Planification des exigences de stratégie de groupe MBAM 2.5
Utilisez les informations suivantes pour déterminer les types de protecteurs BitLocker que vous pouvez utiliser pour gérer les ordinateurs clients Microsoft BitLocker Administration and Monitoring (MBAM) dans votre entreprise.
Types de protecteurs BitLocker pris en charge par MBAM
MBAM prend en charge les types de protecteurs BitLocker suivants.
| Type de lecteur ou volume | Protecteurs BitLocker pris en charge |
|---|---|
| Volumes de système d’exploitation |
-
Module de plateforme sécurisée (TPM) - TPM + code confidentiel - TPM + clé USB : pris en charge uniquement lorsque le volume du système d’exploitation est chiffré avant l’installation de MBAM - TPM + code confidentiel + clé USB - pris en charge uniquement lorsque le volume du système d’exploitation est chiffré avant l’installation de MBAM - Mot de passe : pris en charge uniquement pour les appareils Windows To Go, les lecteurs de données fixes et les appareils Windows 8, Windows 8.1 et Windows 10 qui n’ont pas de module de plateforme sécurisée (TPM) - Mot de passe numérique : appliqué automatiquement dans le cadre du chiffrement du volume et n’a pas besoin d’être configuré, sauf en mode FIPS sur Windows 7 - Agent de récupération de données (DRA) |
| Lecteurs de données fixes |
-
Mot de passe - Déverrouillage automatique - Mot de passe numérique : appliqué automatiquement dans le cadre du chiffrement du volume et n’a pas besoin d’être configuré, sauf en mode FIPS sur Windows 7 - Agent de récupération de données (DRA) |
| Lecteurs amovibles |
-
Mot de passe - Déverrouillage automatique - Mot de passe numérique : appliqué automatiquement dans le cadre du chiffrement du volume et n’a pas besoin d’être configuré - Agent de récupération de données (DRA) |
Prise en charge de la stratégie BitLocker de chiffrement d’espace utilisé
Dans MBAM 2.5 SP1, si vous activez la stratégie de groupe Chiffrement de l’espace utilisé via BitLocker, le client MBAM l’honore.
Ce paramètre de stratégie de groupe est appelé Appliquer le type de chiffrement de lecteur sur les lecteurs de système d’exploitation et se trouve dans le nœud de l’objet de stratégie de groupe suivant : Configuration> ordinateurModèles d’administration>Composants Windows Lecteurs>du système d’exploitationchiffrement> de lecteur BitLocker. Si vous activez cette stratégie et sélectionnez le type de chiffrement Chiffrement de l’espace utilisé uniquement, MBAM respecte la stratégie et BitLocker chiffre uniquement l’espace disque utilisé sur le volume.
Comment obtenir les modèles de stratégie de groupe MBAM et modifier les paramètres
Lorsque vous êtes prêt à configurer les paramètres de stratégie de groupe MBAM souhaités, procédez comme suit :
Copiez les modèles de stratégie de groupe MBAM à partir des modèles de stratégie de groupe MDOP et installez-les sur un ordinateur capable d’exécuter la console de gestion des stratégies de groupe (GPMC) ou la gestion avancée des stratégies de groupe (AGPM). Pour plus d’informations, consultez Copie des modèles de stratégie de groupe MBAM 2.5.
Configurez les paramètres de stratégie de groupe que vous souhaitez utiliser dans votre entreprise. Pour plus d’informations, consultez Modification des paramètres de stratégie de groupe MBAM 2.5.
Descriptions des paramètres de stratégie de groupe MBAM
Le nœud GPO MDOP MBAM (Gestion BitLocker) contient quatre paramètres de stratégie globaux et quatre nœuds d’objet de stratégie de groupe enfants : Gestion des clients, Lecteur fixe, Lecteur de système d’exploitation et Lecteur amovible. Les sections suivantes décrivent et suggèrent des paramètres pour les paramètres de stratégie de groupe MBAM.
Important
Ne modifiez pas les paramètres de stratégie de groupe dans le nœud Chiffrement de lecteur BitLocker , sinon MBAM ne fonctionnera pas correctement. MBAM configure automatiquement les paramètres de ce nœud pour vous lorsque vous configurez les paramètres dans le nœud MDOP MBAM (Gestion BitLocker).
Définitions de stratégie de groupe globale
Cette section décrit les définitions de stratégie de groupe globales MBAM au niveau du nœud D’objet de stratégie de groupe suivant : Stratégies de configuration>> ordinateurModèles d’administration>Composants> WindowsMDOP MBAM (Gestion BitLocker).
| Nom de la stratégie | Vue d’ensemble et paramètres de stratégie de groupe suggérés |
|---|---|
| Choisir la méthode de chiffrement de lecteur et la force de chiffrement |
Configuration suggérée :Activé Configurez cette stratégie pour utiliser une méthode de chiffrement et une force de chiffrement spécifiques. Lorsque cette stratégie n’est pas configurée, BitLocker utilise la méthode de chiffrement par défaut : AES 128 bits avec Diffuser. Remarque : Un problème avec le rapport de conformité de l’ordinateur BitLocker l’amène à afficher « inconnu » pour la force de chiffrement, même si vous utilisez la valeur par défaut. Pour contourner ce problème, veillez à activer ce paramètre et à définir une valeur pour la force de chiffrement. - AES 128 bits avec Diffuser - pour Windows 7 uniquement - AES 128 pour Windows 8, Windows 8.1, Windows 10 et Windows 11 |
| Empêcher le remplacement de la mémoire au redémarrage |
Configuration suggérée :Non configuré Configurez cette stratégie pour améliorer les performances de redémarrage sans remplacer les secrets BitLocker en mémoire au redémarrage. Lorsque cette stratégie n’est pas configurée, les secrets BitLocker sont supprimés de la mémoire lors du redémarrage de l’ordinateur. |
| Valider la règle d’utilisation des certificats de carte à puce |
Configuration suggérée :Non configuré Configurez cette stratégie pour utiliser la protection BitLocker basée sur les certificats à puce. Lorsque cette stratégie n’est pas configurée, l’identificateur 1.3.6.1.4.1.311.67.1.1 d’objet par défaut est utilisé pour spécifier un certificat. |
| Fournir les identificateurs uniques de votre organisation |
Configuration suggérée :Non configuré Configurez cette stratégie pour utiliser un agent de récupération de données basé sur un certificat ou le lecteur BitLocker To Go. Lorsque cette stratégie n’est pas configurée, le champ Identification n’est pas utilisé. Si votre entreprise a besoin de mesures de sécurité plus élevées, vous pouvez configurer le champ Identification pour vous assurer que tous les périphériques USB ont ce champ défini et qu’ils s’alignent sur ce paramètre de stratégie de groupe. |
Définitions de stratégie de groupe Gestion du client
Cette section décrit les définitions de stratégie de gestion des clients pour MBAM au niveau du nœud d’objet de stratégie de groupe suivant : Stratégies de configuration>> ordinateurModèles d’administration>Composants> WindowsMDOP MBAM (Gestion BitLocker)>Gestion des clients.
Vous pouvez définir les mêmes paramètres de stratégie de groupe pour les topologies d’intégration autonomes et System Center Configuration Manager, à une exception près : Désactivez le paramètre Configurer le point de terminaison de service de création de rapports d’état MBAM Services > MBAM si vous utilisez la topologie d’intégration Configuration Manager, comme indiqué dans le tableau suivant.
| Nom de la stratégie | Vue d’ensemble et paramètres de stratégie de groupe suggérés |
|---|---|
| Configurer les services MBAM |
Configuration suggérée :Activé - Point de terminaison de service de récupération et de matériel MBAM : utilisez ce paramètre pour activer la gestion du chiffrement BitLocker du client MBAM. Entrez un emplacement de point de terminaison similaire à l’exemple suivant : http(s) ://<Nom> du serveur d’administration et de surveillance MBAM:<port auquel le service web est lié>/MBAMRecoveryAndHardwareService/CoreService.svc. - Sélectionner les informations de récupération BitLocker à stocker : ce paramètre de stratégie vous permet de configurer le service de récupération de clé pour sauvegarder les informations de récupération BitLocker. Il vous permet également de configurer un service de rapports d’état pour la collecte de rapports. La stratégie fournit une méthode administrative de récupération des données chiffrées par BitLocker afin d’éviter la perte de données en raison du manque d’informations clés. Le rapport d’état et l’activité de récupération de clé sont automatiquement et silencieusement envoyés à l’emplacement du serveur de rapports configuré. Si vous ne configurez pas ce paramètre de stratégie ou si vous le désactivez, les informations de récupération de clé ne sont pas enregistrées et le rapport d’état et l’activité de récupération de clé ne sont pas signalés au serveur. Lorsque ce paramètre est défini sur Mot de passe de récupération et package de clé, le mot de passe de récupération et le package de clé sont sauvegardés automatiquement et en mode silencieux sur l’emplacement du serveur de récupération de clé configuré. - Entrez la fréquence d’état de vérification du client en minutes : ce paramètre de stratégie gère la fréquence à laquelle le client vérifie l’état et les stratégies de protection BitLocker sur l’ordinateur client. Cette stratégie gère également la fréquence à laquelle l’état de conformité du client est enregistré sur le serveur. Le client vérifie l’état et les stratégies de protection BitLocker sur l’ordinateur client, et sauvegarde également la clé de récupération du client à la fréquence configurée. Définissez cette fréquence en fonction des exigences définies par votre entreprise sur la fréquence à laquelle vérifier l’état de conformité de l’ordinateur et la fréquence de sauvegarde de la clé de récupération du client. - Point de terminaison du service de rapports d’état MBAM : - Pour MBAM dans une topologie autonome : vous devez configurer ce paramètre pour activer la gestion du chiffrement BitLocker du client MBAM. Entrez un emplacement de point de terminaison similaire à l’exemple suivant : http(s) ://<Nom du serveur> d’administration et de surveillance MBAM:<port auquel le service web est lié>/MBAMComplianceStatusService/StatusReportingService.svc. - Pour MBAM dans la topologie d’intégration de Configuration Manager : désactivez ce paramètre. |
| Configurer la stratégie d’exemption utilisateur |
Configuration suggérée :Non configuré Ce paramètre de stratégie vous permet de configurer une adresse de site web, une adresse e-mail ou un numéro de téléphone qui indique à un utilisateur de demander une exemption du chiffrement BitLocker. Si vous activez ce paramètre de stratégie et fournissez une adresse de site web, une adresse e-mail ou un numéro de téléphone, les utilisateurs voient une boîte de dialogue contenant des instructions sur la façon de demander une exemption de la protection BitLocker. Pour plus d’informations sur l’activation des exemptions de chiffrement BitLocker pour les utilisateurs, consultez Guide pratique pour gérer les exemptions de chiffrement BitLocker utilisateur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les instructions de demande d’exemption ne sont pas affichées pour les utilisateurs. Remarque : l’exemption d’utilisateur est gérée par utilisateur, et non par ordinateur. Si plusieurs utilisateurs se connectent au même ordinateur et qu’un utilisateur n’est pas exempté, l’ordinateur est chiffré. |
| Configurer le programme d’amélioration de l’expérience client |
Configuration suggérée :Activé Ce paramètre de stratégie vous permet de configurer la façon dont les utilisateurs MBAM peuvent rejoindre le programme d’amélioration de l’expérience client. Ce programme collecte des informations sur le matériel informatique et la façon dont les utilisateurs utilisent MBAM sans interrompre leur travail. Ces informations aident Microsoft à identifier les fonctionnalités MBAM à améliorer. Microsoft n’utilise pas ces informations pour identifier ou contacter les utilisateurs MBAM. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent rejoindre le programme d’amélioration du produit. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas rejoindre le programme d’amélioration du produit. Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent rejoindre le programme d’amélioration du produit. |
| Fournissez l’URL du lien Stratégie de sécurité |
Configuration suggérée :Activé Utilisez ce paramètre de stratégie pour spécifier une URL qui s’affiche pour les utilisateurs finaux sous la forme d’un lien nommé « Stratégie de sécurité de l’entreprise ». Le lien pointe vers la stratégie de sécurité interne de votre entreprise et fournit aux utilisateurs finaux des informations sur les exigences de chiffrement. Le lien s’affiche lorsque MBAM invite les utilisateurs à chiffrer un lecteur. Si vous activez ce paramètre de stratégie, vous pouvez configurer l’URL du lien Stratégie de sécurité. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le lien Stratégie de sécurité n’est pas affiché pour les utilisateurs. |
Définitions de stratégie de groupe lecteur fixe
Cette section décrit les définitions de stratégie de lecteur fixe pour l’administration et la surveillance Microsoft BitLocker au niveau du nœud d’objet de stratégie de groupe suivant : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsMDOP MBAM (Gestion BitLocker)>Lecteur fixe.
| Nom de la stratégie | Vue d’ensemble et paramètres de stratégie de groupe suggérés |
|---|---|
| Correction des paramètres de chiffrement des lecteurs de données |
Configuration suggérée :Activé Ce paramètre de stratégie vous permet de déterminer si les lecteurs de données fixes doivent être chiffrés. Si le volume du système d’exploitation doit être chiffré, sélectionnez Activer le lecteur de données fixe à déverrouillage automatique. Lorsque vous activez cette stratégie, vous ne devez pas désactiver la stratégie Configurer l’utilisation du mot de passe pour les lecteurs de données fixes , sauf si vous activez ou exigez l’utilisation du verrouillage automatique pour les lecteurs de données fixes. Si vous devez utiliser le verrouillage automatique pour les lecteurs de données fixes, vous devez configurer le chiffrement des volumes du système d’exploitation. Si vous activez ce paramètre de stratégie, les utilisateurs doivent placer tous les lecteurs de données fixes sous protection BitLocker, et les lecteurs de données sont ensuite chiffrés. Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ne sont pas tenus de placer les lecteurs de données fixes sous protection BitLocker. Si vous appliquez cette stratégie après le chiffrement des lecteurs de données fixes, l’agent MBAM déchiffre les lecteurs de données fixes chiffrés. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas placer leurs lecteurs de données fixes sous la protection BitLocker. |
| Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker |
Configuration suggérée :Non configuré Ce paramètre de stratégie détermine si la protection BitLocker est requise pour que les lecteurs de données fixes puissent être accessibles en écriture sur un ordinateur. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Lorsque la stratégie n’est pas configurée, tous les lecteurs de données fixes sur l’ordinateur sont montés avec l’autorisation de lecture/écriture. |
| Autoriser l’accès aux lecteurs fixes protégés par BitLocker à partir de versions antérieures de Windows |
Configuration suggérée :Non configuré Activez cette stratégie afin que les lecteurs fixes avec le système de fichiers FAT puissent être déverrouillés et affichés sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Lorsque la stratégie est activée ou non configurée, les lecteurs fixes formatés avec le système de fichiers FAT peuvent être déverrouillés et leur contenu peut être affiché sur des ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Ces systèmes d’exploitation disposent d’une autorisation en lecture seule sur les lecteurs protégés par BitLocker. Lorsque la stratégie est désactivée, les lecteurs fixes formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. |
| Configurer l’utilisation du mot de passe pour les lecteurs fixes |
Configuration suggérée :Non configuré Utilisez cette stratégie pour spécifier si un mot de passe est requis pour déverrouiller les lecteurs de données fixes protégés par BitLocker. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. BitLocker permet aux utilisateurs de déverrouiller un lecteur avec l’un des protecteurs disponibles sur le lecteur. Ces paramètres sont appliqués lorsque vous activez BitLocker, et non lorsque vous déverrouillez un volume. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe. Lorsque la stratégie n’est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n’incluent pas les exigences de complexité des mots de passe et qui nécessitent seulement huit caractères. Pour plus de sécurité, activez cette stratégie, puis sélectionnez Exiger le mot de passe pour le lecteur de données fixe, sélectionnez Exiger la complexité du mot de passe et définissez la longueur minimale du mot de passe souhaitée. Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe. Si vous ne configurez pas ce paramètre de stratégie, les mots de passe sont pris en charge avec les paramètres par défaut, qui n’incluent pas les exigences de complexité des mots de passe et ne nécessitent que huit caractères. |
| Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés |
Configuration suggérée :Non configuré Configurez cette stratégie pour activer l’agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans Active Directory Domain Services (AD DS). Lorsque la stratégie n’est pas configurée, l’agent de récupération de données BitLocker est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. MBAM ne nécessite pas que les informations de récupération soient sauvegardées dans AD DS. |
| Paramètres d’application de la stratégie de chiffrement |
Configuration suggérée :Activé Utilisez ce paramètre de stratégie pour configurer le nombre de jours pendant lesquels les lecteurs de données fixes peuvent rester non conformes jusqu’à ce qu’ils soient obligés de se conformer aux stratégies MBAM. Les utilisateurs ne peuvent pas reporter l’action requise ou demander une exemption après la période de grâce. La période de grâce commence lorsque le lecteur de données fixe est déterminé comme non conforme. Toutefois, la stratégie de lecteur de données fixe n’est pas appliquée tant que le lecteur du système d’exploitation n’est pas conforme. Si la période de grâce expire et que le lecteur de données fixe n’est toujours pas conforme, les utilisateurs n’ont pas la possibilité de reporter ou de demander une exemption. Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s’affiche, que les utilisateurs ne peuvent pas fermer tant qu’ils n’ont pas fourni les informations requises. Entrez 0 dans configurer le nombre de jours de période de grâce de non-conformité pour les lecteurs fixes pour forcer le processus de chiffrement à démarrer immédiatement après l’expiration de la période de grâce pour le lecteur du système d’exploitation. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ne sont pas obligés de se conformer aux stratégies MBAM. Si aucune interaction utilisateur n’est requise pour ajouter un logiciel de protection, le chiffrement commence en arrière-plan après l’expiration de la période de grâce. |
Définitions de stratégie de groupe lecteur de système d’exploitation
Cette section décrit les définitions de stratégie de lecteur de système d’exploitation pour l’administration et la surveillance Microsoft BitLocker au niveau du nœud d’objet de stratégie de groupe suivant : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsMDOP MBAM (Gestion BitLocker)>Lecteur de système d’exploitation.
| Nom de la stratégie | Vue d’ensemble et paramètres de stratégie de groupe suggérés |
|---|---|
| Paramètres de chiffrement des lecteurs du système d’exploitation |
Configuration suggérée :Activé Ce paramètre de stratégie vous permet de déterminer si le lecteur du système d’exploitation doit être chiffré. Pour une sécurité plus élevée, envisagez de désactiver les paramètres de stratégie suivants dansParamètres de mise en veillede gestion de> l’alimentation système> lorsque vous les activez avec TPM + protecteur de code confidentiel :
Sur un ordinateur doté d’un module de plateforme sécurisée compatible, deux types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l’authentification, ou il peut également exiger l’entrée d’un numéro d’identification personnel (PIN). Si vous activez ce paramètre de stratégie, les utilisateurs doivent placer le lecteur du système d’exploitation sous protection BitLocker, et le lecteur est ensuite chiffré. Si vous désactivez cette stratégie, les utilisateurs ne peuvent pas placer le lecteur du système d’exploitation sous la protection BitLocker. Si vous appliquez cette stratégie après le chiffrement du lecteur du système d’exploitation, le lecteur est ensuite déchiffré. Si vous ne configurez pas cette stratégie, le lecteur du système d’exploitation n’a pas besoin d’être placé sous la protection BitLocker. |
| Autoriser les codes confidentiels améliorés pour le démarrage |
Configuration suggérée :Non configuré Utilisez ce paramètre de stratégie pour configurer si les codes confidentiels de démarrage améliorés sont utilisés avec BitLocker. Les codes confidentiels de démarrage améliorés permettent d’utiliser des caractères, notamment des lettres majuscules et minuscules, des symboles, des chiffres et des espaces. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker définis permettent à l’utilisateur final de créer des codes confidentiels améliorés. Toutefois, tous les ordinateurs ne peuvent pas prendre en charge les codes confidentiels améliorés dans l’environnement de prédémarrage. Nous recommandons vivement aux administrateurs d’évaluer si leurs systèmes sont compatibles avec cette fonctionnalité avant d’activer son utilisation. Activez la case à cocher Exiger des codes confidentiels ASCII uniquement pour rendre les codes confidentiels améliorés plus compatibles avec les ordinateurs qui limitent le type ou le nombre de caractères pouvant être entrés dans l’environnement de prédémarrage. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les codes confidentiels améliorés ne sont pas utilisés. |
| Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés |
Configuration suggérée :Non configuré Configurez cette stratégie pour activer l’agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans Active Directory Domain Services (AD DS). Lorsque cette stratégie n’est pas configurée, l’agent de récupération de données est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. L’opération MBAM ne nécessite pas de sauvegarde des informations de récupération dans AD DS. |
| Configurer l’utilisation des mots de passe pour les lecteurs de système d’exploitation |
Configuration suggérée :Non configuré Utilisez ce paramètre de stratégie pour définir les contraintes pour les mots de passe utilisés pour déverrouiller les lecteurs de système d’exploitation protégés par BitLocker. Si des protecteurs non-TPM sont autorisés sur les lecteurs du système d’exploitation, vous pouvez provisionner un mot de passe, appliquer des exigences de complexité sur le mot de passe et configurer une longueur minimale pour le mot de passe. Pour que le paramètre d’exigence de complexité soit efficace, vous devez également activer le paramètre de stratégie de groupe « Le mot de passe doit répondre aux exigences de complexité » situé dans Configuration > ordinateur Paramètres Windows Paramètres > sécurité Stratégies > de compte > Stratégie de mot de passe. Note: Ces paramètres sont appliqués lorsque vous activez BitLocker, et non lorsque vous déverrouillez un volume. BitLocker vous permet de déverrouiller un lecteur avec l’un des protecteurs disponibles sur le lecteur. Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux exigences que vous définissez. Pour appliquer des exigences de complexité au mot de passe, sélectionnez Exiger la complexité du mot de passe. |
| Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme basées sur le BIOS |
Configuration suggérée :Non configuré Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur n’a pas de TPM compatible ou si BitLocker est déjà activé avec la protection TPM. Important: Ce paramètre de stratégie de groupe s’applique uniquement aux ordinateurs avec des configurations BIOS ou aux ordinateurs avec microprogramme UEFI avec un module de service de compatibilité (CSM) activé. Les ordinateurs qui utilisent une configuration de microprogramme UEFI native stockent différentes valeurs dans les registres de configuration de plateforme (PCR). Utilisez le paramètre de stratégie de groupe « Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives » pour configurer le profil PCR TPM pour les ordinateurs qui utilisent le microprogramme UEFI natif. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage validés par le TPM avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants change lorsque la protection BitLocker est en vigueur, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l’ordinateur affiche à la place la console de récupération BitLocker et nécessite que vous fournissiez le mot de passe de récupération ou la clé de récupération pour déverrouiller le lecteur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
| Configurer le profil de validation de plateforme TPM |
Configuration suggérée :Non configuré Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur n’a pas de module de plateforme sécurisée compatible ou si BitLocker a déjà été activé avec la protection TPM. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage validés par le TPM avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants change lorsque la protection BitLocker est en vigueur, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l’ordinateur affiche à la place la console de récupération BitLocker et nécessite que vous fournissiez le mot de passe de récupération ou la clé de récupération pour déverrouiller le lecteur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
| Configurer le profil de validation de plateforme TPM pour les configurations de microprogramme UEFI natives |
Configuration suggérée :Non configuré Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l’ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s’applique pas si l’ordinateur n’a pas de TPM compatible ou si BitLocker est déjà activé avec la protection TPM. Important: Ce paramètre de stratégie de groupe s’applique uniquement aux ordinateurs avec une configuration de microprogramme UEFI native. Si vous activez ce paramètre de stratégie avant d’activer BitLocker, vous pouvez configurer les composants de démarrage que le module TPM valide avant de déverrouiller l’accès au lecteur du système d’exploitation chiffré par BitLocker. Si l’un de ces composants change lorsque la protection BitLocker est en vigueur, le module de plateforme sécurisée ne libère pas la clé de chiffrement pour déverrouiller le lecteur et l’ordinateur affiche à la place la console de récupération BitLocker et nécessite que vous fournissiez le mot de passe de récupération ou la clé de récupération pour déverrouiller le lecteur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d’installation. |
| Réinitialiser les données de validation de la plateforme après la récupération BitLocker |
Configuration suggérée :Non configuré Utilisez ce paramètre de stratégie pour contrôler si les données de validation de plateforme sont actualisées lorsque Windows est démarré après la récupération BitLocker. Si vous activez ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows est démarré après la récupération BitLocker. Si vous désactivez ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows est démarré après la récupération BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows est démarré après la récupération BitLocker. |
| Utiliser le profil de validation des données de configuration de démarrage amélioré |
Configuration suggérée :Non configuré Ce paramètre de stratégie vous permet de choisir des paramètres bcD (Boot Configuration Data) spécifiques à vérifier lors de la validation de la plateforme. Si vous activez ce paramètre de stratégie, vous pouvez ajouter d’autres paramètres, supprimer les paramètres par défaut, ou les deux. Si vous désactivez ce paramètre de stratégie, l’ordinateur revient à un profil BCD similaire au profil BCD par défaut utilisé par Windows 7. Si vous ne configurez pas ce paramètre de stratégie, l’ordinateur vérifie les paramètres windows BCD par défaut. Note: Lorsque BitLocker utilise le démarrage sécurisé pour la validation de l’intégrité de la plateforme et des données de configuration de démarrage (BCD), comme défini par la stratégie « Autoriser le démarrage sécurisé pour la validation de l’intégrité », la stratégie « Utiliser le profil de validation des données de configuration de démarrage améliorée » est ignorée. Le paramètre qui contrôle le débogage de démarrage (0x16000010) est toujours validé et n’a aucun effet s’il est inclus dans les champs fournis. |
| Paramètres d’application de la stratégie de chiffrement |
Configuration suggérée :Activé Utilisez ce paramètre de stratégie pour configurer le nombre de jours pendant lesquels les utilisateurs peuvent différer la conformité aux stratégies MBAM pour leur lecteur de système d’exploitation. La période de grâce commence lorsque le système d’exploitation est détecté pour la première fois comme non conforme. Une fois cette période de grâce expirée, les utilisateurs ne peuvent pas reporter l’action requise ou demander une exemption de celle-ci. Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s’affiche, que les utilisateurs ne peuvent pas fermer tant qu’ils n’ont pas fourni les informations requises. Si vous désactivez ou ne configurez pas ce paramètre, les utilisateurs ne sont pas obligés de se conformer aux stratégies MBAM. Si aucune interaction utilisateur n’est requise pour ajouter un logiciel de protection, le chiffrement commence en arrière-plan après l’expiration de la période de grâce. |
| Configurer le message et l’URL de récupération de prédémarrage |
Configuration suggérée :Non configuré Activez ce paramètre de stratégie pour configurer un message de récupération personnalisé ou pour spécifier une URL qui s’affiche ensuite sur l’écran de récupération BitLocker de prédémarrage lorsque le lecteur du système d’exploitation est verrouillé. Ce paramètre est disponible uniquement sur les ordinateurs clients exécutant Windows 11 et Windows 10. Lorsque cette stratégie est activée, vous pouvez sélectionner l’une des options suivantes pour le message de récupération de prédémarrage :
|
Définitions de stratégie de groupe lecteur amovible
Cette section décrit les définitions de stratégie de groupe lecteur amovible pour l’administration et la surveillance Microsoft BitLocker au niveau du nœud D’objet de stratégie de groupe suivant : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsMDOP MBAM (Gestion BitLocker)>Lecteur amovible.
| Nom de la stratégie | Vue d’ensemble et paramètres de stratégie de groupe suggérés |
|---|---|
| Contrôler l’utilisation de BitLocker sur les lecteurs amovibles |
Configuration suggérée :Activé Cette stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles. Sélectionnez Autoriser les utilisateurs à appliquer la protection BitLocker sur des lecteurs de données amovibles pour permettre aux utilisateurs d’exécuter l’Assistant Installation de BitLocker sur un lecteur de données amovible. Sélectionnez Autoriser les utilisateurs à suspendre et à déchiffrer BitLocker sur des lecteurs de données amovibles pour permettre aux utilisateurs de supprimer le chiffrement de lecteur BitLocker du lecteur ou de suspendre le chiffrement pendant l’exécution de la maintenance. Lorsque cette stratégie est activée et que vous sélectionnez Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles, le client MBAM enregistre les informations de récupération sur les lecteurs amovibles sur le serveur de récupération de clé MBAM et permet aux utilisateurs de récupérer le lecteur si le mot de passe est perdu. |
| Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker |
Configuration suggérée :Non configuré Activez cette stratégie pour autoriser uniquement l’autorisation d’écriture sur les lecteurs protégés par BitLocker. Lorsque cette stratégie est activée, tous les lecteurs de données amovibles sur l’ordinateur nécessitent un chiffrement avant que l’autorisation d’écriture soit autorisée. |
| Autoriser l’accès aux lecteurs amovibles protégés par BitLocker à partir de versions antérieures de Windows |
Configuration suggérée :Non configuré Activez cette stratégie pour permettre le déverrouillage et l’affichage des lecteurs fixes avec le système de fichiers FAT sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Lorsque cette stratégie n’est pas configurée, les lecteurs amovibles formatés avec le système de fichiers FAT peuvent être déverrouillés sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2, et leur contenu peut être affiché. Ces systèmes d’exploitation disposent d’une autorisation en lecture seule sur les lecteurs protégés par BitLocker. Lorsque la stratégie est désactivée, les lecteurs amovibles formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur les ordinateurs exécutant Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. |
| Configurer l’utilisation du mot de passe pour les lecteurs de données amovibles |
Configuration suggérée :Non configuré Activez cette stratégie pour configurer la protection par mot de passe sur les lecteurs de données amovibles. Lorsque cette stratégie n’est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n’incluent pas les exigences de complexité des mots de passe et qui nécessitent seulement huit caractères. Pour renforcer la sécurité, vous pouvez activer cette stratégie et sélectionner Exiger le mot de passe pour le lecteur de données amovible, sélectionner Exiger la complexité du mot de passe et définir la longueur minimale de mot de passe par défaut. |
| Choisir la façon dont les lecteurs amovibles protégés par BitLocker peuvent être récupérés |
Configuration suggérée :Non configuré Configurez cette stratégie pour activer l’agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans Active Directory Domain Services (AD DS). Lorsqu’il est défini sur Non configuré, l’agent de récupération de données est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. L’opération MBAM ne nécessite pas de sauvegarde des informations de récupération dans AD DS. |