistema operativo. Tuttavia, i volumi di dati fissi devono soddisfare altri criteri per essere considerati crittografabili:

  • Non deve essere un volume dinamico.
  • Non deve essere una partizione di ripristino.
  • Non deve essere un volume nascosto.
  • Non deve essere una partizione di sistema.
  • Non deve essere supportato dall'archiviazione virtuale.
  • Non deve avere un riferimento nell'archivio BCD.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Disabilita. Se l'impostazione dei criteri non è impostata o è impostata su 0, lo stato di imposizione del dispositivo non viene controllato. I criteri non applicano la crittografia e non decrittografa i volumi crittografati.
1 Attiva. Lo stato di imposizione del dispositivo è controllato. L'impostazione di questo criterio su 1 attiva la crittografia di tutte le unità (in modo invisibile all'utente o non invisibile all'utente in base ai criteri AllowWarningForOtherDiskEncryption).

Esempio:

Per disabilitare RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Nota

Questo criterio è deprecato e può essere rimosso in una versione futura.

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Consente all'amministratore di richiedere la crittografia della scheda di archiviazione nel dispositivo.

Questo criterio è valido solo per lo SKU per dispositivi mobili.

Valore di esempio per questo nodo per abilitare questo criterio:

1

La disabilitazione dei criteri non disattiva la crittografia nella scheda di archiviazione. Ma smetterà di richiedere all'utente di attivarlo.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Aggiungere, eliminare, ottenere, sostituire
Valore predefinito 0

Valori consentiti:

Value Descrizione
0 (Predefinito) Le schede di archiviazione non devono essere crittografate.
1 Richiedere la crittografia delle schede di archiviazione.

RotateRecoveryPasswords

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1909 [10.0.18363] e versioni successive
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Consente all'amministratore di eseguire il push della rotazione una tantum di tutte le password di ripristino numerico per le unità sistema operativo e dati fissi in un ID Microsoft Entra o in un dispositivo aggiunto a un ibrido.

Questo criterio è Tipo di esecuzione e ruota tutte le password numeriche quando vengono emesse dagli strumenti MDM.

Il criterio entra in vigore solo quando il backup di Active Directory per una password di ripristino è configurato su "obbligatorio".

  • Per le unità del sistema operativo, abilitare "Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo".

  • Per le unità fisse, abilitare "Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Active Directory Domain Services per le unità dati fisse".

Il client restituisce lo stato DM_S_ACCEPTED_FOR_PROCESSING per indicare che la rotazione è stata avviata. Il server può eseguire query sullo stato con i nodi di stato seguenti:

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID.

Valori supportati: forma stringa dell'ID richiesta. Il formato di esempio dell'ID richiesta è GUID. Il server può scegliere il formato in base alle esigenze in base agli strumenti di gestione.

Nota

La rotazione delle chiavi è supportata solo in questi tipi di registrazione. Per altre informazioni, vedere deviceEnrollmentType enum.

  • windowsAzureADJoin.
  • windowsBulkAzureDomainJoin.
  • windowsAzureADJoinUsingDeviceAuth.
  • windowsCoManagement.

Suggerimento

La funzionalità di rotazione delle chiavi funzionerà solo quando:

  • Per le unità del sistema operativo:

    • OSRequireActiveDirectoryBackup_Name è impostato su 1 ("Obbligatorio").
    • OSActiveDirectoryBackup_Name è impostato su true.
  • Per unità dati fisse:

    • FDVRequireActiveDirectoryBackup_Name è impostato su 1 = ("Obbligatorio").
    • FDVActiveDirectoryBackup_Name è impostato su true.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Exec

Stato

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1903 [10.0.18362] e versioni successive
./Device/Vendor/MSFT/BitLocker/Status

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato node
Tipo accesso Ottieni

Stato/DeviceEncryptionStatus

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1903 [10.0.18362] e versioni successive
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Questo nodo segnala lo stato di conformità della crittografia del dispositivo nel sistema.

Il valore '0' indica che il dispositivo è conforme. Qualsiasi altro valore rappresenta un dispositivo non conforme.

Questo valore rappresenta una maschera di bit con ogni bit e il codice di errore corrispondente descritto nella tabella seguente:

Pezzo Codice di errore
0 I criteri di BitLocker richiedono il consenso dell'utente per avviare la Crittografia guidata unità BitLocker per avviare la crittografia del volume del sistema operativo, ma l'utente non ha concesso il consenso.
1 Il metodo di crittografia del volume del sistema operativo non corrisponde ai criteri di BitLocker.
2 Il volume del sistema operativo non è protetto.
3 Il criterio BitLocker richiede una protezione solo TPM per il volume del sistema operativo, ma la protezione TPM non viene usata.
4 I criteri di BitLocker richiedono la protezione TPM+PIN per il volume del sistema operativo, ma non viene usata una protezione TPM+PIN.
5 Il criterio BitLocker richiede la protezione della chiave di avvio TPM+per il volume del sistema operativo, ma non viene usata una protezione TPM+chiave di avvio.
6 Il criterio BitLocker richiede la protezione TPM+PIN+chiave di avvio per il volume del sistema operativo, ma non viene usata una protezione TPM+PIN+chiave di avvio.
7 Il criterio BitLocker richiede una protezione TPM per proteggere il volume del sistema operativo, ma non viene usato un TPM.
8 Backup della chiave di ripristino non riuscito.
9 Un'unità fissa non è protetta.
10 Il metodo di crittografia dell'unità fissa non corrisponde ai criteri di BitLocker.
11 Per crittografare le unità, i criteri di BitLocker richiedono all'utente di accedere come amministratore o se il dispositivo è aggiunto a Microsoft Entra ID, il criterio AllowStandardUserEncryption deve essere impostato su 1.
12 Windows Recovery Environment (WinRE) non è configurato.
13 Un TPM non è disponibile per BitLocker, perché non è presente, è stato reso non disponibile nel Registro di sistema o il sistema operativo si trova in un'unità rimovibile.
14 Il TPM non è pronto per BitLocker.
15 La rete non è disponibile, necessaria per il backup della chiave di ripristino.
16 Il tipo di crittografia del volume del sistema operativo per il disco completo rispetto alla crittografia solo spazio usato non corrisponde ai criteri di BitLocker.
17 Il tipo di crittografia dell'unità fissa per il disco completo rispetto alla crittografia solo spazio usato non corrisponde ai criteri di BitLocker.
18-31 Per uso futuro.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Ottieni

Status/RemovableDrivesEncryptionStatus

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Questo nodo segnala lo stato di conformità della crittografia dell'unità di rimozione. "0" Valore indica che l'unità di rimozione viene crittografata in base a tutte le impostazioni dell'unità di rimozione impostate.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Ottieni

Status/RotateRecoveryPasswordsRequestID

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1909 [10.0.18363] e versioni successive
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Questo nodo segnala l'ID richiesta corrispondente a RotateRecoveryPasswordsStatus.

È necessario eseguire query su questo nodo in sincronizzazione con RotateRecoveryPasswordsStatus per assicurarsi che lo stato sia correttamente associato all'ID richiesta.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Ottieni

Stato/RotateRecoveryPasswordsStatus

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1909 [10.0.18363] e versioni successive
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Questo nodo segnala lo stato della richiesta RotateRecoveryPasswords.

Il codice di stato può essere uno dei seguenti:

NotStarted(2), In sospeso (1), Pass (0), Altri codici di errore in caso di errore.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato int
Tipo accesso Ottieni

SystemDrivesDisallowStandardUsersCanChangePIN

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Questa impostazione di criterio consente di configurare se agli utenti standard è consentito modificare o meno i PIN del volume BitLocker, a condizione che siano in grado di fornire prima il PIN esistente.

Questa impostazione di criterio viene applicata quando si attiva BitLocker.

  • Se si abilita questa impostazione di criterio, agli utenti standard non sarà consentito modificare i PIN o le password di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, agli utenti standard sarà consentito modificare i PIN e le password di BitLocker.

Nota

Per modificare il PIN o la password, l'utente deve essere in grado di fornire il PIN o la password corrente.

Il valore di esempio per disabilitare questo criterio per questo nodo è: <disabled/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome DisallowStandardUsersCanChangePIN_Name
Nome descrittivo Non consentire agli utenti standard di modificare il PIN o la password
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro DisallowStandardUserPINReset
Nome file ADMX VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Questa impostazione di criterio consente agli utenti di attivare le opzioni di autenticazione che richiedono l'input dell'utente dall'ambiente di preavvio, anche se la piattaforma non dispone di funzionalità di input pre-avvio.

La tastiera virtuale Windows ,ad esempio quella usata dai tablet, non è disponibile nell'ambiente di preavvio in cui BitLocker richiede informazioni aggiuntive, ad esempio pin o password.

  • Se si abilita questa impostazione di criterio, i dispositivi devono avere un mezzo alternativo per l'input di preavvio, ad esempio una tastiera USB collegata.

  • Se questo criterio non è abilitato, l'ambiente di ripristino di Windows deve essere abilitato nei tablet per supportare la voce della password di ripristino di BitLocker. Quando l'ambiente di ripristino di Windows non è abilitato e questo criterio non è abilitato, non è possibile attivare BitLocker in un dispositivo che usa la tastiera virtuale Windows.

Si noti che se non si abilita questa impostazione di criterio, le opzioni nel criterio "Richiedi autenticazione aggiuntiva all'avvio" potrebbero non essere disponibili in tali dispositivi. Queste opzioni includono:

  • Configurare il PIN di avvio TPM: Obbligatorio/Consentito
  • Configurare la chiave di avvio E il PIN di TPM: Obbligatorio/Consentito
  • Configurare l'uso delle password per le unità del sistema operativo.

Il valore di esempio per questo nodo per abilitare questo criterio è: <enabled/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome EnablePrebootInputProtectorsOnSlates_Name
Nome descrittivo Abilitare l'uso dell'autenticazione di BitLocker che richiede l'input della tastiera di avvio preliminare nei contratti di servizio
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro OSEnablePrebootInputProtectorsOnSlates
Nome file ADMX VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Questa impostazione di criterio consente agli utenti nei dispositivi conformi a InstantGo o a Microsoft Hardware Security Test Interface (HSTI) di non disporre di un PIN per l'autenticazione pre-avvio. In questo modo vengono sostituite le opzioni "Richiedi PIN di avvio con TPM" e "Richiedi chiave di avvio e PIN con TPM" del criterio "Richiedi autenticazione aggiuntiva all'avvio" nell'hardware conforme.

  • Se si abilita questa impostazione di criterio, gli utenti nei dispositivi conformi a InstantGo e HSTI potranno scegliere di attivare BitLocker senza l'autenticazione di avvio preliminare.

  • Se questo criterio non è abilitato, si applicano le opzioni del criterio "Richiedi autenticazione aggiuntiva all'avvio".

Il valore di esempio per questo nodo per abilitare questo criterio è: <enabled/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome EnablePreBootPinExceptionOnDECapableDevice_Name
Nome descrittivo Consenti ai dispositivi conformi a InstantGo o HSTI di rifiutare esplicitamente il PIN pre-avvio.
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro OSEnablePreBootPinExceptionOnDECapableDevice
Nome file ADMX VolumeEncryption.admx

SystemDrivesEncryptionType

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Questa impostazione di criterio consente di configurare il tipo di crittografia usato da Crittografia unità BitLocker. Questa impostazione di criterio viene applicata quando si attiva BitLocker. La modifica del tipo di crittografia non ha effetto se l'unità è già crittografata o se la crittografia è in corso. Scegliere la crittografia completa per richiedere che l'intera unità venga crittografata quando BitLocker è attivato. Scegliere crittografia solo spazio usato per richiedere che solo la parte dell'unità usata per archiviare i dati venga crittografata quando BitLocker è attivato.

  • Se si abilita questa impostazione di criterio, il tipo di crittografia che BitLocker userà per crittografare le unità è definito da questo criterio e l'opzione del tipo di crittografia non verrà visualizzata nell'installazione guidata di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, l'installazione guidata di BitLocker richiederà all'utente di selezionare il tipo di crittografia prima di attivare BitLocker.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Valori possibili:

  • 0: consenti all'utente di scegliere.
  • 1: Crittografia completa.
  • 2: crittografia solo spazio usato.

Nota

Questo criterio viene ignorato durante la compattazione o l'espansione di un volume e il driver BitLocker usa il metodo di crittografia corrente. Ad esempio, quando un'unità che usa la crittografia Solo spazio usato viene espansa, il nuovo spazio disponibile non viene cancellato come per un'unità che usa la crittografia completa. L'utente può cancellare lo spazio disponibile in un'unità Solo spazio usato usando il comando seguente: manage-bde -w. Se il volume viene ridotto, non viene eseguita alcuna azione per il nuovo spazio disponibile.

Per altre informazioni sullo strumento per gestire BitLocker, vedere manage-bde.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome OSEncryptionType_Name
Nome descrittivo Applicare il tipo di crittografia delle unità nelle unità del sistema operativo
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro OSEncryptionType
Nome file ADMX VolumeEncryption.admx

SystemDrivesEnhancedPIN

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 2004 con KB5005101 [10.0.19041.1202] e versioni successive
✅ Windows 10, versione 20H2 con KB5005101 [10.0.19042.1202] e versioni successive
✅ Windows 10, versione 21H1 con KB5005101 [10.0.19043.1202] e versioni successive
✅ Windows 11, versione 21H2 [10.0.22000] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Questa impostazione di criterio consente di configurare se i PIN di avvio avanzati vengono usati o meno con BitLocker.

I PIN di avvio avanzati consentono l'uso di caratteri, tra cui lettere maiuscole e minuscole, simboli, numeri e spazi. Questa impostazione di criterio viene applicata quando si attiva BitLocker.

  • Se si abilita questa impostazione di criterio, tutti i nuovi PIN di avvio di BitLocker impostati saranno PIN migliorati.

Nota

Non tutti i computer possono supportare PIN avanzati nell'ambiente pre-avvio. È consigliabile che gli utenti eseguano un controllo di sistema durante l'installazione di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, i PIN avanzati non verranno usati.

Il valore di esempio per questo nodo per abilitare questo criterio è: <enabled/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome EnhancedPIN_Name
Nome descrittivo Consenti PIN avanzati per l'avvio
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome del valore del registro UseEnhancedPin
Nome file ADMX VolumeEncryption.admx

SystemDrivesMinimumPINLength

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Questa impostazione di criterio consente di configurare una lunghezza minima per un PIN di avvio TPM (Trusted Platform Module). Questa impostazione di criterio viene applicata quando si attiva BitLocker. Il PIN di avvio deve avere una lunghezza minima di 4 cifre e può avere una lunghezza massima di 20 cifre.

  • Se si abilita questa impostazione di criterio, è possibile richiedere l'uso di un numero minimo di cifre durante l'impostazione del PIN di avvio.

  • Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono configurare un PIN di avvio di qualsiasi lunghezza compresa tra 6 e 20 cifre.

Nota

Se la lunghezza minima del PIN è impostata sotto 6 cifre, Windows tenterà di aggiornare il periodo di blocco di TPM 2.0 in modo che sia maggiore del valore predefinito quando viene modificato un PIN. In caso di esito positivo, Windows reimposta il periodo di blocco TPM solo se il TPM viene reimpostato.

Nota

In Windows 10 versione 1703 versione B puoi usare una lunghezza minima del PIN di 4 cifre.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/><data id="MinPINLength" value="xx"/>

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome MinimumPINLength_Name
Nome descrittivo Configurare la lunghezza minima del PIN per l'avvio
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Questa impostazione di criterio consente di configurare l'intero messaggio di ripristino o di sostituire l'URL esistente visualizzato nella schermata di ripristino della chiave di avvio preliminare quando l'unità del sistema operativo è bloccata.

Se si seleziona l'opzione "Usa url e messaggio di ripristino predefiniti", il messaggio di ripristino e l'URL predefiniti di BitLocker verranno visualizzati nella schermata di ripristino della chiave di avvio preliminare. Se in precedenza è stato configurato un url o un messaggio di ripristino personalizzato e si vuole ripristinare il messaggio predefinito, è necessario mantenere i criteri abilitati e selezionare l'opzione "Usa url e messaggio di ripristino predefiniti".

Se si seleziona l'opzione "Usa messaggio di ripristino personalizzato", il messaggio digitato nella casella di testo "Opzione messaggio di ripristino personalizzato" verrà visualizzato nella schermata di ripristino della chiave di avvio preliminare. Se è disponibile un URL di ripristino, includerlo nel messaggio.

Se si seleziona l'opzione "Usa URL di ripristino personalizzato", l'URL digitato nella casella di testo "Opzione URL di ripristino personalizzato" sostituirà l'URL predefinito nel messaggio di ripristino predefinito, che verrà visualizzato nella schermata di ripristino della chiave di avvio.

Nota

Non tutti i caratteri e le lingue sono supportati nel preavvio. È consigliabile verificare che i caratteri usati per il messaggio personalizzato o l'URL vengano visualizzati correttamente nella schermata di ripristino prima dell'avvio.

Elementi dell'ID dati:

  • PrebootRecoveryInfoDropDown_Name: selezionare un'opzione per il messaggio di ripristino pre-avvio.
  • RecoveryMessage_Input: messaggio di ripristino personalizzato
  • RecoveryUrl_Input: URL di ripristino personalizzato

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

I valori possibili per 'xx' sono:

  • 0 = Vuoto
  • 1 = Usare l'URL e il messaggio di ripristino predefiniti (in questo caso non è necessario specificare un valore per "RecoveryMessage_Input" o "RecoveryUrl_Input").
  • 2 = Il messaggio di ripristino personalizzato è impostato.
  • 3 = L'URL di ripristino personalizzato è impostato.

Il valore possibile per 'yy' e 'zz' è rispettivamente una stringa di lunghezza massima 900 e 500.

Nota

  • Quando si abilita SystemDrivesRecoveryMessage, è necessario specificare i valori per tutte e tre le impostazioni (schermata di ripristino prima dell'avvio, messaggio di ripristino e URL di ripristino), in caso contrario avrà esito negativo (stato restituito 500). Ad esempio, se si specificano solo valori per il messaggio e l'URL, si otterrà uno stato restituito di 500.
  • Non tutti i caratteri e le lingue sono supportati nel preavvio. È consigliabile verificare che i caratteri usati per il messaggio personalizzato o l'URL vengano visualizzati correttamente nella schermata di ripristino prima dell'avvio.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome PrebootRecoveryInfo_Name
Nome descrittivo Configurare il messaggio e l'URL di ripristino prima dell'avvio
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema Software\Policies\Microsoft\FVE
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Questa impostazione di criterio consente di controllare il modo in cui le unità del sistema operativo protette da BitLocker vengono ripristinate in assenza delle informazioni necessarie sulla chiave di avvio. Questa impostazione di criterio viene applicata quando si attiva BitLocker.

La casella di controllo "Consenti agente di recupero dati basato su certificato" viene utilizzata per specificare se un agente di ripristino dati può essere usato con le unità del sistema operativo protette da BitLocker. Prima di poter usare un agente di ripristino dati, è necessario aggiungerlo dall'elemento Criteri chiave pubblica nella Console Gestione Criteri di gruppo o nell'Editor Criteri di gruppo locali. Per altre informazioni sull'aggiunta di agenti di ripristino dati, vedere la Guida alla distribuzione di Crittografia unità BitLocker in Microsoft TechNet.

In "Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker" selezionare se gli utenti sono consentiti, obbligatori o non autorizzati a generare una password di ripristino a 48 cifre o una chiave di ripristino a 256 bit.

Selezionare "Omettere le opzioni di ripristino dalla configurazione guidata di BitLocker" per impedire agli utenti di specificare le opzioni di ripristino quando attivano BitLocker in un'unità. Ciò significa che non sarà possibile specificare l'opzione di ripristino da usare quando si attiva BitLocker, ma le opzioni di ripristino di BitLocker per l'unità sono determinate dall'impostazione dei criteri.

In "Save BitLocker recovery information to Active Directory Domain Services" (Salva le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory) scegliere le informazioni di ripristino di BitLocker da archiviare in Active Directory Domain Services per le unità del sistema operativo. Se si seleziona "Backup recovery password and key package", sia la password di ripristino di BitLocker che il pacchetto della chiave vengono archiviati in Active Directory Domain Services. L'archiviazione del pacchetto di chiavi supporta il ripristino dei dati da un'unità fisicamente danneggiata. Se si seleziona "Backup solo password di ripristino", solo la password di ripristino viene archiviata in Active Directory Domain Services.

Selezionare la casella di controllo "Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo" se si vuole impedire agli utenti di abilitare BitLocker a meno che il computer non sia connesso al dominio e che il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory abbia esito positivo.

Nota

Se la casella di controllo "Non abilitare BitLocker fino a quando non vengono archiviate informazioni di ripristino in Servizi di dominio Active Directory per le unità del sistema operativo" è selezionata, viene generata automaticamente una password di ripristino.

  • Se si abilita questa impostazione di criterio, è possibile controllare i metodi disponibili per gli utenti per ripristinare i dati dalle unità del sistema operativo protette da BitLocker.

  • Se questa impostazione di criterio è disabilitata o non configurata, le opzioni di ripristino predefinite sono supportate per il ripristino di BitLocker. Per impostazione predefinita è consentito un ripristino di emergenza, le opzioni di ripristino possono essere specificate dall'utente, tra cui la password di ripristino e la chiave di ripristino, e non viene eseguito il backup delle informazioni di ripristino in Servizi di dominio Active Directory.

Elementi dell'ID dati:

  • OSAllowDRA_Name: Consentire l'agente di recupero dati basato su certificati
  • OSRecoveryPasswordUsageDropDown_Name e OSRecoveryKeyUsageDropDown_Name: Configurare l'archiviazione utente delle informazioni di ripristino di BitLocker
  • OSHideRecoveryPage_Name: Omettere le opzioni di ripristino dall'installazione guidata di BitLocker
  • OSActiveDirectoryBackup_Name e OSActiveDirectoryBackupDropDown_Name: Salvare le informazioni di ripristino di BitLocker in Servizi di dominio Active Directory
  • OSRequireActiveDirectoryBackup_Name: non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate in Servizi di dominio Active Directory per le unità del sistema operativo

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

I valori possibili per 'xx' sono:

  • true = Consenti in modo esplicito
  • false = Criterio non impostato

I valori possibili per 'yy' sono:

  • 0 = Non consentito
  • 1 = Obbligatorio
  • 2 = Consentito

I valori possibili per 'zz' sono:

  • 1 = Archiviare le password di ripristino e i pacchetti di chiavi.
  • 2 = Archiviare solo le password di ripristino.

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome OSRecoveryUsage_Name
Nome descrittivo Scegliere come ripristinare le unità del sistema operativo protette da BitLocker
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro OSRecovery
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Ambito Edizioni Sistema operativo applicabile
✅ dispositivo
❌ utente
✅ Pro
✅ Enterprise
✅ Education
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, versione 1703 [10.0.15063] e versioni successive
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Questa impostazione di criterio consente di configurare se BitLocker richiede un'autenticazione aggiuntiva ogni volta che il computer viene avviato e se si usa BitLocker con o senza un modulo TPM (Trusted Platform Module). Questa impostazione di criterio viene applicata quando si attiva BitLocker.

Nota

È possibile richiedere solo una delle opzioni di autenticazione aggiuntive all'avvio, in caso contrario si verifica un errore dei criteri.

Se si vuole usare BitLocker in un computer senza TPM, selezionare la casella di controllo "Consenti BitLocker senza un TPM compatibile". In questa modalità è necessaria una password o un'unità USB per l'avvio. Quando si usa una chiave di avvio, le informazioni sulla chiave usate per crittografare l'unità vengono archiviate nell'unità USB, creando una chiave USB. Quando viene inserita la chiave USB, l'accesso all'unità viene autenticato e l'unità è accessibile. Se la chiave USB viene persa o non disponibile o se la password è stata dimenticata, sarà necessario usare una delle opzioni di ripristino di BitLocker per accedere all'unità.

In un computer con un TPM compatibile, è possibile usare quattro tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare solo il TPM per l'autenticazione oppure può anche richiedere l'inserimento di un'unità flash USB contenente una chiave di avvio, la voce di un PIN (Personal Identification Number) da 6 a 20 cifre o entrambi.

  • Se si abilita questa impostazione di criterio, gli utenti possono configurare le opzioni di avvio avanzate nell'installazione guidata di BitLocker.

  • Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono configurare solo le opzioni di base nei computer con un TPM.

Nota

Se si vuole richiedere l'uso di un PIN di avvio e di un'unità flash USB, è necessario configurare le impostazioni di BitLocker usando lo strumento da riga di comando manage-bde anziché la configurazione guidata crittografia unità BitLocker.

Nota

  • In Windows 10 versione 1703 versione B puoi usare un PIN minimo di 4 cifre. I criteri SystemDrivesMinimumPINLength devono essere impostati per consentire PIN inferiori a 6 cifre.
  • I dispositivi che superano la convalida HSTI (Hardware Security Testability Specification) o i dispositivi modern standby non saranno in grado di configurare un PIN di avvio usando questo CSP. Gli utenti devono configurare manualmente il PIN. Elementi dell'ID dati:
  • ConfigureNonTPMStartupKeyUsage_Name = Consenti BitLocker senza un TPM compatibile (richiede una password o una chiave di avvio in un'unità flash USB).
  • ConfigureTPMStartupKeyUsageDropDown_Name = (per computer con TPM) Configurare la chiave di avvio TPM.
  • ConfigurePINUsageDropDown_Name = (per computer con TPM) Configurare il PIN di avvio TPM.
  • ConfigureTPMPINKeyUsageDropDown_Name = (per computer con TPM) Configurare la chiave di avvio e il PIN TPM.
  • ConfigureTPMUsageDropDown_Name = (per computer con TPM) Configurare l'avvio TPM.

Il valore di esempio per questo nodo per abilitare questo criterio è:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

I valori possibili per 'xx' sono:

  • true = Consenti in modo esplicito
  • false = Criterio non impostato

I valori possibili per 'yy' sono:

  • 2 = Facoltativo
  • 1 = Obbligatorio
  • 0 = Non consentito

Proprietà del framework di descrizione:

Nome della proprietà Valore proprietà
Formato chr (stringa)
Tipo accesso Aggiungere, eliminare, ottenere, sostituire

Suggerimento

Si tratta di un criterio supportato da ADMX e richiede il formato SyncML per la configurazione. Per un esempio di formato SyncML, vedere Abilitazione di un criterio.

Mapping ADMX:

Nome Valore
Nome ConfigureAdvancedStartup_Name
Nome descrittivo Richiedere l'autenticazione aggiuntiva all'avvio
Posizione Configurazione computer
Percorso Componenti > di Windows BitLocker Unità crittografia > unità unità del sistema operativo
Nome della chiave del Registro di sistema SOFTWARE\Policies\Microsoft\FVE
Nome del valore del registro UseAdvancedStartup
Nome file ADMX VolumeEncryption.admx

Esempio:

Per disabilitare questo criterio, usare il codice SyncML seguente:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Esempio di SyncML

L'esempio seguente viene fornito per mostrare il formato corretto e non deve essere considerato come raccomandazione.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Riferimento del provider di servizi di configurazione