Ir al contenido principal

Acción: Rotar clave de cifrado de disco

Rotate BitLocker (Windows) or FileVault (macOS) encryption keys on managed devices as part of an automation workflow.

Introducción

Rota las claves de cifrado de disco en dispositivos administrados sin deshabilitar ni volver a habilitar el cifrado. Usa esta acción para cumplir los requisitos de cumplimiento de rotación de claves, responder a una posible exposición de claves o aplicar políticas de actualización periódica de claves en todo tu entorno.

Rotar clave de cifrado de disco

Desde el pipeline de automatización en modo de edición, haz clic en + Agregar acción y selecciona Rotar clave de cifrado de disco de la Seguridad categoría. El panel de acción se abre con dos secciones: Tipo de acción (preestablecido en Rotar clave de cifrado de disco) y Configuración del paso.

Rotate Disk Encryption Key Action

Unidad de disco

🖥️ NOTA DE PLATAFORMA:

  • Windows: Ambas opciones están disponibles. Cualquier unidad rota las claves en todas las unidades protegidas con BitLocker; Solo unidad del sistema apunta a la unidad de arranque/SO.

  • macOS: Siempre se trata como Solo unidad del sistema, independientemente de la opción seleccionada. Usa FileVault.

  • Linux: No compatible. Esta acción no está implementada en Linux.

El Unidad de disco el menú desplegable controla en qué unidades Level rota la clave de cifrado.

Opción

Comportamiento

Cualquier unidad

Rota las claves en todas las unidades cifradas del dispositivo. Solo Windows.

Solo unidad del sistema

Rota la clave únicamente en la unidad del SO. Se aplica tanto a Windows como a macOS.

ℹ️ NOTA: La rotación de claves no descifra ni vuelve a cifrar los datos de la unidad. Genera una nueva clave de recuperación e invalida la anterior. Level almacena la clave actualizada automáticamente — recupérala desde el Disco widget en la pestaña Resumen del dispositivo.

Condiciones

La Condiciones la sección te permite restringir cuándo se ejecuta esta acción según los atributos del dispositivo o el resultado de una acción anterior. Expande la sección para agregar condiciones.

Consulta Condiciones de acción para la referencia completa sobre tipos de condiciones, operadores y valores.

Opciones adicionales

Expande Opciones adicionales para configuraciones de ejecución adicionales, como nombre de la acción, comportamiento ante fallos, variables de salida y reintentos.

Consulta Descripción general de acciones para la referencia completa sobre las opciones adicionales disponibles en cada acción.

Preguntas frecuentes

  • ¿Esta acción funciona en Linux? No. El cifrado de disco no está implementado para Linux. Si tu automatización apunta a un grupo con varios sistemas operativos, solo los dispositivos Windows y macOS ejecutarán este paso.

  • ¿Para qué tipo de cifrado rota las claves en cada plataforma? BitLocker en Windows y FileVault en macOS.

  • ¿Por qué «Cualquier unidad» está etiquetada como solo para Windows? macOS siempre apunta únicamente a la unidad del sistema, independientemente de la opción seleccionada. La opción Cualquier unidad la opción no tiene efecto adicional en macOS.

  • ¿Qué ocurre si el dispositivo no tiene el cifrado habilitado? La acción fallará. El cifrado debe estar activo antes de poder rotar una clave. Usa Condiciones de acción para verificar primero el estado del cifrado, o combina esta acción después de un Habilitar cifrado de disco paso en tu automatización.

  • ¿La rotación de claves interrumpe al usuario final o requiere un reinicio? No, no se requiere reinicio en ninguna plataforma. En Windows, Level gestiona los protectores de claves mediante Add-BitLockerKeyProtector y Remove-BitLockerKeyProtector — operaciones de metadatos en el volumen que no afectan el estado del cifrado ni requieren un reinicio. En macOS, Level llama a filevault.ChangeRecovery para rotar la clave de recuperación personal, que también es una operación en segundo plano sin interacción del usuario ni reinicio requerido.

  • ¿Dónde se almacena la nueva clave de recuperación después de la rotación? Level la almacena automáticamente — no es necesario depositarla manualmente. Para recuperarla, abre el dispositivo en Level y consulta el Disco widget en la Resumen del dispositivo pestaña. Las particiones cifradas muestran un ícono de candado y un enlace Ver claves de cifrado enlace. El panel de claves tiene dos pestañas: Activa (la clave actual con fecha de creación) y Historial (claves anteriores y cuándo fueron archivadas). Consulta Resumen del dispositivo para más detalles.

  • ¿Qué ocurre si el dispositivo está desconectado cuando se ejecuta la acción? La acción se pone en cola y se reanuda una vez que el dispositivo vuelva a estar en línea.

  • ¿Quién puede agregar o modificar esta acción en una automatización? Los técnicos con permiso para editar automatizaciones en el grupo correspondiente. Consulta Espacio de trabajo → Permisos para la configuración del control de acceso.

Artículos relacionados
Acción: Instalar actualizaciones de Linux
Acción de actualización de Windows Defender
Acción de Análisis de Windows Defender
Acción: Habilitar cifrado de disco
Acción: Deshabilitar cifrado de disco
¿Ha quedado contestada tu pregunta?