Processus de récupération BitLocker

Si un appareil ou un lecteur ne parvient pas à se déverrouiller à l’aide du mécanisme BitLocker configuré, les utilisateurs peuvent être en mesure de le récupérer eux-mêmes. Si la récupération automatique n’est pas une option ou si l’utilisateur ne sait pas comment procéder, le support technique doit mettre en place des procédures pour récupérer les informations de récupération rapidement et en toute sécurité.

Cet article décrit le processus d’obtention des informations de récupération BitLocker pour les appareils joints Microsoft Entra, Microsoft Entra joints hybrides et joints à Active Directory. Il est supposé que le lecteur est déjà familiarisé avec la configuration des appareils pour sauvegarder automatiquement les informations de récupération BitLocker et les options de récupération BitLocker disponibles. Pour plus d’informations, consultez l’article Vue d’ensemble de la récupération BitLocker .

Auto-récupération

Le mot de passe de récupération BitLocker et la clé de récupération d’un lecteur de système d’exploitation ou d’un lecteur de données fixe peuvent être enregistrés sur un ou plusieurs périphériques USB, imprimés, enregistrés dans Microsoft Entra ID ou AD DS.

Astuce

L’enregistrement des clés de récupération BitLocker dans Microsoft Entra ID ou AD DS est une approche recommandée. De cette façon, un administrateur BitLocker ou un support technique peut aider les utilisateurs à obtenir leurs clés.

Si la récupération automatique inclut l’utilisation d’un mot de passe ou d’une clé de récupération stockée sur un lecteur flash USB, les utilisateurs doivent être avertis de ne pas stocker le lecteur flash USB au même endroit que l’appareil, en particulier pendant le voyage. Par exemple, si l’appareil et les éléments de récupération se trouvent dans le même sac, il serait facile pour un utilisateur non autorisé d’accéder à l’appareil. Une autre stratégie à prendre en compte consiste à demander aux utilisateurs de contacter le support technique avant ou après l’exécution de la récupération automatique afin que la cause racine puisse être identifiée.

Une clé de récupération ne peut pas être stockée dans l’un des emplacements suivants :

  • Le lecteur en cours de chiffrement
  • Répertoire racine d’un lecteur non amovible
  • Un volume chiffré

Récupération automatique avec mot de passe de récupération

Si vous avez accès à la clé de récupération, entrez les 48 chiffres dans l’écran de récupération de prédémarrage.

  • Si vous rencontrez des problèmes lors de l’entrée du mot de passe de récupération dans l’écran de récupération de prédémarrage, ou si vous ne pouvez plus démarrer votre appareil, vous pouvez connecter le lecteur à un autre appareil en tant que lecteur secondaire. Pour plus d’informations sur le processus de déverrouillage, consultez Déverrouiller un lecteur.
  • Si le déverrouillage avec le mot de passe de récupération ne fonctionne pas, vous pouvez utiliser l’outil de réparation BitLocker pour récupérer l’accès à votre lecteur

Auto-récupération dans Microsoft Entra ID

Si les clés de récupération BitLocker sont stockées dans Microsoft Entra ID, les utilisateurs peuvent y accéder à l’aide de l’URL suivante : https://myaccount.microsoft.com. Sous l’onglet Appareils , les utilisateurs peuvent sélectionner un appareil Windows dont ils sont propriétaires, puis sélectionner l’option Afficher les clés BitLocker.

Remarque

Par défaut, les utilisateurs peuvent récupérer leurs clés de récupération BitLocker à partir de Microsoft Entra ID. Ce comportement peut être modifié avec l’option Empêcher les utilisateurs de récupérer la ou les clés BitLocker pour leurs appareils. Pour plus d’informations, consultez Restreindre les autorisations par défaut des utilisateurs membres.

Récupération automatique avec un lecteur flash USB

Si les utilisateurs ont enregistré le mot de passe de récupération sur un lecteur USB, ils peuvent brancher le lecteur sur un appareil verrouillé et suivre les instructions. Si la clé a été enregistrée en tant que fichier texte sur le lecteur flash, les utilisateurs doivent utiliser un autre appareil pour lire le fichier texte.

Récupération du support technique

Si un utilisateur n’a pas d’option de récupération en libre-service, le support technique doit être en mesure d’aider l’utilisateur avec l’une des options suivantes :

  • Si l’appareil est Microsoft Entra joint ou Microsoft Entra joint hybride, les informations de récupération BitLocker peuvent être récupérées à partir de Microsoft Entra ID
  • Si l’appareil est joint à un domaine, les informations de récupération peuvent être récupérées à partir d’Active Directory
  • Si l’appareil est configuré pour utiliser une DRA, le lecteur chiffré peut être monté sur un autre appareil en tant que lecteur de données pour que la DRA puisse déverrouiller le lecteur

Warning

La sauvegarde du mot de passe de récupération BitLocker dans Microsoft Entra ID ou AD DS peut ne pas se produire automatiquement. Les appareils doivent être configurés avec des paramètres de stratégie pour activer la sauvegarde automatique, comme décrit dans l’article Vue d’ensemble de la récupération BitLocker .

La liste suivante peut être utilisée comme modèle pour créer un processus de récupération pour la récupération du mot de passe de récupération par le support technique.

☑️ Étape du processus de récupération Détails
🔲 Vérifier l’identité de l’utilisateur La personne qui demande le mot de passe de récupération doit être vérifiée en tant qu’utilisateur autorisé de cet appareil. Il doit également être vérifié si l’appareil pour lequel l’utilisateur a fourni le nom appartient à l’utilisateur.
🔲 Enregistrer le nom de l’appareil Le nom de l’appareil de l’utilisateur peut être utilisé pour localiser le mot de passe de récupération dans Microsoft Entra ID ou AD DS.
🔲 Enregistrer l’ID de clé de récupération L’ID de la clé de récupération peut être utilisé pour localiser le mot de passe de récupération dans Microsoft Entra ID ou AD DS. L’ID de la clé de récupération s’affiche dans l’écran de récupération de prédémarrage.
🔲 Rechercher le mot de passe de récupération Recherchez le mot de passe de récupération BitLocker à l’aide du nom de l’appareil ou de l’ID de clé de récupération de Microsoft Entra ID ou AD DS.
🔲 Analyse de la cause racine Avant de fournir le mot de passe de récupération à l’utilisateur, les informations doivent être collectées pour déterminer pourquoi la récupération est nécessaire. Les informations peuvent être utilisées pour effectuer une analyse de la cause racine.
🔲 Fournir le mot de passe de récupération à l’utilisateur Étant donné que le mot de passe de récupération à 48 chiffres est long et contient une combinaison de chiffres, l’utilisateur peut mal entendre ou mal tapé le mot de passe. La console de récupération au démarrage utilise des numéros de base de contrôle intégrés pour détecter les erreurs d’entrée dans chaque bloc à 6 chiffres du mot de passe de récupération à 48 chiffres et offre à l’utilisateur la possibilité de corriger ces erreurs.
🔲 Faire pivoter le mot de passe de récupération Si la rotation automatique des mots de passe est configurée, Microsoft Entra appareils joints et Microsoft Entra joints hybrides génèrent un nouveau mot de passe de récupération et le stockent dans Microsoft Entra ID. Un administrateur peut également déclencher une rotation de mot de passe à la demande, à l’aide de Microsoft Intune ou de Microsoft Configuration Manager.

Récupération du support technique dans Microsoft Entra ID

Il existe quelques rôles Microsoft Entra ID qui permettent à un administrateur délégué de lire les mots de passe de récupération BitLocker à partir des appareils du locataire. Bien qu’il soit courant pour les organisations d’utiliser les rôles intégrés d’administrateur d’appareil cloud ou d’administrateur du support technique Microsoft Entra ID existants, vous pouvez également créer un rôle personnalisé, en déléguant l’accès aux clés BitLocker à l’aide de l’autorisation microsoft.directory/bitlockerKeys/key/read . Les rôles peuvent être délégués pour accéder aux mots de passe de récupération BitLocker pour les appareils dans des unités administratives spécifiques.

Remarque

Lorsque des appareils qui utilisent Windows Autopilot sont réutilisés pour se joindre à Entra et qu’il existe un nouveau propriétaire d’appareil, ce nouveau propriétaire d’appareil doit contacter un administrateur afin d’acquérir la clé de récupération BitLocker pour cet appareil. Les administrateurs disposant d’un rôle personnalisé ou d’une unité administrative perdent l’accès aux clés de récupération BitLocker pour les appareils qui ont subi des modifications de propriété d’appareil. Ces administrateurs délimités doivent contacter un administrateur non délimité pour obtenir les clés de récupération. Pour plus d’informations, consultez l’article Rechercher l’utilisateur principal d’un appareil Intune.

Le centre d’administration Microsoft Entra permet aux administrateurs de récupérer les mots de passe de récupération BitLocker. Pour en savoir plus sur le processus, consultez Afficher ou copier des clés BitLocker. Une autre option pour accéder aux mots de passe de récupération BitLocker consiste à utiliser microsoft API Graph, ce qui peut être utile pour les solutions intégrées ou scriptées. Pour plus d’informations sur cette option, consultez Obtenir bitlockerRecoveryKey.

Dans l’exemple suivant, nous utilisons l’applet de commande Get-MgInformationProtectionBitlockerRecoveryKey Microsoft Graph PowerShell pour créer une fonction PowerShell qui récupère les mots de passe de récupération à partir de Microsoft Entra ID :

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

Une fois la fonction chargée, elle peut être utilisée pour récupérer les mots de passe de récupération BitLocker pour un appareil spécifique. Exemple :

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

Remarque

Pour les appareils gérés par Microsoft Intune, les mots de passe de récupération BitLocker peuvent être récupérés à partir des propriétés de l’appareil dans le centre d’administration Microsoft Intune. Pour plus d’informations, consultez Afficher les détails des clés de récupération.

Récupération du support technique dans services de domaine Active Directory

Pour exporter un mot de passe de récupération à partir d’AD DS, vous devez disposer d’un accès en lecture aux objets stockés dans AD DS. Par défaut, seuls les administrateurs de domaine ont accès aux informations de récupération BitLocker, mais l’accès peut être délégué à des principaux de sécurité spécifiques.

Pour faciliter la récupération des mots de passe de récupération BitLocker à partir d’AD DS, vous pouvez utiliser l’outil Visionneuse de mot de passe de récupération BitLocker . L’outil est inclus dans les outils d’administration de serveur distant (RSAT) et il s’agit d’une extension pour le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Console de gestion Microsoft (MMC).

Avec la visionneuse de mot de passe de récupération BitLocker, vous pouvez :

  • Vérifier les propriétés de l’objet ordinateur Active Directory pour récupérer les mots de passe de récupération BitLocker associés
  • Rechercher le mot de passe de récupération BitLocker dans Active Directory dans tous les domaines de la forêt Active Directory

Les procédures suivantes décrivent les tâches les plus courantes effectuées à l’aide de la visionneuse du mot de passe de récupération BitLocker.

Afficher les mots de passe de récupération d’un objet ordinateur
  1. Ouvrez Utilisateurs et ordinateurs Active Directory composant logiciel enfichable MMC, puis sélectionnez le conteneur ou l’unité d’organisation dans lequel se trouvent les objets ordinateur.
  2. Cliquez avec le bouton droit sur l’objet ordinateur, puis sélectionnez Propriétés
  3. Dans la boîte de dialogue Propriétés , sélectionnez l’onglet Récupération BitLocker pour afficher les mots de passe de récupération BitLocker associés à l’ordinateur
Localiser un mot de passe de récupération à l’aide d’un ID de mot de passe
  1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le conteneur de domaine et sélectionnez Rechercher le mot de passe de récupération BitLocker
  2. Dans la boîte de dialogue Rechercher le mot de passe de récupération BitLocker , tapez les huit premiers caractères du mot de passe de récupération dans la zone ID de mot de passe (8 premiers caractères), puis sélectionnez Rechercher

Agents de récupération de données

Si les appareils sont configurés avec une DRA, le support technique peut utiliser la DRA pour déverrouiller le lecteur. Une fois que le lecteur BitLocker est attaché à un appareil disposant de la clé privée du certificat DRA, le lecteur peut être déverrouillé à l’aide de la manage-bde.exe commande .

Par exemple, pour répertorier la DRA configurée pour un lecteur protégé par BitLocker, utilisez la commande suivante :

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

Si la clé privée du certificat avec une empreinte numérique est disponible dans le magasin de f46563b1d4791d5bd827f32265341ff9068b0c42 certificats local, un administrateur peut utiliser la commande suivante pour déverrouiller le lecteur avec le protecteur DRA :

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

Tâches post-récupération

Lorsqu’un volume est déverrouillé à l’aide d’un mot de passe de récupération :

  • un événement est écrit dans le journal des événements
  • Les mesures de validation de la plateforme sont réinitialisées dans le module de plateforme sécurisée pour qu’elles correspondent à la configuration actuelle
  • la clé de chiffrement est libérée et prête pour le chiffrement/déchiffrement à la volée lorsque les données sont écrites/lues vers et à partir du volume

Une fois le volume déverrouillé, BitLocker se comporte de la même manière, quelle que soit la façon dont l’accès a été accordé.

Remarque

Si vous déplacez un volume de système d’exploitation avec un protecteur TPM vers un autre appareil et que vous le déverrouillez à l’aide d’un protecteur de récupération, BitLocker est lié au nouveau TPM. Le retour du volume à l’appareil d’origine demande le protecteur de récupération en raison de l’incompatibilité du module de plateforme sécurisée. Une fois déverrouillé à l’aide du protecteur de récupération, le volume est à nouveau lié à l’appareil d’origine.

Si un appareil rencontre plusieurs événements de mot de passe de récupération, un administrateur doit effectuer une analyse post-récupération pour déterminer la cause racine de la récupération. Ensuite, actualisez la validation de la plateforme BitLocker pour empêcher l’entrée d’un mot de passe de récupération chaque fois que l’appareil démarre.

Déterminer la cause première de la récupération

Si un utilisateur a besoin de récupérer le lecteur, il est important de déterminer la cause racine qui a lancé la récupération dès que possible. L’analyse correcte de l’état de l’ordinateur et la détection des falsifications peuvent révéler des menaces qui ont des implications plus larges pour la sécurité de l’entreprise.

Bien qu’un administrateur puisse examiner à distance la cause de la récupération dans certains cas, l’utilisateur peut avoir besoin d’amener l’appareil qui contient le lecteur récupéré sur site pour analyser la cause racine plus en détail. Voici quelques questions qui peuvent être utilisées pour vous aider à déterminer la cause racine de la récupération :

☑️ Question
🔲 Quel mode de protection BitLocker est configuré (TPM, TPM + PIN, TPM + clé de démarrage, clé de démarrage uniquement) ?
🔲 Si le mode TPM est configuré, la récupération a-t-elle été provoquée par une modification du fichier de démarrage ?
🔲 Quel profil PCR est utilisé sur l’appareil ?
🔲 L’utilisateur a-t-il simplement oublié le code confidentiel ou perdu la clé de démarrage ?
🔲 Si la récupération a été provoquée par une modification du fichier de démarrage, la modification du fichier de démarrage est-elle due à une action prévue de l’utilisateur (par exemple, la mise à niveau du BIOS) ou à un logiciel malveillant ?
🔲 Quand l’utilisateur a-t-il pu démarrer l’appareil pour la dernière fois et qu’est-il arrivé à l’appareil depuis ?
🔲 L’utilisateur a-t-il rencontré un logiciel malveillant ou a-t-il laissé l’appareil sans assistance depuis le dernier démarrage réussi ?

Pour répondre à ces questions, vous pouvez utiliser la manage-bde.exe -status commande pour afficher la configuration et le mode de protection actuels. Analysez le journal des événements pour rechercher les événements qui permettent d’indiquer pourquoi la récupération a été lancée (par exemple, si une modification du fichier de démarrage s’est produite).

Résoudre la cause première

Une fois que vous avez identifié la cause de la récupération, la protection BitLocker peut être réinitialisée pour éviter la récupération à chaque démarrage.

Les détails de la réinitialisation peuvent varier en fonction de la cause racine de la récupération. Si la cause racine ne peut pas être déterminée, ou si un logiciel malveillant ou un rootkit infecte l’appareil, le support technique doit appliquer des stratégies de virus recommandées pour réagir de manière appropriée.

Remarque

La réinitialisation du profil de validation BitLocker peut être effectuée en suspendant et en reprenant BitLocker.

Cause

Étapes

Code confidentiel inconnu

Si un utilisateur a oublié le code confidentiel, celui-ci doit être réinitialisé lorsqu’il est connecté à l’ordinateur afin d’empêcher BitLocker de lancer la récupération chaque fois que l’ordinateur est redémarré.

Pour empêcher la poursuite de la récupération en raison d’un code confidentiel inconnu :

  1. Déverrouiller l’appareil à l’aide du mot de passe de récupération
  2. À partir de l’applet de Panneau de configuration BitLocker, développez le lecteur, puis sélectionnez Modifier le code confidentiel
  3. Dans la boîte de dialogue Chiffrement de lecteur BitLocker, sélectionnez Réinitialiser un code confidentiel oublié. Si le compte connecté n’est pas un compte d’administrateur, vous devez fournir des informations d’identification d’administration
  4. Dans la boîte de dialogue de réinitialisation du code confidentiel, indiquez et confirmez le nouveau code confidentiel à utiliser, puis sélectionnez Terminer.
  5. Le nouveau code pin peut être utilisé la prochaine fois que le lecteur doit être déverrouillé

Clé de démarrage perdue

Si le lecteur flash USB contenant la clé de démarrage est perdu, vous pouvez déverrouiller le lecteur à l’aide de la clé de récupération. Un nouveau démarrage peut ensuite être créé à l’aide de PowerShell, de l’invite de commandes ou de l’applet de Panneau de configuration BitLocker.

Pour obtenir des exemples d’ajout de protecteurs BitLocker, consultez le guide des opérations BitLocker

Modifications apportées aux fichiers de démarrage

Cette erreur se produit si le microprogramme est mis à jour. BitLocker doit être suspendu avant d’apporter des modifications au microprogramme. La protection doit ensuite reprendre une fois la mise à jour du microprogramme terminée. La suspension de BitLocker empêche l’appareil de passer en mode de récupération. Toutefois, si des modifications se produisent lorsque la protection BitLocker est activée, le mot de passe de récupération peut être utilisé pour déverrouiller le lecteur et le profil de validation de la plateforme est mis à jour afin que la récupération n’ait pas lieu la prochaine fois.

Pour obtenir des exemples de suspension et de reprise des protecteurs BitLocker, consultez le guide des opérations BitLocker

Faire pivoter les mots de passe

Les administrateurs peuvent configurer un paramètre de stratégie pour activer la rotation automatique du mot de passe de récupération pour Microsoft Entra appareils joints et Microsoft Entra joints hybrides.
Lorsque la rotation automatique du mot de passe de récupération est activée, les appareils font pivoter automatiquement le mot de passe de récupération une fois que le mot de passe est utilisé pour déverrouiller le lecteur. Ce comportement permet d’empêcher l’utilisation multiple du même mot de passe de récupération, ce qui peut constituer un risque pour la sécurité.

Pour plus d’informations, consultez Configurer la rotation du mot de passe de récupération.

Une autre option consiste à lancer la rotation des mots de passe de récupération pour des appareils individuels à l’aide de Microsoft Intune ou de Microsoft Configuration Manager.

Pour en savoir plus sur la rotation des mots de passe de récupération BitLocker à l’aide de Microsoft Intune ou de Microsoft Configuration Manager, consultez :

Outil de réparation BitLocker

Si les méthodes de récupération décrites plus haut dans ce document ne déverrouillent pas le volume, l’outil de réparation BitLocker (repair-bde.exe) peut être utilisé pour déchiffrer le volume au niveau du bloc. L’outil utilise le package de clés BitLocker pour récupérer des données chiffrées à partir de lecteurs gravement endommagés.

Les données récupérées peuvent ensuite être utilisées pour récupérer des données chiffrées, même si le mot de passe de récupération correct ne parvient pas à déverrouiller le volume endommagé. Il est recommandé d’enregistrer le mot de passe de récupération, car un package de clé ne peut pas être utilisé sans le mot de passe de récupération correspondant.

Utilisez l’outil De réparation dans les conditions suivantes :

  • Le lecteur est chiffré à l’aide de BitLocker
  • Windows ne démarre pas ou l’écran de récupération BitLocker ne démarre pas
  • Il n’existe pas de copie de sauvegarde des données contenues sur le lecteur chiffré

Remarque

Les dommages causés au lecteur peuvent ne pas être liés à BitLocker. Par conséquent, il est recommandé d’essayer d’autres outils pour diagnostiquer et résoudre le problème avec le lecteur avant d’utiliser l’outil de réparation BitLocker. L’environnement de récupération Windows (Windows RE) fournit davantage d’options pour réparer Windows.

Les limitations suivantes existent pour Repair-bde :

  • il ne peut pas réparer un lecteur qui a échoué pendant le processus de chiffrement ou de déchiffrement
  • il suppose que si le lecteur a un chiffrement, le lecteur est entièrement chiffré

Pour obtenir la repair-bde.exe liste complète des options, consultez la référence Repair-bde.

Remarque

Pour exporter un package de clé à partir d’AD DS, vous devez disposer d’un accès en lecture aux mots de passe de récupération BitLocker et aux packages de clés stockés dans AD DS. Par défaut, seuls les administrateurs de domaine ont accès aux informations de récupération BitLocker, mais l’accès peut être délégué à d’autres personnes.