Définition de l’algorithme de chiffrement BitLocker pour les appareils Autopilot
BitLocker chiffre automatiquement les lecteurs internes pendant l’expérience OOBE (Out of Box Experience) pour les appareils qui prennent en charge la veille moderne ou qui répondent à la spécification de testabilité de sécurité matérielle (HSTI). Par défaut, BitLocker utilise l’espace XTS-AES 128 bits utilisé uniquement pour le chiffrement automatique.
Avec Windows Autopilot, vous pouvez configurer les paramètres de chiffrement BitLocker à appliquer avant le démarrage du chiffrement automatique. Cette configuration garantit que l’algorithme ou le type de chiffrement par défaut n’est pas appliqué automatiquement. Un appareil qui reçoit ces paramètres après le chiffrement automatiquement doit être déchiffré avant de modifier l’algorithme de chiffrement.
Algorithme de chiffrement
L’algorithme de chiffrement BitLocker est utilisé lorsque BitLocker est activé pour la première fois. Pendant Autopilot, BitLocker est activé après la partie configuration de l’appareil de la page de status d’inscription. Les algorithmes de chiffrement suivants sont disponibles :
- AES-CBC 128 bits
- AES-CBC 256 bits
- XTS-AES 128 bits (par défaut)
- XTS AES 256 bits
Pour plus d’informations sur les algorithmes de chiffrement recommandés à utiliser, consultez BitLocker CSP.
Pour vous assurer que l’algorithme de chiffrement BitLocker souhaité est défini avant que le chiffrement automatique ne se produise pour les appareils Autopilot :
Configurez les paramètres de méthode de chiffrement dans la stratégie de chiffrement de disque Endpoint Security. Les paramètres sont disponibles sousChiffrement> du disque de sécurité> du point de terminaisonCréer uneplateforme de stratégie > = Windows 10 et versions ultérieures, Type de profil = BitLocker.
Affectez la stratégie à votre groupe d’appareils Autopilot. La stratégie de chiffrement doit être affectée aux appareils du groupe, et non aux utilisateurs.
Activez la page de status d’inscription Autopilot pour ces appareils. Si vous n’activez pas cette fonctionnalité, la stratégie ne s’applique pas avant le démarrage du chiffrement.
Chiffrement de disque complet ou d’espace utilisé uniquement
Il existe deux types de chiffrement : disque complet ou espace utilisé uniquement. Le type de chiffrement est automatiquement déterminé par la configuration de l’activation sans assistance et la prise en charge matérielle de la veille moderne. Vous pouvez l’appliquer en configurant le paramètre SystemDrivesEncryptionType . Comme l’algorithme de chiffrement, le type de chiffrement est utilisé lorsque BitLocker est activé pour la première fois. Pour plus d’informations sur le comportement de type de chiffrement attendu, consultez Gérer la stratégie BitLocker.
Pour appliquer le type de chiffrement de lecteur utilisé :
Configurez le paramètre Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation dans le catalogue de paramètres. Ce paramètre est disponible dans la catégorie Modèles > d’administration Composants > Windows Lecteurs du système d’exploitation chiffrement > de lecteur BitLocker à partir du sélecteur de paramètres.
Affectez la stratégie à votre groupe d’appareils Autopilot. La stratégie de chiffrement doit être affectée aux appareils du groupe, et non aux utilisateurs.
Activez la page de status d’inscription Autopilot pour ces appareils. Si vous n’activez pas cette fonctionnalité, la stratégie ne s’applique pas avant le démarrage du chiffrement.
Configuration requise
Version prise en charge de Windows.
Prochaines étapes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour