Partager via

Définition de l’algorithme de chiffrement BitLocker pour les appareils Windows Autopilot

BitLocker chiffre automatiquement les lecteurs internes pendant l’expérience OOBE (out-of-box experience) pour les appareils qui prennent en charge la veille moderne ou qui répondent à la spécification de testabilité de sécurité matérielle (HSTI). Par défaut, BitLocker utilise l’espace XTS-AES 128 bits utilisé uniquement pour le chiffrement automatique.

Avec Windows Autopilot, les paramètres de chiffrement BitLocker peuvent être configurés pour s’appliquer avant le démarrage du chiffrement automatique. Cette configuration garantit que l’algorithme ou le type de chiffrement par défaut n’est pas appliqué automatiquement. Un appareil qui reçoit ces paramètres après le chiffrement automatiquement doit être déchiffré avant de modifier l’algorithme de chiffrement.

Algorithme de chiffrement

BitLocker utilise l’algorithme de chiffrement BitLocker spécifié lorsque BitLocker est activé pour la première fois. Pendant Windows Autopilot, BitLocker est activé après la partie configuration de l’appareil de la page status d’inscription. Les algorithmes de chiffrement suivants sont disponibles :

  • AES-CBC 128 bits.
  • AES-CBC 256 bits.
  • XTS-AES 128 bits (par défaut).
  • XTS-AES 256 bits.

Pour plus d’informations sur les algorithmes de chiffrement recommandés à utiliser, consultez Fournisseur de services de configuration (CSP) BitLocker.

Chiffrement de disque complet ou d’espace utilisé uniquement

Il existe deux types de chiffrement : disque complet ou espace utilisé uniquement. La configuration de l’activation en mode silencieux et la prise en charge matérielle pour la secours moderne déterminent automatiquement le type de chiffrement utilisé. Le type de chiffrement utilisé peut être appliqué en configurant le paramètre SystemDrivesEncryptionType . Comme l’algorithme de chiffrement, BitLocker utilise le type de chiffrement lorsque BitLocker est activé pour la première fois. Pour plus d’informations sur le comportement de type de chiffrement attendu, consultez Gérer la stratégie BitLocker.

Configurer une stratégie BitLocker pour les appareils Windows Autopilot

Pour vous assurer que l’algorithme de chiffrement BitLocker souhaité et le chiffrement sont définis avant que le chiffrement automatique ne se produise pour les appareils Windows Autopilot, procédez comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Dans l’écran d’accueil , sélectionnez Sécurité du point de terminaison dans le volet gauche.

  3. Dans sécurité du point de terminaison | Écran Vue d’ensemble , développez Gérer, puis sélectionnez Chiffrement de disque.

  4. Dans sécurité du point de terminaison | Écran de chiffrement de disque . Sélectionnez + Créer une stratégie.

  5. Dans la page Créer un profil qui s’ouvre :

    1. Sous Plateforme, sélectionnez Windows.

    2. Sous Profil, sélectionnez BitLocker.

    3. Sélectionnez le bouton Créer.

  6. Dans la page Informations de base de l’écran Créer une stratégie , entrez un nom et une description facultative, puis sélectionnez le bouton Suivant .

  7. Dans la page Paramètres de configuration , configurez les différents paramètres BitLocker comme vous le souhaitez, notamment les paramètres Méthode de chiffrement et chiffrement et Type de chiffrement :

    • Méthode de chiffrement et chiffrement

      1. Développez la section Chiffrement de lecteur BitLocker .

      2. Pour Choisir la méthode de chiffrement de lecteur et la force de chiffrement, sélectionnez Activé.

      3. Pour chacun des types de lecteurs (lecteurs de données fixes, lecteur de système d’exploitation, lecteurs de données amovibles), sélectionnez la méthode de chiffrement et le chiffrement souhaités dans le menu déroulant. La valeur par défaut pour chaque type est XTS-AES 128 bits.

    • Type de chiffrement

      1. Développez la section Lecteurs du système d’exploitation .

      2. Pour Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation, sélectionnez Activé.

      3. Pour Sélectionner le type de chiffrement de lecteur, sélectionnez le type de chiffrement souhaité, chiffrement complet ou chiffrement espace utilisé uniquement, dans le menu déroulant. La valeur par défaut est Autoriser l’utilisateur à choisir.

    Une fois que tous les paramètres BitLocker sont configurés comme vous le souhaitez, sélectionnez le bouton Suivant .

  8. Dans la page Balises d’étendue , sélectionnez le bouton Suivant .

    Remarque

    Les balises d’étendue sont facultatives. Si une balise d’étendue personnalisée doit être spécifiée, accédez à cette page. Pour plus d’informations sur les balises d’étendue, voir Utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour l’informatique distribuée.

  9. Dans la page Affectations , utilisez la zone de recherche Rechercher par nom de groupe... pour rechercher et ajouter le groupe d’appareils Windows Autopilot. Une fois le groupe d’appareils Windows Autopilot ajouté et répertorié sous Groupe, vérifiez que Type de cible est défini sur Inclure, puis sélectionnez le bouton Suivant . Pour plus d’informations sur l’attribution d’une stratégie, consultez Attribuer des stratégies dans Microsoft Intune.

    Importante

    Assurez-vous que le groupe d’appareils Windows Autopilot sélectionné dans cette étape est un groupe d’appareils et non un groupe d’utilisateurs.

  10. Dans la page Vérifier + créer , passez en revue les paramètres pour vérifier qu’ils sont configurés comme vous le souhaitez, puis sélectionnez le bouton Enregistrer .

  11. Configurez et affectez une page d’état d’inscription (ESP) pour l’appareil Windows Autopilot. Si un ESP n’est pas activé, la stratégie BitLocker ne s’applique pas avant le démarrage du chiffrement. Pour plus d’informations, consultez l’un des articles suivants :

Contenu connexe