Créer et vérifier un certificat d’agent de récupération de données de système de fichiers EFS

Remarque

À compter de juillet 2022, Microsoft déprécie Windows Information Protection (WIP). Microsoft continuera à prendre en charge WIP sur les versions prises en charge de Windows. Les nouvelles versions de Windows n’incluront pas de nouvelles fonctionnalités pour WIP et ne seront pas prises en charge dans les futures versions de Windows. Pour plus d’informations, consultez Annonce de l’extinction de Windows Information Protection.

Pour vos besoins en matière de protection des données, Microsoft vous recommande d’utiliser Protection des données Microsoft Purview et Protection contre la perte de données Microsoft Purview. Purview simplifie la configuration et fournit un ensemble avancé de fonctionnalités.

S’applique à :

• Windows 10
• Windows 11

Si vous n’avez pas encore de certificat DRA EFS, vous devez en créer un et en extraire un à partir de votre système avant de pouvoir utiliser Windows Information Protection (WIP), anciennement appelé protection des données d’entreprise (EDP), dans votre organization. Pour les besoins de cette section, nous allons utiliser le nom de fichier EFSDRA ; Toutefois, ce nom peut être remplacé par tout ce qui a du sens pour vous.

Important

Si vous possédez déjà un certificat d'agent de récupération de données de système de fichiers EFS pour votre organisation, vous pouvez ignorer l'étape de création. Utilisez simplement votre certificat d’agent de récupération de données de système de fichiers EFS actuel dans votre stratégie. Pour plus d’informations sur l’opportunité d’utiliser une infrastructure à clé publique et sur la stratégie générale que vous devez utiliser pour déployer des certificats d’agent de récupération de données, voir l’article Surveillance de la sécurité Déploiement d’EFS : Partie 1 sur TechNet. Pour obtenir des informations plus générales sur la protection des systèmes de fichiers EFS, voir Protection des données avec le système EFS.

Si votre certificat DRA a expiré, vous ne pourrez pas chiffrer vos fichiers avec celui-ci. Pour résoudre ce problème, vous devez créer un certificat en suivant les étapes de cette rubrique, puis le déployer via la stratégie.

Créer manuellement un certificat DRA EFS

1. Sur un ordinateur sans certificat d’agent de récupération de données de système de fichiers EFS installé, ouvrez une invite de commandes avec élévation de privilèges, puis accédez à l’emplacement où vous voulez stocker le certificat.

2. Exécutez la commande suivante :

   cipher /r:EFSRA
   

   Où EFSRA est le nom des .cer fichiers et .pfx que vous souhaitez créer.

3. Lorsque vous y êtes invité, tapez puis confirmez un mot de passe pour vous aider à protéger votre nouveau fichier d’échange d’informations personnelles (.pfx).

   Les fichiers EFSDRA.cer et EFSDRA.pfx sont créés à l'emplacement spécifié à l'étape 1.

   Important

   Étant donné que les clés privées dans vos fichiers .pfx d'agent de récupération de données peuvent être utilisées pour déchiffrer tout fichier WIP, vous devez les protéger en conséquence. Nous vous recommandons vivement de stocker ces fichiers hors connexion, de conserver des copies sur une carte à puce avec protection renforcée pour une utilisation normale, et des copies principales dans un emplacement physique sécurisé.

4. Ajoutez votre certificat DRA EFS à votre stratégie WIP à l’aide d’un outil de déploiement, tel que Microsoft Intune ou Microsoft Configuration Manager.

   Remarque

   Ce certificat peut être utilisé dans Intune pour les stratégies avec inscription d’appareil (GPM) et sans inscription d’appareil (GAM).

Vérifiez que votre certificat de récupération de données est correctement configuré sur un ordinateur client WIP

1. Recherchez ou créez un fichier chiffré à l’aide de la Protection des informations Windows. Par exemple, vous pouvez ouvrir une application dans votre liste d’applications autorisées, puis créer et enregistrer un fichier afin qu’il soit chiffré par WIP.

2. Ouvrez une application dans votre liste d’applications protégées, puis créez et enregistrez un fichier afin qu’il soit chiffré par WIP.

3. Ouvrez une invite de commandes avec élévation de privilèges, accédez à l’emplacement où vous avez enregistré le fichier que vous venez de créer, puis exécutez la commande suivante :

   cipher /c filename
   

   Où filename est le nom du fichier que vous avez créé à l’étape 1.

4. Assurez-vous que votre certificat d’agent de récupération de données est répertorié dans la liste Certificats de récupération.

Récupérer vos données à l’aide du certificat DRA EFS dans un environnement de test

1. Copiez vos fichiers chiffrés WIP vers un emplacement où vous avez un accès administrateur.

2. Installez le fichier EFSDRA.pfx, à l’aide de son mot de passe.

3. Ouvrez une invite de commandes avec élévation de privilèges, accédez au fichier chiffré, puis exécutez la commande suivante :

   cipher /d encryptedfile.extension
   

   Où encryptedfile.extension est le nom de votre fichier chiffré. Exemple : corporatedata.docx.

Récupérer une protection WIP après la désinscrip

Il est possible que vous révoquiez les données d’un appareil dont l’inscription a été supprimée pour les restaurer dans leur intégralité ultérieurement. Cela peut se produire dans le cas du retour d’un appareil manquant ou de la réinscription d’un employé. Si l’employé s’inscrit à nouveau à l’aide du profil utilisateur d’origine et que le magasin de clés révoqué est toujours sur l’appareil, toutes les données révoquées peuvent être restaurées en même temps.

Important

Pour garder le contrôle sur vos données d'entreprise et être en mesure de procéder à de nouvelles révocations à l'avenir, vous devez uniquement effectuer ce processus une fois que l'employé a réinscrit l'appareil.

1. Demandez à l’employé de se connecter à l’appareil non inscrit, d’ouvrir une invite de commandes avec élévation de privilèges et de taper :

   Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW
   

   Où « new_location » se trouve dans un autre répertoire. Il peut s’agir de l’appareil de l’employé ou d’un dossier partagé sur un ordinateur qui s’exécute Windows 8 ou Windows Server 2012 ou plus récent et est accessible lorsque vous êtes connecté en tant qu’agent de récupération de données.

   Pour démarrer Robocopy en mode S, ouvrez le Gestionnaire des tâches. Cliquez sur Fichier>Exécuter une nouvelle tâche, tapez la commande , puis cliquez sur Créer cette tâche avec des privilèges d’administration.

   

   Si l’employé a effectué une installation propre et qu’il n’existe aucun profil utilisateur, vous devez récupérer les clés à partir du dossier Volume système de chaque lecteur. Tapez :

   Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW
   

2. Connectez-vous à un autre appareil avec des informations d’identification d’administrateur qui permettent d’accéder à un certificat d’agent de récupération de données de votre organisation. Récupérez et déchiffrez les fichiers en tapant :

   cipher.exe /D "new_location"
   

3. Demandez à votre employé de se connecter à l’appareil dont l’inscription a été supprimée, et de taper :

   Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"
   

4. Demandez à l’employé de verrouiller et de déverrouiller l’appareil.

   Le service d’informations d’identification Windows récupère automatiquement les clés précédemment révoquées de l’employé à partir de l’emplacement Recovery\Input .

Récupération automatique des clés de chiffrement

À partir de Windows 10, version 1709, WIP inclut une fonctionnalité de récupération de données qui permet à vos employés d’accéder à la récupération automatique des fichiers de travail, en cas de perte de la clé de chiffrement et si les fichiers ne sont plus accessibles. Cela se produit généralement si un employé réinitialise la partition du système d’exploitation, supprimant ainsi les informations de clé WIP, ou si un appareil est signalé comme perdu et que vous ciblez par inadvertance un mauvais appareil pour la désinscription.

Pour s’assurer que les employés peuvent toujours accéder aux fichiers, WIP crée une clé de récupération automatique sauvegardée dans leur identité Microsoft Entra.

L’expérience de l’employé est basée sur la connexion à l’aide d’un compte professionnel Microsoft Entra ID. L’employé peut :

• Ajoutez un compte professionnel via le menu Paramètres Windows Comptes >> Accès professionnel ou scolaire.>

  -OU-

• Ouvrez Paramètres > Windows Comptes > Accès professionnel ou scolaire > Connectez-vous et choisissez le lien Joindre cet appareil à Microsoft Entra ID, sous Autres actions.

  Remarque

  Pour effectuer une Microsoft Entra jonction de domaine à partir de la page Paramètres, l’employé doit disposer de privilèges d’administrateur sur l’appareil.

Après la connexion, les informations de clé WIP nécessaires sont automatiquement téléchargées et les employés peuvent accéder aux fichiers à nouveau.

Pour tester ce que voit l’employé pendant le processus de récupération de clé WIP

1. Essayez d’ouvrir un fichier de travail sur un appareil désinscrit.

   La boîte de dialogue Se connecter à l'entreprise pour accéder aux fichiers de travail s’affiche.

2. Cliquez sur Se connecter.

   La page Paramètres d'accès Professionnel ou Scolaire s’affiche.

3. Connectez-vous à Microsoft Entra ID en tant qu’employé et vérifiez que les fichiers sont désormais ouverts

Rubriques connexes

• Surveillance de la sécurité Déploiement d'EFS : Partie 1

• Protection des données avec le système EFS

• Créer une stratégie Protection des informations Windows (WIP) à l'aide de Microsoft Intune

• Créer une stratégie Windows Information Protection (WIP) à l’aide de Microsoft Configuration Manager

• Création d’un agent de récupération basé sur un domaine