Paramètres de stratégie de chiffrement de disque pour la sécurité des points de terminaison dans Intune

Affichez les paramètres que vous pouvez configurer dans les profils pour la stratégie de chiffrement de disque dans le nœud Sécurité des points de terminaison d’Intune dans le cadre d’une stratégie de sécurité de point de terminaison.

Remarque

À compter du 19 juin 2023, le profil BitLocker pour Windows a été mis à jour pour utiliser le format des paramètres tel que trouvé dans le catalogue de paramètres. Le nouveau format de profil inclut les mêmes paramètres que l’ancien profil, mais en raison du nouveau format, les noms des paramètres dans le Centre d’administration Intune ont été mis à jour. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil. Vos instances existantes de l’ancien profil restent disponibles pour l’utilisation et la modification.

Les détails des paramètres de cet article s’appliquent uniquement aux profils BitLocker créés avant le 19 juin 2023.

Avec le nouveau format de profil, nous ne publions plus de liste dédiée des paramètres tels qu’ils se trouvent dans le profil. Utilisez plutôt le lien En savoir plus dans l’interface utilisateur lors de l’affichage des informations relatives à un paramètre pour ouvrir le fournisseur de services de configuration BitLocker dans la documentation Windows, où le paramètre est détaillé dans son intégralité.

S’applique à :

  • macOS
  • Windows 10
  • Windows 11

Plateformes et profils pris en charge :

  • macOS:
    • Profil : FileVault
  • Windows 10 et versions ultérieures :
    • Profil : BitLocker

FileVault

Chiffrement

Activer FileVault

  • Non configuré (par défaut)

  • Oui : activez le chiffrement de disque complet à l’aide de XTS-AES 128 avec FileVault sur les appareils qui exécutent macOS 10.13 et versions ultérieures. FileVault est activé lorsque l’utilisateur se déconnecte de l’appareil.

    Lorsque la valeur est Oui, vous pouvez configurer d’autres paramètres pour FileVault.

    • Type de clé de récupérationLes clés de récupération personnelles sont créées pour les appareils. Configurez les paramètres suivants pour la clé personnelle :

      • Rotation de la clé de récupération personnelle
        Spécifiez la fréquence de rotation de la clé de récupération personnelle pour un appareil. Vous pouvez sélectionner la valeur par défaut Non configuré ou une valeur de 1 à 12 mois.
      • Description de l’emplacement d’entiercement de la clé de récupération personnelle
        Spécifiez un court message à l’utilisateur qui explique comment récupérer sa clé de récupération personnelle. L’utilisateur voit ce message sur l’écran de connexion lorsqu’il est invité à entrer sa clé de récupération personnelle si un mot de passe est oublié.
    • Nombre de fois autorisées à contourner
      Définissez le nombre de fois où un utilisateur peut ignorer les invites pour activer FileVault avant que FileVault ne soit requis pour que l’utilisateur se connecte.

      • Non configuré (valeur par défaut) : le chiffrement sur l’appareil est requis avant que la prochaine connexion soit autorisée.
      • 1 à 10 : autoriser un utilisateur à ignorer l’invite de 1 à 10 fois avant d’exiger le chiffrement sur l’appareil.
      • Aucune limite, toujours demander : l’utilisateur est invité à activer FileVault, mais le chiffrement n’est jamais nécessaire.
    • Autoriser le report jusqu’à la déconnexion

      • Non configuré (par défaut)
      • Oui : différer l’invite pour activer FileVault jusqu’à ce que l’utilisateur se déconnecte.
    • Désactiver l’invite de déconnexion
      Empêchez l’invite à l’utilisateur qui demande qu’il active FileVault lorsqu’il se déconnecte. Lorsqu’il est défini sur Désactiver, l’invite de déconnexion est désactivée et l’utilisateur est invité à se connecter.

      • Non configuré (par défaut)
      • Oui : désactivez l’invite d’activation de FileVault qui s’affiche lors de la déconnexion.
    • Masquer la clé de récupération
      Masquez la clé de récupération personnelle à l’utilisateur de l’appareil macOS pendant le chiffrement. Une fois le disque chiffré, un utilisateur peut utiliser n’importe quel appareil pour afficher sa clé de récupération personnelle via le site web portail d’entreprise Intune ou l’application portail d’entreprise sur une plateforme prise en charge.

      • Non configuré (par défaut)
      • Oui : masquez la clé de récupération personnelle pendant le chiffrement de l’appareil.

BitLocker

Remarque

Cet article détaille les paramètres que vous pouvez trouver dans les profils BitLocker créés avant le 19 juin 2023, pour la plateforme Windows 10 et les versions ultérieures pour la stratégie de chiffrement de disque de sécurité des points de terminaison. Le 19 juin 2023, le profil Windows 10 et versions ultérieures a été mis à jour pour utiliser un nouveau format de paramètres, comme indiqué dans le catalogue de paramètres. Avec cette modification, vous ne pouvez plus créer de nouvelles versions de l’ancien profil et elles ne sont plus développées. Bien que vous ne puissiez plus créer de nouvelles instances de l’ancien profil, vous pouvez continuer à modifier et à utiliser les instances de celui-ci que vous avez créées précédemment.

Pour les profils qui utilisent le nouveau format de paramètres, Intune ne gère plus de liste de chaque paramètre par nom. Au lieu de cela, le nom de chaque paramètre, ses options de configuration et son texte explicatif que vous voyez dans le Centre d’administration Microsoft Intune sont pris directement à partir du contenu faisant autorité des paramètres. Ce contenu peut fournir plus d’informations sur l’utilisation du paramètre dans son contexte approprié. Lorsque vous affichez un texte d’informations de paramètres, vous pouvez utiliser son lien En savoir plus pour ouvrir ce contenu.

Les détails des paramètres suivants pour les profils Windows s’appliquent à ces profils déconseillés.

BitLocker – Paramètres de base

  • Activer le chiffrement de disque complet pour le système d’exploitation et les lecteurs de données fixes
    CSP : BitLocker - RequireDeviceEncryption

    Si le lecteur a été chiffré avant l’application de cette stratégie, aucune action supplémentaire n’est effectuée. Si la méthode de chiffrement et les options correspondent à celle de cette stratégie, la configuration doit retourner la réussite. Si une option de configuration BitLocker sur place ne correspond pas à cette stratégie, la configuration retourne probablement une erreur.

    Pour appliquer cette stratégie à un disque déjà chiffré, déchiffrez le lecteur et réappliquez la stratégie MDM. La valeur par défaut de Windows est de ne pas exiger le chiffrement de lecteur BitLocker. Toutefois, le chiffrement automatique de connexion/inscription de compte Microsoft Entra (MSA) peut appliquer l’activation de BitLocker au chiffrement XTS-AES 128 bits.

    • Non configuré (par défaut) : aucune application BitLocker n’a lieu.
    • Oui : appliquer l’utilisation de BitLocker.
  • Exiger le chiffrement des cartes de stockage (mobile uniquement)
    CSP : BitLocker - RequireStorageCardEncryption

    Ce paramètre s’applique uniquement aux appareils SKU Windows Mobile et Mobile Enterprise.

    • Non configuré (valeur par défaut) : le paramètre revient à la valeur par défaut du système d’exploitation, qui est de ne pas exiger le chiffrement de la carte de stockage.
    • Oui : le chiffrement sur les cartes de stockage est requis pour les appareils mobiles.

    Remarque

    La prise en charge de Windows 10 Mobile et Windows Phone 8.1 a pris fin en août 2020.

  • Masquer l’invite sur le chiffrement tiers
    CSP : BitLocker - AllowWarningForOtherDiskEncryption

    Si BitLocker est activé sur un système déjà chiffré par un produit de chiffrement tiers, il peut rendre l’appareil inutilisable. Une perte de données peut se produire et vous devrez peut-être réinstaller Windows. Il est fortement recommandé de ne jamais activer BitLocker sur un appareil sur lequel le chiffrement tiers est installé ou activé.

    Par défaut, l’Assistant Installation de BitLocker invite les utilisateurs à confirmer qu’aucun chiffrement tiers n’est en place.

    • Non configuré (par défaut) : l’Assistant Installation de BitLocker affiche un avertissement et invite les utilisateurs à confirmer qu’aucun chiffrement tiers n’est présent.
    • Oui : masquer l’invite de l’Assistant Installation de BitLocker aux utilisateurs.

    Si des fonctionnalités d’activation sans assistance BitLocker sont requises, l’avertissement de chiffrement tiers doit être masqué car toute invite requise interrompt les flux de travail d’activation en mode silencieux.

    Lorsque la valeur est Oui, vous pouvez configurer le paramètre suivant :

    • Autoriser les utilisateurs standard à activer le chiffrement pendant Autopilot
      CSP : BitLocker - AllowStandardUserEncryption

      • Non configuré (valeur par défaut) : le paramètre reste le paramètre client par défaut, qui nécessite un accès administrateur local pour activer BitLocker.
      • Oui - Pendant les scénarios d’activation silencieuse de la jonction Microsoft Entra, les utilisateurs n’ont pas besoin d’être des administrateurs locaux pour activer BitLocker.

      Pour les scénarios d’activation non silencieuse et d’Autopilot, l’utilisateur doit être un administrateur local pour terminer l’Assistant Installation de BitLocker.

  • Configurer la rotation du mot de passe de récupération pilotée par le client
    CSP : BitLocker - ConfigureRecoveryPasswordRotation

    Les appareils Add Work Account (AWA, anciennement Workplace Joined) ne sont pas pris en charge pour la rotation des clés.

    • Non configuré (valeur par défaut) : le client ne fait pas pivoter les clés de récupération BitLocker.
    • Disabled
    • Appareils joints à Microsoft Entra
    • Appareils joints hybrides Microsoft Entra

BitLocker - Paramètres de lecteur fixe

  • Stratégie de lecteur fixe BitLocker
    CSP : BitLocker - EncryptionMethodByDriveType

    • Récupération de lecteur fixe
      CSP : BitLocker - FixedDrivesRecoveryOptions

      Contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises.

      • Non configuré (valeur par défaut) : les options de récupération par défaut sont prises en charge, notamment l’agent de récupération de données (DRA). L’utilisateur final peut spécifier des options de récupération et les informations de récupération ne sont pas sauvegardées dans Microsoft Entra.
      • Configurer : activez l’accès pour configurer différentes techniques de récupération de lecteur.

      Lorsque la valeur est définie sur Configurer, les paramètres suivants sont disponibles :

      • Création d’une clé de récupération par l’utilisateur

        • Bloqué (par défaut)
        • Obligatoire
        • Autorisé
      • Configurer le package de récupération BitLocker

        • Mot de passe et clé (par défaut) : incluez à la fois le mot de passe de récupération BitLocker utilisé par les administrateurs et les utilisateurs pour déverrouiller les lecteurs protégés, ainsi que les packages de clés de récupération utilisés par les administrateurs à des fins de récupération de données dans Active Directory.
        • Mot de passe uniquement : les packages de clé de récupération peuvent ne pas être accessibles si nécessaire.
      • Exiger que l’appareil sauvegarde les informations de récupération sur Microsoft Entra

        • Non configuré (par défaut) : l’activation de BitLocker se termine même si la sauvegarde de la clé de récupération sur l’ID Microsoft Entra échoue. Cela peut entraîner le stockage externe des informations de récupération.
        • Oui : BitLocker ne termine pas l’activation tant que les clés de récupération n’ont pas été correctement enregistrées dans Microsoft Entra.
      • Création d’un mot de passe de récupération par l’utilisateur

        • Bloqué (par défaut)
        • Obligatoire
        • Autorisé
      • Masquer les options de récupération pendant l’installation de BitLocker

        • Non configuré (par défaut) : autoriser l’utilisateur à accéder à des options de récupération supplémentaires.
        • Oui : empêche l’utilisateur final de choisir des options de récupération supplémentaires telles que l’impression de clés de récupération pendant l’Assistant Installation de BitLocker.
      • Activer le stockage des informations bitLocker après récupération

        • Non configuré (par défaut)
        • Oui : si vous définissez ce paramètre sur Oui, les informations de récupération BitLocker sont enregistrées dans les services de domaine Active Directory.
      • Bloquer l’utilisation de l’agent de récupération de données basé sur les certificats (DRA)

        • Non configuré (valeur par défaut) : autoriser l’utilisation de DRA à être configurée. La configuration de DRA nécessite une infrastructure à clé publique d’entreprise et des objets de stratégie de groupe pour déployer l’agent DRA et les certificats.
        • Oui : bloquez la possibilité d’utiliser l’Agent de récupération de données (DRA) pour récupérer des lecteurs compatibles avec BitLocker.
    • Bloquer l’accès en écriture aux lecteurs de données fixes non protégés par BitLocker
      CSP : BitLocker - FixedDrivesRequireEncryption
      Ce paramètre est disponible lorsque la stratégie de lecteur fixe BitLocker est définie sur Configurer.

      • Non configuré (par défaut) : les données peuvent être écrites sur des lecteurs fixes non chiffrés.
      • Oui : Windows n’autorise pas l’écriture de données sur des lecteurs fixes qui ne sont pas protégés par BitLocker. Si un lecteur fixe n’est pas chiffré, l’utilisateur doit terminer l’Assistant Installation de BitLocker pour le lecteur avant que l’accès en écriture ne soit accordé.
    • Configurer la méthode de chiffrement pour les lecteurs de données fixes
      CSP : BitLocker - EncryptionMethodByDriveType

      Configurez la méthode de chiffrement et la force de chiffrement pour les disques de lecteurs de données fixes. XTS - AES 128 bits est la méthode de chiffrement par défaut de Windows et la valeur recommandée.

      • Non configuré (par défaut)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES 128 bits XTS
      • AES 256 bits XTS

BitLocker - Paramètres du lecteur de système d’exploitation

  • Stratégie de lecteur système BitLocker
    CSP : BitLocker - EncryptionMethodByDriveType

    • Configurer (par défaut)
    • Non configuré

    Lorsque vous définissez sur Configurer , vous pouvez configurer les paramètres suivants :

    • Authentification au démarrage requise
      CSP : BitLocker - SystemDrivesRequireStartupAuthentication

      • Non configuré (par défaut)
      • Oui : configurez les exigences d’authentification supplémentaires au démarrage du système, notamment l’utilisation du module de plateforme sécurisée (TPM) ou des exigences de code pin de démarrage.

      Lorsque la valeur est Oui , vous pouvez configurer les paramètres suivants :

      • Démarrage du module de plateforme sécurisée compatible
        CSP : BitLocker - SystemDrivesRequireStartupAuthentication

        Il est recommandé d’exiger un module de plateforme sécurisée pour BitLocker. Ce paramètre s’applique uniquement lors de la première activation de BitLocker et n’a aucun effet si BitLocker est déjà activé.

        • Bloqué (par défaut) : BitLocker n’utilise pas le module de plateforme sécurisée.
        • Obligatoire : BitLocker est activé uniquement si un module TPM est présent et utilisable.
        • Autorisé : BitLocker utilise le module TPM s’il est présent.
      • Code pin de démarrage du module de plateforme sécurisée compatible
        CSP : BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqué (par défaut) : bloquer l’utilisation d’un code confidentiel.
        • Obligatoire : exiger la présence d’un code confidentiel et D’un module de plateforme sécurisée pour activer BitLocker.
        • Autorisé : BitLocker utilise le TPM s’il est présent et autorise la configuration d’un code pin de démarrage par l’utilisateur.

        Pour les scénarios d’activation en mode silencieux, vous devez définir cette option sur Bloqué. Les scénarios d’activation silencieuse (y compris Autopilot) ne réussissent pas lorsque l’interaction de l’utilisateur est requise.

      • Clé de démarrage TPM compatible
        CSP : BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqué (par défaut) : bloquer l’utilisation des clés de démarrage.
        • Obligatoire : exiger la présence d’une clé de démarrage et du module de plateforme sécurisée (TPM) pour activer BitLocker.
        • Autorisé : BitLocker utilise le module TPM s’il est présent et permet la présence d’une clé de démarrage (par exemple, un lecteur USB) pour déverrouiller les lecteurs.

        Pour les scénarios d’activation en mode silencieux, vous devez définir cette option sur Bloqué. Les scénarios d’activation silencieuse (y compris Autopilot) ne réussissent pas lorsque l’interaction de l’utilisateur est requise.

      • Clé de démarrage et code confidentiel du module de plateforme sécurisée compatibles
        CSP : BitLocker - SystemDrivesRequireStartupAuthentication

        • Bloqué (par défaut) : bloquer l’utilisation d’une clé de démarrage et d’une combinaison de code confidentiel.
        • Obligatoire : exiger que BitLocker dispose d’une clé de démarrage et d’un code pin pour être activé.
        • Autorisé : BitLocker utilise le module TPM s’il est présent et autorise une combinaison de clé de démarrage) et de code confidentiel.

        Pour les scénarios d’activation en mode silencieux, vous devez définir cette option sur Bloqué. Les scénarios d’activation silencieuse (y compris Autopilot) ne réussissent pas lorsque l’interaction de l’utilisateur est requise.

      • Désactiver BitLocker sur les appareils où le module de plateforme sécurisée est incompatible
        CSP : BitLocker - SystemDrivesRequireStartupAuthentication

        Si aucun module TPM n’est présent, BitLocker nécessite un mot de passe ou un lecteur USB pour le démarrage.

        Ce paramètre s’applique uniquement lors de la première activation de BitLocker et n’a aucun effet si BitLocker est déjà activé.

        • Non configuré (par défaut)
        • Oui : empêche la configuration de BitLocker sans puce TPM compatible.
      • Activer le message et l’URL de récupération de prédémarrage
        CSP : BitLocker - SystemDrivesRecoveryMessageconfigure

        • Non configuré (par défaut) : utilisez les informations de récupération de prédémarreur BitLocker par défaut.
        • Oui : activez la configuration d’un message et d’une URL de récupération de prédémarreur personnalisés pour aider vos utilisateurs à comprendre comment trouver leur mot de passe de récupération. Le message de prédémarrement et l’URL sont affichés par les utilisateurs lorsqu’ils sont verrouillés hors de leur PC en mode de récupération.

        Lorsque la valeur est Oui , vous pouvez configurer les paramètres suivants :

        • Message de récupération de prédémarrage
          Spécifiez un message de récupération de prédémarreur personnalisé.

        • URL de récupération de prédémarrage
          Spécifiez une URL de récupération de prédémarreur personnalisée.

      • Récupération du lecteur système
        CSP : BitLocker - SystemDrivesRecoveryOptions

        • Non configuré (par défaut)
        • Configurer : activez la configuration de paramètres supplémentaires.

        Lorsque la valeur est définie sur Configurer, les paramètres suivants sont disponibles :

        • Création d’une clé de récupération par l’utilisateur

          • Bloqué (par défaut)
          • Obligatoire
          • Autorisé
        • Configurer le package de récupération BitLocker

          • Mot de passe et clé (par défaut) : incluez à la fois le mot de passe de récupération BitLocker utilisé par les administrateurs et les utilisateurs pour déverrouiller les lecteurs protégés, ainsi que les packages de clés de récupération utilisés par les administrateurs à des fins de récupération de données) dans Active Directory.
          • Mot de passe uniquement : les packages de clé de récupération peuvent ne pas être accessibles si nécessaire.
        • Exiger que l’appareil sauvegarde les informations de récupération sur Microsoft Entra

          • Non configuré (par défaut) : l’activation de BitLocker se termine même si la sauvegarde de la clé de récupération sur l’ID Microsoft Entra échoue. Cela peut entraîner le stockage externe des informations de récupération.
          • Oui : BitLocker ne termine pas l’activation tant que les clés de récupération n’ont pas été correctement enregistrées dans Microsoft Entra.
        • Création d’un mot de passe de récupération par l’utilisateur

          • Bloqué (par défaut)
          • Obligatoire
          • Autorisé
        • Masquer les options de récupération pendant l’installation de BitLocker

          • Non configuré (par défaut) : autoriser l’utilisateur à accéder à des options de récupération supplémentaires.
          • Oui : empêche l’utilisateur final de choisir des options de récupération supplémentaires telles que l’impression de clés de récupération pendant l’Assistant Installation de BitLocker.
        • Activer le stockage des informations bitLocker après récupération

          • Non configuré (par défaut)
          • Oui : si vous définissez ce paramètre sur Oui, les informations de récupération BitLocker sont enregistrées dans les services de domaine Active Directory.
        • Bloquer l’utilisation de l’agent de récupération de données basé sur les certificats (DRA)

          • Non configuré (valeur par défaut) : autoriser l’utilisation de DRA à être configurée. La configuration de DRA nécessite une infrastructure à clé publique d’entreprise et des objets de stratégie de groupe pour déployer l’agent DRA et les certificats.
          • Oui : bloquez la possibilité d’utiliser l’Agent de récupération de données (DRA) pour récupérer des lecteurs compatibles avec BitLocker.
      • Longueur minimale du code confidentiel
        CSP : BitLocker - SystemDrivesMinimumPINLength

        Spécifiez la longueur minimale du code pin de démarrage lorsque TPM + PIN est requis lors de l’activation de BitLocker. La longueur du code confidentiel doit être comprise entre 4 et 20 chiffres.

        Si vous ne configurez pas ce paramètre, les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur (entre 4 et 20 chiffres)

        Ce paramètre s’applique uniquement lors de la première activation de BitLocker et n’a aucun effet si BitLocker est déjà activé.

    • Configurer la méthode de chiffrement pour les lecteurs du système d’exploitation
      CSP : BitLocker - EncryptionMethodByDriveType

      Configurez la méthode de chiffrement et la force de chiffrement pour les lecteurs de système d’exploitation. XTS - AES 128 bits est la méthode de chiffrement par défaut de Windows et la valeur recommandée.

      • Non configuré (par défaut)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES 128 bits XTS
      • AES 256 bits XTS

BitLocker - Paramètres du lecteur amovible

  • Stratégie de lecteur amovible BitLocker
    CSP : BitLocker - EncryptionMethodByDriveType

    • Non configuré (par défaut)
    • Configurer

    Lorsque vous avez la valeur Configurer , vous pouvez configurer les paramètres suivants.

    • Configurer la méthode de chiffrement pour les lecteurs de données amovibles
      CSP : BitLocker - EncryptionMethodByDriveType

      Sélectionnez la méthode de chiffrement souhaitée pour les disques de lecteurs de données amovibles.

      • Non configuré (par défaut)
      • AES 128 bits CBC
      • AES 256 bits CBC
      • AES 128 bits XTS
      • AES 256 bits XTS
    • Bloquer l’accès en écriture aux lecteurs de données amovibles non protégés par BitLocker
      CSP : BitLocker - RemovableDrivesRequireEncryption

      • Non configuré (valeur par défaut) : les données peuvent être écrites sur des lecteurs amovibles non chiffrés.
      • Oui : Windows n’autorise pas l’écriture de données sur des lecteurs amovibles qui ne sont pas protégés par BitLocker. Si un lecteur amovible inséré n’est pas chiffré, l’utilisateur doit terminer l’Assistant Installation de BitLocker avant que l’accès en écriture soit accordé au lecteur.
    • Bloquer l’accès en écriture aux appareils configurés dans une autre organisation
      CSP : BitLocker - RemovableDrivesRequireEncryption

      • Non configuré (valeur par défaut) : tout lecteur chiffré BitLocker peut être utilisé.
      • Oui : bloquez l’accès en écriture aux lecteurs amovibles, sauf s’ils ont été chiffrés sur un ordinateur appartenant à votre organisation.

Étapes suivantes

Stratégie de sécurité des points de terminaison pour le chiffrement de disque