Gérer le chiffrement BitLocker sur Azure Stack HCI, version 23H2

  • Article

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment afficher et activer le chiffrement BitLocker et récupérer les clés de récupération BitLocker sur votre système Azure Stack HCI.

Prérequis

Avant de commencer, assurez-vous d’avoir accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.

Afficher les paramètres BitLocker via Portail Azure

Pour afficher les paramètres BitLocker dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez Appliquer l’initiative Microsoft Cloud Security Benchmark.

BitLocker offre deux types de protection : le chiffrement pour les volumes de système d’exploitation et le chiffrement pour les volumes de données. Vous pouvez uniquement afficher les paramètres BitLocker dans le Portail Azure. Pour gérer les paramètres, consultez Gérer les paramètres BitLocker avec PowerShell.

Capture d’écran montrant la page Protections des données pour le chiffrement de volume sur Portail Azure.

Gérer les paramètres BitLocker avec PowerShell

Vous pouvez afficher, activer et désactiver les paramètres de chiffrement de volume sur votre cluster Azure Stack HCI.

Propriétés de l’applet de commande PowerShell

Les propriétés d’applet de commande suivantes sont pour le chiffrement de volume avec le module BitLocker : AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Local etPerNode définissez l’étendue à laquelle l’applet de commande est exécutée.

    • Local : peut être exécuté dans une session PowerShell distante régulière et fournit les détails du volume BitLocker pour le nœud local.
    • PerNode : nécessite CredSSP (lors de l’utilisation de PowerShell distant) ou d’une session Bureau à distance (RDP). Fournit les détails du volume BitLocker par nœud.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Afficher les paramètres de chiffrement pour le chiffrement de volume avec BitLocker

Pour afficher les paramètres de chiffrement, procédez comme suit :

  1. Connectez-vous à votre nœud Azure Stack HCI.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Get-ASBitLocker

Activer et désactiver le chiffrement de volume avec BitLocker

Procédez comme suit pour activer le chiffrement de volume avec BitLocker :

  1. Connectez-vous à votre nœud Azure Stack HCI.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Important

    • L’activation du chiffrement de volume avec BitLocker sur le type de volume BootVolume nécessite TPM 2.0.

    • Lors de l’activation du chiffrement de volume avec BitLocker sur le type ClusterSharedVolume de volume (CSV), le volume sera mis en mode redirigé et toutes les machines virtuelles de charge de travail seront suspendues pendant une courte période. Cette opération est perturbatrice ; planifier en conséquence. Pour plus d’informations, consultez Comment configurer des disques en cluster chiffrés BitLocker dans Windows Server 2012.

    Enable-ASBitLocker

Procédez comme suit pour désactiver le chiffrement de volume avec BitLocker :

  1. Connectez-vous à votre nœud Azure Stack HCI.

  2. Exécutez l’applet de commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local :

    Disable-ASBitLocker

Obtenir les clés de récupération BitLocker

Notes

Les clés BitLocker peuvent être récupérées à tout moment à partir de votre annuaire Active Directory local. Si le cluster est en panne et que vous n’avez pas les clés, vous ne pourrez peut-être pas accéder aux données chiffrées sur le cluster. Pour enregistrer vos clés de récupération BitLocker, nous vous recommandons de les exporter et de les stocker dans un emplacement externe sécurisé tel qu’Azure Key Vault.

Procédez comme suit pour exporter les clés de récupération de votre cluster :

  1. Connectez-vous à votre cluster Azure Stack HCI en tant qu’administrateur local. Exécutez la commande suivante dans une session de console locale ou une session RDP (Remote Desktop Protocol) locale ou une session PowerShell à distance avec l’authentification CredSSP :

  2. Pour obtenir les informations sur la clé de récupération, exécutez la commande suivante dans PowerShell :

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Voici un exemple de sortie :

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Étapes suivantes