Planification des exigences en matière de stratégie de groupe MBAM 2.5

  • Article

Mis à jour: août 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Utilisez les informations suivantes pour déterminer quels sont les types de protecteur BitLocker dont vous pouvez vous servir pour gérer les ordinateurs clients Microsoft BitLocker Administration and Monitoring (MBAM) de votre entreprise.

Types de protecteur BitLocker pris en charge par MBAM

MBAM prend en charge les types de protecteur BitLocker suivants.

Type de lecteur ou le volume Protecteurs BitLocker pris en charge

Volumes hébergeant un système d'exploitation
  • Module de plateforme sécurisée (TPM)

  • Module de plateforme sécurisée (TPM) + code confidentiel

  • Module de plateforme sécurisée (TPM) + clé USB - pris en charge uniquement lorsque le volume hébergeant un système d'exploitation est chiffré avant l'installation de MBAM

  • Module de plateforme sécurisée (TPM) + code confidentiel + clé USB - pris en charge uniquement lorsque le volume hébergeant un système d'exploitation est chiffré avant l'installation de MBAM

  • Mot de passe - pris en charge uniquement pour les appareils Windows To Go, les lecteurs de données fixes et les appareils Windows 8, Windows 8.1 et Windows 10 qui n'ont pas de module de plateforme sécurisée (TPM)

  • Mot de passe numérique - appliqué automatiquement dans le cadre du chiffrement de volume, sans nécessité de configuration sauf en mode FIPS sur Windows 7

  • Agent de récupération de données (DRA)

Lecteurs de données fixes
  • Mot de passe

  • Déverrouillage automatique

  • Mot de passe numérique - appliqué automatiquement dans le cadre du chiffrement de volume, sans nécessité de configuration sauf en mode FIPS sur Windows 7

  • Agent de récupération de données (DRA)

Lecteurs amovibles
  • Mot de passe

  • Déverrouillage automatique

  • Mot de passe numérique - appliqué automatiquement dans le cadre du chiffrement de volume, sans nécessité de configuration.

  • Agent de récupération de données (DRA)

Prise en charge de la stratégie BitLocker Chiffrement de l'espace utilisé

Dans MBAM 2.5 SP1, si vous activez le chiffrement de l'espace utilisé via la stratégie de groupe BitLocker, le client MBAM la respecte.

Ce paramètre de stratégie de groupe se nomme Appliquer le type de chiffrement de lecteur aux lecteurs du système d’application et il se trouve dans le nœud de stratégie de groupe suivant : Configuration ordinateur > Modèles d'administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs de système d'exploitation. Si vous activez cette stratégie et sélectionnez le type de chiffrement Chiffrement de l’espace utilisé uniquement, MBAM honore la stratégie et BitLocker chiffre uniquement l'espace disque utilisé sur le volume.

Comment obtenir les modèles de stratégie de groupe MBAM et modifier les paramètres

Lorsque vous êtes prêt à configurer les paramètres de stratégie de groupe MBAM de votre choix, procédez comme suit :

Étapes à suivre Où trouver des instructions

Copiez les modèles de stratégie de groupe MBAM à partir de la page indiquant comment obtenir des modèles de stratégie de groupe MDOP (.admx), puis installez-les sur un ordinateur capable d'exécuter la Console de gestion des stratégies de groupe (GPMC) ou la Gestion avancée des stratégies de groupe (AGPM).

Copie des modèles de stratégie de groupe MBAM 2.5

Configurez les paramètres de stratégie de groupe que vous souhaitez utiliser dans votre entreprise.

Modification des paramètres de stratégie de groupe MBAM 2.5

Descriptions des paramètres de stratégie de groupe MBAM

Le nœud d'objet de stratégie de groupe MDOP MBAM (Gestion BitLocker) contient quatre paramètres de stratégie globale et quatre nœuds d'objet de stratégie de groupe enfant : Gestion des clients, Lecteur fixe, Lecteur du système d'exploitation et Lecteur amovible. Les sections suivantes décrivent et suggèrent des paramètres pour les paramètres de stratégie de groupe MBAM.

Important

Ne modifiez pas les paramètres de stratégie de groupe du nœud Chiffrement de lecteur BitLocker, sinon MBAM ne fonctionnera pas correctement. MBAM configure automatiquement les paramètres de ce nœud lorsque vous configurez les paramètres du nœud MDOP MBAM (Gestion BitLocker).

Définitions de stratégie de groupe globale

Cette section décrit les définitions de stratégie de groupe globale MBAM au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker).

Nom de la stratégie Vue d'ensemble et paramètres de stratégie de groupe suggérés

Sélectionner la méthode et la puissance de chiffrement des lecteurs

Configuration suggérée : Activé

Configurez cette stratégie pour utiliser une méthode et une puissance de chiffrement spécifiques.

Lorsque cette stratégie n'est pas configurée, BitLocker utilise la méthode de chiffrement par défaut : AES 128 bits avec diffuseur.

Notes

Un problème lié au rapport de conformité de l'ordinateur BitLocker entraîne l'affichage du message « inconnu » pour le niveau de chiffrement, même si vous utilisez la valeur par défaut. Pour contourner ce problème, veillez à activer ce paramètre et à définir une valeur pour le niveau de chiffrement.

  • AES 128 bits avec diffuseur - pour Windows 7 uniquement

  • AES 128 pour Windows 8, Windows 8,1 et Windows 10

Empêcher le remplacement des données en mémoire au redémarrage

Configuration suggérée : Non configuré

Configurez cette stratégie pour améliorer les performances de redémarrage sans remplacer les secrets BitLocker dans la mémoire lors du redémarrage.

Lorsque cette stratégie n'est pas configurée, les secrets BitLocker sont supprimés de la mémoire lorsque l'ordinateur redémarre.

Valider la règle d'utilisation des certificats de cartes à puce

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser la protection BitLocker basée sur les certificats de cartes à puce.

Lorsque cette stratégie n'est pas configurée, l'identificateur d'objet par défaut 1.3.6.1.4.1.311.67.1.1 est utilisé pour spécifier un certificat.

Fournir les identificateurs uniques de votre organisation

Configuration suggérée : Non configuré

Configurez cette stratégie pour utiliser un agent de récupération de données basé sur un certificat ou le lecteur BitLocker To Go.

Lorsque cette stratégie n'est pas configurée, le champ Identification n'est pas utilisé.

Si votre entreprise requiert des mesures de sécurité plus avancées, vous pouvez configurer le champ Identification afin de vous assurer qu'il est défini pour tous les périphériques USB et que ceux-ci sont alignés sur ce paramètre de stratégie de groupe.

Définitions de stratégie de groupe de gestion des clients

Cette section décrit les définitions de stratégie de gestion des clients pour MBAM, au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur > Stratégies >Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Gestion des clients.

Vous pouvez définir les mêmes paramètres de stratégie de groupe pour les topologies Autonome et Intégration System Center Configuration Manager, à une exception près : désactivez le paramètre Configurer les services MBAM > Point de terminaison du service de rapport d'état MBAM, si vous utilisez la topologie d'intégration Configuration Manager, comme indiqué dans le tableau suivant.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie de groupe suggérés

Configurer les services MBAM

Configuration suggérée : Activé

  • Point de terminaison de service matériel et de récupération MBAM. Utilisez ce paramètre pour activer la gestion du chiffrement BitLocker du client MBAM. L'emplacement du point de terminaison doit être saisi de la façon suivante : http(s)://<Nom de serveur d'administration et de surveillance MBAM>:<port auquel le service Web est lié>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Sélectionner les informations de récupération BitLocker à stocker. Ce paramètre de stratégie vous permet de configurer le service de récupération de clé pour sauvegarder les informations de récupération BitLocker. Il vous permet également de configurer un service de rapport d'état pour la collecte des rapports. La stratégie fournit une méthode d'administration de la récupération des données chiffrées par BitLocker afin d'éviter la perte de données en raison du manque d'informations sur la clé. Les informations relatives au rapport d'état et à l'activité de récupération de clé sont envoyées automatiquement et sans assistance vers l'emplacement du serveur de rapports configuré.

    Si vous ne configurez pas ce paramètre de stratégie, ou si vous le désactivez, les informations de récupération de clé ne sont pas enregistrées. En outre, les informations relatives au rapport d'état et à l'activité de récupération de clé ne sont pas envoyées au serveur. Lorsque ce paramètre a la valeur Mot de passe de récupération et package de clés, le mot de passe de récupération et le package de clés sont envoyés automatiquement et sans assistance vers l'emplacement du serveur de récupération de clé configuré.

  • Entrer la fréquence de vérification de l'état du client en minutes. Ce paramètre de stratégie indique la fréquence à laquelle le client vérifie l'état sur l'ordinateur client et les stratégies de protection BitLocker. Cette stratégie gère également la fréquence d'enregistrement de l'état de conformité du client sur le serveur. Le client vérifie les stratégies de protection BitLocker et l'état sur l'ordinateur client, et sauvegarde également la clé de récupération du client à la fréquence configurée.

    Définissez cette fréquence en fonction des besoins de votre entreprise en matière de fréquence de vérification de l'état de conformité de l'ordinateur et de fréquence de sauvegarde de la clé de récupération du client.

  • MBAM Point de terminaison du service de rapport d'état :

    Pour MBAM dans une topologie autonome : Vous devez configurer ce paramètre pour activer la gestion de chiffrement BitLocker du client MBAM.

    L'emplacement du point de terminaison doit être saisi de la façon suivante :

    http(s)://<Nom de serveur d'administration et de surveillance MBAM>:<port auquel le service Web est lié>/MBAMComplianceStatusService/StatusReportingService.svc

    Pour MBAM dans la topologie d'intégration Configuration Manager : désactivez ce paramètre.

Configurer la stratégie d'exemption de l'utilisateur

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de configurer une adresse de site Web, une adresse de messagerie ou un numéro de téléphone qui indique à un utilisateur de demander une exemption de chiffrement BitLocker.

Si vous activez ce paramètre de stratégie et spécifiez une adresse de site Web, une adresse de messagerie ou un numéro de téléphone, les utilisateurs voient s'afficher une boîte de dialogue contenant des instructions pour demander une exemption de protection BitLocker. Pour plus d'informations sur l'activation des exemptions de chiffrement BitLocker pour les utilisateurs, consultez Gestion des exemptions de chiffrement BitLocker d'utilisateur.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, les utilisateurs ne voient pas s'afficher les instructions de demande d'exemption par catégorie.

Notes

L'exemption de l'utilisateur est gérée par utilisateur, non par ordinateur. Si plusieurs utilisateurs se connectent au même ordinateur et si un utilisateur n'est pas exempté, l'ordinateur est chiffré.

Configurer le programme d'amélioration de l'expérience utilisateur

Configuration suggérée : Activé

Ce paramètre de stratégie vous permet de configurer comment les utilisateurs de MBAM peuvent rejoindre le programme d'amélioration de l'expérience utilisateur. Ce programme collecte des informations sur le matériel informatique et l'utilisation de MBAM sans interruption du travail des utilisateurs. Les informations permettent à Microsoft d'identifier les composants MBAM à améliorer. Microsoft n'utilise pas ces informations pour identifier ou contacter les utilisateurs MBAM.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent participer au programme d'amélioration de l'expérience utilisateur.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas participer au programme d'amélioration de l'expérience utilisateur.

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ont la possibilité de participer au programme d'amélioration de l'expérience utilisateur.

Indiquer l'URL du lien vers la stratégie de sécurité

Configuration suggérée : Activé

Utilisez ce paramètre de stratégie pour spécifier une URL que les utilisateurs voient s'afficher sous la forme d'un lien intitulé « stratégie de sécurité de l'entreprise ». Le lien pointe vers la stratégie de sécurité interne de votre entreprise et fournit aux utilisateurs des informations sur les exigences de chiffrement. Le lien s'affiche lorsque les utilisateurs sont invités par MBAM à chiffrer un lecteur.

Si vous activez ce paramètre de stratégie, vous pouvez configurer l'URL du lien vers la stratégie de sécurité.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, les utilisateurs ne voient pas s'afficher le lien vers la stratégie de sécurité.

Définitions de stratégie de groupe de lecteur fixe

Cette section décrit les définitions de stratégie de lecteur fixe pour Microsoft BitLocker Administration and Monitoring, au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur fixe.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie de groupe suggérés

Paramètres de chiffrement du lecteur de données fixe

Configuration suggérée : Activé

Ce paramètre de stratégie vous permet de gérer le chiffrement des lecteurs de données fixes.

Si le volume hébergeant un système d'exploitation doit être chiffré, cliquez sur Configurer le déverrouillage automatique pour les lecteurs de données fixes.

Lorsque vous activez cette stratégie, vous ne devez pas désactiver la stratégie Configurer l'utilisation des mots de passe pour les lecteurs de données fixes, sauf si vous permettez ou exigez l'utilisation du déverrouillage automatique pour les lecteurs de données fixes.

Si vous devez utiliser le déverrouillage automatique pour les lecteurs de données fixes, vous devez configurer les volumes hébergeant un système d'exploitation afin qu'ils soient chiffrés.

Si vous activez ce paramètre de stratégie, les utilisateurs sont obligés de placer tous les lecteurs de données fixes sous la protection de BitLocker, ce qui entraîne le chiffrement des lecteurs de données.

Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs ne sont pas obligés de placer les lecteurs de données fixes sous la protection de BitLocker. Si vous appliquez cette stratégie une fois que les lecteurs de données fixes sont chiffrés, l'agent MBAM déchiffre les lecteurs de données fixes chiffrés.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas placer leurs lecteurs de données fixes sous la protection de BitLocker.

Refuser l'accès en écriture aux lecteurs fixes non protégés par BitLocker

Configuration suggérée : Non configuré

Ce paramètre de stratégie détermine si la protection BitLocker est requise pour les lecteurs de données fixes accessibles en écriture sur un ordinateur. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Lorsque la stratégie n'est pas configurée, tous les lecteurs de données fixes de l'ordinateur sont montés avec des autorisations de lecture/écriture.

Autoriser l'accès aux lecteurs de données fixes protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : Non configuré

Activez cette stratégie pour permettre le déverrouillage des lecteurs fixes formatés avec le système de fichiers FAT et l'affichage de leur contenu sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Lorsque la stratégie est activée ou non configurée, les lecteurs fixes formatés avec le système de fichiers FAT peuvent être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Ces systèmes d'exploitation ont une autorisation d'accès en lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs fixes formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation de mots de passe pour les lecteurs fixes

Configuration suggérée : Non configuré

Cette stratégie permet de spécifier si un mot de passe est nécessaire pour déverrouiller des lecteurs de données fixes protégés par BitLocker.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux critères que vous définissez. BitLocker permet aux utilisateurs de déverrouiller un lecteur avec tous les protecteurs disponibles sur le lecteur.

Ces paramètres sont appliqués lorsque vous activez BitLocker, et non lorsque vous déverrouillez un volume.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe.

Lorsque la stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie, activez la case à cocher Demander un mot de passe pour les lecteurs de données fixes, cliquez sur Imposer les critères de complexité des mots de passe, puis définissez la valeur souhaitée pour l'option Longueur minimale des mots de passe pour les lecteurs de données fixes.

Si vous désactivez ce paramètre de stratégie, les utilisateurs ne sont pas autorisés à utiliser un mot de passe.

Si vous ne configurez pas ce paramètre de stratégie, les mots de passe sont pris en charge avec les paramètres par défaut. Ces derniers n'incluent pas les exigences de complexité de mot de passe et ne requièrent que huit caractères.

Sélectionner la méthode de récupération des lecteurs fixes protégés par BitLocker

Configuration suggérée : Non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Quand la stratégie n'est pas configurée, l'agent de récupération de données BitLocker est autorisé et les informations de récupération ne sont pas sauvegardées dans AD DS. MBAM ne nécessite pas la sauvegarde des données de récupération dans AD DS.

Paramètres de mise en application des stratégies de chiffrement

Configuration suggérée : Activé

Utilisez ce paramètre de stratégie pour configurer le nombre de jours pendant lesquels les lecteurs de données fixes peuvent être non conformes jusqu'à ce qu'ils soient obligés de se conformer aux stratégies MBAM. Les utilisateurs ne peuvent pas reporter l'action requise ou demander d'exemption après la période de grâce. La période de grâce commence lorsque le lecteur de données fixe est identifié comme étant non conforme. Toutefois, la stratégie de lecteur de données fixe n'est pas appliquée tant que le lecteur du système d'exploitation n'est pas conforme.

Si la période de grâce expire et si le lecteur de données fixe n'est toujours pas conforme, les utilisateurs n'ont pas la possibilité de reporter l'action requise ou de demander une exemption. Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s'affiche. En outre, elle ne peut être fermée par les utilisateurs tant qu'ils n'ont pas fourni les informations requises.

Entrez 0 pour l'option Configurer le nombre de jours pour la période de grâce de non-conformité pour les lecteurs fixes afin de forcer le processus de chiffrement à démarrer immédiatement après l'expiration de la période de grâce pour le lecteur du système d'exploitation.

Si vous désactivez ce paramètre, ou si vous ne le configurez pas, les utilisateurs ne sont pas obligés de se conformer aux stratégies MBAM.

Si aucune interaction de l'utilisateur n'est requise pour ajouter un protecteur, le chiffrement commence en arrière-plan après l'expiration de la période de grâce.

Définitions de stratégie de groupe de lecteur du système d'exploitation

Cette section décrit les définitions de stratégie de lecteur du système d'exploitation pour Microsoft BitLocker Administration and Monitoring, au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > lecteur du système d'exploitation.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie de groupe suggérés

Paramètres de chiffrement du lecteur de système d'exploitation

Configuration suggérée : Activé

Ce paramètre de stratégie vous permet d'indiquer si le lecteur de système d'exploitation doit être chiffré.

Pour une sécurité accrue, désactivez les paramètres de stratégie suivants dans Système > Gestion de l'alimentation > Paramètres de mise en veille quand vous les activez avec le protecteur de type module de plateforme sécurisée (TPM) + code confidentiel :

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur secteur)

  • Autoriser les états de mise en attente (S1-S3) lorsque l'ordinateur est en veille (sur batterie)

Si vous exécutez Microsoft Windows 8 ou version ultérieure et souhaitez utiliser BitLocker sur un ordinateur dépourvu de module de plateforme sécurisée, cochez la case Autoriser BitLocker sans un module de plateforme sécurisée compatible. Dans ce mode, un mot de passe est requis pour le démarrage. Si vous oubliez le mot de passe, vous devez utiliser l'une des options de récupération BitLocker pour accéder au lecteur.

Sur un ordinateur muni d'un module de plateforme sécurisée compatible, deux types de méthodes d'authentification peuvent être utilisés au démarrage pour offrir une protection renforcée des données chiffrées. Lorsque l'ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l'authentification, ou il peut également demander la saisie d'un numéro d'identification personnel ou code confidentiel.

Si vous activez ce paramètre de stratégie, les utilisateurs doivent placer le lecteur du système d'exploitation sous la protection de BitLocker, ce qui entraîne le chiffrement du lecteur.

Si vous désactivez cette stratégie, les utilisateurs ne peuvent pas placer le lecteur du système d'exploitation sous la protection de BitLocker. Si vous appliquez cette stratégie une fois que le lecteur du système d'exploitation est chiffré, le lecteur est déchiffré.

Si vous ne configurez pas cette stratégie, le lecteur de système d'exploitation ne doit pas être mis sous la protection de BitLocker.

Autoriser les codes confidentiels améliorés au démarrage

Configuration suggérée : Non configuré

Utilisez ce paramètre de stratégie pour configurer l'utilisation ou non de codes confidentiels améliorés au démarrage avec BitLocker. Les codes confidentiels améliorés au démarrage acceptent les caractères tels que les lettres majuscules et minuscules, les symboles, les chiffres et les espaces. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker définis permettent à l'utilisateur final de créer des codes confidentiels améliorés. Toutefois, tous les ordinateurs ne prennent pas en charge les codes confidentiels améliorés dans l'environnement préalable au démarrage. Il est fortement conseillé aux administrateurs de déterminer si leurs systèmes sont compatibles avec cette fonctionnalité avant d'en activer l'utilisation.

Activez la case à cocher Exiger des codes confidentiels ASCII uniquement pour contribuer à améliorer la compatibilité des codes confidentiels avec les ordinateurs qui limitent le type ou le nombre de caractères pouvant être entrés dans l'environnement préalable au démarrage.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, les codes confidentiels améliorés ne sont pas utilisés.

Sélectionner la méthode de récupération des lecteurs de système d'exploitation protégés par BitLocker

Configuration suggérée : Non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie n'est pas configurée, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans les services AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Configurer l'utilisation des mots de passe pour les lecteurs du système d'exploitation

Configuration suggérée : Non configuré

Utilisez ce paramètre de stratégie pour définir les contraintes liées aux mots de passe utilisés pour déverrouiller les lecteurs du système d'exploitation protégés par BitLocker. Si des protecteurs autres que des modules de plateforme sécurisée (TPM) sont autorisés sur les lecteurs du système d'exploitation, vous pouvez configurer un mot de passe, appliquer des critères de complexité pour le mot de passe et spécifier la longueur minimale de ce dernier. Pour permettre l'application des critères de complexité, vous devez également activer le paramètre de stratégie de groupe « Le mot de passe doit répondre aux exigences de complexité » situé dans Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de mot de passe.

Notes

Ces paramètres sont appliqués lorsque vous activez BitLocker, et non lorsque vous déverrouillez un volume. BitLocker vous permet de déverrouiller un lecteur avec tous les protecteurs disponibles sur le lecteur.

Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer un mot de passe qui répond aux critères que vous définissez. Pour appliquer des critères de complexité pour le mot de passe, cliquez sur Imposer les critères de complexité des mots de passe.

Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de micrologiciel BIOS

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée compatible ou si la protection du module de plateforme sécurisée est déjà activée dans BitLocker.

Important

Ce paramètre de stratégie de groupe s'applique uniquement aux ordinateurs dotés de configurations BIOS ou aux ordinateurs dotés d'un microprogramme UEFI avec un module CSM (Compatibility Service Module) activé. Les ordinateurs qui utilisent une configuration de microprogramme UEFI native stockent des valeurs distinctes dans les registres de configuration de plateforme (PCR). Servez-vous du paramètre de stratégie « Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de micrologiciel UEFI » pour configurer le profil PCR du module de plateforme sécurisée (TPM) des ordinateurs qui utilisent le microprogramme UEFI natif.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage qui seront validés par le module de plateforme sécurisée (TPM) avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est effective, le module de plateforme sécurisée (TPM) ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l'ordinateur affiche la console de récupération BitLocker et vous demande de fournir soit le mot de passe de récupération, soit une clé de récupération pour déverrouiller le lecteur.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation.

Configurer le profil de validation de plateforme du module de plateforme sécurisée

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée compatible ou si la protection du module de plateforme sécurisée est déjà activée dans BitLocker.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage qui seront validés par le module de plateforme sécurisée (TPM) avant de déverrouiller l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est effective, le module de plateforme sécurisée (TPM) ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l'ordinateur affiche la console de récupération BitLocker et vous demande de fournir soit le mot de passe de récupération, soit une clé de récupération pour déverrouiller le lecteur.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation.

Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations de micrologiciel UEFI

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de configurer la façon dont le matériel de sécurité du module de plateforme sécurisée (TPM) de l'ordinateur sécurise la clé de chiffrement BitLocker. Ce paramètre de stratégie ne s'applique pas si l'ordinateur ne dispose pas d'un module de plateforme sécurisée compatible ou si la protection du module de plateforme sécurisée est déjà activée dans BitLocker.

Important

Ce paramètre de stratégie de groupe s'applique uniquement aux ordinateurs qui utilisent une configuration de microprogramme UEFI native.

Si vous activez ce paramètre de stratégie avant d'activer BitLocker, vous pouvez configurer les composants de démarrage qui seront validés par le module de plateforme sécurisée (TPM) avant le déverrouillage de l'accès au lecteur du système d'exploitation chiffré par BitLocker. Si l'un de ces composants est modifié alors que la protection BitLocker est effective, le module de plateforme sécurisée (TPM) ne libère pas la clé de chiffrement pour déverrouiller le lecteur. À la place, l'ordinateur affiche la console de récupération BitLocker et vous demande de fournir soit le mot de passe de récupération, soit une clé de récupération pour déverrouiller le lecteur.

Si vous désactivez ce paramètre de stratégie, ou si vous ne le configurez pas, BitLocker utilise le profil de validation de plateforme par défaut ou le profil de validation de plateforme spécifié par le script d'installation.

Réinitialiser les données de validation de plateforme après une récupération BitLocker

Configuration suggérée : Non configuré

Utilisez ce paramètre de stratégie pour contrôler si les données de validation de plateforme doivent être actualisées lorsque Windows démarre à la suite d'une récupération BitLocker.

Si vous activez ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows démarre à la suite d'une récupération BitLocker. Si vous désactivez ce paramètre de stratégie, les données de validation de plateforme ne sont pas actualisées lorsque Windows démarre à la suite d'une récupération BitLocker. Si vous ne configurez pas ce paramètre de stratégie, les données de validation de plateforme sont actualisées lorsque Windows démarre à la suite d'une récupération BitLocker.

Utiliser le profil de validation Données de configuration de démarrage amélioré

Configuration suggérée : Non configuré

Ce paramètre de stratégie vous permet de choisir les paramètres Données de configuration de démarrage (BCD) à vérifier lors de la validation de plateforme.

Si vous activez ce paramètre de stratégie, vous pouvez ajouter des paramètres, supprimer les paramètres par défaut, ou les deux. Si vous désactivez ce paramètre de stratégie, l'ordinateur revient à un profil BCD similaire au profil BCD par défaut utilisé par Windows 7. Si vous ne configurez pas ce paramètre de stratégie, l'ordinateur vérifie les paramètres BCD Windows par défaut.

Notes

Lorsque BitLocker utilise le démarrage sécurisé pour la validation de plateforme et la validation d'intégrité des données de configuration de démarrage (BCD), conformément à la stratégie « Autoriser le démarrage sécurisé pour la validation de l'intégrité », la stratégie « Utiliser le profil de validation Données de configuration de démarrage amélioré » est ignorée.

Le paramètre qui contrôle le débogage de démarrage (0x16000010) est toujours validé et n'a aucun effet s'il est inclus dans les champs fournis.

Paramètres de mise en application des stratégies de chiffrement

Configuration suggérée : Activé

Utilisez ce paramètre de stratégie pour configurer le nombre de jours pendant lesquels les utilisateurs peuvent reporter la conformité aux stratégies MBAM pour le lecteur de leur système d'exploitation. La période de grâce commence dès que le système d'exploitation est identifié comme étant non conforme. Après l'expiration de cette période de grâce, les utilisateurs ne peuvent pas reporter l'action requise ou demander une exemption.

Si le processus de chiffrement nécessite une entrée utilisateur, une boîte de dialogue s'affiche. En outre, elle ne peut être fermée par les utilisateurs tant qu'ils n'ont pas fourni les informations requises.

Si vous désactivez ce paramètre, ou si vous ne le configurez pas, les utilisateurs ne sont pas obligés de se conformer aux stratégies MBAM.

Si aucune interaction de l'utilisateur n'est requise pour ajouter un protecteur, le chiffrement commence en arrière-plan après l'expiration de la période de grâce.

Configurer le message et l'URL de récupération préalable au démarrage

Configuration suggérée : Non configuré

Activez ce paramètre de stratégie pour configurer un message de récupération personnalisé ou pour spécifier une URL qui s'affiche dans l'écran de récupération BitLocker préalable au démarrage lorsque le lecteur du système d'exploitation est verrouillé. Ce paramètre est uniquement disponible sur les ordinateurs clients exécutant Windows 10.

Lorsque cette stratégie est activée, vous pouvez sélectionner l'une des options suivantes pour le message de récupération préalable au démarrage :

  • Utiliser un message de récupération personnalisé : sélectionnez cette option pour inclure un message personnalisé dans l'écran de récupération BitLocker préalable au démarrage. Dans la zone Option de message de récupération personnalisé, tapez le message que vous souhaitez afficher. Si vous souhaitez également spécifier une URL de récupération, incluez-la dans le cadre de votre message de récupération personnalisé.

  • Utiliser une URL de récupération personnalisée : sélectionnez cette option pour remplacer l'URL par défaut qui s'affiche dans l'écran de récupération BitLocker préalable au démarrage. Dans la zone Option d'URL de récupération personnalisée, tapez l'URL que vous souhaitez afficher.

  • Utiliser le message et l'URL de récupération par défaut : sélectionnez cette option pour afficher l'URL et le message de récupération BitLocker par défaut dans l'écran de récupération BitLocker préalable au démarrage. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez rétablir le message par défaut, vous devez activer cette stratégie et sélectionner l'option Utiliser le message et l'URL de récupération par défaut.

Notes

Les caractères et les langues ne sont pas tous pris en charge au prédémarrage. Nous vous recommandons de vérifier que les caractères que vous utilisez pour le message ou l'URL personnalisé apparaissent correctement dans l'écran de récupération BitLocker préalable au démarrage.

Définitions de stratégie de groupe de lecteur amovible

Cette section décrit les définitions de stratégie de groupe de lecteur amovible pour Microsoft BitLocker Administration and Monitoring, au niveau du nœud d'objet de stratégie de groupe suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur amovible.

Nom de la stratégie Vue d'ensemble et paramètres de stratégie de groupe suggérés

Contrôler l'utilisation de BitLocker sur les lecteurs amovibles

Configuration suggérée : Activé

Cette stratégie contrôle l'utilisation de BitLocker sur des lecteurs de données amovibles.

Cliquez sur Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker pour permettre aux utilisateurs d'exécuter l'Assistant Installation de BitLocker sur un lecteur de données amovible.

Cliquez sur Autoriser les utilisateurs à suspendre et supprimer la protection BitLocker sur les lecteurs de données amovibles pour permettre aux utilisateurs de supprimer le chiffrement de lecteur BitLocker sur un lecteur ou d'interrompre le chiffrement pendant une opération de maintenance.

Lorsque cette stratégie est activée, et que vous cliquez sur Autoriser les utilisateurs à protéger les lecteurs de données amovibles avec BitLocker, le client MBAM enregistre les informations de récupération relatives aux lecteurs amovibles sur le serveur de récupération de clé MBAM. En outre, il permet aux utilisateurs de récupérer le lecteur en cas de perte du mot de passe.

Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker

Configuration suggérée : Non configuré

Activez cette stratégie pour autoriser uniquement l'accès en écriture aux lecteurs protégés par BitLocker.

Lorsque cette stratégie est activée, tous les lecteurs de données amovibles de l'ordinateur doivent être chiffrés avant que l'accès en écriture ne soit autorisé.

Autoriser l'accès aux lecteurs de données amovibles protégés par BitLocker à partir de versions antérieures de Windows

Configuration suggérée : Non configuré

Activez cette stratégie pour permettre le déverrouillage des lecteurs amovibles formatés avec le système de fichiers FAT et l'affichage de leur contenu sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Lorsque cette stratégie n'est pas configurée, les lecteurs amovibles formatés avec le système de fichiers FAT peuvent être déverrouillés et leur contenu peut être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2. Ces systèmes d'exploitation ont une autorisation d'accès en lecture seule pour les lecteurs protégés par BitLocker.

Lorsque la stratégie est désactivée, les lecteurs amovibles formatés avec le système de fichiers FAT ne peuvent pas être déverrouillés et leur contenu ne peut pas être affiché sur des ordinateurs qui exécutent Windows Server 2008, Windows Vista, Windows XP avec SP3 ou Windows XP avec SP2.

Configurer l'utilisation d'un mot de passe pour les lecteurs de données amovibles

Configuration suggérée : Non configuré

Activez cette stratégie pour configurer la protection par mot de passe sur des lecteurs de données amovibles.

Lorsque cette stratégie n'est pas configurée, les mots de passe sont pris en charge avec les paramètres par défaut, qui n'incluent pas les exigences de complexité de mot de passe et n'exigent que huit caractères.

Pour davantage de sécurité, activez cette stratégie, activez la case à cocher Demander un mot de passe pour les lecteurs de données amovibles, cliquez sur Imposer les critères de complexité des mots de passe, puis définissez la valeur souhaitée pour l'option Longueur minimale des mots de passe pour les lecteurs de données amovibles.

Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker

Configuration suggérée : Non configuré

Configurez cette stratégie pour activer l'agent de récupération de données BitLocker ou pour enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (AD DS).

Lorsque cette stratégie a la valeur Non configuré, l'agent de récupération de données est autorisé, et les informations de récupération ne sont pas sauvegardées dans AD DS.

L'exécution de MBAM ne nécessite pas la sauvegarde des informations de récupération dans AD DS.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Autres ressources

Préparation de votre environnement pour MBAM 2.5
Conditions préalables au déploiement de MBAM 2.5