Activation de BitLocker à l'aide de MBAM dans le cadre d'un déploiement de Windows
Mis à jour: août 2015
S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Cette rubrique explique comment activer BitLocker sur l'ordinateur d'un utilisateur final à l'aide de MBAM dans le cadre de votre processus de création d'image et de déploiement de Windows.
Conditions préalables :
Un processus de déploiement d'image Windows existant : Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager ou autre processus ou outil de création d'image doit être en place.
Le Module de plateforme sécurisée doit être activé dans le BIOS et être visible par le système d'exploitation.
L'infrastructure de serveur MBAM doit être en place et accessible.
La partition système requise par BitLocker doit être créée.
L'ordinateur doit être joint au domaine pendant la création d'image avant que MBAM n'active entièrement BitLocker.
Pour activer BitLocker à l'aide de MBAM 2.5 SP1 dans le cadre d'un déploiement de Windows
Dans MBAM 2.5 SP1, nous vous recommandons d'activer BitLocker lors d'un déploiement de Windows à l'aide du script PowerShell
Invoke-MbamClientDeployment.ps1
.Le script
Invoke-MbamClientDeployment.ps1
active BitLocker pendant le processus de création d'image. Lorsque la stratégie BitLocker l'exige, l'agent MBAM invite immédiatement l'utilisateur de domaine à créer un code confidentiel ou un mot de passe quand l'utilisateur du domaine se connecte pour la première fois après la création d'image.Processus de création d'image autonome, facile à utiliser avec MDT ou System Center Configuration Manager
Compatible avec PowerShell 2.0 ou version ultérieure
Chiffrer le volume du système d'exploitation avec le protecteur de clé de module de plateforme sécurisée
Prendre totalement en charge le pré-approvisionnement BitLocker
Chiffrer éventuellement les lecteurs de données fixes
Déposer le mot de passe d'authentification du propriétaire du module de plateforme sécurisée (TPM), même sur Windows 8 ou version ultérieure (MBAM doit toujours être propriétaire du TPM sur Windows 7 pour que le dépôt ait lieu)
Déposer des clés de récupération et des packages de clés de récupération
Signaler immédiatement l'état de chiffrement
Nouveaux fournisseurs WMI
Journalisation détaillée
Gestion des erreurs robuste
Vous pouvez télécharger le script
Invoke-MbamClientDeployment.ps1
à partir du Centre de téléchargement Microsoft.com. Voici le script principal que votre système de déploiement appellera pour configurer le chiffrement de lecteur BitLocker et enregistrer les clés de récupération auprès du serveur MBAM.Méthodes de déploiement de WMI pour MBAM : Les méthodes WMI suivantes ont été ajoutées dans MBAM 2.5 SP1 pour prendre en charge l'activation de BitLocker à l'aide du script PowerShell
Invoke-MbamClientDeployment.ps1
.Classe WMI MBAM_Machine
PrepareTpmAndEscrowOwnerAuth : lit le mot de passe d'authentification du propriétaire de module de plateforme sécurisée (TPM) et l'envoie à la base de données de récupération MBAM à l'aide du service de récupération MBAM. Si le TPM n'a pas de propriétaire et que l'approvisionnement automatique n'est pas activé, il génère un mot de passe d'authentification du propriétaire de TPM et prend possession. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.Paramètre Description RecoveryServiceEndPoint
Chaîne spécifiant le point de terminaison de service de récupération MBAM.
Valeurs de retour courantes Message d'erreur S_OK
0 (0x0)
La méthode a réussi
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)
Le module de plateforme sécurisée n'est pas présent sur l'ordinateur ou il est désactivé dans la configuration du BIOS.
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)
Le module de plateforme sécurisée n'est pas dans l'état correct (activé, activé et installation propriétaire autorisée).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)
MBAM ne peut prendre possession du module de plateforme sécurisée, car l'approvisionnement automatique est en attente. Réessayez une fois l'approvisionnement automatique terminé.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)
MBAM ne peut pas lire la valeur d'autorisation de propriétaire de TPM. La valeur a peut-être été supprimée après un dépôt réussi. Sur Windows 7, MBAM ne peut pas lire la valeur si d'autres utilisateurs sont propriétaires du TPM.
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)
Vous devez redémarrer l'ordinateur pour configurer le module de plateforme sécurisée à l'état correct. Vous devrez peut-être redémarrer manuellement l'ordinateur.
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)
Vous devez arrêter puis redémarrer l'ordinateur pour configurer le module de plateforme sécurisée à l'état correct. Vous devrez peut-être redémarrer manuellement l'ordinateur.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
L'accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Le point de terminaison distant n'existe pas ou est introuvable.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Le point de terminaison distant n'a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Le point de terminaison distant n'est pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».
ReportStatus : lit l'état de conformité du volume et l'envoie à la base de données d'état de conformité MBAM à l'aide du service de création de rapports d'état MBAM. L'état inclut le niveau de chiffrement, le type de protecteur, l'état du protecteur et l'état du chiffrement. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.
Paramètre Description ReportingServiceEndPoint
Chaîne spécifiant le point de terminaison de service de création de rapports d'état MBAM.
Valeurs de retour courantes Message d'erreur S_OK
0 (0x0)
La méthode a réussi
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
L'accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Le point de terminaison distant n'existe pas ou est introuvable.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Le point de terminaison distant n'a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Le point de terminaison distant n'est pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».
Classe WMI MBAM_Volume
EscrowRecoveryKey : lit le mot de passe numérique de récupération et le package de clés du volume et les envoie à la base de données de récupération MBAM à l'aide du service de récupération MBAM. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.Paramètre Description RecoveryServiceEndPoint
Chaîne spécifiant le point de terminaison de service de récupération MBAM.
Valeurs de retour courantes Message d'erreur S_OK
0 (0x0)
La méthode a réussi
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
Le volume est verrouillé.
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)
Impossible de trouver un protecteur de mot de passe numérique pour le volume.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
L'accès a été refusé par le point de terminaison distant.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
Le point de terminaison distant n'existe pas ou est introuvable.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
Le point de terminaison distant n'a pas pu traiter la demande.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
Le point de terminaison distant n'est pas accessible.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».
Déployer MBAM à l'aide de Microsoft Deployment Toolkit (MDT) et PowerShell
Dans MDT, créez un partage de déploiement ou ouvrez un partage de déploiement existant.
Notes
Vous pouvez utiliser le script PowerShell
Invoke-MbamClientDeployment.ps1
avec n'importe quel processus ou outil de création d'image. Cette section montre comment l'intégrer à l'aide de MDT, mais les étapes sont semblables à l'intégration avec tout autre processus ou outil.Avertissement
Si vous utilisez le pré-approvisionnement BitLocker (WinPE) et que vous souhaitez conserver la valeur d'autorisation du propriétaire de TPM, vous devez ajouter le script
SaveWinPETpmOwnerAuth.wsf
dans WinPE juste avant que l'installation redémarre dans le système d'exploitation complet. Si vous n'utilisez pas ce script, vous perdrez la valeur d'autorisation du propriétaire de TPM au redémarrage.Copiez
Invoke-MbamClientDeployment.ps1
dans <DeploymentShare>\Scripts. Si vous utilisez le pré-approvisionnement, copiez le fichierSaveWinPETpmOwnerAuth.wsf
dans <DeploymentShare>\Scripts.Ajoutez l'application cliente MBAM 2.5 SP1 au nœud Applications dans le partage de déploiement.
Sous le nœud Applications, cliquez sur Nouvelle application.
Sélectionnez Application avec fichiers sources. Cliquez sur Suivant.
Dans Nom de l'application, tapez « Client MBAM 2.5 SP1 ». Cliquez sur Suivant.
Accédez au répertoire qui contient
MBAMClientSetup-<Version>.msi
. Cliquez sur Suivant.Tapez « Client MBAM 2.5 SP1 » comme répertoire à créer. Cliquez sur Suivant.
Entrez
msiexec /i MBAMClientSetup-<Version>.msi /quiet
sur la ligne de commande. Cliquez sur Suivant.Acceptez les valeurs par défaut restantes pour terminer l'Assistant Nouvelle application.
Dans MDT, cliquez avec le bouton droit sur le nom du partage de déploiement, puis cliquez sur Properties. Cliquez sur l'onglet Rules. Ajoutez les lignes suivantes :
SkipBitLocker=YES
BDEInstall=TPM
BDEInstallSuppress=NO
BDEWaitForEncryption=YES
Cliquez sur OK pour fermer la fenêtre.
Sous le nœud Séquences de tâches, modifiez une séquence de tâches existante utilisée pour le déploiement de Windows. Si vous le souhaitez, vous pouvez créer une nouvelle séquence de tâches en cliquant avec le bouton droit sur le nœud Séquences de tâches, en sélectionnant Nouvelle séquence de tâches et en terminant l'Assistant.
Sous l'onglet Séquence de tâches de la séquence de tâches sélectionnée, procédez comme suit :
Sous le dossier Préinstallation, activez la tâche facultative Activer BitLocker (hors connexion) si vous souhaitez que BitLocker soit activé dans WinPE, qui chiffre uniquement l'espace disque utilisé.
Pour conserver le mot de passe d'authentification du propriétaire de module de plateforme sécurisée lors de l'utilisation du pré-approvisionnement, ce qui permet à MBAM de le déposer ultérieurement, procédez comme suit :
Recherchez l'étape Installation du système d'exploitation.
Ajoutez une nouvelle étape Exécuter la ligne de commande juste après.
Nommez l'étape Conserver le mot de passe d'authentification du propriétaire de TPM.
Définissez la ligne de commande sur
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"
.
Dans le dossier Restauration de l'état, supprimez la tâche Activer BitLocker.
Dans le dossier Restauration de l'état sous Tâches personnalisées, créez une tâche Installation d'application et nommez-la Installation de l'Agent MBAM. Cliquez sur la case d'option Installer une seule application, puis accédez à l'application cliente MBAM 2.5 SP1 créée précédemment.
Dans le dossier Restauration de l'état sous Tâches personnalisées, créez une tâche Exécuter le script PowerShell (après l'étape Application cliente MBAM 2.5 SP1) avec les paramètres suivants (mettez à jour les paramètres en fonction de votre environnement) :
Nom : Configurer BitLocker pour MBAM
Script PowerShell :
Invoke-MbamClientDeployment.ps1
Paramètres :
-RecoveryServiceEndpoint
Obligatoire
Point de terminaison de service de récupération MBAM
-StatusReportingServiceEndpoint
Facultatif
Point de terminaison de service de création de rapport d'état MBAM
-EncryptionMethod
Facultatif
Méthode de chiffrement (par défaut : AES 128)
-EncryptAndEscrowDataVolume
Commutateur
Spécifier pour chiffrer les volumes de données et déposer les clés de récupération de volumes de données
-WaitForEncryptionToComplete
Commutateur
Spécifier pour attendre la fin du chiffrement
-DoNotResumeSuspendedEncryption
Commutateur
Spécifier que le script de déploiement ne reprendra pas le chiffrement suspendu
-IgnoreEscrowOwnerAuthFailure
Commutateur
Spécifier pour ignorer l'échec du dépôt d'authentification du propriétaire du module de plateforme sécurisée. Doit être utilisé dans les scénarios où MBAM ne peut pas lire l'authentification du propriétaire du module de plateforme sécurisée, par exemple si l'approvisionnement automatique du module de plateforme sécurisée est activé.
-IgnoreEscrowRecoveryKeyFailure
Commutateur
Spécifier pour ignorer l'échec de dépôt de clé de récupération de volume
-IgnoreReportStatusFailure
Commutateur
Spécifier pour ignorer l'échec de création de rapport d'état
Pour activer BitLocker à l'aide de MBAM 2.5 ou version antérieure dans le cadre d'un déploiement de Windows
Installez le client MBAM. Pour obtenir des instructions, consultez Déploiement du client MBAM à l'aide d'une ligne de commande.
Joignez l'ordinateur à un domaine (recommandé).
Si l'ordinateur n'est pas joint à un domaine, le mot de passe de récupération n'est pas stocké dans le service de récupération de clé MBAM. Par défaut, MBAM ne permet pas l'exécution du chiffrement sauf si la clé de récupération peut être stockée.
Si un ordinateur démarre en mode de récupération avant que la clé de récupération ne soit stockée sur le serveur MBAM, aucune méthode de récupération n'est disponible et l'ordinateur doit être reconfiguré.
Ouvrez une invite de commandes en tant qu'administrateur et arrêtez le service MBAM.
Affectez au service la valeur Manuel ou À la demande en tapant les commandes suivantes :
net stop mbamagent
sc config mbamagent start= demand
Définissez les valeurs de Registre afin que le client MBAM ignore les paramètres de stratégie de groupe et définisse à la place le lancement du chiffrement au moment du déploiement de Windows sur cet ordinateur client.
Avertissement
Cette étape décrit comment modifier le Registre Windows. Une utilisation incorrecte de l'Éditeur du Registre peut provoquer des problèmes sérieux pouvant vous obliger à réinstaller Windows. Nous ne pouvons pas garantir que les problèmes résultant d'une utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.
Affectez au module de plateforme sécurisée le paramètre Chiffrement uniquement du système d'exploitation, exécutez Regedit.exe, puis importez le modèle de clé de Registre à partir de C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
Dans Regedit.exe, accédez à HKLM\SOFTWARE\Microsoft\MBAM, puis configurez les paramètres répertoriés dans le tableau suivant.
Notes
Vous pouvez définir les paramètres de stratégie de groupe ou les valeurs de Registre associés à MBAM ici. Ces paramètres remplacent les valeurs précédemment définies.
Entrée de Registre Paramètres de configuration DeploymentTime
0 = Désactivé
1 = Utiliser les paramètres de stratégie de temps du déploiement (par défaut) : utilisez ce paramètre pour activer le chiffrement au moment du déploiement de Windows sur l'ordinateur client.
UseKeyRecoveryService
0 = Ne pas utiliser le dépôt de clé (les deux entrées de Registre suivantes ne sont pas requises dans ce cas)
1 = Utiliser le dépôt de clé dans le système de récupération de clé (par défaut)
Il s'agit du paramètre recommandé, qui permet à MBAM de stocker les clés de récupération. L'ordinateur doit être en mesure de communiquer avec le service de récupération de clé MBAM. Vérifiez que l'ordinateur peut communiquer avec ce service avant de continuer.
KeyRecoveryOptions
0 = Télécharge uniquement la clé de récupération
1 = Télécharge la clé de récupération et le package de récupération de clé (par défaut)
KeyRecoveryServiceEndPoint
Définissez cette valeur sur l'URL du serveur exécutant le service de récupération de clé, par exemple, http://<nom_ordinateur>/MBAMRecoveryAndHardwareService/CoreService.svc.
Le client MBAM redémarre le système lors du déploiement du client MBAM. Lorsque vous êtes prêt pour ce redémarrage, exécutez la commande suivante dans une invite de commandes en tant qu'administrateur :
net start mbamagent
Lorsque l'ordinateur redémarre et que le BIOS vous invite à accepter une modification du module de plateforme sécurisée, acceptez cette modification.
Au cours du processus de création d'images du système d'exploitation client Windows, lorsque vous êtes prêt à lancer le chiffrement, ouvrez une invite de commandes en tant qu'administrateur et tapez les commandes suivantes pour définir le démarrage sur Automatique et pour redémarrer l'agent du client MBAM :
sc config mbamagent start= auto
net start mbamagent
Pour supprimer les valeurs de Registre de dérivation, exécutez Regedit.exe, puis accédez à l'entrée de Registre HKLM\SOFTWARE\Microsoft. Cliquez avec le bouton droit sur le nœud MBAM, puis cliquez sur Supprimer.
Vous avez une suggestion pour MBAM ? Ajoutez des suggestions ou votez pour les meilleures ici.
Vous rencontrez un problème avec MBAM ? Utilisez le Forum TechNet MBAM.
Voir aussi
Concepts
Planification du déploiement de clients MBAM 2.5