Planifier la gestion du cycle de vie
S’applique à : Configuration Manager (branche actuelle)
Utilisez Configuration Manager pour gérer le chiffrement de lecteur BitLocker (BDE) pour les clients Windows locaux, qui sont joints à Active Directory. Il fournit une gestion complète du cycle de vie BitLocker qui peut remplacer l’utilisation de Microsoft BitLocker Administration and Monitoring (MBAM).
Remarque
Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.
Pour plus d’informations générales sur BitLocker, consultez Vue d’ensemble de BitLocker. Pour une comparaison des déploiements et des exigences BitLocker, consultez le graphique de comparaison des déploiements BitLocker.
Conseil
Pour gérer le chiffrement sur des appareils Windows 10 ou ultérieurs cogérés à l’aide du service cloud Microsoft Intune, basculez la charge de travail Endpoint Protection sur Intune. Pour plus d’informations sur l’utilisation de Intune, consultez Chiffrement Windows.
Fonctionnalités
Configuration Manager fournit les fonctionnalités de gestion suivantes pour le chiffrement de lecteur BitLocker :
Déploiement du client
Déployez le client BitLocker sur des appareils Windows gérés exécutant Windows 8.1, Windows 10 ou Windows 11.
Gérer les stratégies BitLocker et les clés de récupération d’entiercement pour les clients locaux et Basés sur Internet
Gérer les stratégies de chiffrement
Par exemple : choisissez le chiffrement de lecteur et la force de chiffrement, configurez la stratégie d’exemption utilisateur, les paramètres de chiffrement de lecteur de données fixes.
Déterminez les algorithmes avec lesquels chiffrer l’appareil et les disques que vous ciblez pour le chiffrement.
Forcer les utilisateurs à se conformer aux nouvelles stratégies de sécurité avant d’utiliser l’appareil.
Personnalisez le profil de sécurité de votre organization par appareil.
Lorsqu’un utilisateur déverrouille le lecteur du système d’exploitation, spécifiez s’il faut déverrouiller uniquement un lecteur de système d’exploitation ou tous les lecteurs attachés.
Rapports de conformité
Rapports intégrés pour :
- Chiffrement status par volume ou par appareil
- L’utilisateur principal de l’appareil
- État de conformité
- Raisons de la non-conformité
Site web d’administration et de surveillance
Autorisez d’autres personnages dans votre organization en dehors de la console Configuration Manager pour faciliter la récupération des clés, y compris la rotation des clés et d’autres prises en charge liées à BitLocker. Par exemple, les administrateurs du support technique peuvent aider les utilisateurs à récupérer la clé.
Conseil
À compter de la version 2107, vous pouvez également obtenir des clés de récupération BitLocker pour un appareil attaché au locataire à partir du centre d’administration Microsoft Intune. Pour plus d’informations, consultez Attachement de locataire : clés de récupération BitLocker.
Portail libre-service utilisateur
Permettre aux utilisateurs de s’aider eux-mêmes avec une clé à usage unique pour déverrouiller un appareil chiffré BitLocker. Une fois cette clé utilisée, elle génère une nouvelle clé pour l’appareil.
Configuration requise
Conditions préalables générales
Pour créer une stratégie de gestion BitLocker, vous avez besoin du rôle Administrateur complet dans Configuration Manager.
Pour utiliser les rapports de gestion BitLocker, installez le rôle de système de site point reporting Services. Pour plus d’informations, consultez Configurer la création de rapports.
Remarque
Pour que le rapport d’audit de récupération fonctionne à partir du site web d’administration et de surveillance, utilisez uniquement un point Reporting Services sur le site principal.
Prérequis pour les clients
L’appareil nécessite une puce TPM activée dans le BIOS et réinitialisable à partir de Windows.
Microsoft recommande les appareils avec TPM version 2.0 ou ultérieure. Les appareils avec TPM version 1.2 peuvent ne pas prendre correctement en charge toutes les fonctionnalités BitLocker.
Le disque dur de l’ordinateur nécessite un BIOS compatible avec le module TPM et prenant en charge les périphériques USB au démarrage de l’ordinateur.
Remarque
Le chargement du hachage de mot de passe TPM concerne principalement les versions de Windows avant Windows 10. Windows 10 ou version ultérieure par défaut n’enregistre pas le hachage de mot de passe du module de plateforme sécurisée, de sorte que ces appareils ne le chargent normalement pas. Pour plus d’informations, consultez À propos du mot de passe du propriétaire du module de plateforme sécurisée.
La gestion BitLocker ne prend pas en charge tous les types de clients pris en charge par Configuration Manager. Pour plus d’informations, consultez Configurations prises en charge.
Prérequis pour le service de récupération
Dans les versions 2010 et antérieures, le service de récupération BitLocker requiert https pour chiffrer les clés de récupération sur le réseau à partir du client Configuration Manager jusqu’au point de gestion. Utilisez l’une des options suivantes :
Activez https le site web IIS sur le point de gestion qui héberge le service de récupération.
Configurez le point de gestion pour HTTPS.
Pour plus d’informations, consultez Chiffrer les données de récupération sur le réseau.
Remarque
Lorsque le site et les clients exécutent Configuration Manager version 2103 ou ultérieure, les clients envoient leurs clés de récupération au point de gestion via le canal de notification du client sécurisé. Si des clients sont sur la version 2010 ou antérieure, ils ont besoin d’un service de récupération HTTPS sur le point de gestion pour mettre sous séquestre leurs clés.
À compter de la version 2103, étant donné que les clients utilisent le canal de notification du client sécurisé pour les clés d’entiercement, vous pouvez activer le site Configuration Manager pour le protocole HTTP amélioré. Cette configuration n’affecte pas les fonctionnalités de gestion BitLocker dans Configuration Manager.
Dans les versions 2010 et antérieures, pour utiliser le service de récupération, vous avez besoin d’au moins un point de gestion qui n’est pas dans une configuration réplica. Bien que le service de récupération BitLocker s’installe sur un point de gestion qui utilise une base de données réplica, les clients ne peuvent pas récupérer les clés de récupération. BitLocker ne chiffrera alors pas le lecteur. Désactivez le service de récupération BitLocker sur n’importe quel point de gestion avec une base de données réplica.
À compter de la version 2103, le service de récupération prend en charge les points de gestion qui utilisent une base de données réplica.
Prérequis pour les portails BitLocker
Pour utiliser le portail libre-service ou le site web d’administration et de surveillance, vous avez besoin d’un serveur Windows exécutant IIS. Vous pouvez réutiliser un système de site Configuration Manager ou utiliser un serveur web autonome qui dispose d’une connectivité au serveur de base de données de site. Utilisez une version de système d’exploitation prise en charge pour les serveurs de système de site.
Sur le serveur web qui hébergera le portail libre-service, installez Microsoft ASP.NET fonctionnalité MVC 4.0 et .NET Framework 3.5 avant de regarder le processus d’installation. Les autres rôles et fonctionnalités de serveur Windows requis seront installés automatiquement pendant le processus d’installation du portail.
Conseil
Vous n’avez pas besoin d’installer une version de Visual Studio avec ASP.NET MVC.
Le compte d’utilisateur qui exécute le script du programme d’installation du portail doit SQL Server droits sysadmin sur le serveur de base de données de site. Pendant le processus d’installation, le script définit les droits de connexion, d’utilisateur et de rôle SQL Server pour le compte d’ordinateur du serveur web. Vous pouvez supprimer ce compte d’utilisateur du rôle sysadmin une fois que vous avez terminé la configuration du portail libre-service et du site web d’administration et de surveillance.
Configurations prises en charge
La gestion BitLocker n’est pas prise en charge sur les machines virtuelles ou sur les éditions de serveur. Par exemple, la gestion BitLocker ne démarre pas le chiffrement sur les lecteurs fixes des machines virtuelles. En outre, les lecteurs fixes dans les machines virtuelles peuvent s’afficher comme conformes même s’ils ne sont pas chiffrés.
À compter de la version 2409, Configuration Manager prend désormais en charge les étapes de séquence de tâches BitLocker pour les appareils ARM. Dans la gestion BitLocker, les stratégies qui incluent le chiffrement du lecteur de système d’exploitation avec un protecteur TPM et le chiffrement de lecteur fixe avec l’option Déverrouillage automatique sont désormais compatibles avec les appareils ARM.
Dans les versions 2010 et antérieures, les Microsoft Entra joints, les clients de groupe de travail ou les clients dans des domaines non approuvés ne sont pas pris en charge. Dans ces versions antérieures de Configuration Manager, la gestion BitLocker prend uniquement en charge les appareils joints à Active Directory local, y compris les appareils joints Microsoft Entra hybrides. Cette configuration consiste à s’authentifier auprès du service de récupération pour les clés d’entiercement.
À compter de la version 2103, Configuration Manager prend en charge tous les types de jointure client pour la gestion BitLocker. Toutefois, le composant d’interface utilisateur BitLocker côté client est toujours pris en charge uniquement sur les appareils joints à Active Directory et Microsoft Entra joints hybrides.
À compter de la version 2010, vous pouvez désormais gérer les stratégies BitLocker et les clés de récupération de séquestre sur une passerelle de gestion cloud (CMG). Cette modification prend également en charge la gestion BitLocker via la gestion des clients basée sur Internet (IBCM). Aucune modification n’est apportée au processus d’installation pour la gestion de BitLocker. Cette amélioration prend en charge les appareils joints à un domaine et hybrides joints à un domaine. Pour plus d’informations, consultez Déployer l’agent de gestion : Service de récupération.
- Si vous avez des stratégies de gestion BitLocker que vous avez créées avant la mise à jour vers la version 2010, pour les rendre disponibles pour les clients Basés sur Internet via la passerelle de gestion cloud :
- Dans la console Configuration Manager, ouvrez les propriétés de la stratégie existante.
- Basculez vers l’onglet Gestion des clients .
- Sélectionnez OK ou Appliquer pour enregistrer la stratégie. Cette action modifie la stratégie afin qu’elle soit disponible pour les clients via la passerelle de gestion cloud.
- Si vous avez des stratégies de gestion BitLocker que vous avez créées avant la mise à jour vers la version 2010, pour les rendre disponibles pour les clients Basés sur Internet via la passerelle de gestion cloud :
Par défaut, l’étape Activer la séquence de tâches BitLocker chiffre uniquement l’espace utilisé sur le lecteur. La gestion BitLocker utilise le chiffrement de disque complet . Configurez cette étape de séquence de tâches pour activer l’option Utiliser le chiffrement de disque complet.
À compter de la version 2203, vous pouvez configurer cette étape de séquence de tâches pour mettre sous séquestre les informations de récupération BitLocker pour que le volume du système d’exploitation Configuration Manager.
Pour plus d’informations, consultez Étapes de séquence de tâches - Activer BitLocker.
Importante
Le Invoke-MbamClientDeployment.ps1
script PowerShell est destiné uniquement à MBAM autonome . Il ne doit pas être utilisé avec Configuration Manager gestion BitLocker.