Stratégie BitLocker

Windows 10 comprend une fonctionnalité de cryptage de disque appelée BitLocker, qui fournit une protection fichier et système supplémentaire contre tout accès non autorisé à un appareil Windows perdu ou volé. Pour une protection supplémentaire, vous pouvez utiliser BitLocker avec Trusted Platform Module (TPM), version 1.2 ou supérieure. Une puce TPM gère les opérations de chiffrement et génère, stocke et limite l’utilisation des clés cryptographiques.

À compter de Windows 10, build 1703, les stratégies MDM peuvent contrôler BitLocker. Vous pouvez utiliser la stratégie BitLocker dans XenMobile pour configurer les paramètres disponibles dans l’Assistant BitLocker sur les appareils Windows 10. Par exemple, sur un appareil avec BitLocker activé, BitLocker peut inviter les utilisateurs à indiquer comment ils souhaitent déverrouiller leur lecteur au démarrage, sauvegarder leur clé de secours et déverrouiller un lecteur fixe. La configuration de la stratégie BitLocker permet également d’indiquer si :

  • BitLocker doit être activé sur les appareils sans puce TPM ;
  • les options de récupération doivent être affichées sur l’interface BitLocker ;
  • l’accès en écriture sur un lecteur amovible ou fixe doit être refusé si BitLocker n’est pas activé.

Remarque

Une fois que le cryptage BitLocker démarre sur un appareil, vous ne pouvez plus par la suite modifier les paramètres de BitLocker sur l’appareil par le déploiement d’une stratégie BitLocker mise à jour.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Exigences

  • La stratégie BitLocker requiert Windows 10 Enterprise Edition.

  • Avant de déployer la stratégie BitLocker, préparez votre environnement pour l’utilisation de BitLocker. Pour plus d’informations, y compris la configuration système requise pour BitLocker et son installation, consultez la page BitLocker de Microsoft et les articles sous ce nœud.

Paramètres Windows Phone

Image de l'écran de configuration Stratégies d'appareil

  • Exiger cryptage de l’appareil : permet d’indiquer si vous souhaitez inviter les utilisateurs à activer le cryptage BitLocker sur une carte de système Windows Phone. Si cette option est définie sur Activé, les appareils affichent un message, une fois l’inscription terminée, indiquant que l’entreprise requiert le cryptage de l’appareil. Si l’utilisateur n’accepte pas le cryptage de l’appareil, il ne dispose pas d’accès en écriture sur la carte système. Si cette option est définie sur Désactivé, l’utilisateur ne reçoit pas d’invite et la stratégie BitLocker détermine si l’appareil est crypté. La valeur par défaut est Désactivé.

  • Exiger cryptage de la carte de stockage : permet d’indiquer si vous souhaitez inviter les utilisateurs à activer le cryptage BitLocker sur une carte de stockage Windows Phone. Si cette option est définie sur Activé, le cryptage de carte de stockage est obligatoire pour bénéficier d’un accès en écriture sur la carte. La valeur par défaut est Désactivé.

Paramètres Windows Desktop et Tablet

Image de l'écran de configuration Stratégies d'appareil

  • Exiger cryptage de l’appareil : permet d’indiquer si vous souhaitez inviter les utilisateurs à activer le cryptage BitLocker sur Windows Desktop ou Tablet. Si cette option est définie sur Activé, les appareils affichent un message, une fois l’inscription terminée, indiquant que l’entreprise requiert le cryptage de l’appareil. Si cette option est définie sur Désactivé, l’utilisateur ne reçoit pas d’invite et BitLocker utilise les paramètres de stratégie. La valeur par défaut est Désactivé.

  • Configurer les méthodes de cryptage : permet d’indiquer les méthodes de cryptage à utiliser pour des types de lecteurs spécifiques. Si cette option est définie sur Désactivé, l’assistant BitLocker invite l’utilisateur à choisir la méthode de cryptage à utiliser pour un type de lecteur. Par défaut, la méthode de cryptage pour tous les lecteurs est XTS-AES 128 bits. La méthode de cryptage pour les lecteurs amovibles est AES-CBC 128 bits par défaut. Si cette option est définie sur Activé, BitLocker utilise la méthode de cryptage spécifiée dans la stratégie. Si cette option est définie sur Activé, ces paramètres supplémentaires s’affichent : Lecteur du système d’exploitation, Lecteur fixe et Lecteur amovible. Choisissez la méthode de cryptage par défaut pour chaque type de lecteur. La valeur par défaut est Désactivé.

  • Exiger authentification supplémentaire au démarrage : indique l’authentification supplémentaire requise lors du démarrage de l’appareil. Spécifie également si vous souhaitez autoriser BitLocker sur les appareils qui ne possèdent pas de puce TPM. Si cette option est définie sur Désactivé, les appareils sans TPM ne peuvent pas utiliser le cryptage BitLocker. Pour plus d’informations sur la puce TPM, consultez l’article de Microsoft, Vue d’ensemble de la technologie de module de plateforme sécurisée. Si cette option est définie sur Activé, les paramètres supplémentaires suivants s’affichent. La valeur par défaut est Désactivé.

    • Bloquer BitLocker sur les appareils sans puce TPM : sur un appareil sans puce TPM, BitLocker exige que les utilisateurs créent un mot de passe de déverrouillage ou une clé de démarrage. La clé de démarrage est stockée sur un lecteur USB, que l’utilisateur doit connecter à l’appareil avant le démarrage. Le mot de passe de déverrouillage doit comporter un minimum de huit caractères. La valeur par défaut est Désactivé.

    • Démarrage de TPM : sur un appareil avec puce TPM, il existe quatre modes de déverrouillage : TPM uniquement, TPM + code PIN, TPM + clé et TPM + code PIN + clé. Le démarrage de TPM est pour le mode TPM uniquement, avec lequel les clés de cryptage sont stockées dans la puce TPM. Ce mode ne requiert pas qu’un utilisateur fournisse des données de déverrouillage supplémentaires. L’appareil utilisateur se déverrouille automatiquement au cours du redémarrage, à l’aide de la clé de cryptage stockée dans la puce TPM. La valeur par défaut est Autoriser TPM.

    • Code PIN de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + code PIN. Un code PIN peut contenir jusqu’à 20 chiffres. Utilisez le paramètre Longueur minimale du code PIN pour spécifier la longueur minimale du code PIN. Un utilisateur configure un code PIN lors de la configuration de BitLocker et fournit le code PIN lors du démarrage de l’appareil.

    • Clé de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + clé. La clé de démarrage est stockée sur un lecteur USB ou autre lecteur amovible, que l’utilisateur doit connecter à l’appareil avant le démarrage.

    • Clé et code PIN de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + code PIN + clé.

      Si le déverrouillage réussit, le chargement du système d’exploitation démarre. Si le déverrouillage échoue, l’appareil entre en mode de récupération.

  • Longueur minimale du code PIN : longueur minimale du code PIN de démarrage de la puce TPM. La valeur par défaut est de 6.

  • Configurer la récupération de lecteur d’OS : en cas d’échec de l’étape de déverrouillage, BitLocker invite l’utilisateur à fournir la clé de récupération configurée. Ce paramètre permet de configurer les options de récupération de lecteur du système d’exploitation à la disposition des utilisateurs lorsqu’ils ne possèdent pas de mot de passe de déverrouillage ou de clé de démarrage USB. La valeur par défaut est Désactivé.

    • Autoriser agent de récupération de données basé sur certificat : indique si un agent de récupération des données basé sur certificat est autorisé. Ajoutez un agent de récupération de données depuis les stratégies de clé publique, qui se trouvent dans la Console de gestion des stratégie de groupe (GPMC) ou dans l’éditeur de stratégie de groupe local. Pour plus d’informations sur les agents de récupération de données, consultez l’article Microsoft BitLocker Basic Deployment. La valeur par défaut est Désactivé.

    • Créer un mot de passe de récupération de 48 bits pour la récupération du lecteur d’OS : indique si vous souhaitez autoriser les utilisateurs à utiliser un mot de passe de récupération ou les y obliger. BitLocker génère le mot de passe et l’enregistre dans un fichier ou un compte Cloud Microsoft. La valeur par défaut est Autoriser mot de passe de 48 bits.

    • Créer une clé de récupération de 256 bits : indique si vous souhaitez autoriser les utilisateurs à utiliser une clé de récupération ou les y obliger. Une clé de récupération est un fichier BEK, qui est stocké sur un lecteur USB. La valeur par défaut est Autoriser clé de récupération de 256 bits.

    • Masquer les options de récupération de lecteur d’OS : indique si vous souhaitez afficher ou masquer les options de récupération sur l’interface BitLocker. Si cette option est définie sur Activé, aucune option de récupération ne s’affiche sur l’interface BitLocker. Dans ce cas, inscrivez les appareils sur Active Directory, enregistrez les options de récupération sur Active Directory et définissez Enregistrer les informations de récupération sur AD DS sur Activé. La valeur par défaut est Désactivé.

    • Enregistrer les informations de récupération sur AD DS : permet d’indiquer si vous souhaitez enregistrer les options de récupération sur les services de domaine Active Directory. La valeur par défaut est Désactivé.

    • Configurer les informations de récupération stockées dans AD DS : permet d’indiquer si vous souhaitez stocker le mot de passe de récupération BitLocker ou le mot de passe de récupération et le pack de clé dans les services de domaine Active Directory. Le stockage du pack de clé prend en charge la récupération des données à partir d’un lecteur qui est altéré physiquement. La valeur par défaut est Sauvegarder le mot de passe de récupération.

    • Activer BitLocker après le stockage des informations de récupération dans AD DS : permet d’indiquer si vous souhaitez empêcher les utilisateurs d’activer BitLocker sauf si l’appareil est connecté à un domaine et si la sauvegarde des informations de récupération BitLocker sur Active Directory réussit. Si cette option est définie sur Activé, un appareil doit appartenir à un domaine avant de démarrer BitLocker. La valeur par défaut est Désactivé.

  • Personnaliser le message de récupération préalable au démarrage et l’URL : permet d’indiquer si BitLocker affiche un message et une adresse URL personnalisés sur l’écran de récupération. Si cette option est définie sur Activé, les paramètres supplémentaires suivants s’affichent : Utiliser le message de récupération et l’URL par défaut, Utiliser un message de récupération et une URL vides, Utiliser un message de récupération personnalisé et Utiliser une URL de récupération personnalisée. Si cette option est définie sur Désactivé, le message de récupération et l’URL par défaut s’affichent. La valeur par défaut est Désactivé.

  • Configurer la récupération de lecteur fixe : permet de configurer les options de récupération pour les utilisateurs pour un lecteur fixe crypté par BitLocker. BitLocker n’affiche pas de message sur le cryptage de lecteur fixe. Pour déverrouiller un lecteur au cours du démarrage, un utilisateur fournit un mot de passe ou une carte à puce. Les paramètres de déverrouillage au démarrage, qui ne sont pas dans cette stratégie, s’affichent dans l’interface BitLocker lorsqu’un utilisateur active le cryptage BitLocker sur un lecteur fixe. Pour plus d’informations sur les paramètres connexes, consultez la section Configurer la récupération de lecteur d’OS, plus haut dans cette liste. La valeur par défaut est Désactivé.

  • Bloquer l’accès en écriture aux lecteurs fixes n’utilisant pas BitLocker : si cette option est définie sur Activé, les utilisateurs peuvent écrire sur les lecteurs fixes uniquement lorsque ces lecteurs sont cryptés avec BitLocker. La valeur par défaut est Désactivé.

  • Bloquer l’accès en écriture aux lecteurs amovibles n’utilisant pas BitLocker : si cette option est définie sur Activé, les utilisateurs peuvent écrire sur les lecteurs amovibles uniquement lorsque ces lecteurs sont cryptés avec BitLocker. Configurez ce paramètre en fonction de la politique de votre organisation, selon qu’elle autorise l’accès en écriture sur les lecteurs amovibles d’une autre organisation ou non. La valeur par défaut est Désactivé.

  • Demander autre cryptage de disque : vous permet de désactiver l’invite d’avertissement concernant d’autre cryptage de disque sur les appareils. La valeur par défaut est Désactivé.

Stratégie BitLocker