Comment activer BitLocker à l’aide de MBAM dans le cadre d’un déploiement Windows

Important

Ces instructions ne s’appliquent pas à Configuration Manager BitLocker Management. Le Invoke-MbamClientDeployment.ps1 script PowerShell n’est pas pris en charge pour une utilisation avec la gestion BitLocker dans Configuration Manager. Cela inclut la mise sous séquestre des clés de récupération BitLocker pendant une séquence de tâches Configuration Manager.

À compter de Configuration Manager, version 2103, Configuration Manager BitLocker Management n’utilise plus le site des services de récupération de clés MBAM pour récupérer les clés. Toute tentative d’utilisation du Invoke-MbamClientDeployment.ps1 script PowerShell avec Configuration Manager version 2103 ou ultérieure peut entraîner de graves problèmes avec le site Configuration Manager. Les problèmes connus incluent la création d’une grande quantité de stratégies ciblées sur tous les appareils, ce qui peut provoquer des tempêtes de stratégie. Ce comportement entraîne une dégradation sévère des performances dans Configuration Manager principalement dans SQL et avec des points de gestion. Pour plus d’informations, consultez Utilisation de l’agent MBAM pour séquestre les clés de récupération BitLocker génère des stratégies excessives dans Configuration Manager, version 2103.

Gestion BitLocker à partir de Configuration Manager, la version 2203 prend en charge en mode natif la suppression de la clé BitLocker pendant une séquence de tâches avec la tâche Activer la séquence de tâches BitLocker via l’option Stocker automatiquement la clé de récupération dans la>base de données Configuration Manager. Pour plus d’informations, consultez Séquestre le mot de passe de récupération BitLocker sur le site pendant une séquence de tâches.

L’intégration autonome de MBAM à Configuration Manager n’a été prise en charge que via Configuration Manager, version 1902. Depuis Configuration Manager, la version 1902 n’est plus prise en charge. L’utilisation de MBAM autonome et du Invoke-MbamClientDeployment.ps1 script PowerShell avec les versions de Configuration Manager actuellement prises en charge n’est plus prise en charge. Pour plus d’informations, consultez Versions de Configuration Manager prises en charge par MBAM. Les clients qui utilisent MBAM autonome avec Configuration Manager doivent migrer vers Configuration Manager BitLocker Management.

Cet article explique comment activer BitLocker sur l’ordinateur d’un utilisateur à l’aide de Microsoft BitLocker Administration and Monitoring (MBAM) dans le cadre de votre processus de création d’images et de déploiement Windows.

Remarque

Si vous voyez un écran noir au redémarrage après la fin de la phase d’installation indiquant que le lecteur ne peut pas être déverrouillé, consultez Les versions antérieures de Windows ne démarrent pas après l’étape « Configurer Windows et Configuration Manager » si le préprovisionnement de BitLocker est utilisé avec Windows 10, version 1511.

Conditions préalables

  • Un processus de déploiement d’images Windows existant - Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager, ou un autre outil ou processus de création d’images - doit être en place

  • TPM doit être activé dans le BIOS et visible par le système d’exploitation

  • L’infrastructure du serveur MBAM doit être en place et accessible

  • La partition système requise par BitLocker doit être créée

  • La machine doit être jointe à un domaine pendant la création d’images avant que MBAM n’active complètement BitLocker

Pour activer BitLocker à l’aide de MBAM 2.5 SP1 dans le cadre d’un déploiement Windows

Activer BitLocker pendant le déploiement de Windows avec le Invoke-MbamClientDeployment.ps1 script PowerShell

Dans MBAM 2.5 SP1, l’approche recommandée pour activer BitLocker pendant un déploiement Windows consiste à utiliser le Invoke-MbamClientDeployment.ps1 script PowerShell.

  • Le Invoke-MbamClientDeployment.ps1 script met en œuvre BitLocker pendant le processus de création d’images. Lorsque la stratégie BitLocker l’exige, l’agent MBAM invite immédiatement l’utilisateur du domaine à créer un code confidentiel ou un mot de passe lorsque l’utilisateur du domaine se connecte pour la première fois après la création d’images.

  • Facile à utiliser avec MDT, System Center Configuration Manager ou des processus d’acquisition d’images autonomes

  • Compatible avec PowerShell 2.0 ou version ultérieure

  • Chiffrer le volume du système d’exploitation avec le protecteur de clé TPM

  • Prise en charge complète du préprovisionnement BitLocker

  • Chiffrer éventuellement les FDD

  • Escrow TPM OwnerAuth

    • Pour Windows 7, MBAM doit posséder le TPM pour que l’entiercement se produise.
    • Pour Windows 8.1, Windows 10 RTM et Windows 10 version 1511, l’entiercement de TPM OwnerAuth est pris en charge.
    • Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. Lorsqu’il provisionne le module de plateforme sécurisée, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du module de plateforme sécurisée.
  • Clés de récupération d’entiercement et packages de clés de récupération

  • Signaler immédiatement l’état du chiffrement

  • Nouveaux fournisseurs WMI

  • Journalisation détaillée

  • Gestion robuste des erreurs

Vous pouvez télécharger le Invoke-MbamClientDeployment.ps1 script à partir des scripts de déploiement du client MBAM. Ce téléchargement est le script principal que votre système de déploiement appelle pour configurer le chiffrement de lecteur BitLocker et enregistrer les clés de récupération avec le serveur MBAM.

Méthodes de déploiement WMI pour MBAM

Pour prendre en charge l’activation de BitLocker à l’aide du Invoke-MbamClientDeployment.ps1 script PowerShell, MBAM 2.5 SP1 inclut les méthodes WMI suivantes :

MBAM_Machine Classe WMI

  • PrepareTpmAndEscrowOwnerAuth: lit le TPM OwnerAuth et l’envoie à la base de données de récupération MBAM à l’aide du service de récupération MBAM. Si le TPM n’est pas détenu et que l’approvisionnement automatique n’est pas activé, il génère un TPM OwnerAuth et en prend la propriété. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

    Remarque

    Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. En outre, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du module de plateforme sécurisée.

    Paramètre Description
    RecoveryServiceEndPoint Chaîne spécifiant le point de terminaison du service de récupération MBAM.

    Voici une liste de messages d’erreur courants :

    Valeurs de retour courantes Message d’erreur
    S_OK
    0 (0x0)
    La méthode a réussi.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)
    Le module TPM n’est pas présent sur l’ordinateur ou est désactivé dans la configuration du BIOS.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)
    TPM n’est pas dans l’état correct (activé, activé et installation du propriétaire autorisée).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)
    MBAM ne peut pas prendre possession du TPM, car l’approvisionnement automatique est en attente. Réessayez une fois l’approvisionnement automatique terminé.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)
    MBAM ne peut pas lire la valeur d’autorisation du propriétaire du module de plateforme sécurisée. La valeur peut être supprimée après une mise sous séquestre réussie. Sur Windows 7, si d’autres personnes possèdent le module TPM, MBAM ne peut pas lire la valeur.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)
    L’ordinateur doit être redémarré pour définir le module de plateforme sécurisée sur l’état correct. Vous devrez peut-être redémarrer manuellement l’ordinateur.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)
    L’ordinateur doit être arrêté et réactivé pour définir le module de plateforme sécurisée sur l’état correct. Vous devrez peut-être redémarrer manuellement l’ordinateur.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)
    Le point de terminaison distant a refusé l’accès.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)
    Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)
    Le point de terminaison distant n’a pas pu traiter la demande.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)
    Le point de terminaison distant n’était pas accessible.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)
    Un message contenant une erreur a été reçu du point de terminaison distant. Veillez à vous connecter au point de terminaison de service approprié.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par http ou https.
  • ReportStatus: lit l’état de conformité du volume et l’envoie à la base de données d’état de conformité MBAM à l’aide du service de rapports d’état MBAM. L’état inclut la force de chiffrement, le type de protecteur, l’état du protecteur et l’état de chiffrement. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

    Paramètre Description
    ReportingServiceEndPoint Chaîne spécifiant le point de terminaison du service de rapports d’état MBAM.

    Voici une liste de messages d’erreur courants :

    Valeurs de retour courantes Message d’erreur
    S_OK
    0 (0x0)
    La méthode a réussi
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)
    Le point de terminaison distant a refusé l’accès.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)
    Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)
    Le point de terminaison distant n’a pas pu traiter la demande.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)
    Le point de terminaison distant n’était pas accessible.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)
    Un message contenant une erreur a été reçu du point de terminaison distant. Veillez à vous connecter au point de terminaison de service approprié.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)
    L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par http ou https.

MBAM_Volume Classe WMI

  • EscrowRecoveryKey: lit le mot de passe numérique de récupération et le package de clé du volume et les envoie à la base de données de récupération MBAM à l’aide du service de récupération MBAM. En cas d’échec, un code d’erreur est retourné pour la résolution des problèmes.

    Paramètre Description
    RecoveryServiceEndPoint Chaîne spécifiant le point de terminaison du service de récupération MBAM.

    Voici une liste de messages d’erreur courants :

    Valeurs de retour courantes Message d’erreur
    S_OK
    0 (0x0)
    La méthode a réussi
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)
    Le volume est verrouillé.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)
    Un protecteur de mot de passe numérique n’a pas été trouvé pour le volume.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)
    Le point de terminaison distant a refusé l’accès.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)
    Le point de terminaison distant n’existe pas ou n’a pas pu être localisé.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)
    Le point de terminaison distant n’a pas pu traiter la demande.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)
    Le point de terminaison distant n’était pas accessible.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)
    Un message contenant une erreur a été reçu du point de terminaison distant. Veillez à vous connecter au point de terminaison de service approprié.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)
    L’URL de l’adresse de point de terminaison n’est pas valide. L’URL doit commencer par http ou https.

Déployer MBAM à l’aide de Microsoft Deployment Toolkit (MDT) et de PowerShell

  1. Dans MDT, créez un partage de déploiement ou ouvrez un partage de déploiement existant.

    Remarque

    Vous pouvez utiliser le Invoke-MbamClientDeployment.ps1 script PowerShell avec n’importe quel processus ou outil de création d’images. Cette section montre comment l’intégrer à l’aide de MDT, mais les étapes sont similaires à celles de l’intégrer à un autre processus ou outil.

    Attention

    Si vous utilisez le préprovisionnement BitLocker dans Windows PE et que vous souhaitez conserver la valeur d’autorisation du propriétaire TPM, vous devez ajouter le SaveWinPETpmOwnerAuth.wsf script dans Windows PE immédiatement avant le redémarrage de l’installation dans le système d’exploitation complet. Si vous n’utilisez pas ce script, vous perdrez la valeur d’autorisation du propriétaire du module de plateforme sécurisée au redémarrage.

  2. Copiez dans Invoke-MbamClientDeployment.ps1<DeploymentShare>\Scripts. Si vous utilisez le préprovisionnement, copiez le SaveWinPETpmOwnerAuth.wsf fichier dans <DeploymentShare>\Scripts.

  3. Ajoutez l’application cliente MBAM 2.5 SP1 au nœud Applications dans le partage de déploiement.

    1. Sous le nœud Applications , sélectionnez Nouvelle application.
    2. Sélectionnez Application avec fichiers sources. Sélectionnez Suivant.
    3. Dans Nom de l’application, tapez « Client MBAM 2.5 SP1 ». Sélectionnez Suivant.
    4. Accédez au répertoire contenant MBAMClientSetup-<Version>.msi. Sélectionnez Suivant.
    5. Tapez « CLIENT MBAM 2.5 SP1 » comme répertoire à créer. Sélectionnez Suivant.
    6. Entrez msiexec /i MBAMClientSetup-<Version>.msi /quiet à la ligne de commande. Sélectionnez Suivant.
    7. Acceptez les valeurs par défaut restantes pour terminer l’Assistant Nouvelle application.
  4. Dans MDT, cliquez avec le bouton droit sur le nom du partage de déploiement, puis sélectionnez Propriétés. Sélectionnez l’onglet Règles . Ajoutez les lignes suivantes :

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Sélectionnez OK pour fermer la fenêtre.

  5. Sous le nœud Séquences de tâches, modifiez une séquence de tâches existante utilisée pour le déploiement Windows. Si vous le souhaitez, vous pouvez créer une séquence de tâches en cliquant avec le bouton droit sur le nœud Séquences de tâches, en sélectionnant Nouvelle séquence de tâches et en terminant l’Assistant.

    Sous l’onglet Séquence de tâches de la séquence de tâches sélectionnée, procédez comme suit :

    1. Sous le dossier Préinstaller , activez la tâche facultative Activer BitLocker (hors connexion) si vous souhaitez que BitLocker soit activé dans WinPE, qui chiffre uniquement l’espace utilisé.

    2. Pour conserver le TPM OwnerAuth lors de l’utilisation de l’approvisionnement préalable, ce qui permet à MBAM de le mettre sous séquestre ultérieurement, procédez comme suit :

      1. Rechercher l’étape Installer le système d’exploitation

      2. Ajouter une nouvelle étape Exécuter la ligne de commande après celle-ci

      3. Nommez l’étape Persist TPM OwnerAuth

      4. Définissez la ligne de commande sur cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Remarque

        Pour Windows 10, version 1607 ou ultérieure, seul Windows peut prendre possession du TPM. Lors de l’approvisionnement du module TPM, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée. Pour plus d’informations, consultez Mot de passe du propriétaire du module de plateforme sécurisée.

    3. Dans le dossier Restauration de l’état , supprimez la tâche Activer BitLocker .

    4. Dans le dossier Restauration de l’état , sous Tâches personnalisées, créez une tâche Installer l’application et nommez-la Installer l’agent MBAM. Sélectionnez la case d’option Installer une application unique et accédez à l’application cliente MBAM 2.5 SP1 créée précédemment.

    5. Dans le dossier Restauration de l’état , sous Tâches personnalisées, créez une tâche Exécuter un script PowerShell (après l’étape de l’application cliente MBAM 2.5 SP1) avec les paramètres suivants (mettez à jour les paramètres en fonction de votre environnement) :

      • Nom : Configurer BitLocker pour MBAM

      • Script PowerShell : Invoke-MbamClientDeployment.ps1

      • Paramètres:

        Paramètre Condition requise Description
        -RecoveryServiceEndpoint Requis Point de terminaison du service de récupération MBAM.
        -StatusReportingServiceEndpoint Facultatif Point de terminaison du service de rapports d’état MBAM.
        -EncryptionMethod Facultatif Méthode de chiffrement (par défaut : AES 128).
        -EncryptAndEscrowDataVolume Commutateur Spécifiez pour chiffrer les volumes de données et séquestrer les clés de récupération de volume de données.
        -WaitForEncryptionToComplete Commutateur Spécifiez pour attendre la fin du chiffrement.
        -DoNotResumeSuspendedEncryption Commutateur Spécifiez que le script de déploiement ne reprendra pas le chiffrement suspendu.
        -IgnoreEscrowOwnerAuthFailure Commutateur Spécifiez pour ignorer l’échec de l’authentification du propriétaire du module de plateforme sécurisée. Il doit être utilisé dans les scénarios où MBAM n’est pas en mesure de lire le TPM owner-auth. Par exemple, si l’approvisionnement automatique du module de plateforme sécurisée est activé.
        -IgnoreEscrowRecoveryKeyFailure Commutateur Spécifiez pour ignorer l’échec de l’archivage de la clé de récupération du volume.
        -IgnoreReportStatusFailure Commutateur Spécifiez pour ignorer l’échec du rapport d’état.

Pour activer BitLocker à l’aide de MBAM 2.5 ou version antérieure dans le cadre d’un déploiement Windows

  1. Installez le client MBAM. Pour obtenir des instructions, consultez Comment déployer le client MBAM à l’aide d’une ligne de commande.

  2. Joindre l’ordinateur à un domaine (recommandé).

    • Si l’ordinateur n’est pas joint à un domaine, le mot de passe de récupération n’est pas stocké dans le service de récupération de clés MBAM. Par défaut, MBAM n’autorise pas le chiffrement, sauf si la clé de récupération peut être stockée.

    • Si un ordinateur démarre en mode de récupération avant que la clé de récupération ne soit stockée sur le serveur MBAM, aucune méthode de récupération n’est disponible et l’ordinateur doit être réimagené.

  3. Ouvrez une invite de commandes en tant qu’administrateur et arrêtez le service MBAM.

  4. Définissez le service sur Manuel ou À la demande en tapant les commandes suivantes :

    net stop mbamagent

    sc config mbamagent start= demand

  5. Définissez les valeurs de Registre de sorte que le client MBAM ignore les paramètres de stratégie de groupe et définit plutôt le chiffrement pour démarrer l’heure à laquelle Windows est déployé sur cet ordinateur client.

    Attention

    Cette étape explique comment modifier le Registre Windows. L’utilisation incorrecte de l’Éditeur du Registre peut entraîner des problèmes sérieux qui peuvent vous obliger à réinstaller Windows. Nous ne pouvons pas garantir que les problèmes résultant de l’utilisation incorrecte de l’Éditeur du Registre peuvent être résolus. Utilisez l’Éditeur du Registre à vos propres risques.

    1. Définissez le module de plateforme sécurisée pour le chiffrement du système d’exploitation uniquement, exécutez Regedit.exe, puis importez le modèle de clé de Registre à partir de C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. Dans Regedit.exe, accédez à HKLM\SOFTWARE\Microsoft\MBAMet configurez les paramètres répertoriés dans le tableau suivant.

      Remarque

      Vous pouvez définir des paramètres de stratégie de groupe ou des valeurs de Registre liées à MBAM ici. Ces paramètres remplacent les valeurs précédemment définies.

      Entrée de Registre Paramètres de configuration
      DeploymentTime 0 = Désactivé
      1 = Utiliser les paramètres de stratégie de temps de déploiement (par défaut) : utilisez ce paramètre pour activer le chiffrement au moment où Windows est déployé sur l’ordinateur client.
      UseKeyRecoveryService 0 = N’utilisez pas de dépôt de clé. Les deux entrées de Registre suivantes ne sont pas requises dans ce cas.
      1 = Utiliser l’entiercement de clé dans le système de récupération de clé (par défaut)
      Ce paramètre est recommandé, ce qui permet à MBAM de stocker les clés de récupération. L’ordinateur doit être en mesure de communiquer avec le service de récupération de clé MBAM. Vérifiez que l’ordinateur peut communiquer avec le service avant de continuer.
      KeyRecoveryOptions 0 = Charge la clé de récupération uniquement
      1 = Charge la clé de récupération et le package de récupération de clé (par défaut)
      KeyRecoveryServiceEndPoint Définissez cette valeur sur l’URL du serveur exécutant le service De récupération de clés, par exemple . https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc
  6. Le client MBAM redémarre le système pendant le déploiement du client MBAM. Lorsque vous êtes prêt pour ce redémarrage, exécutez la commande suivante à une invite de commandes en tant qu’administrateur :

    net start mbamagent

  7. Lorsque les ordinateurs redémarrent et que le BIOS vous invite, acceptez la modification du module TPM.

  8. Pendant le processus de création d’images du système d’exploitation client Windows, lorsque vous êtes prêt à démarrer le chiffrement, ouvrez une invite de commandes en tant qu’administrateur, puis tapez les commandes suivantes pour définir le démarrage sur Automatique et redémarrer l’agent client MBAM :

    sc config mbamagent start= auto

    net start mbamagent

  9. Pour supprimer les valeurs de contournement du Registre, exécutez Regedit.exe et accédez à l’entrée de HKLM\SOFTWARE\Microsoft Registre. Cliquez avec le bouton droit sur le nœud MBAM , puis sélectionnez Supprimer.

Déploiement du client MBAM 2.5

Planification du déploiement du client MBAM 2.5