Déployer la gestion BitLocker

  • Article

S’applique à : Configuration Manager (branche actuelle)

La gestion BitLocker dans Configuration Manager comprend les composants suivants :

Avant de créer et de déployer des stratégies de gestion BitLocker :

Créer une stratégie

Lorsque vous créez et déployez cette stratégie, le client Configuration Manager active l’agent de gestion BitLocker sur l’appareil.

Remarque

Pour créer une stratégie de gestion BitLocker, vous avez besoin du rôle Administrateur complet dans Configuration Manager.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et conformité, développez Endpoint Protection, puis sélectionnez le nœud Gestion BitLocker.

  2. Dans le ruban, sélectionnez Créer une stratégie de contrôle de gestion BitLocker.

  3. Dans la page Général , spécifiez un nom et une description facultative. Sélectionnez les composants à activer sur les clients avec cette stratégie :

    • Lecteur du système d’exploitation : gérer si le lecteur du système d’exploitation est chiffré

    • Lecteur fixe : gérer le chiffrement pour d’autres lecteurs de données dans un appareil

    • Lecteur amovible : gérer le chiffrement des lecteurs que vous pouvez supprimer d’un appareil, comme une clé USB

    • Gestion des clients : gérer la sauvegarde du service de récupération de clé des informations de récupération de chiffrement de lecteur BitLocker

  4. Dans la page d’installation , configurez les paramètres globaux suivants pour le chiffrement de lecteur BitLocker :

    Remarque

    Configuration Manager applique ces paramètres lorsque vous activez BitLocker. Si le lecteur est déjà chiffré ou en cours, toute modification apportée à ces paramètres de stratégie ne modifie pas le chiffrement du lecteur sur l’appareil.

    Si vous désactivez ou ne configurez pas ces paramètres, BitLocker utilise la méthode de chiffrement par défaut (AES 128 bits).

    • Pour Windows 8.1 appareils, activez l’option méthode de chiffrement de lecteur et force de chiffrement. Sélectionnez ensuite la méthode de chiffrement.

    • Pour les appareils Windows 10 ou ultérieurs, activez l’option méthode de chiffrement de lecteur et force de chiffrement (Windows 10 ou version ultérieure). Sélectionnez ensuite individuellement la méthode de chiffrement pour les lecteurs de système d’exploitation, les lecteurs de données fixes et les lecteurs de données amovibles.

    Pour plus d’informations sur ces paramètres et d’autres sur cette page, consultez Informations de référence sur les paramètres - Configuration.

  5. Dans la page Lecteur du système d’exploitation , spécifiez les paramètres suivants :

    • Paramètres de chiffrement du lecteur du système d’exploitation : si vous activez ce paramètre, l’utilisateur doit protéger le lecteur du système d’exploitation et BitLocker chiffre le lecteur. Si vous le désactivez, l’utilisateur ne peut pas protéger le lecteur.

    Sur les appareils dotés d’un module de plateforme sécurisée compatible, deux types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l’authentification, ou il peut également exiger l’entrée d’un numéro d’identification personnel (PIN). Configurez les paramètres suivants :

    • Sélectionner le logiciel de protection pour le lecteur de système d’exploitation : configurez-le pour utiliser un TPM et un code confidentiel, ou simplement le TPM.

    • Configurer la longueur minimale du code confidentiel pour le démarrage : si vous avez besoin d’un code confidentiel, cette valeur est la longueur la plus courte que l’utilisateur peut spécifier. L’utilisateur entre ce code confidentiel lorsque l’ordinateur démarre pour déverrouiller le lecteur. Par défaut, la longueur minimale du code confidentiel est 4.

    Pour plus d’informations sur ces paramètres et d’autres sur cette page, consultez Informations de référence sur les paramètres - Lecteur de système d’exploitation.

  6. Dans la page Lecteur fixe , spécifiez les paramètres suivants :

    • Chiffrement des lecteurs de données fixes : si vous activez ce paramètre, BitLocker exige que les utilisateurs placent tous les lecteurs de données fixes sous protection. Il chiffre ensuite les lecteurs de données. Lorsque vous activez cette stratégie, activez le déverrouillage automatique ou les paramètres de la stratégie de mot de passe de lecteur de données fixe.

    • Configurer le déverrouillage automatique pour le lecteur de données fixe : autorisez ou exigez que BitLocker déverrouille automatiquement tout lecteur de données chiffré. Pour utiliser le déverrouillage automatique, exigez également que BitLocker chiffre le lecteur du système d’exploitation.

    Pour plus d’informations sur ces paramètres et d’autres sur cette page, consultez Informations de référence sur les paramètres - Lecteur fixe.

  7. Dans la page Lecteur amovible , spécifiez les paramètres suivants :

    • Chiffrement du lecteur de données amovible : lorsque vous activez ce paramètre et que vous autorisez les utilisateurs à appliquer la protection BitLocker, le client Configuration Manager enregistre les informations de récupération sur les lecteurs amovibles sur le service de récupération sur le point de gestion. Ce comportement permet aux utilisateurs de récupérer le lecteur s’ils oublient ou perdent le protecteur (mot de passe).

    • Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles : les utilisateurs peuvent activer la protection BitLocker pour un lecteur amovible.

    • Stratégie de mot de passe de lecteur de données amovible : utilisez ces paramètres pour définir les contraintes des mots de passe afin de déverrouiller les lecteurs amovibles protégés par BitLocker.

    Pour plus d’informations sur ces paramètres et d’autres sur cette page, consultez Informations de référence sur les paramètres - Lecteur amovible.

  8. Dans la page Gestion des clients, spécifiez les paramètres suivants :

    Importante

    Pour les versions de Configuration Manager antérieures à la version 2103, si vous n’avez pas de point de gestion avec un site web https, ne configurez pas ce paramètre. Pour plus d’informations, consultez Recovery Service.

    • Configurer les services de gestion BitLocker : lorsque vous activez ce paramètre, Configuration Manager sauvegarde automatiquement et en mode silencieux les informations de récupération de clé dans la base de données du site. Si vous désactivez ou ne configurez pas ce paramètre, Configuration Manager n’enregistre pas les informations de récupération de clé.

      • Sélectionnez informations de récupération BitLocker à stocker : configurez-les pour utiliser un mot de passe de récupération et un package de clé, ou simplement un mot de passe de récupération.

      • Autoriser le stockage des informations de récupération en texte brut : sans certificat de chiffrement de gestion BitLocker, Configuration Manager stocke les informations de récupération de clé en texte brut. Pour plus d’informations, consultez Chiffrer les données de récupération dans la base de données.

    Pour plus d’informations sur ces paramètres et d’autres sur cette page, consultez Informations de référence sur les paramètres - Gestion des clients.

  9. Suivez les instructions de l’Assistant.

Pour modifier les paramètres d’une stratégie existante, choisissez-la dans la liste, puis sélectionnez Propriétés.

Lorsque vous créez plusieurs stratégies, vous pouvez configurer leur priorité relative. Si vous déployez plusieurs stratégies sur un client, il utilise la valeur de priorité pour déterminer ses paramètres.

À compter de la version 2006, vous pouvez utiliser Windows PowerShell applets de commande pour cette tâche. Pour plus d’informations, consultez New-CMBlmSetting.

Déployer une stratégie

  1. Choisissez une stratégie existante dans le nœud Gestion BitLocker . Dans le ruban, sélectionnez Déployer.

  2. Sélectionnez un regroupement d’appareils comme cible du déploiement.

  3. Si vous souhaitez que l’appareil chiffre ou déchiffre potentiellement ses lecteurs à tout moment, sélectionnez l’option Autoriser la correction en dehors de la fenêtre de maintenance. Si le regroupement a des fenêtres de maintenance, il corrige toujours cette stratégie BitLocker.

  4. Configurez une planification simple ou personnalisée . Le client évalue sa conformité en fonction des paramètres spécifiés dans la planification.

  5. Sélectionnez OK pour déployer la stratégie.

Vous pouvez créer plusieurs déploiements de la même stratégie. Pour afficher des informations supplémentaires sur chaque déploiement, sélectionnez la stratégie dans le nœud Gestion BitLocker, puis dans le volet d’informations, basculez vers l’onglet Déploiements. Vous pouvez également utiliser des applets de commande Windows PowerShell pour cette tâche. Pour plus d’informations, consultez New-CMSettingDeployment.

Importante

Si une connexion RDP (Remote Desktop Protocol) est active, le client MBAM ne démarre pas les actions de chiffrement de lecteur BitLocker. Fermez toutes les connexions de console distante et connectez-vous à une session de console avec un compte d’utilisateur de domaine. Ensuite, le chiffrement de lecteur BitLocker commence et le client charge les clés de récupération et les packages. Si vous vous connectez avec un compte d’utilisateur local, le chiffrement de lecteur BitLocker ne démarre pas.

Vous pouvez utiliser RDP pour vous connecter à distance à la session de console de l’appareil avec le /admin commutateur. Par exemple : mstsc.exe /admin /v:<IP address of device>

Une session de console est soit lorsque vous êtes à la console physique de l’ordinateur, soit une connexion à distance qui est la même que si vous êtes à la console physique de l’ordinateur.

Surveiller

Affichez les statistiques de conformité de base sur le déploiement de stratégie dans le volet d’informations du nœud Gestion BitLocker :

  • Nombre de conformités
  • Nombre de défaillances
  • Nombre de non-conformités

Basculez vers l’onglet Déploiements pour afficher le pourcentage de conformité et l’action recommandée. Sélectionnez le déploiement, puis, dans le ruban, sélectionnez Afficher l’état. Cette action bascule la vue vers l’espace de travail Surveillance , nœud Déploiements . À l’instar du déploiement d’autres déploiements de stratégie de configuration, vous pouvez voir des status de conformité plus détaillées dans cette vue.

Pour comprendre pourquoi les clients signalent des non-conformités avec la stratégie de gestion BitLocker, consultez Codes de non-conformité.

Pour plus d’informations sur la résolution des problèmes, consultez Résoudre les problèmes liés à BitLocker.

Utilisez les journaux suivants pour surveiller et résoudre les problèmes :

Journaux clients

  • Journal des événements MBAM : dans le observateur d'événements Windows, accédez à Applications et services>Microsoft>Windows>MBAM. Pour plus d’informations, consultez À propos des journaux des événements BitLocker et Journaux des événements client.

  • BitlockerManagementHandler.log et BitlockerManagement_GroupPolicyHandler.log dans le chemin des journaux client, %WINDIR%\CCM\Logs par défaut

Journaux des points de gestion (service de récupération)

  • Journal des événements du service de récupération : dans le observateur d'événements Windows, accédez à Applications et services>Microsoft>Windows>MBAM-Web. Pour plus d’informations, consultez À propos des journaux des événements BitLocker et Journaux des événements du serveur.

  • Journaux de suivi du service de récupération : <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Considérations relatives à la migration

Si vous utilisez actuellement Microsoft BitLocker Administration and Monitoring (MBAM), vous pouvez migrer en toute transparence la gestion vers Configuration Manager. Lorsque vous déployez des stratégies de gestion BitLocker dans Configuration Manager, les clients chargent automatiquement des clés et des packages de récupération sur le service de récupération Configuration Manager.

Importante

Lorsque vous migrez de MBAM autonome vers Configuration Manager gestion BitLocker, si vous avez besoin de fonctionnalités existantes de MBAM autonome, ne réutilisez pas les serveurs ou composants MBAM autonomes avec Configuration Manager gestion BitLocker. Si vous réutilisez ces serveurs, MBAM autonome cessera de fonctionner quand Configuration Manager gestion BitLocker installera ses composants sur ces serveurs. N’exécutez pas le script MBAMWebSiteInstaller.ps1 pour configurer les portails BitLocker sur des serveurs MBAM autonomes. Lorsque vous configurez Configuration Manager gestion BitLocker, utilisez des serveurs distincts.

Stratégie de groupe

  • Les paramètres de gestion BitLocker sont entièrement compatibles avec les paramètres de stratégie de groupe MBAM. Si les appareils reçoivent des paramètres de stratégie de groupe et des stratégies de Configuration Manager, configurez-les pour qu’ils correspondent.

    Remarque

    S’il existe un paramètre de stratégie de groupe pour MBAM autonome, il remplace le paramètre équivalent tenté par Configuration Manager. MBAM autonome utilise une stratégie de groupe de domaine, tandis que Configuration Manager définit des stratégies locales pour la gestion BitLocker. Les stratégies de domaine remplacent les stratégies de gestion BitLocker Configuration Manager locales. Si la stratégie de groupe de domaine MBAM autonome ne correspond pas à la stratégie Configuration Manager, Configuration Manager gestion BitLocker échoue. Par exemple, si une stratégie de groupe de domaine définit le serveur MBAM autonome pour les services de récupération de clés, Configuration Manager gestion BitLocker ne peut pas définir le même paramètre pour le point de gestion. Ce comportement empêche les clients de signaler leurs clés de récupération au service de récupération de clé de gestion bitLocker Configuration Manager sur le point de gestion.

  • Configuration Manager n’implémente pas tous les paramètres de stratégie de groupe MBAM. Si vous configurez d’autres paramètres dans la stratégie de groupe, l’agent de gestion BitLocker sur Configuration Manager clients respecte ces paramètres.

    Importante

    Ne définissez pas de stratégie de groupe pour un paramètre que Configuration Manager gestion BitLocker spécifie déjà. Définissez uniquement des stratégies de groupe pour les paramètres qui n’existent pas actuellement dans Configuration Manager gestion BitLocker. Configuration Manager version 2002 a une parité des fonctionnalités avec MBAM autonome. Avec Configuration Manager version 2002 et ultérieure, dans la plupart des cas, il ne doit pas y avoir de raison de définir des stratégies de groupe de domaine pour configurer des stratégies BitLocker. Pour éviter les conflits et les problèmes, évitez d’utiliser des stratégies de groupe pour BitLocker. Configurez tous les paramètres via Configuration Manager stratégies de gestion BitLocker.

Hachage de mot de passe TPM

  • Les clients MBAM précédents ne chargent pas le hachage de mot de passe du module de plateforme sécurisée sur Configuration Manager. Le client ne charge le hachage de mot de passe TPM qu’une seule fois.

  • Si vous devez migrer ces informations vers le service de récupération Configuration Manager, effacez le module de plateforme sécurisée sur l’appareil. Une fois redémarré, il charge le nouveau hachage de mot de passe TPM sur le service de récupération.

Remarque

Le chargement du hachage de mot de passe TPM concerne principalement les versions de Windows avant Windows 10. Windows 10 ou version ultérieure par défaut n’enregistre pas le hachage de mot de passe du module de plateforme sécurisée, de sorte que ces appareils ne le chargent normalement pas. Pour plus d’informations, consultez À propos du mot de passe du propriétaire du module de plateforme sécurisée.

Rechiffrement

Configuration Manager ne rechiffre pas les lecteurs qui sont déjà protégés par le chiffrement de lecteur BitLocker. Si vous déployez une stratégie de gestion BitLocker qui ne correspond pas à la protection actuelle du lecteur, elle est signalé comme non conforme. Le lecteur est toujours protégé.

Par exemple, vous avez utilisé MBAM pour chiffrer le lecteur avec l’algorithme de chiffrement AES-XTS 128, mais la stratégie de Configuration Manager requiert AES-XTS 256. Le lecteur n’est pas conforme à la stratégie, même si le lecteur est chiffré.

Pour contourner ce comportement, commencez par désactiver BitLocker sur l’appareil. Déployez ensuite une nouvelle stratégie avec les nouveaux paramètres.

Cogestion et Intune

Le gestionnaire de client Configuration Manager pour BitLocker prend en charge la cogestion. Si l’appareil est cogéré et que vous basculez la charge de travail Endpoint Protection sur Intune, le client Configuration Manager ignore sa stratégie BitLocker. L’appareil obtient la stratégie de chiffrement Windows à partir de Intune.

Remarque

Le basculement des autorités de gestion du chiffrement tout en conservant l’algorithme de chiffrement souhaité ne nécessite aucune action supplémentaire sur le client. Toutefois, si vous changez d’autorité de gestion du chiffrement et que l’algorithme de chiffrement souhaité change également, vous devez planifier le rechiffrement.

Pour plus d’informations sur la gestion de BitLocker avec Intune, consultez les articles suivants :

Étapes suivantes

À propos du service de récupération BitLocker

Configurer des rapports et des portails BitLocker