Définition de l’algorithme de chiffrement BitLocker pour les appareils Autopilot
BitLocker chiffre automatiquement les lecteurs internes pendant l’expérience OOBE (out-of-box experience) pour les appareils qui prennent en charge la veille moderne ou qui répondent à la spécification de testabilité de sécurité matérielle (HSTI). Par défaut, BitLocker utilise l’espace XTS-AES 128 bits utilisé uniquement pour le chiffrement automatique.
Avec Windows Autopilot, les paramètres de chiffrement BitLocker peuvent être configurés pour s’appliquer avant le démarrage du chiffrement automatique. Cette configuration garantit que l’algorithme ou le type de chiffrement par défaut n’est pas appliqué automatiquement. Un appareil qui reçoit ces paramètres après le chiffrement automatiquement doit être déchiffré avant de modifier l’algorithme de chiffrement.
Algorithme de chiffrement
BitLocker utilise l’algorithme de chiffrement BitLocker spécifié lorsque BitLocker est activé pour la première fois. Pendant Autopilot, BitLocker sera activé après la partie configuration de l’appareil de la page d’état d’inscription. Les algorithmes de chiffrement suivants sont disponibles :
- AES-CBC 128 bits.
- AES-CBC 256 bits.
- XTS-AES 128 bits (par défaut).
- XTS-AES 256 bits.
Pour plus d’informations sur les algorithmes de chiffrement recommandés à utiliser, consultez Fournisseur de services de configuration (CSP) BitLocker.
Pour vous assurer que l’algorithme de chiffrement BitLocker souhaité est défini avant le chiffrement automatique pour les appareils Autopilot :
Configurez les paramètres de méthode de chiffrement dans la stratégie de chiffrement de disque Endpoint Security. Les paramètres sont disponibles sousChiffrement> du disque de sécurité> du point de terminaisonCréer uneplateforme de stratégie > = Windows 10 et versions ultérieures, Type de profil = BitLocker.
Affectez la stratégie au groupe d’appareils Autopilot. La stratégie de chiffrement doit être affectée aux appareils du groupe, et non aux utilisateurs.
Activez la page d’état d’inscription Autopilot pour ces appareils. Si cette fonctionnalité n’est pas activée, la stratégie ne s’applique pas avant le démarrage du chiffrement.
Chiffrement de disque complet ou d’espace utilisé uniquement
Il existe deux types de chiffrement : disque complet ou espace utilisé uniquement. La configuration de l’activation en mode silencieux et la prise en charge matérielle pour la secours moderne déterminent automatiquement le type de chiffrement utilisé. Le type de chiffrement utilisé peut être appliqué en configurant le paramètre SystemDrivesEncryptionType . Comme l’algorithme de chiffrement, BitLocker utilise le type de chiffrement lorsque BitLocker est activé pour la première fois. Pour plus d’informations sur le comportement de type de chiffrement attendu, consultez Gérer la stratégie BitLocker.
Pour appliquer le type de chiffrement de lecteur utilisé :
Configurez le paramètre Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation dans le catalogue de paramètres. Ce paramètre est disponible dans la catégorie Modèles > d’administration Composants > Windows Lecteurs du système d’exploitation chiffrement > de lecteur BitLocker à partir du sélecteur de paramètres.
Affectez la stratégie au groupe d’appareils Autopilot. La stratégie de chiffrement doit être affectée aux appareils du groupe, et non aux utilisateurs.
Activez la page d’état d’inscription Autopilot pour ces appareils. Si cette fonctionnalité n’est pas activée, la stratégie ne s’applique pas avant le démarrage du chiffrement.