New-CMBMSOSDEncryptionPolicy
Créez une stratégie pour gérer s’il faut chiffrer le lecteur du système d’exploitation avec BitLocker.
Syntaxe
New-CMBMSOSDEncryptionPolicy
[-PolicyState <State>]
[-RequireTpm]
[-MinimumPinLength <UInt32>]
[-Protector <TpmProtector>]
[-DisableWildcardHandling]
[-ForceWildcardHandling]
[<CommonParameters>] Description
Utilisez cette applet de commande pour créer une stratégie afin de déterminer s’il faut chiffrer le lecteur du système d’exploitation avec BitLocker.
Si vous souhaitez utiliser BitLocker sur un ordinateur sans module de plateforme sécurisée (TPM), n’utilisez pas le paramètre -RequireTpm . Dans ce mode, BitLocker nécessite un mot de passe au démarrage de l’appareil. Si vous oubliez le mot de passe, utilisez une option de récupération BitLocker pour accéder au lecteur.
Sur un ordinateur doté d’un module TPM compatible, BitLocker peut utiliser deux méthodes d’authentification au démarrage de l’appareil. Ce comportement offre une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l’authentification, ou il peut également exiger l’entrée d’un numéro d’identification personnel (PIN).
Conseil
Pour plus de sécurité, lorsque vous activez des appareils avec TPM + protecteur de code confidentiel, envisagez de désactiver les paramètres de stratégie de groupe suivants dansParamètres de veillede la gestion de> l’alimentation système> :
Autoriser les états de secours (S1-S3) en mode veille (branché)
Autoriser les états de secours (S1-S3) en mode veille (sur batterie)
Exemples
Exemple 1 : Créer une stratégie qui nécessite un module de plateforme sécurisée (TPM) avec code confidentiel
Cet exemple crée une stratégie activée avec les attributs suivants :
- Nécessite un module de plateforme sécurisée (TPM)
- Exiger un code confidentiel avec le module de plateforme sécurisée
- Le code confidentiel doit être d’au moins 16 numéros
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPinExemple 2 : Créer une stratégie pour le module de plateforme sécurisée uniquement
Cet exemple crée une stratégie qui est activée et nécessite uniquement un module TPM.
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnlyParamètres
-DisableWildcardHandling
Ce paramètre traite les caractères génériques comme des valeurs de caractère littéral. Vous ne pouvez pas la combiner avec ForceWildcardHandling.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-ForceWildcardHandling
Ce paramètre traite les caractères génériques et peut entraîner un comportement inattendu (non recommandé). Vous ne pouvez pas la combiner avec DisableWildcardHandling.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-MinimumPinLength
Si vous avez besoin d’un code confidentiel, cette valeur est la longueur la plus courte que l’utilisateur peut spécifier. L’utilisateur entre ce code confidentiel lorsque l’ordinateur démarre pour déverrouiller le lecteur. Par défaut, la longueur minimale du code confidentiel est 4. Définissez une valeur de à 420.
| Type: | UInt32 |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-PolicyState
Utilisez ce paramètre pour configurer la stratégie.
Enabled: si vous activez cette stratégie, l’utilisateur doit placer le lecteur du système d’exploitation sous la protection BitLocker, et il chiffre le lecteur.Disabled: si vous désactivez cette stratégie, l’utilisateur ne peut pas placer le lecteur du système d’exploitation sous la protection BitLocker. Si vous appliquez cette stratégie après le chiffrement du lecteur du système d’exploitation, BitLocker déchiffre le lecteur.NotConfigured: si vous ne configurez pas cette stratégie, BitLocker n’est pas requis sur le lecteur du système d’exploitation.
| Type: | State |
| Valeurs acceptées: | Enabled, Disabled, NotConfigured |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-Protector
Utilisez ce paramètre pour spécifier un protecteur pour le lecteur de système d’exploitation :
TpmOnly: utiliser uniquement le module de plateforme sécurisée comme protecteurTpmAndPin: utiliser un code confidentiel avec le module de plateforme sécurisée (TPM)
| Type: | TpmProtector |
| Valeurs acceptées: | TpmOnly, TpmAndPin |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-RequireTpm
Ajoutez ce paramètre pour configurer la stratégie afin d’exiger que l’appareil dispose d’un module de plateforme sécurisée compatible.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
Entrées
None
Sorties
Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject
Liens associés
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour