Partager via


Informations de référence sur les paramètres BitLocker

S’applique à : Configuration Manager (branche actuelle)

Les stratégies de gestion BitLocker dans Configuration Manager contiennent les groupes de stratégies suivants :

  • Installation
  • Lecteur du système d’exploitation
  • Lecteur fixe
  • Lecteur amovible
  • Gestion des clients

Les sections suivantes décrivent et suggèrent des configurations pour les paramètres de chaque groupe.

Installation

Les paramètres de cette page configurent les options de chiffrement BitLocker globales.

Méthode de chiffrement de lecteur et force de chiffrement

Configuration suggérée : activé avec la méthode de chiffrement par défaut ou supérieure.

Remarque

La page propriétés de l’installation comprend deux groupes de paramètres pour différentes versions de Windows. Cette section les décrit tous les deux.

appareils Windows 8.1

Pour Windows 8.1 appareils, activez l’option méthode de chiffrement de lecteur et force de chiffrement, puis sélectionnez l’une des méthodes de chiffrement suivantes :

  • AES 128 bits avec diffuser
  • AES 256 bits avec diffuser
  • AES 128 bits (par défaut)
  • AES 256 bits

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMBLEncryptionMethodPolicy.

Appareils Windows 10 ou version ultérieure

Pour les appareils Windows 10 ou ultérieurs, activez l’option méthode de chiffrement de lecteur et force de chiffrement (Windows 10 ou version ultérieure). Sélectionnez ensuite individuellement l’une des méthodes de chiffrement suivantes pour les lecteurs de système d’exploitation, les lecteurs de données fixes et les lecteurs de données amovibles :

  • AES-CBC 128 bits
  • AES-CBC 256 bits
  • XTS-AES 128 bits (par défaut)
  • XTS AES 256 bits

Conseil

BitLocker utilise AES (Advanced Encryption Standard) comme algorithme de chiffrement avec des longueurs de clés configurables de 128 ou 256 bits. Sur les appareils Windows 10 ou ultérieurs, le chiffrement AES prend en charge le chaînage de blocs de chiffrement (CBC) ou le vol de texte chiffré (XTS).

Si vous avez besoin d’utiliser un lecteur amovible sur des appareils qui n’exécutent pas Windows 10, utilisez AES-CBC.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMBLEncryptionMethodWithXts.

Remarques générales sur l’utilisation du chiffrement de lecteur et de la force de chiffrement

  • Si vous désactivez ou ne configurez pas ces paramètres, BitLocker utilise la méthode de chiffrement par défaut.

  • Configuration Manager applique ces paramètres lorsque vous activez BitLocker.

  • Si le lecteur est déjà chiffré ou en cours, toute modification apportée à ces paramètres de stratégie ne modifie pas le chiffrement du lecteur sur l’appareil.

  • Si vous utilisez la valeur par défaut, le rapport Conformité de l’ordinateur BitLocker peut afficher la force de chiffrement comme inconnue. Pour contourner ce problème, activez ce paramètre et définissez une valeur explicite pour la force de chiffrement.

Empêcher le remplacement de la mémoire au redémarrage

Configuration suggérée : Non configuré

Configurez cette stratégie pour améliorer les performances de redémarrage sans remplacer les secrets BitLocker en mémoire au redémarrage.

Lorsque vous ne configurez pas cette stratégie, BitLocker supprime ses secrets de la mémoire lors du redémarrage de l’ordinateur.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMNoOverwritePolicy.

Valider la conformité aux règles d’utilisation des certificats smart carte

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser la protection BitLocker basée sur les certificats à puce. Spécifiez ensuite l’identificateur d’objet du certificat.

Lorsque vous ne configurez pas cette stratégie, BitLocker utilise l’identificateur 1.3.6.1.4.1.311.67.1.1 d’objet par défaut pour spécifier un certificat.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMScCompliancePolicy.

Identificateurs uniques de l’organisation

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser un agent de récupération de données basé sur un certificat ou le lecteur BitLocker To Go.

Lorsque vous ne configurez pas cette stratégie, BitLocker n’utilise pas le champ Identification .

Si votre organization nécessite des mesures de sécurité plus élevées, configurez le champ Identification. Définissez ce champ sur tous les périphériques USB ciblés et alignez-le sur ce paramètre.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMUidPolicy.

Lecteur de système d’exploitation

Les paramètres de cette page configurent les paramètres de chiffrement du lecteur sur lequel Windows est installé.

Paramètres de chiffrement des lecteurs du système d’exploitation

Configuration suggérée : Activé

Si vous activez ce paramètre, l’utilisateur doit protéger le lecteur du système d’exploitation et BitLocker chiffre le lecteur. Si vous le désactivez, l’utilisateur ne peut pas protéger le lecteur. Si vous ne configurez pas cette stratégie, la protection BitLocker n’est pas requise sur le lecteur du système d’exploitation.

Remarque

Si le lecteur est déjà chiffré et que vous désactivez ce paramètre, BitLocker déchiffre le lecteur.

Si vous avez des appareils sans module de plateforme sécurisée (TPM), utilisez l’option Autoriser BitLocker sans module TPM compatible (nécessite un mot de passe). Ce paramètre permet à BitLocker de chiffrer le lecteur du système d’exploitation, même si l’appareil n’a pas de TPM. Si vous autorisez cette option, Windows invite l’utilisateur à spécifier un mot de passe BitLocker.

Sur les appareils dotés d’un module de plateforme sécurisée compatible, deux types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l’authentification, ou il peut également exiger l’entrée d’un numéro d’identification personnel (PIN). Configurez les paramètres suivants :

  • Sélectionner le logiciel de protection pour le lecteur de système d’exploitation : configurez-le pour utiliser un TPM et un code confidentiel, ou simplement le TPM.

  • Configurer la longueur minimale du code confidentiel pour le démarrage : si vous avez besoin d’un code confidentiel, cette valeur est la longueur la plus courte que l’utilisateur peut spécifier. L’utilisateur entre ce code confidentiel lorsque l’ordinateur démarre pour déverrouiller le lecteur. Par défaut, la longueur minimale du code confidentiel est 4.

Conseil

Pour plus de sécurité, lorsque vous activez des appareils avec TPM + protecteur de code confidentiel, envisagez de désactiver les paramètres de stratégie de groupe suivants dansParamètres de veillede la gestion de> l’alimentation système> :

  • Autoriser les états de secours (S1-S3) en mode veille (branché)

  • Autoriser les états de secours (S1-S3) en mode veille (sur batterie)

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMBMSOSDEncryptionPolicy.

Autoriser les codes confidentiels améliorés pour le démarrage

Configuration suggérée : Non configuré

Configurez BitLocker pour utiliser des codes confidentiels de démarrage améliorés. Ces codes confidentiels permettent d’utiliser davantage de caractères tels que des lettres majuscules et minuscules, des symboles, des chiffres et des espaces. Ce paramètre s’applique lorsque vous activez BitLocker.

Importante

Tous les ordinateurs ne peuvent pas prendre en charge les codes confidentiels améliorés dans l’environnement de prédémarrisation. Avant d’activer son utilisation, évaluez si vos appareils sont compatibles avec cette fonctionnalité.

Si vous activez ce paramètre, tous les nouveaux codes confidentiels de démarrage BitLocker permettent à l’utilisateur de créer des codes confidentiels améliorés.

  • Exiger des codes confidentiels ASCII uniquement : aidez à rendre les codes confidentiels améliorés plus compatibles avec les ordinateurs qui limitent le type ou le nombre de caractères que vous pouvez entrer dans l’environnement de prédémarreur.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker n’utilise pas de codes confidentiels améliorés.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMEnhancedPIN.

Stratégie de mot de passe de lecteur de système d’exploitation

Configuration suggérée : Non configuré

Utilisez ces paramètres pour définir les contraintes pour les mots de passe afin de déverrouiller les lecteurs de système d’exploitation protégés par BitLocker. Si vous autorisez les protecteurs non-TPM sur les lecteurs de système d’exploitation, configurez les paramètres suivants :

  • Configurer la complexité du mot de passe pour les lecteurs de système d’exploitation : pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité du mot de passe.

  • Longueur minimale du mot de passe pour le lecteur du système d’exploitation : par défaut, la longueur minimale est 8.

  • Exiger des mots de passe ASCII uniquement pour les lecteurs de système d’exploitation amovibles

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMOSPassphrase.

Notes générales sur l’utilisation de la stratégie de mot de passe de lecteur de système d’exploitation

  • Pour que ces paramètres d’exigences de complexité soient efficaces, activez également le paramètre de stratégie de groupe Le mot de passe doit répondre aux exigences de complexité dans Configuration> ordinateurParamètres Windows Paramètres>De sécurité Stratégies> decompte>Stratégie de mot de passe.

  • BitLocker applique ces paramètres lorsque vous l’activez, et non lorsque vous déverrouillez un volume. BitLocker vous permet de déverrouiller un lecteur avec l’un des protecteurs disponibles sur le lecteur.

  • Si vous utilisez une stratégie de groupe pour activer des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, vous ne pouvez pas autoriser les mots de passe comme protecteur BitLocker.

Réinitialiser les données de validation de la plateforme après la récupération BitLocker

Configuration suggérée : Non configuré

Contrôler si Windows actualise les données de validation de la plateforme lorsqu’elle démarre après la récupération BitLocker.

Si vous activez ou ne configurez pas ce paramètre, Windows actualise les données de validation de la plateforme dans ce cas.

Si vous désactivez ce paramètre de stratégie, Windows n’actualise pas les données de validation de la plateforme dans cette situation.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMTpmAutoResealPolicy.

Message de récupération et URL de prédémarrisation

Configuration suggérée : Non configuré

Lorsque BitLocker verrouille le lecteur du système d’exploitation, utilisez ce paramètre pour afficher un message de récupération personnalisé ou une URL sur l’écran de récupération BitLocker préalable au démarrage. Ce paramètre s’applique uniquement aux appareils Windows 10 ou ultérieurs.

Lorsque vous activez ce paramètre, sélectionnez l’une des options suivantes pour le message de récupération préalable au démarrage :

  • Utiliser le message et l’URL de récupération par défaut : affichez le message et l’URL de récupération BitLocker par défaut dans l’écran de récupération BitLocker préalable au démarrage. Si vous avez précédemment configuré un message de récupération personnalisé ou une URL, utilisez cette option pour revenir au message par défaut.

  • Utiliser un message de récupération personnalisé : incluez un message personnalisé dans l’écran de récupération BitLocker de prédémarreur.

    • Option de message de récupération personnalisée : tapez le message personnalisé à afficher. Si vous souhaitez également spécifier une URL de récupération, incluez-la dans ce message de récupération personnalisé. La longueur maximale de la chaîne est de 32 768 caractères.
  • Utiliser une URL de récupération personnalisée : remplacez l’URL par défaut affichée dans l’écran de récupération BitLocker avant le démarrage.

    • Option URL de récupération personnalisée : tapez l’URL à afficher. La longueur maximale de la chaîne est de 32 768 caractères.

Remarque

Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Tout d’abord, testez votre message ou URL personnalisé pour vous assurer qu’il s’affiche correctement sur l’écran de récupération BitLocker avant le démarrage.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMPrebootRecoveryInfo.

Paramètres d’application de la stratégie de chiffrement (lecteur de système d’exploitation)

Configuration suggérée : Activé

Configurez le nombre de jours pendant lesquels les utilisateurs peuvent reporter la conformité BitLocker pour le lecteur du système d’exploitation. La période de grâce de non-conformité commence quand Configuration Manager la détecte pour la première fois comme non conforme. Une fois cette période de grâce expirée, les utilisateurs ne peuvent pas reporter l’action requise ou demander une exemption.

Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s’affiche dans Windows que l’utilisateur ne peut pas fermer tant qu’il n’a pas fourni les informations requises. Les notifications futures en cas d’erreurs ou de status n’auront pas cette restriction.

Si BitLocker ne nécessite pas d’interaction utilisateur pour ajouter un logiciel de protection, une fois la période de grâce expirée, BitLocker démarre le chiffrement en arrière-plan.

Si vous désactivez ou ne configurez pas ce paramètre, Configuration Manager n’exige pas que les utilisateurs se conforment aux stratégies BitLocker.

Pour appliquer immédiatement la stratégie, définissez une période de grâce de 0.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMUseOsEnforcePolicy.

Lecteur fixe

Les paramètres de cette page configurent le chiffrement pour d’autres lecteurs de données d’un appareil.

Chiffrement de lecteur de données fixe

Configuration suggérée : Activé

Gérer vos besoins en matière de chiffrement des lecteurs de données fixes. Si vous activez ce paramètre, BitLocker exige que les utilisateurs placent tous les lecteurs de données fixes sous protection. Il chiffre ensuite les lecteurs de données.

Lorsque vous activez cette stratégie, activez le déverrouillage automatique ou les paramètres de la stratégie de mot de passe de lecteur de données fixe.

  • Configurer le déverrouillage automatique pour le lecteur de données fixe : autorisez ou exigez que BitLocker déverrouille automatiquement tout lecteur de données chiffré. Pour utiliser le déverrouillage automatique, exigez également que BitLocker chiffre le lecteur du système d’exploitation.

Si vous ne configurez pas ce paramètre, BitLocker n’exige pas que les utilisateurs placent les lecteurs de données fixes sous protection.

Si vous désactivez ce paramètre, les utilisateurs ne peuvent pas placer leurs lecteurs de données fixes sous la protection BitLocker. Si vous désactivez cette stratégie après que BitLocker a chiffré les lecteurs de données fixes, BitLocker déchiffre les lecteurs de données fixes.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMBMSFDVEncryptionPolicy.

Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker

Configuration suggérée : Non configuré

Exiger la protection BitLocker pour Windows afin d’écrire des données sur des lecteurs fixes sur l’appareil. BitLocker applique cette stratégie lorsque vous l’activez.

Lorsque vous activez ce paramètre :

  • Si BitLocker protège un lecteur de données fixe, Windows le monte avec un accès en lecture et en écriture.

  • Pour tout lecteur de données fixe que BitLocker ne protège pas, Windows le monte en lecture seule.

Lorsque vous ne configurez pas ce paramètre, Windows monte tous les lecteurs de données fixes avec un accès en lecture et en écriture.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMFDVDenyWriteAccessPolicy.

Correction de la stratégie de mot de passe du lecteur de données

Configuration suggérée : Non configuré

Utilisez ces paramètres pour définir les contraintes pour les mots de passe afin de déverrouiller les lecteurs de données fixes protégés par BitLocker.

Si vous activez ce paramètre, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences définies.

Pour une sécurité plus élevée, activez ce paramètre, puis configurez les paramètres suivants :

  • Exiger un mot de passe pour le lecteur de données fixes : les utilisateurs doivent spécifier un mot de passe pour déverrouiller un lecteur de données fixe protégé par BitLocker.

  • Configurer la complexité du mot de passe pour les lecteurs de données fixes : pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité du mot de passe.

  • Longueur minimale du mot de passe pour le lecteur de données fixe : par défaut, la longueur minimale est 8.

Si vous désactivez ce paramètre, les utilisateurs ne peuvent pas configurer de mot de passe.

Lorsque la stratégie n’est pas configurée, BitLocker prend en charge les mots de passe avec les paramètres par défaut. Les paramètres par défaut n’incluent pas les exigences de complexité du mot de passe et ne nécessitent que huit caractères.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMFDVPassPhrasePolicy.

Notes générales sur l’utilisation de la stratégie de mot de passe de lecteur de données fixe

  • Pour que ces paramètres d’exigences de complexité soient efficaces, activez également le paramètre de stratégie de groupe Le mot de passe doit répondre aux exigences de complexité dans Configuration> ordinateurParamètres Windows Paramètres>De sécurité Stratégies> decompte>Stratégie de mot de passe.

  • BitLocker applique ces paramètres lorsque vous l’activez, et non lorsque vous déverrouillez un volume. BitLocker vous permet de déverrouiller un lecteur avec l’un des protecteurs disponibles sur le lecteur.

  • Si vous utilisez une stratégie de groupe pour activer des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, vous ne pouvez pas autoriser les mots de passe comme protecteur BitLocker.

Paramètres d’application de la stratégie de chiffrement (lecteur de données fixe)

Configuration suggérée : Activé

Configurez le nombre de jours pendant lesquels les utilisateurs peuvent reporter la conformité BitLocker pour les lecteurs de données fixes. La période de grâce de non-conformité commence quand Configuration Manager détecte pour la première fois le lecteur de données fixe comme non conforme. Il n’applique pas la stratégie de lecteur de données fixe tant que le lecteur du système d’exploitation n’est pas conforme. Une fois la période de grâce expirée, les utilisateurs ne peuvent pas reporter l’action requise ou demander une exemption.

Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s’affiche dans Windows que l’utilisateur ne peut pas fermer tant qu’il n’a pas fourni les informations requises. Les notifications futures en cas d’erreurs ou de status n’auront pas cette restriction.

Si BitLocker ne nécessite pas d’interaction utilisateur pour ajouter un logiciel de protection, une fois la période de grâce expirée, BitLocker démarre le chiffrement en arrière-plan.

Si vous désactivez ou ne configurez pas ce paramètre, Configuration Manager n’exige pas que les utilisateurs se conforment aux stratégies BitLocker.

Pour appliquer immédiatement la stratégie, définissez une période de grâce de 0.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMUseFddEnforcePolicy.

Lecteur amovible

Les paramètres de cette page configurent le chiffrement pour les lecteurs amovibles, tels que les clés USB.

Chiffrement du lecteur de données amovible

Configuration suggérée : Activé

Ce paramètre contrôle l’utilisation de BitLocker sur les lecteurs amovibles.

  • Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles : les utilisateurs peuvent activer la protection BitLocker pour un lecteur amovible.

  • Autoriser les utilisateurs à suspendre et déchiffrer BitLocker sur des lecteurs de données amovibles : les utilisateurs peuvent supprimer ou suspendre temporairement le chiffrement de lecteur BitLocker d’un lecteur amovible.

Lorsque vous activez ce paramètre et que vous autorisez les utilisateurs à appliquer la protection BitLocker, le client Configuration Manager enregistre les informations de récupération sur les lecteurs amovibles sur le service de récupération sur le point de gestion. Ce comportement permet aux utilisateurs de récupérer le lecteur s’ils oublient ou perdent le protecteur (mot de passe).

Lorsque vous activez ce paramètre :

  • Activer les paramètres de la stratégie de mot de passe de lecteur de données amovible

  • Désactivez les paramètres de stratégie de groupe suivants dans Accès austockage amoviblesystème> pour les configurations utilisateur & ordinateur :

    • Toutes les classes de stockage amovibles : Refuser tout accès
    • Disques amovibles : refuser l’accès en écriture
    • Disques amovibles : refuser l’accès en lecture

Si vous désactivez ce paramètre, les utilisateurs ne peuvent pas utiliser BitLocker sur des lecteurs amovibles.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMRDVConfigureBDEPolicy.

Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker

Configuration suggérée : Non configuré

Exiger la protection BitLocker pour Windows afin d’écrire des données sur des lecteurs amovibles sur l’appareil. BitLocker applique cette stratégie lorsque vous l’activez.

Lorsque vous activez ce paramètre :

  • Si BitLocker protège un lecteur amovible, Windows le monte avec un accès en lecture et en écriture.

  • Pour tout lecteur amovible que BitLocker ne protège pas, Windows le monte en lecture seule.

  • Si vous activez l’option Refuser l’accès en écriture aux appareils configurés dans un autre organization, BitLocker donne uniquement l’accès en écriture aux lecteurs amovibles avec des champs d’identification correspondant aux champs d’identification autorisés. Définissez ces champs avec les paramètres globaux Identificateurs uniques de l’organisation dans la page Configuration .

Lorsque vous désactivez ou ne configurez pas ce paramètre, Windows monte tous les lecteurs amovibles avec un accès en lecture et en écriture.

Remarque

Vous pouvez remplacer ce paramètre par les paramètres de stratégie de groupe dansAccès au stockage amoviblesystème>. Si vous activez le paramètre de stratégie de groupe Disques amovibles : Refuser l’accès en écriture, BitLocker ignore ce paramètre Configuration Manager.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMRDVDenyWriteAccessPolicy.

Stratégie de mot de passe du lecteur de données amovible

Configuration suggérée : Activé

Utilisez ces paramètres pour définir les contraintes pour les mots de passe afin de déverrouiller les lecteurs amovibles protégés par BitLocker.

Si vous activez ce paramètre, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences définies.

Pour une sécurité plus élevée, activez ce paramètre, puis configurez les paramètres suivants :

  • Exiger un mot de passe pour le lecteur de données amovible : les utilisateurs doivent spécifier un mot de passe pour déverrouiller un lecteur amovible protégé par BitLocker.

  • Configurer la complexité du mot de passe pour les lecteurs de données amovibles : pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité du mot de passe.

  • Longueur minimale du mot de passe pour le lecteur de données amovible : par défaut, la longueur minimale est 8.

Si vous désactivez ce paramètre, les utilisateurs ne peuvent pas configurer de mot de passe.

Lorsque la stratégie n’est pas configurée, BitLocker prend en charge les mots de passe avec les paramètres par défaut. Les paramètres par défaut n’incluent pas les exigences de complexité du mot de passe et ne nécessitent que huit caractères.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMRDVPassPhrasePolicy.

Remarques générales sur l’utilisation de la stratégie de mot de passe de lecteur de données amovible

  • Pour que ces paramètres d’exigences de complexité soient efficaces, activez également le paramètre de stratégie de groupe Le mot de passe doit répondre aux exigences de complexité dans Configuration> ordinateurParamètres Windows Paramètres>De sécurité Stratégies> decompte>Stratégie de mot de passe.

  • BitLocker applique ces paramètres lorsque vous l’activez, et non lorsque vous déverrouillez un volume. BitLocker vous permet de déverrouiller un lecteur avec l’un des protecteurs disponibles sur le lecteur.

  • Si vous utilisez une stratégie de groupe pour activer des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, vous ne pouvez pas autoriser les mots de passe comme protecteur BitLocker.

Gestion des clients

Les paramètres de cette page configurent les services et les clients de gestion BitLocker.

Services de gestion BitLocker

Configuration suggérée : Activé

Lorsque vous activez ce paramètre, Configuration Manager sauvegarde automatiquement et en mode silencieux les informations de récupération de clé dans la base de données du site. Si vous désactivez ou ne configurez pas ce paramètre, Configuration Manager n’enregistre pas les informations de récupération de clé.

  • Sélectionnez Informations de récupération BitLocker à stocker : Configurez le service de récupération de clé pour sauvegarder les informations de récupération BitLocker. Il fournit une méthode administrative de récupération des données chiffrées par BitLocker, ce qui permet d’éviter la perte de données en raison du manque d’informations clés.

  • Autoriser le stockage des informations de récupération en texte brut : sans certificat de chiffrement de gestion BitLocker pour SQL Server, Configuration Manager stocke les informations de récupération de clé en texte brut. Pour plus d’informations, consultez Chiffrer les données de récupération dans la base de données.

  • Vérification du client status fréquence (minutes) : à la fréquence configurée, le client vérifie les stratégies de protection BitLocker et status sur l’ordinateur et sauvegarde également la clé de récupération du client. Par défaut, le client Configuration Manager vérifie les status BitLocker toutes les 90 minutes.

    Importante

    Ne définissez pas cette valeur sur une valeur inférieure à 60. Une valeur de fréquence plus petite peut amener le client à signaler brièvement des états de conformité inexacts.

Pour plus d’informations sur la création de ces stratégies avec Windows PowerShell, consultez :

Stratégie d’exemption d’utilisateur

Configuration suggérée : Non configuré

Configurez une méthode de contact pour que les utilisateurs demandent une exemption du chiffrement BitLocker.

Si vous activez ce paramètre de stratégie, fournissez les informations suivantes :

  • Nombre maximal de jours à reporter : nombre de jours pendant lesquels l’utilisateur peut reporter une stratégie appliquée. Par défaut, cette valeur est 7 jours (une semaine).

  • Méthode de contact : spécifiez comment les utilisateurs peuvent demander une exemption : URL, adresse e-mail ou numéro de téléphone.

  • Contact : spécifiez l’URL, l’adresse e-mail ou le numéro de téléphone. Lorsqu’un utilisateur demande une exemption de la protection BitLocker, il voit une boîte de dialogue Windows avec des instructions sur la façon d’appliquer. Configuration Manager ne valide pas les informations que vous entrez.

    • URL : utilisez le format d’URL standard, https://website.domain.tld. Windows affiche l’URL sous la forme d’un lien hypertexte.

    • adresse Email : utilisez le format d’adresse e-mail standard, user@domain.tld. Windows affiche l’adresse sous la forme du lien hypertexte suivant : mailto:user@domain.tld?subject=Request exemption from BitLocker protection.

    • Numéro de téléphone : spécifiez le numéro que vous souhaitez que vos utilisateurs appellent. Windows affiche le numéro avec la description suivante : Please call <your number> for applying exemption.

Si vous désactivez ou ne configurez pas ce paramètre, Windows n’affiche pas les instructions de demande d’exemption aux utilisateurs.

Remarque

BitLocker gère les exemptions par utilisateur, et non par ordinateur. Si plusieurs utilisateurs se connectent au même ordinateur et qu’un utilisateur n’est pas exempté, BitLocker chiffre l’ordinateur.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMBMSUserExemptionPolicy.

Configuration suggérée : Activé

Spécifiez une URL à afficher pour les utilisateurs en tant que stratégie de sécurité de l’entreprise dans Windows. Utilisez ce lien pour fournir aux utilisateurs des informations sur les exigences de chiffrement. Il s’affiche lorsque BitLocker invite l’utilisateur à chiffrer un lecteur.

Si vous activez ce paramètre, configurez l’URL du lien de stratégie de sécurité.

Si vous désactivez ou ne configurez pas ce paramètre, BitLocker n’affiche pas le lien de stratégie de sécurité.

Pour plus d’informations sur la création de cette stratégie avec Windows PowerShell, consultez New-CMMoreInfoUrlPolicy.

Prochaines étapes

Si vous utilisez Windows PowerShell pour créer ces objets de stratégie, utilisez l’applet de commande New-CMBlmSetting. Cette applet de commande crée un objet de paramètres de stratégie de gestion BitLocker qui contient toutes les stratégies spécifiées. Pour déployer les paramètres de stratégie dans un regroupement, utilisez l’applet de commande New-CMSettingDeployment .