Comment activer BitLocker à l'aide de MBAM dans le cadre d'un déploiement Windows

  • Article

Important

Ces instructions ne concernent pas Configuration Manager gestion BitLocker. Le Invoke-MbamClientDeployment.ps1 script PowerShell n’est pas pris en charge pour une utilisation avec la gestion BitLocker dans Configuration Manager. Cela inclut l’archivage des clés de récupération BitLocker pendant une séquence de tâches Configuration Manager.

En outre, à compter de Configuration Manager version 2103, Configuration Manager Gestion BitLocker n’utilise plus le site des services de récupération de clés MBAM pour les clés de dépôt. Toute tentative d’utilisation du Invoke-MbamClientDeployment.ps1 script PowerShell avec Configuration Manager version 2103 ou ultérieure peut entraîner de graves problèmes avec le site Configuration Manager. Les problèmes connus incluent la création d’une grande quantité de stratégies ciblées sur tous les appareils, ce qui peut provoquer des tempêtes de stratégie. Cela entraîne une dégradation sévère des performances dans Configuration Manager principalement dans SQL et avec les points de gestion. Pour plus d’informations, consultez Utilisation de l’agent MBAM pour séquestre les clés de récupération BitLocker génère des stratégies excessives dans Configuration Manager, version 2103.

La gestion BitLocker à partir de Configuration Manager, version 2203 prend en charge en mode natif la suppression de la clé BitLocker pendant une séquence de tâches avec la tâche Activer la séquence de tâches BitLocker via l’option Stocker automatiquement la clé de récupération dans la>base de données Configuration Manager. Pour plus d’informations, consultez Séquestre le mot de passe de récupération BitLocker sur le site pendant une séquence de tâches.

Notez également que l’intégration autonome de MBAM à Configuration Manager n’était prise en charge que via Configuration Manager version 1902. Depuis Configuration Manager, la version 1902 n’est plus prise en charge, l’utilisation de MBAM autonome et du Invoke-MbamClientDeployment.ps1 script PowerShell avec les versions de Configuration Manager actuellement prises en charge n’est plus prise en charge. Pour plus d’informations, consultez Versions de Configuration Manager prises en charge par MBAM. Les clients qui utilisent MBAM autonome avec Configuration Manager doivent migrer vers Configuration Manager gestion BitLocker.

Cette rubrique explique comment activer BitLocker sur l’ordinateur d’un utilisateur final à l’aide de MBAM dans le cadre de votre processus de création d’images et de déploiement Windows. Si vous voyez un écran noir au redémarrage (après la fin de la phase d’installation) indiquant que le lecteur ne peut pas être déverrouillé, voir Les versions antérieures de Windows ne démarrent pas après l’étape « Configurer Windows et Configuration Manager » si le préprovisionnement de BitLocker est utilisé avec Windows 10, version 1511.

Conditions préalables:

  • Un processus de déploiement d’images Windows existant ( Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager ou un autre outil ou processus de création d’images doit être en place

  • TPM doit être activé dans le BIOS et visible par le système d’exploitation

  • L’infrastructure du serveur MBAM doit être en place et accessible

  • La partition système requise par BitLocker doit être créée

  • La machine doit être jointe à un domaine pendant la création d’images avant que MBAM n’active complètement BitLocker

Pour activer BitLocker à l’aide de MBAM 2.5 SP1 dans le cadre d’un déploiement Windows

  1. Dans MBAM 2.5 SP1, l’approche recommandée pour activer BitLocker pendant un déploiement Windows consiste à utiliser le Invoke-MbamClientDeployment.ps1 script PowerShell.

    • Le Invoke-MbamClientDeployment.ps1 script met en œuvre BitLocker pendant le processus de création d’images. Lorsque la stratégie BitLocker l’exige, l’agent MBAM invite immédiatement l’utilisateur du domaine à créer un code confidentiel ou un mot de passe lorsque l’utilisateur du domaine se connecte pour la première fois après la création d’images.

    • Facile à utiliser avec les processus d’imagerie MDT, System Center Configuration Manager ou autonomes

    • Compatible avec PowerShell 2.0 ou version ultérieure

    • Chiffrer le volume du système d’exploitation avec le protecteur de clé TPM

    • Prise en charge complète du préprovisionnement BitLocker

    • Chiffrer éventuellement les FDD

    • Propriétaire du TPM de dépôt d’entiercementAuth Pour Windows 7, MBAM doit être propriétaire du TPM pour que l’entiercement se produise. Pour Windows 8.1, Windows 10 RTM et Windows 10 version 1511, l’entiercement de TPM OwnerAuth est pris en charge. Par Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. En outre, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du TPM .

    • Clés de récupération d’entiercement et packages de clés de récupération

    • Status de chiffrement de rapport immédiatement

    • Nouveaux fournisseurs WMI

    • Journalisation détaillée

    • Gestion robuste des erreurs

    Vous pouvez télécharger le Invoke-MbamClientDeployment.ps1 script à partir de Microsoft.com Centre de téléchargement. Il s’agit du script main que votre système de déploiement appellera pour configurer le chiffrement de lecteur BitLocker et enregistrer les clés de récupération avec le serveur MBAM.

    Méthodes de déploiement WMI pour MBAM : Les méthodes WMI suivantes ont été ajoutées dans MBAM 2.5 SP1 pour prendre en charge l’activation de BitLocker à l’aide du Invoke-MbamClientDeployment.ps1 script PowerShell.

    MBAM_Machine classe WMIPrepareTpmAndEscrowOwnerAuth : lit le TPM OwnerAuth et l’envoie à la base de données de récupération MBAM à l’aide du service de récupération MBAM. Si le module TPM n’est pas détenu et que l’approvisionnement automatique n’est pas activé, il génère un TPM OwnerAuth et en prend la propriété. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

    Note Par Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. En outre, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du TPM .

Paramètre Description
RecoveryServiceEndPoint Chaîne spécifiant le point de terminaison du service de récupération MBAM.

Voici une liste de messages d’erreur courants :

Valeurs de retour courantes Message d’erreur
S_OK
0 (0x0)		 La méthode a réussi.
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)		 TPM n’est pas présent sur l’ordinateur ou est désactivé dans la configuration du BIOS.
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)		 TPM n’est pas dans l’état correct (activé, activé et installation du propriétaire autorisée).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)		 MBAM ne peut pas prendre possession du module TPM, car l’approvisionnement automatique est en attente. Réessayez une fois l’approvisionnement automatique terminé.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)		 MBAM ne peut pas lire la valeur d’autorisation du propriétaire TPM. La valeur a peut-être été supprimée après une mise sous séquestre réussie. Sur Windows 7, MBAM ne peut pas lire la valeur si le module de plateforme sécurisée appartient à d’autres personnes.
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)		 L’ordinateur doit être redémarré pour définir le module de plateforme sécurisée sur l’état correct. Vous devrez peut-être redémarrer manuellement l’ordinateur.
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)		 L’ordinateur doit être arrêté et réactivé pour définir le module de plateforme sécurisée sur l’état correct. Vous devrez peut-être redémarrer manuellement l’ordinateur.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 L’accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
**WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Le point de terminaison distant n’a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Le point de terminaison distant n’était pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Un message contenant une erreur a été reçu du point de terminaison distant. Vérifiez que vous vous connectez au point de terminaison de service approprié.
WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par « http » ou « https ».

ReportStatus : Lit le status de conformité du volume et l’envoie à la base de données de status de conformité MBAM à l’aide du service de création de rapports status MBAM. La status inclut la force de chiffrement, le type de protecteur, l’état du protecteur et l’état de chiffrement. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

Paramètre Description
ReportingServiceEndPoint Chaîne spécifiant le point de terminaison du service de création de rapports MBAM status.

Voici une liste de messages d’erreur courants :

Valeurs de retour courantes Message d’erreur
S_OK
0 (0x0)		 La méthode a réussi
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 L’accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Le point de terminaison distant n’a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Le point de terminaison distant n’était pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Un message contenant une erreur a été reçu du point de terminaison distant. Vérifiez que vous vous connectez au point de terminaison de service approprié.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)		 L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par « http » ou « https ».

MBAM_Volume classe WMIEscrowRecoveryKey : lit le mot de passe numérique de récupération et le package de clé du volume et les envoie à la base de données de récupération MBAM à l’aide du service de récupération MBAM. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

Paramètre Description
RecoveryServiceEndPoint Chaîne spécifiant le point de terminaison du service de récupération MBAM.

Voici une liste de messages d’erreur courants :

Valeurs de retour courantes Message d’erreur
S_OK
0 (0x0)		 La méthode a réussi
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)		 Le volume est verrouillé.
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)		 Un protecteur de mot de passe numérique n’a pas été trouvé pour le volume.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)		 L’accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)		 Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)		 Le point de terminaison distant n’a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)		 Le point de terminaison distant n’était pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)		 Un message contenant une erreur a été reçu du point de terminaison distant. Vérifiez que vous vous connectez au point de terminaison de service approprié.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)		 L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par « http » ou « https ».

  1. Déployer MBAM à l’aide de Microsoft Deployment Toolkit (MDT) et de PowerShell

    1. Dans MDT, créez un partage de déploiement ou ouvrez un partage de déploiement existant.

      Remarque
      Le Invoke-MbamClientDeployment.ps1 script PowerShell peut être utilisé avec n’importe quel processus ou outil de création d’images. Cette section montre comment l’intégrer à l’aide de MDT, mais les étapes sont similaires à celles de l’intégrer à un autre processus ou outil.

      Attention
      Si vous utilisez le préprovisionnement BitLocker (WinPE) et que vous souhaitez conserver la valeur d’autorisation du propriétaire TPM, vous devez ajouter le SaveWinPETpmOwnerAuth.wsf script dans WinPE immédiatement avant le redémarrage de l’installation dans le système d’exploitation complet. Si vous n’utilisez pas ce script, vous perdrez la valeur d’autorisation du propriétaire du module de plateforme sécurisée au redémarrage.

    2. Copiez Invoke-MbamClientDeployment.ps1dans< DeploymentShare>\Scripts. Si vous utilisez le pré-approvisionnement, copiez le SaveWinPETpmOwnerAuth.wsf fichier dans <DeploymentShare>\Scripts.

    3. Ajoutez l’application cliente MBAM 2.5 SP1 au nœud Applications dans le partage de déploiement.

      1. Sous le nœud Applications , cliquez sur Nouvelle application.

      2. Sélectionnez Application avec fichiers sources. Cliquez sur Suivant.

      3. Dans Nom de l’application, tapez « Client MBAM 2.5 SP1 ». Cliquez sur Suivant.

      4. Accédez au répertoire contenant MBAMClientSetup-<Version>.msi. Cliquez sur Suivant.

      5. Tapez « CLIENT MBAM 2.5 SP1 » comme répertoire à créer. Cliquez sur Suivant.

      6. Entrez msiexec /i MBAMClientSetup-<Version>.msi /quiet à la ligne de commande. Cliquez sur Suivant.

      7. Acceptez les valeurs par défaut restantes pour terminer l’Assistant Nouvelle application.

    4. Dans MDT, cliquez avec le bouton droit sur le nom du partage de déploiement, puis cliquez sur Propriétés. Cliquez sur l’onglet Règles . Ajoutez les lignes suivantes :

      SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

      Cliquez sur OK pour fermer la fenêtre.

    5. Sous le nœud Séquences de tâches, modifiez une séquence de tâches existante utilisée pour le déploiement Windows. Si vous le souhaitez, vous pouvez créer une séquence de tâches en cliquant avec le bouton droit sur le nœud Séquences de tâches, en sélectionnant Nouvelle séquence de tâches et en terminant l’Assistant.

      Sous l’onglet Séquence de tâches de la séquence de tâches sélectionnée, procédez comme suit :

      1. Sous le dossier Préinstaller , activez la tâche facultative Activer BitLocker (hors connexion) si vous souhaitez que BitLocker soit activé dans WinPE, qui chiffre uniquement l’espace utilisé.

      2. Pour conserver le TPM OwnerAuth lors de l’utilisation de l’approvisionnement préalable, ce qui permet à MBAM de le mettre sous séquestre ultérieurement, procédez comme suit :

        1. Rechercher l’étape Installer le système d’exploitation

        2. Ajouter une nouvelle étape Exécuter la ligne de commande après celle-ci

        3. Nommez l’étape Persist TPM OwnerAuth

        4. Définissez la ligne de commande sur cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"Remarque : Pour Windows 10 version 1607 ou ultérieure, seul Windows peut prendre possession du module de plateforme sécurisée. En outre, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du TPM .

      3. Dans le dossier Restauration de l’état , supprimez la tâche Activer BitLocker .

      4. Dans le dossier Restauration de l’état , sous Tâches personnalisées, créez une tâche Installer l’application et nommez-la Installer l’agent MBAM. Cliquez sur la case d’option Installer une application unique et accédez à l’application cliente MBAM 2.5 SP1 créée précédemment.

      5. Dans le dossier Restauration de l’état , sous Tâches personnalisées, créez une tâche Exécuter un script PowerShell (après l’étape de l’application cliente MBAM 2.5 SP1) avec les paramètres suivants (mettez à jour les paramètres en fonction de votre environnement) :

        • Nom : Configurer BitLocker pour MBAM

        • Script PowerShell : Invoke-MbamClientDeployment.ps1

        • Paramètres:

          -RecoveryServiceEndpoint

          Requis

          Point de terminaison du service de récupération MBAM

          -StatusReportingServiceEndpoint

          Facultatif

          Point de terminaison du service de création de rapports MBAM status

          -EncryptionMethod

          Facultatif

          Méthode de chiffrement (par défaut : AES 128)

          -EncryptAndEscrowDataVolume

          Commutateur

          Spécifier pour chiffrer le ou les volumes de données et la ou les clés de récupération de volume de données séquestre

          -WaitForEncryptionToComplete

          Commutateur

          Spécifier pour attendre la fin du chiffrement

          -DoNotResumeSuspendedEncryption

          Commutateur

          Spécifier que le script de déploiement ne reprendra pas le chiffrement suspendu

          -IgnoreEscrowOwnerAuthFailure

          Commutateur

          Spécifiez pour ignorer l’échec de l’authentification du propriétaire du module de plateforme sécurisée. Il doit être utilisé dans les scénarios où MBAM n’est pas en mesure de lire le TPM owner-auth, par exemple si l’approvisionnement automatique TPM est activé

          -IgnoreEscrowRecoveryKeyFailure

          Commutateur

          Spécifier pour ignorer l’échec de l’archivage de la clé de récupération du volume

          -IgnoreReportStatusFailure

          Commutateur

          Spécifiez pour ignorer status signalement de l’échec

Pour activer BitLocker à l’aide de MBAM 2.5 ou version antérieure dans le cadre d’un déploiement Windows

  1. Installez le client MBAM. Pour obtenir des instructions, consultez Guide pratique pour déployer le client MBAM à l’aide d’une ligne de commande.

  2. Joindre l’ordinateur à un domaine (recommandé).

    • Si l’ordinateur n’est pas joint à un domaine, le mot de passe de récupération n’est pas stocké dans le service de récupération de clés MBAM. Par défaut, MBAM n’autorise pas le chiffrement, sauf si la clé de récupération peut être stockée.

    • Si un ordinateur démarre en mode de récupération avant que la clé de récupération ne soit stockée sur le serveur MBAM, aucune méthode de récupération n’est disponible et l’ordinateur doit être réimagené.

  3. Ouvrez une invite de commandes en tant qu’administrateur et arrêtez le service MBAM.

  4. Définissez le service sur Manuel ou À la demande en tapant les commandes suivantes :

    net stop mbamagent

    sc config mbamagent start= demand

  5. Définissez les valeurs de Registre de sorte que le client MBAM ignore les paramètres stratégie de groupe et définit à la place le chiffrement pour démarrer l’heure à laquelle Windows est déployé sur cet ordinateur client.

    Attention Cette étape explique comment modifier le Registre Windows. L’utilisation incorrecte de l’Éditeur du Registre peut entraîner des problèmes sérieux qui peuvent vous obliger à réinstaller Windows. Nous ne pouvons pas garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre peuvent être résolus. Utilisez l’Éditeur du Registre à vos propres risques.

    1. Définissez le module de plateforme sécurisée pour le chiffrement du système d’exploitation uniquement, exécutez Regedit.exe, puis importez le modèle de clé de Registre à partir de C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. Dans Regedit.exe, accédez à HKLM\SOFTWARE\Microsoft\MBAM et configurez les paramètres répertoriés dans le tableau suivant.

      Note Vous pouvez définir des paramètres stratégie de groupe ou des valeurs de Registre associées à MBAM ici. Ces paramètres remplacent les valeurs précédemment définies.

      Entrée de Registre Paramètres de configuration

      DeploymentTime

      0 = Désactivé

      1 = Utiliser les paramètres de stratégie de temps de déploiement (par défaut) : utilisez ce paramètre pour activer le chiffrement au moment où Windows est déployé sur l’ordinateur client.

      UseKeyRecoveryService

      0 = Ne pas utiliser d’entiercement de clé (les deux entrées de Registre suivantes ne sont pas requises dans ce cas)

      1 = Utiliser l’entiercement de clé dans le système de récupération de clé (par défaut)

      Il s’agit du paramètre recommandé, qui permet à MBAM de stocker les clés de récupération. L’ordinateur doit être en mesure de communiquer avec le service de récupération de clé MBAM. Vérifiez que l’ordinateur peut communiquer avec le service avant de continuer.

      KeyRecoveryOptions

      0 = Charge la clé de récupération uniquement

      1 = Charge la clé de récupération et le package de récupération de clé (par défaut)

      KeyRecoveryServiceEndPoint

      Définissez cette valeur sur l’URL du serveur exécutant le service Récupération de clé, par exemple, http://< nom> de l’ordinateur/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Le client MBAM redémarre le système pendant le déploiement du client MBAM. Lorsque vous êtes prêt pour ce redémarrage, exécutez la commande suivante à une invite de commandes en tant qu’administrateur :

    net start mbamagent

  7. Lorsque les ordinateurs redémarrent et que le BIOS vous invite, acceptez la modification du module TPM.

  8. Pendant le processus de création d’images du système d’exploitation client Windows, lorsque vous êtes prêt à démarrer le chiffrement, ouvrez une invite de commandes en tant qu’administrateur, puis tapez les commandes suivantes pour définir le démarrage sur Automatique et redémarrer l’agent client MBAM :

    sc config mbamagent start= auto

    net start mbamagent

  9. Pour supprimer les valeurs de registre de contournement, exécutez Regedit.exe, puis accédez à l’entrée de Registre HKLM\SOFTWARE\Microsoft. Cliquez avec le bouton droit sur le nœud MBAM , puis cliquez sur Supprimer.

Déploiement du client MBAM 2.5

Planification du déploiement de clients MBAM 2.5

Vous avez une suggestion pour MBAM ?