Fournisseur de services de configuration BitLocker
Astuce
Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>
. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.
La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.
Le fournisseur de services de configuration (CSP) BitLocker est utilisé par l’entreprise pour gérer le chiffrement des PC et des appareils. Ce fournisseur de services de configuration a été ajouté dans Windows 10, version 1703. À compter de Windows 10, version 1809, il est également pris en charge dans Windows 10 Professionnel.
Remarque
Pour gérer BitLocker via csp, sauf pour l’activer et le désactiver à l’aide de la RequireDeviceEncryption
stratégie, l’une des licences suivantes doit être attribuée à vos utilisateurs, quelle que soit votre plateforme de gestion :
- Windows 10/11 Entreprise E3 ou E5 (inclus dans Microsoft 365 F3, E3 et E5).
- Windows 10/11 Entreprise A3 ou A5 (inclus dans Microsoft 365 A3 et A5).
Une Get
opération sur l’un des paramètres, à l’exception de RequireDeviceEncryption
et RequireStorageCardEncryption
, retourne le paramètre configuré par l’administrateur.
Pour RequireDeviceEncryption et RequireStorageCardEncryption, l’opération Get renvoie l’état réel de l’application à l’administrateur, par exemple si la protection du module de plateforme sécurisée (TPM) est requise et si le chiffrement est requis. Et si BitLocker est activé sur l’appareil, mais avec le protecteur de mot de passe, l’état signalé est 0. Une opération Get sur RequireDeviceEncryption ne vérifie pas qu’une longueur de code confidentiel minimale est appliquée (SystemDrivesMinimumPINLength).
Remarque
- Les paramètres sont appliqués uniquement au moment du démarrage du chiffrement. Le chiffrement n’est pas redémarré avec des modifications de paramètres.
- Vous devez envoyer tous les paramètres ensemble dans un seul SyncML pour être efficace.
La liste suivante présente les nœuds du fournisseur de services de configuration BitLocker :
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- Champ d’identification
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- Statut
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1809 [10.0.17763] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Permet à l’administrateur d’appliquer la stratégie « RequireDeviceEncryption » pour les scénarios où la stratégie est envoyée alors que l’utilisateur connecté actuel n’est pas un utilisateur administrateur/standard.
La stratégie « AllowStandardUserEncryption » est liée à la stratégie « AllowWarningForOtherDiskEncryption » définie sur « 0 », c’est-à-dire que le chiffrement silencieux est appliqué.
Si « AllowWarningForOtherDiskEncryption » n’est pas défini ou a la valeur « 1 », la stratégie « RequireDeviceEncryption » n’essaie pas de chiffrer le ou les lecteurs si un utilisateur standard est l’utilisateur actuellement connecté dans le système.
Les valeurs attendues pour cette stratégie sont les suivantes :
1 = la stratégie « RequireDeviceEncryption » tente d’activer le chiffrement sur tous les lecteurs fixes, même si un utilisateur connecté actuel est un utilisateur standard.
0 = Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. Si l’utilisateur connecté actuel est un utilisateur standard, la stratégie « RequireDeviceEncryption » n’essaiera d’activer le chiffrement sur aucun lecteur.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Dépendance [AllowWarningForOtherDiskEncryptionDependency] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption Valeur autorisée de dépendance : [0] Type de valeur autorisée de dépendance : Range |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. Si l’utilisateur connecté actuel est un utilisateur standard, la stratégie « RequireDeviceEncryption » n’essaiera d’activer le chiffrement sur aucun lecteur. |
1 | La stratégie « RequireDeviceEncryption » tente d’activer le chiffrement sur tous les lecteurs fixes, même si un utilisateur actuellement connecté est un utilisateur standard. |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Permet à l’administrateur de désactiver toute l’interface utilisateur (notification pour le chiffrement et invite d’avertissement pour un autre chiffrement de disque) et d’activer le chiffrement sur les ordinateurs utilisateur en mode silencieux.
Warning
Lorsque vous activez BitLocker sur un appareil avec un chiffrement tiers, cela peut rendre l’appareil inutilisable et nécessiter la réinstallation de Windows.
Remarque
Cette stratégie prend effet uniquement si la stratégie « RequireDeviceEncryption » est définie sur 1.
Les valeurs attendues pour cette stratégie sont les suivantes :
1 = Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. L’invite d’avertissement et la notification de chiffrement sont autorisées.
0 = Désactive l’invite d’avertissement et la notification de chiffrement. À compter de Windows 10, la prochaine mise à jour majeure, la valeur 0 prend effet uniquement sur les appareils joints à Microsoft Entra.
Windows tente d’activer BitLocker en mode silencieux pour la valeur 0.
Remarque
Lorsque vous désactivez l’invite d’avertissement, la clé de récupération du lecteur de système d’exploitation est sauvegardée dans le compte Microsoft Entra de l’utilisateur. Lorsque vous autorisez l’invite d’avertissement, l’utilisateur qui reçoit l’invite peut sélectionner l’emplacement où sauvegarder la clé de récupération du lecteur du système d’exploitation.
Le point de terminaison pour la sauvegarde d’un lecteur de données fixe est choisi dans l’ordre suivant :
- Compte des services de domaine Active Directory Windows Server de l’utilisateur.
- Compte Microsoft Entra de l’utilisateur.
- OneDrive personnel de l’utilisateur (MDM/GAM uniquement).
Le chiffrement attend que l’un de ces trois emplacements soit correctement sauvegardé.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Désactive l’invite d’avertissement. À compter de Windows 10, version 1803, la valeur 0 ne peut être définie que pour les appareils joints à Microsoft Entra. Windows tente d’activer BitLocker en mode silencieux pour la valeur 0. |
1 (par défaut) | Invite d’avertissement autorisée. |
Exemple :
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1909 [10.0.18363] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Permet à l’administrateur de configurer la rotation du mot de passe de récupération numérique lors de l’utilisation pour le système d’exploitation et les lecteurs fixes sur les appareils joints à un domaine hybride et à l’ID Microsoft Entra.
Lorsqu’il n’est pas configuré, la rotation est activée par défaut pour l’ID Microsoft Entra uniquement et désactivée sur l’environnement hybride. La stratégie n’est effective que lorsque la sauvegarde Active Directory pour le mot de passe de récupération est configurée sur obligatoire.
Pour le lecteur de système d’exploitation : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation ».
Pour les lecteurs fixes : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes ».
Valeurs prises en charge : 0 - Rotation des mots de passe de récupération numériques OFF.
1 - Rotation des mots de passe de récupération numériques lors de l’utilisation on pour les appareils joints à Microsoft Entra. Valeur par défaut 2 - Rotation des mots de passe de récupération numériques lors de l’utilisation de ON pour l’ID Microsoft Entra et les appareils hybrides.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Actualiser (par défaut). |
1 | Actualisez pour les appareils joints à Microsoft Entra. |
2 | Actualisez les appareils joints à Microsoft Entra et hybrides. |
EncryptionMethodByDriveType
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un ordinateur puisse écrire des données sur un lecteur de données amovible.
- Si vous activez ce paramètre de stratégie, tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.
Si l’option « Refuser l’accès en écriture aux appareils configurés dans une autre organisation » est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur disposent d’un accès en écriture. Lorsqu’un lecteur de données amovible est accessible, le champ d’identification valide et les champs d’identification autorisés sont vérifiés. Ces champs sont définis par le paramètre de stratégie « Fournir les identificateurs uniques de votre organisation ».
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et en écriture.
Remarque
Ce paramètre de stratégie peut être remplacé par les paramètres de stratégie sous Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Si le paramètre de stratégie « Disques amovibles : Refuser l’accès en écriture » est activé, ce paramètre de stratégie est ignoré.
Remarque
Lorsque vous activez EncryptionMethodByDriveType, vous devez spécifier des valeurs pour les trois lecteurs (système d’exploitation, données fixes et données amovibles), sinon il échoue (état de retour 500). Par exemple, si vous définissez uniquement la méthode de chiffrement pour le système d’exploitation et les lecteurs amovibles, vous obtiendrez un état de retour 500.
Éléments d’ID de données :
- EncryptionMethodWithXtsOsDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs du système d’exploitation.
- EncryptionMethodWithXtsFdvDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs de données fixes.
- EncryptionMethodWithXtsRdvDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs de données amovibles.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie et de définir les méthodes de chiffrement :
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
Les valeurs possibles pour « xx » sont les suivantes :
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RDVDenyWriteAccess_Name |
Nom convivial | Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles |
Nom de la clé de Registre | System\CurrentControlSet\Policies\Microsoft\FVE |
Nom de la valeur de Registre | RDVDenyWriteAccess |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.
Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
Valeurs possibles :
- 0 : autoriser l’utilisateur à choisir.
- 1 : chiffrement complet.
- 2 : chiffrement de l’espace utilisé uniquement.
Remarque
Cette stratégie est ignorée lorsque vous réduisez ou développez un volume et que le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement Espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialis comme il le serait pour un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde -w
. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
Pour plus d’informations sur l’outil permettant de gérer BitLocker, consultez manage-bde.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | FDVEncryptionType_Name |
Nom convivial | Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | FDVEncryptionType |
Nom du fichier ADMX | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
La case à cocher « Autoriser l’agent de récupération de données » permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de données fixes protégés par BitLocker. Avant de pouvoir utiliser un agent de récupération de données, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion des stratégies de groupe ou l’Éditeur de stratégie de groupe local. Pour plus d’informations sur l’ajout d’agents de récupération de données, consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft TechNet.
Dans « Configurer le stockage utilisateur des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération 256 bits.
Sélectionnez « Omettre les options de récupération de l’Assistant Installation de BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne serez pas en mesure de spécifier l’option de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie.
Dans « Enregistrer les informations de récupération BitLocker dans Active Directory Domain Services », choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données fixes. Si vous sélectionnez « Mot de passe de récupération de sauvegarde et package de clé », le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez « Mot de passe de récupération de sauvegarde uniquement », seul le mot de passe de récupération est stocké dans AD DS.
Activez la case à cocher « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes » si vous souhaitez empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker sur AD DS réussit.
Remarque
Si la case à cocher « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes » est activée, un mot de passe de récupération est automatiquement généré.
Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données fixes protégés par BitLocker.
Si ce paramètre de stratégie n’est pas configuré ou désactivé, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.
Éléments d’ID de données :
- FDVAllowDRA_Name : Autoriser l’agent de récupération de données
- FDVRecoveryPasswordUsageDropDown_Name et FDVRecoveryKeyUsageDropDown_Name : Configurer le stockage utilisateur des informations de récupération BitLocker
- FDVHideRecoveryPage_Name : Omettre les options de récupération de l’Assistant Installation de BitLocker
- FDVActiveDirectoryBackup_Name : Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory
- FDVActiveDirectoryBackupDropDown_Name : Configurer le stockage des informations de récupération BitLocker sur AD DS
- FDVRequireActiveDirectoryBackup_Name : N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Les valeurs possibles pour « xx » sont les suivantes :
- true = Autoriser explicitement
- false = Stratégie non définie
Les valeurs possibles pour 'yy' sont les suivantes :
- 0 = Non autorisé
- 1 = Obligatoire
- 2 = Autorisé
Les valeurs possibles pour « zz » sont les suivantes :
- 1 = Stocker les mots de passe de récupération et les packages de clé
- 2 = Stocker les mots de passe de récupération uniquement
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | FDVRecoveryUsage_Name |
Nom convivial | Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | FDVRecovery |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
Ce paramètre de stratégie détermine si la protection BitLocker est requise pour que les lecteurs de données fixes puissent être accessibles en écriture sur un ordinateur.
Si vous activez ce paramètre de stratégie, tous les lecteurs de données fixes qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données fixes sur l’ordinateur sont montés avec un accès en lecture et en écriture.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | FDVDenyWriteAccess_Name |
Nom convivial | Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes |
Nom de la clé de Registre | System\CurrentControlSet\Policies\Microsoft\FVE |
Nom de la valeur de Registre | FDVDenyWriteAccess |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Champ d’identification
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/IdentificationField
Ce paramètre de stratégie vous permet d’associer des identificateurs d’organisation uniques à un nouveau lecteur activé avec BitLocker. Ces identificateurs sont stockés en tant que champ d’identification et champ d’identification autorisé. Le champ d’identification vous permet d’associer un identificateur organisationnel unique à des lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour sur les lecteurs protégés par BitLocker existants à l’aide de l’outil en ligne de commande manage-bde . Un champ d’identification est requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker et pour les mises à jour potentielles du lecteur BitLocker To Go. BitLocker gère et met à jour les agents de récupération de données uniquement lorsque le champ d’identification sur le lecteur correspond à la valeur configurée dans le champ d’identification. De la même façon, BitLocker met à jour le lecteur BitLocker To Go uniquement lorsque le champ d’identification sur le lecteur correspond à la valeur configurée pour le champ d’identification.
Le champ d’identification autorisé est utilisé en combinaison avec le paramètre de stratégie « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker » pour vous aider à contrôler l’utilisation des lecteurs amovibles dans votre organisation. Il s’agit d’une liste séparée par des virgules de champs d’identification de votre organisation ou d’autres organisations externes.
Vous pouvez configurer les champs d’identification sur les lecteurs existants à l’aide de manage-bde.exe.
- Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification sur le lecteur protégé par BitLocker et tout champ d’identification autorisé utilisé par votre organisation.
Lorsqu’un lecteur protégé par BitLocker est monté sur un autre ordinateur avec BitLocker, le champ d’identification et le champ d’identification autorisé sont utilisés pour déterminer si le lecteur provient d’une organisation externe.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le champ d’identification n’est pas obligatoire.
Remarque
Les champs d’identification sont requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker. BitLocker gère et met à jour les agents de récupération de données basés sur un certificat uniquement lorsque le champ d’identification est présent sur un lecteur et identique à la valeur configurée sur l’ordinateur. Le champ d’identification peut contenir n’importe quelle valeur de 260 caractères ou moins.
Éléments d’ID de données :
- Champ d’identification : champ d’identification BitLocker.
- SecIdentificationField : champ d’identification BitLocker autorisé.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | IdentificationField_Name |
Nom convivial | Fournir les identificateurs uniques de votre organisation |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | Champ d’identification |
Nom du fichier ADMX | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Lorsque ce paramètre de stratégie est activé, vous pouvez sélectionner des paramètres de propriété qui contrôlent la façon dont les utilisateurs peuvent configurer BitLocker. Choisissez « Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles » pour permettre à l’utilisateur d’exécuter l’Assistant Installation de BitLocker sur un lecteur de données amovible. Choisissez « Autoriser les utilisateurs à suspendre et déchiffrer BitLocker sur des lecteurs de données amovibles » pour permettre à l’utilisateur de supprimer le chiffrement de lecteur BitLocker du lecteur ou de suspendre le chiffrement pendant l’exécution de la maintenance. Pour plus d’informations sur la suspension de la protection BitLocker, consultez Déploiement de base de BitLocker.
Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent utiliser BitLocker sur des lecteurs de disque amovible.
Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser BitLocker sur des lecteurs de disque amovibles.
Éléments d’ID de données :
- RDVAllowBDE_Name : autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles.
- RDVDisableBDE_Name : autoriser les utilisateurs à suspendre et déchiffrer BitLocker sur des lecteurs de données amovibles.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RDVConfigureBDE |
Nom convivial | Contrôler l’utilisation de BitLocker sur les lecteurs amovibles |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | RDVConfigureBDE |
Nom du fichier ADMX | VolumeEncryption.admx |
RemovableDrivesEncryptionType
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.
Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
Valeurs possibles :
- 0 : autoriser l’utilisateur à choisir.
- 1 : chiffrement complet.
- 2 : chiffrement de l’espace utilisé uniquement.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Dépendance [BDEAllowed] | Type de dépendance : DependsOn URI de dépendance : Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE Type de valeur autorisée de dépendance : ADMX |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RDVEncryptionType_Name |
Nom convivial | Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | RDVEncryptionType |
Nom du fichier ADMX | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
Lorsque cette option est activée, vous permet d’exclure les lecteurs amovibles et les appareils connectés via l’interface USB du chiffrement d’appareil BitLocker. Les appareils exclus ne peuvent pas être chiffrés, même manuellement. En outre, si « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker » est configuré, l’utilisateur ne sera pas invité à effectuer le chiffrement et le lecteur sera monté en mode lecture/écriture. Fournissez une liste séparée par des virgules des lecteurs amovibles exclus et des appareils, à l’aide de l’ID matériel du périphérique de disque. Exemple USBSTOR\SEAGATE_ST39102LW_______0004.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Liste (délimiteur : , ) |
RemovableDrivesRequireEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un ordinateur puisse écrire des données sur un lecteur de données amovible.
- Si vous activez ce paramètre de stratégie, tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.
Si l’option « Refuser l’accès en écriture aux appareils configurés dans une autre organisation » est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur disposent d’un accès en écriture. Lorsqu’un lecteur de données amovible est accessible, le champ d’identification valide et les champs d’identification autorisés sont vérifiés. Ces champs sont définis par le paramètre de stratégie « Fournir les identificateurs uniques de votre organisation ».
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et en écriture.
Remarque
Ce paramètre de stratégie peut être remplacé par les paramètres de stratégie sous Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Si le paramètre de stratégie « Disques amovibles : Refuser l’accès en écriture » est activé, ce paramètre de stratégie est ignoré.
Éléments d’ID de données :
- RDVCrossOrg : Refuser l’accès en écriture aux appareils configurés dans une autre organisation
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/><data id="RDVCrossOrg" value="xx"/>
Les valeurs possibles pour « xx » sont les suivantes :
- true = Autoriser explicitement
- false = Stratégie non définie
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | RDVDenyWriteAccess_Name |
Nom convivial | Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles |
Nom de la clé de Registre | System\CurrentControlSet\Policies\Microsoft\FVE |
Nom de la valeur de Registre | RDVDenyWriteAccess |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Permet à l’administrateur d’exiger l’activation du chiffrement à l’aide de BitLocker\Device Encryption.
Exemple de valeur pour ce nœud afin d’activer cette stratégie :
1
La désactivation de la stratégie ne désactive pas le chiffrement sur le lecteur système. Mais cessera d’inviter l’utilisateur à l’activer.
Remarque
Actuellement, seul le chiffrement de disque complet est pris en charge lors de l’utilisation de ce fournisseur de solutions cloud pour le chiffrement silencieux. Pour le chiffrement non silencieux, le type de chiffrement dépend SystemDrivesEncryptionType
de et FixedDrivesEncryptionType
configuré sur l’appareil.
L’état des volumes de système d’exploitation et des volumes de données fixes pouvant être chiffrés est vérifié à l’aide d’une opération Get. En règle générale, BitLocker/Device Encryption suit la valeur de la stratégie EncryptionMethodByDriveType définie sur. Toutefois, ce paramètre de stratégie sera ignoré pour les lecteurs fixes à chiffrement automatique et les lecteurs de système d’exploitation autochiffrés.
Les volumes de données fixes pouvant être chiffrés sont traités de la même manière que les volumes de système d’exploitation. Toutefois, les volumes de données fixes doivent répondre à d’autres critères pour être considérés comme pouvant être chiffrés :
- Il ne doit pas s’agir d’un volume dynamique.
- Il ne doit pas s’agir d’une partition de récupération.
- Il ne doit pas s’agir d’un volume masqué.
- Il ne doit pas s’agir d’une partition système.
- Il ne doit pas être sauvegardé par un stockage virtuel.
- Il ne doit pas avoir de référence dans le magasin BCD.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactiver. Si le paramètre de stratégie n’est pas défini ou est défini sur 0, l’état d’application de l’appareil n’est pas vérifié. La stratégie n’applique pas le chiffrement et ne déchiffre pas les volumes chiffrés. |
1 | Activer. L’état de mise en application de l’appareil est vérifié. La définition de cette stratégie sur 1 déclenche le chiffrement de tous les lecteurs (en mode silencieux ou non, en fonction de la stratégie AllowWarningForOtherDiskEncryption). |
Exemple :
Pour désactiver RequireDeviceEncryption :
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
Remarque
Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
Permet à l’administrateur d’exiger le chiffrement de la carte de stockage sur l’appareil.
Cette stratégie n’est valide que pour la référence SKU mobile.
Exemple de valeur pour ce nœud afin d’activer cette stratégie :
1
La désactivation de la stratégie ne désactive pas le chiffrement sur la carte de stockage. Mais cessera d’inviter l’utilisateur à l’activer.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Les cartes de stockage n’ont pas besoin d’être chiffrées. |
1 | Exiger le chiffrement des cartes de stockage. |
RotateRecoveryPasswords
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1909 [10.0.18363] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
Permet à l’administrateur d’envoyer (push) une rotation unique de tous les mots de passe de récupération numériques pour les lecteurs de système d’exploitation et de données fixes sur un ID Microsoft Entra ou un appareil joint à un hybride.
Cette stratégie est de type d’exécution et fait pivoter tous les mots de passe numériques lorsqu’ils sont émis à partir d’outils MDM.
La stratégie n’entre en vigueur que lorsque la sauvegarde Active Directory d’un mot de passe de récupération est configurée sur « obligatoire ».
Pour les lecteurs de système d’exploitation, activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans les services de domaine Active Directory pour les lecteurs de système d’exploitation ».
Pour les lecteurs fixes, activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans les services de domaine Active Directory pour les lecteurs de données fixes ».
Le client retourne l’état DM_S_ACCEPTED_FOR_PROCESSING pour indiquer que la rotation a démarré. Le serveur peut interroger l’état avec les nœuds d’état suivants :
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID.
Valeurs prises en charge : forme de chaîne de l’ID de requête. Le GUID est un exemple de format d’ID de requête. Le serveur peut choisir le format en fonction des outils de gestion.
Remarque
La rotation des clés est prise en charge uniquement sur ces types d’inscription. Pour plus d’informations, consultez énumération deviceEnrollmentType.
- windowsAzureADJoin.
- windowsBulkAzureDomainJoin.
- windowsAzureADJoinUsingDeviceAuth.
- windowsCoManagement.
Astuce
La fonctionnalité de rotation des clés fonctionne uniquement dans les cas suivants :
Pour les lecteurs de système d’exploitation :
- OSRequireActiveDirectoryBackup_Name est défini sur 1 (« Obligatoire »).
- OSActiveDirectoryBackup_Name a la valeur true.
Pour les lecteurs de données fixes :
- FDVRequireActiveDirectoryBackup_Name est défini sur 1 = (« Obligatoire »).
- FDVActiveDirectoryBackup_Name a la valeur true.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Exec |
Statut
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1903 [10.0.18362] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/Status
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | node |
Type d’accès | Télécharger |
Status/DeviceEncryptionStatus
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1903 [10.0.18362] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
Ce nœud signale l’état de conformité du chiffrement de l’appareil sur le système.
La valeur « 0 » signifie que l’appareil est conforme. Toute autre valeur représente un appareil non conforme.
Cette valeur représente un masque de bits avec chaque bit et le code d’erreur correspondant décrit dans le tableau suivant :
Mors | Code d'erreur |
---|---|
0 | La stratégie BitLocker nécessite le consentement de l’utilisateur pour lancer l’Assistant Chiffrement de lecteur BitLocker pour démarrer le chiffrement du volume du système d’exploitation, mais l’utilisateur n’a pas donné son consentement. |
1 | La méthode de chiffrement du volume du système d’exploitation ne correspond pas à la stratégie BitLocker. |
2 | Le volume du système d’exploitation n’est pas protégé. |
3 | La stratégie BitLocker nécessite un protecteur TPM uniquement pour le volume du système d’exploitation, mais la protection TPM n’est pas utilisée. |
4 | La stratégie BitLocker nécessite une protection TPM+PIN pour le volume du système d’exploitation, mais aucun protecteur TPM+code confidentiel n’est utilisé. |
5 | La stratégie BitLocker nécessite une protection TPM+clé de démarrage pour le volume du système d’exploitation, mais aucun protecteur TPM+clé de démarrage n’est utilisé. |
6 | La stratégie BitLocker nécessite une protection TPM+PIN+clé de démarrage pour le volume du système d’exploitation, mais aucun protecteur de clé de démarrage+TPM+code confidentiel n’est utilisé. |
7 | La stratégie BitLocker nécessite un protecteur TPM pour protéger le volume du système d’exploitation, mais aucun module de plateforme sécurisée n’est utilisé. |
8 | La sauvegarde de la clé de récupération a échoué. |
9 | Un lecteur fixe n’est pas protégé. |
10 | La méthode de chiffrement du lecteur fixe ne correspond pas à la stratégie BitLocker. |
11 | Pour chiffrer les lecteurs, la stratégie BitLocker exige que l’utilisateur se connecte en tant qu’administrateur ou que l’appareil est joint à l’ID Microsoft Entra, la stratégie AllowStandardUserEncryption doit être définie sur 1. |
12 | L’environnement de récupération Windows (WinRE) n’est pas configuré. |
13 | Un module TPM n’est pas disponible pour BitLocker, soit parce qu’il n’est pas présent, qu’il a été rendu indisponible dans le Registre ou que le système d’exploitation se trouve sur un lecteur amovible. |
14 | Le TPM n’est pas prêt pour BitLocker. |
15 | Le réseau n’est pas disponible, ce qui est nécessaire pour la sauvegarde de la clé de récupération. |
16 | Le type de chiffrement du volume du système d’exploitation pour le chiffrement disque complet par rapport à l’espace utilisé uniquement ne correspond pas à la stratégie BitLocker. |
17 | Le type de chiffrement du lecteur fixe pour le chiffrement disque complet par rapport à l’espace utilisé uniquement ne correspond pas à la stratégie BitLocker. |
18-31 | Pour une utilisation ultérieure. |
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Télécharger |
Status/RemovableDrivesEncryptionStatus
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
Ce nœud signale l’état de conformité du chiffrement du lecteur de suppression. La valeur « 0 » signifie que le lecteur de suppression est chiffré en fonction de tous les paramètres définis du lecteur de suppression.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Télécharger |
Status/RotateRecoveryPasswordsRequestID
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1909 [10.0.18363] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
Ce nœud signale le RequestID correspondant à RotateRecoveryPasswordsStatus.
Ce nœud doit être interrogé en synchronisation avec RotateRecoveryPasswordsStatus pour vérifier que l’état correspond correctement à l’ID de requête.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Télécharger |
Status/RotateRecoveryPasswordsStatus
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1909 [10.0.18363] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
Ce nœud signale l’état de la demande RotateRecoveryPasswords.
Le code d’état peut être l’un des suivants :
NotStarted(2), Pending (1), Pass (0), Autres codes d’erreur en cas d’échec.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Télécharger |
SystemDrivesDisallowStandardUsersCanChangePIN
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
Ce paramètre de stratégie vous permet de configurer si les utilisateurs standard sont autorisés ou non à modifier les codes confidentiels du volume BitLocker, à condition qu’ils soient en mesure de fournir d’abord le code confidentiel existant.
Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Si vous activez ce paramètre de stratégie, les utilisateurs standard ne seront pas autorisés à modifier les codes confidentiels ou les mots de passe BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs standard sont autorisés à modifier les codes confidentiels et les mots de passe BitLocker.
Remarque
Pour modifier le code confidentiel ou le mot de passe, l’utilisateur doit être en mesure de fournir le code confidentiel ou le mot de passe actuel.
Voici un exemple de valeur pour ce nœud afin de désactiver cette stratégie : <disabled/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | DisallowStandardUsersCanChangePIN_Name |
Nom convivial | Interdire aux utilisateurs standard de modifier le code confidentiel ou le mot de passe |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | DisallowStandardUserPINReset |
Nom du fichier ADMX | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une entrée utilisateur à partir de l’environnement de prédémarreur, même si la plateforme n’a pas de fonctionnalité d’entrée de prédémarreur.
Le clavier tactile Windows (tel que celui utilisé par les tablettes) n’est pas disponible dans l’environnement de prédémarreur où BitLocker nécessite des informations supplémentaires telles qu’un code confidentiel ou un mot de passe.
Si vous activez ce paramètre de stratégie, les appareils doivent disposer d’un autre moyen d’entrée de prédémarreur (par exemple, un clavier USB attaché).
Si cette stratégie n’est pas activée, l’environnement de récupération Windows doit être activé sur les tablettes pour prendre en charge l’entrée du mot de passe de récupération BitLocker. Lorsque l’environnement de récupération Windows n’est pas activé et que cette stratégie n’est pas activée, vous ne pouvez pas activer BitLocker sur un appareil qui utilise le clavier tactile Windows.
Notez que si vous n’activez pas ce paramètre de stratégie, les options de la stratégie « Exiger une authentification supplémentaire au démarrage » peuvent ne pas être disponibles sur ces appareils. Ces options sont les suivantes :
- Configurer le code pin de démarrage du module de plateforme sécurisée : Obligatoire/Autorisé
- Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée : Obligatoire/Autorisé
- Configurez l’utilisation des mots de passe pour les lecteurs du système d’exploitation.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | EnablePrebootInputProtectorsOnSlates_Name |
Nom convivial | Activer l’utilisation de l’authentification BitLocker nécessitant une entrée clavier de prédémarrage sur les ardoises |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | OSEnablePrebootInputProtectorsOnSlates |
Nom du fichier ADMX | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Ce paramètre de stratégie permet aux utilisateurs sur les appareils qui sont conformes à InstantGo ou à l’interface de test de sécurité matérielle Microsoft (HSTI) de ne pas avoir de code confidentiel pour l’authentification préalable au démarrage. Cela remplace les options « Exiger le code pin de démarrage avec TPM » et « Exiger une clé de démarrage et un code confidentiel avec TPM » de la stratégie « Exiger une authentification supplémentaire au démarrage » sur le matériel conforme.
Si vous activez ce paramètre de stratégie, les utilisateurs sur des appareils compatibles InstantGo et HSTI auront le choix d’activer BitLocker sans authentification préalable au démarrage.
Si cette stratégie n’est pas activée, les options de la stratégie « Exiger une authentification supplémentaire au démarrage » s’appliquent.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | EnablePreBootPinExceptionOnDECapableDevice_Name |
Nom convivial | Autorisez les appareils compatibles avec InstantGo ou HSTI à refuser le code confidentiel avant le démarrage. |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | OSEnablePreBootPinExceptionOnDECapableDevice |
Nom du fichier ADMX | VolumeEncryption.admx |
SystemDrivesEncryptionType
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.
Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
Valeurs possibles :
- 0 : autoriser l’utilisateur à choisir.
- 1 : chiffrement complet.
- 2 : chiffrement de l’espace utilisé uniquement.
Remarque
Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle.
Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialis comme il le serait pour un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde -w
. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.
Pour plus d’informations sur l’outil permettant de gérer BitLocker, consultez manage-bde.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | OSEncryptionType_Name |
Nom convivial | Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | OSEncryptionType |
Nom du fichier ADMX | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 2004 avec KB5005101 [10.0.19041.1202] et versions ultérieures ✅ Windows 10, version 20H2 avec KB5005101 [10.0.19042.1202] et versions ultérieures ✅ Windows 10, version 21H1 avec KB5005101 [10.0.19043.1202] et versions ultérieures ✅ Windows 11, version 21H2 [10.0.22000] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
Ce paramètre de stratégie vous permet de configurer si les codes confidentiels de démarrage améliorés sont utilisés avec BitLocker.
Les codes confidentiels de démarrage améliorés permettent d’utiliser des caractères, notamment des lettres majuscules et minuscules, des symboles, des chiffres et des espaces. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
- Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker définis seront des codes confidentiels améliorés.
Remarque
Tous les ordinateurs peuvent ne pas prendre en charge les codes confidentiels améliorés dans l’environnement de prédémarrisation. Il est fortement recommandé aux utilisateurs d’effectuer une vérification système pendant la configuration de BitLocker.
- Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les codes confidentiels améliorés ne seront pas utilisés.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | EnhancedPIN_Name |
Nom convivial | Autoriser les codes confidentiels améliorés pour le démarrage |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom de la valeur de Registre | UseEnhancedPin |
Nom du fichier ADMX | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
Ce paramètre de stratégie vous permet de configurer une longueur minimale pour un code pin de démarrage du module de plateforme sécurisée (TPM). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Le code pin de démarrage doit avoir une longueur minimale de 4 chiffres et peut avoir une longueur maximale de 20 chiffres.
Si vous activez ce paramètre de stratégie, vous pouvez exiger l’utilisation d’un nombre minimal de chiffres lors de la définition du code confidentiel de démarrage.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur comprise entre 6 et 20 chiffres.
Remarque
Si la longueur minimale du code confidentiel est inférieure à 6 chiffres, Windows tente de mettre à jour la période de verrouillage TPM 2.0 pour qu’elle soit supérieure à la valeur par défaut lorsqu’un code confidentiel est modifié. En cas de réussite, Windows réinitialise uniquement la période de verrouillage du module de plateforme sécurisée à la valeur par défaut si le module de plateforme sécurisée est réinitialisé.
Remarque
Dans Windows 10, version 1703 version B, vous pouvez utiliser une longueur de code confidentiel minimale de 4 chiffres.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/><data id="MinPINLength" value="xx"/>
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | MinimumPINLength_Name |
Nom convivial | Configurer la longueur minimale du code confidentiel pour le démarrage |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Ce paramètre de stratégie vous permet de configurer l’intégralité du message de récupération ou de remplacer l’URL existante qui s’affiche sur l’écran de récupération de la clé de prédémarreur lorsque le lecteur du système d’exploitation est verrouillé.
Si vous sélectionnez l’option « Utiliser le message et l’URL de récupération par défaut », le message et l’URL de récupération BitLocker par défaut s’affichent dans l’écran de récupération de la clé de prédémarreuse. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez revenir au message par défaut, vous devez conserver la stratégie activée et sélectionner l’option « Utiliser le message et l’URL de récupération par défaut ».
Si vous sélectionnez l’option « Utiliser le message de récupération personnalisé », le message que vous tapez dans la zone de texte « Option de message de récupération personnalisée » s’affiche dans l’écran de récupération de la clé de prédémarreur. Si une URL de récupération est disponible, incluez-la dans le message.
Si vous sélectionnez l’option « Utiliser l’URL de récupération personnalisée », l’URL que vous tapez dans la zone de texte « Option URL de récupération personnalisée » remplace l’URL par défaut dans le message de récupération par défaut, qui s’affiche dans l’écran de récupération de la clé de prédémarreur.
Remarque
Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.
Éléments d’ID de données :
- PrebootRecoveryInfoDropDown_Name : sélectionnez une option pour le message de récupération de prédémarreur.
- RecoveryMessage_Input : message de récupération personnalisé
- RecoveryUrl_Input : URL de récupération personnalisée
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
Les valeurs possibles pour « xx » sont les suivantes :
- 0 = Vide
- 1 = Utiliser le message et l’URL de récupération par défaut (dans ce cas, vous n’avez pas besoin de spécifier une valeur pour « RecoveryMessage_Input » ou « RecoveryUrl_Input »).
- 2 = Le message de récupération personnalisé est défini.
- 3 = L’URL de récupération personnalisée est définie.
La valeur possible pour « yy » et « zz » est une chaîne de longueur maximale de 900 et 500 respectivement.
Remarque
- Lorsque vous activez SystemDrivesRecoveryMessage, vous devez spécifier des valeurs pour les trois paramètres (écran de récupération de prédémarreur, message de récupération et URL de récupération), sinon il échoue (état de retour 500). Par exemple, si vous spécifiez uniquement des valeurs pour le message et l’URL, vous obtenez un état de retour 500.
- Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | PrebootRecoveryInfo_Name |
Nom convivial | Configurer le message de récupération et l’URL de prédémarrisation |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | Software\Policies\Microsoft\FVE |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
La case à cocher « Autoriser l’agent de récupération de données basé sur un certificat » permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant de pouvoir utiliser un agent de récupération de données, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion des stratégies de groupe ou l’Éditeur de stratégie de groupe local. Pour plus d’informations sur l’ajout d’agents de récupération de données, consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft TechNet.
Dans « Configurer le stockage utilisateur des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération 256 bits.
Sélectionnez « Omettre les options de récupération de l’Assistant Installation de BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne serez pas en mesure de spécifier l’option de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie.
Dans « Enregistrer les informations de récupération BitLocker dans Active Directory Domain Services », choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de système d’exploitation. Si vous sélectionnez « Mot de passe de récupération de sauvegarde et package de clé », le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez « Mot de passe de récupération de sauvegarde uniquement », seul le mot de passe de récupération est stocké dans AD DS.
Activez la case à cocher « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation » si vous souhaitez empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker sur AD DS réussit.
Remarque
Si la case à cocher « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation » est activée, un mot de passe de récupération est généré automatiquement.
Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de système d’exploitation protégés par BitLocker.
Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.
Éléments d’ID de données :
- OSAllowDRA_Name : Autoriser l’agent de récupération de données basé sur les certificats
- OSRecoveryPasswordUsageDropDown_Name et OSRecoveryKeyUsageDropDown_Name : Configurer le stockage utilisateur des informations de récupération BitLocker
- OSHideRecoveryPage_Name : omettre les options de récupération de l’Assistant Installation de BitLocker
- OSActiveDirectoryBackup_Name et OSActiveDirectoryBackupDropDown_Name : Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory
- OSRequireActiveDirectoryBackup_Name : n’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Les valeurs possibles pour « xx » sont les suivantes :
- true = Autoriser explicitement
- false = Stratégie non définie
Les valeurs possibles pour 'yy' sont les suivantes :
- 0 = Non autorisé
- 1 = Obligatoire
- 2 = Autorisé
Les valeurs possibles pour « zz » sont les suivantes :
- 1 = Stocker les mots de passe de récupération et les packages de clés.
- 2 = Stocker les mots de passe de récupération uniquement.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | OSRecoveryUsage_Name |
Nom convivial | Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | OSRecovery |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, version 1703 [10.0.15063] et versions ultérieures |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
Ce paramètre de stratégie vous permet de configurer si BitLocker nécessite une authentification supplémentaire chaque fois que l’ordinateur démarre et si vous utilisez BitLocker avec ou sans module de plateforme sécurisée (TPM). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.
Remarque
Une seule des options d’authentification supplémentaires peut être requise au démarrage, sinon une erreur de stratégie se produit.
Si vous souhaitez utiliser BitLocker sur un ordinateur sans module de plateforme sécurisée, cochez la case « Autoriser BitLocker sans module de plateforme sécurisée compatible ». Dans ce mode, un mot de passe ou un lecteur USB est requis pour le démarrage. Lorsque vous utilisez une clé de démarrage, les informations de clé utilisées pour chiffrer le lecteur sont stockées sur le lecteur USB, ce qui crée une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si la clé USB est perdue ou indisponible ou si vous avez oublié le mot de passe, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur.
Sur un ordinateur doté d’un module de plateforme sécurisée compatible, quatre types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Au démarrage de l’ordinateur, il peut utiliser uniquement le module TPM pour l’authentification, ou il peut également nécessiter l’insertion d’un lecteur flash USB contenant une clé de démarrage, l’entrée d’un numéro d’identification personnel (PIN) à 6 chiffres à 20 chiffres, ou les deux.
Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer des options de démarrage avancées dans l’Assistant Installation de BitLocker.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer uniquement les options de base sur les ordinateurs dotés d’un TPM.
Remarque
Si vous souhaitez exiger l’utilisation d’un code confidentiel de démarrage et d’un lecteur flash USB, vous devez configurer les paramètres BitLocker à l’aide de l’outil en ligne de commande manage-bde au lieu de l’Assistant Configuration du chiffrement de lecteur BitLocker.
Remarque
- Dans Windows 10, version 1703 version B, vous pouvez utiliser un code PIN minimal de 4 chiffres. La stratégie SystemDrivesMinimumPINLength doit être définie pour autoriser les codes confidentiels inférieurs à 6 chiffres.
- Les appareils qui réussissent la validation HSTI (Hardware Security Testability Specification) ou les appareils de secours modernes ne seront pas en mesure de configurer un code pin de démarrage à l’aide de ce csp. Les utilisateurs doivent configurer manuellement le code confidentiel. Éléments d’ID de données :
- ConfigureNonTPMStartupKeyUsage_Name = Autoriser BitLocker sans module TPM compatible (nécessite un mot de passe ou une clé de démarrage sur un lecteur flash USB).
- ConfigureTPMStartupKeyUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer la clé de démarrage du module de plateforme sécurisée.
- ConfigurePINUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer le code pin de démarrage du module de plateforme sécurisée.
- ConfigureTPMPINKeyUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurez la clé de démarrage et le code confidentiel du module de plateforme sécurisée.
- ConfigureTPMUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer le démarrage du module de plateforme sécurisée.
Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
Les valeurs possibles pour « xx » sont les suivantes :
- true = Autoriser explicitement
- false = Stratégie non définie
Les valeurs possibles pour 'yy' sont les suivantes :
- 2 = Facultatif
- 1 = Obligatoire
- 0 = Non autorisé
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Astuce
Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.
Mappage ADMX :
Nom | Valeur |
---|---|
Nom | ConfigureAdvancedStartup_Name |
Nom convivial | Exiger une authentification supplémentaire au démarrage |
Localisation | Configuration ordinateur |
Chemin d'accès | Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker |
Nom de la clé de Registre | SOFTWARE\Policies\Microsoft\FVE |
Nom de la valeur de Registre | UseAdvancedStartup |
Nom du fichier ADMX | VolumeEncryption.admx |
Exemple :
Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Exemple de SyncML
L’exemple suivant est fourni pour afficher le format approprié et ne doit pas être considéré comme une recommandation.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Articles connexes
Informations de référence sur les fournisseurs de services de configuration