À propos du service de récupération BitLocker

S’applique à : Configuration Manager (branche actuelle)

Importante

À compter de la version 2103, l’implémentation du service de récupération a changé. Il n’utilise plus les composants MBAM hérités, mais il est toujours conceptuellement appelé service de récupération. Tous les clients version 2103 utilisent le composant moteur de traitement des messages du point de gestion comme service de récupération. Ils mettent sous séquestre leurs clés de récupération sur le canal de notification du client sécurisé. Avec cette modification, vous pouvez activer le site Configuration Manager pour http amélioré. Cette configuration n’affecte pas les fonctionnalités de gestion BitLocker dans Configuration Manager.

Lorsque le site et les clients exécutent Configuration Manager version 2103 ou ultérieure, les clients envoient leurs clés de récupération au point de gestion via le canal de notification du client sécurisé. Si des clients sont sur la version 2010 ou antérieure, ils ont besoin d’un service de récupération HTTPS sur le point de gestion pour mettre sous séquestre leurs clés.

Le service de récupération BitLocker est un composant serveur qui reçoit les données de récupération BitLocker de Configuration Manager clients. Le site déploie le service de récupération lorsque vous créez une stratégie de gestion BitLocker. Configuration Manager installe automatiquement le service de récupération sur chaque point de gestion avec un site web https.

Configuration Manager stocke les informations de récupération dans la base de données du site. Sans certificat de chiffrement de gestion BitLocker, Configuration Manager stocke les informations de récupération de clé en texte brut. Pour plus d’informations, consultez Chiffrer les données de récupération dans la base de données.

À compter de la version 2010, vous pouvez gérer les stratégies BitLocker et les clés de récupération de séquestre sur une passerelle de gestion cloud (CMG). Lorsque les clients joints à un domaine communiquent via la passerelle de gestion cloud, ils n’utilisent pas le service de récupération hérité, mais le composant moteur de traitement des messages du point de gestion. Microsoft Entra appareils joints hybrides utilisent également le moteur de traitement des messages.

À compter de la version 2103, tous les clients pris en charge utilisent le composant moteur de traitement des messages du point de gestion comme service de récupération. Cette modification réduit les dépendances vis-à-vis des composants MBAM hérités et permet la prise en charge du protocole HTTP amélioré.

Remarque

Pour la version 2010, le canal du moteur de traitement des messages récupère uniquement les clés pour le système d’exploitation et les volumes de lecteurs fixes. Il ne prend pas en charge les clés de récupération pour les lecteurs amovibles ou le hachage de mot de passe TPM.

À compter de la version 2103, les stratégies de gestion BitLocker sur une passerelle de gestion cloud prennent en charge les fonctionnalités suivantes :

  • Clés de récupération pour les lecteurs amovibles
  • Hachage de mot de passe TPM, également appelé autorisation du propriétaire TPM

Faire pivoter les clés

Lorsque vous récupérez une clé avec le portail libre-service ou du support technique, car elle est divulguée, Configuration Manager exige que le client effectue une rotation de la clé. La rotation de la clé signifie que le client génère une nouvelle clé pour la récupération BitLocker. Il met ensuite sous séquestre la nouvelle clé du service de récupération.

Remarque

Lorsque vous migrez à partir de MBAM, lorsque l’appareil reçoit une stratégie de gestion BitLocker de Configuration Manager, il effectue d’abord une rotation de sa clé. Il envoie ensuite la nouvelle clé au service de récupération Configuration Manager.

Étapes suivantes

Migrer à partir de MBAM

Configurer des rapports et des portails BitLocker