À propos de MBAM 2.5

Article
11/03/2015

Mis à jour: mai 2014

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 propose une interface d'administration simplifiée pour le chiffrement de lecteur BitLocker. BitLocker offre une protection accrue contre le vol de données ou l'exposition des données en cas de perte ou de vol d'ordinateurs. BitLocker chiffre toutes les données stockées sur les volumes et lecteurs du système d'exploitation Windows et les lecteurs de données configurés.

Vue d'ensemble de MBAM

MBAM 2.5 propose les fonctionnalités suivantes :

Permet aux administrateurs d'automatiser le processus de chiffrement de volumes sur les ordinateurs clients de l'entreprise.
Permet aux personnes chargées de la sécurité de rapidement déterminer l'état de conformité d'ordinateurs individuels ou de l'entreprise entière.
Permet de centraliser la gestion des rapports et du matériel avec Microsoft System Center Configuration Manager.
Réduit la charge de travail du support technique pour tout ce qui concerne les demandes de code confidentiel et de clé de récupération BitLocker des utilisateurs finaux.
Permet aux utilisateurs finaux de récupérer les appareils chiffrés par eux-mêmes à l'aide du portail libre-service.
Permet aux personnes chargées de la sécurité de facilement auditer l'accès afin de récupérer les informations clés.
Permet aux utilisateurs de Windows Entreprise de continuer à travailler où qu'ils se trouvent avec l'assurance que leurs données d'entreprise sont protégées.

MBAM applique les options de la stratégie de chiffrement BitLocker que vous avez configurée pour votre entreprise, analyse la conformité des ordinateurs clients par rapport à ces stratégies et établit des rapports sur l'état de chiffrement de l'entreprise et des ordinateurs individuels. En outre, MBAM offre la possibilité d'accéder aux informations des clés de récupération en cas d'oubli du code confidentiel ou du mot de passe par les utilisateurs, de modification du BIOS ou de l'enregistrement de démarrage de leur ordinateur.

Les groupes suivants sont susceptibles d'être intéressés par l'utilisation de MBAM pour gérer BitLocker :

administrateurs, professionnels de la sécurité informatique et responsables de la conformité chargés de s'assurer que les données confidentielles ne sont pas divulguées sans autorisation ;
administrateurs chargés de la sécurité des ordinateurs distants ou installés dans des succursales ;
administrateurs responsables des ordinateurs clients qui exécutent Windows.

Notes

BitLocker n'est pas abordé en détail dans cette documentation axée sur MBAM. Pour plus d'informations, consultez Vue d'ensemble du chiffrement de lecteur BitLocker.

Nouveautés de MBAM 2.5

Cette section décrit les nouvelles fonctionnalités de MBAM 2.5.

Prise en charge de Microsoft SQL Server 2014

MBAM prend désormais en charge Microsoft SQL Server 2014, en plus des logiciels déjà pris en charge dans les versions antérieures de MBAM.

Modèles de stratégie de groupe MBAM téléchargés séparément

Les modèles de stratégie de groupe MBAM doivent être téléchargés séparément de l'installation de MBAM. Dans les versions antérieures de MBAM, le programme d'installation de MBAM incluait un modèle de stratégie MBAM qui contenait les objets de stratégie de groupe (GPO) propres à MBAM qui étaient requis et définissaient les paramètres d'implémentation de MBAM pour le chiffrement de lecteur BitLocker. Ces objets GPO ont été supprimés du programme d'installation de MBAM. Vous devez désormais les télécharger depuis la page Obtention des modèles de stratégie de groupe MDOP (.admx), puis les copier sur un serveur ou une station de travail avant de commencer l'installation du client MBAM. Vous pouvez copier les modèles de stratégie de groupe sur tout serveur ou station de travail qui exécute une version prise en charge du système d'exploitation Windows Server ou Windows.

Important

Ne modifiez pas les paramètres de stratégie de groupe du nœud Chiffrement de lecteur BitLocker. Sinon, MBAM ne fonctionnera pas. Lorsque vous configurez les paramètres de stratégie de groupe dans le nœud MDOP MBAM (Gestion BitLocker), MBAM configure automatiquement les paramètres de chiffrement de lecteur BitLocker à votre place.

Vous devez copier les fichiers de modèles suivants sur un serveur ou une station de travail :

BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx

Copiez les fichiers de modèles à l'emplacement répondant le mieux à vos besoins. Pour les fichiers spécifiques à une langue, qui doivent être copiés dans un dossier spécifique à cette langue, la Console de gestion des stratégies de groupe est requise pour afficher les fichiers.

Pour installer les fichiers de modèles localement sur un serveur ou une station de travail, copiez-les dans l'un des emplacements suivants.

Type de fichier	Emplacement du fichier
Indépendant de la langue (.admx)	%systemroot%\policyDefinitions
Spécifique à une langue (.adml)	%systemroot%\policyDefinitions\[MUIculture] (par exemple, le fichier spécifique à l'Anglais (États-Unis) sera stocké dans %systemroot%\policyDefinitions\en-us)

Pour mettre les modèles à la disposition de tous les administrateurs de stratégie de groupe dans un domaine, copiez les fichiers dans l'un des emplacements suivants sur un contrôleur de domaine.

Type de fichier	Emplacement des fichiers sur le contrôleur de domaine
Indépendant de la langue (.admx)	%systemroot%sysvol\domain\policies\PolicyDefinitions
Spécifique à une langue (.adml)	%systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture] (par exemple, le fichier spécifique à l'Anglais (États-Unis) sera stocké dans %systemroot%\\sysvol\domain\policies\PolicyDefinitions\en-us)

Pour plus d'informations sur les modèles de fichiers, consultez Guide pas à pas sur la gestion des fichiers ADMX de stratégie de groupe.

Possibilité d'appliquer les stratégies de chiffrement sur les lecteurs de système d'exploitation et les lecteurs de données fixes

MBAM 2.5 vous permet d'appliquer les stratégies de chiffrement sur les lecteurs de système d'exploitation et les lecteurs de données fixes des ordinateurs de votre organisation et de limiter le nombre de jours pendant lesquels les utilisateurs finaux peuvent demander un report de l'obligation de mise en conformité avec les stratégies de chiffrement MBAM.

Pour vous permettre de configurer l'application de la stratégie de chiffrement, un nouveau paramètre de stratégie de groupe, appelé Paramètres d'application de la stratégie de chiffrement, a été ajouté pour les lecteurs de système d'exploitation et les lecteurs de données fixes. Cette stratégie est décrite dans le tableau suivant.

Paramètre de stratégie de groupe	Description	Nœud Stratégie de groupe utilisé pour configurer ce paramètre
Paramètres d'application de la stratégie de chiffrement (lecteur de système d'exploitation)	Utilisez l'option Configurer le nombre de jours de la période de grâce de non-conformité pour les lecteurs de système d'exploitation de ce paramètre pour configurer une période de grâce. La période de grâce spécifie le nombre de jours pendant lesquels les utilisateurs finaux peuvent reporter la mise en conformité de leur lecteur de système d'exploitation avec les stratégies MBAM après la première détection de non-conformité du lecteur. Une fois que la période de grâce configurée arrive à expiration, les utilisateurs ne peuvent pas reporter l'action requise ou demander à en être exemptés. Si une intervention de l'utilisateur est requise (par exemple, si vous utilisez Module de plateforme sécurisée (TPM) + code confidentiel ou un protecteur de mot de passe), une boîte de dialogue s'affiche, que les utilisateurs ne pourront pas fermer tant qu'ils n'auront pas fourni les informations requises. Si le protecteur se limite à TPM, le chiffrement commence immédiatement en arrière-plan sans entrée utilisateur. Les utilisateurs ne peuvent pas demander à être exemptés via l'Assistant de chiffrement BitLocker. Ils doivent contacter le support technique ou utiliser la procédure prévue par leur organisation pour les demandes d'exemption.	Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur du système d'exploitation
Paramètres d'application de la stratégie de chiffrement (lecteurs de données fixes)	Utilisez l'option Configurer le nombre de jours de la période de grâce de non-conformité pour les lecteurs fixes de ce paramètre pour configurer une période de grâce. La période de grâce spécifie le nombre de jours pendant lesquels les utilisateurs finaux peuvent reporter la mise en conformité de leur lecteur fixe avec les stratégies MBAM après la première détection de non-conformité du lecteur. La période de grâce commence lorsque le lecteur fixe est détecté comme étant non conforme. Si vous utilisez le déverrouillage automatique, la stratégie ne sera pas appliquée tant que le lecteur de système d'exploitation ne sera pas conforme. Toutefois, si vous n'utilisez pas le déverrouillage automatique, le chiffrement du lecteur de données fixe peut commencer avant que le lecteur de système d'exploitation ne soit totalement chiffré. Une fois que la période de grâce configurée arrive à expiration, les utilisateurs ne peuvent pas reporter l'action requise ou demander à en être exemptés. Si l'intervention de l'utilisateur est requise, une boîte de dialogue s'affiche que les utilisateurs ne pourront pas fermer tant qu'ils n'auront pas fourni les informations requises.	Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur fixe

Paramètres d'application de la stratégie de chiffrement (lecteur de système d'exploitation)

Utilisez l'option Configurer le nombre de jours de la période de grâce de non-conformité pour les lecteurs de système d'exploitation de ce paramètre pour configurer une période de grâce.

La période de grâce spécifie le nombre de jours pendant lesquels les utilisateurs finaux peuvent reporter la mise en conformité de leur lecteur de système d'exploitation avec les stratégies MBAM après la première détection de non-conformité du lecteur.

Une fois que la période de grâce configurée arrive à expiration, les utilisateurs ne peuvent pas reporter l'action requise ou demander à en être exemptés.

Si une intervention de l'utilisateur est requise (par exemple, si vous utilisez Module de plateforme sécurisée (TPM) + code confidentiel ou un protecteur de mot de passe), une boîte de dialogue s'affiche, que les utilisateurs ne pourront pas fermer tant qu'ils n'auront pas fourni les informations requises. Si le protecteur se limite à TPM, le chiffrement commence immédiatement en arrière-plan sans entrée utilisateur.

Les utilisateurs ne peuvent pas demander à être exemptés via l'Assistant de chiffrement BitLocker. Ils doivent contacter le support technique ou utiliser la procédure prévue par leur organisation pour les demandes d'exemption.

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur du système d'exploitation

Paramètres d'application de la stratégie de chiffrement (lecteurs de données fixes)

Utilisez l'option Configurer le nombre de jours de la période de grâce de non-conformité pour les lecteurs fixes de ce paramètre pour configurer une période de grâce.

La période de grâce spécifie le nombre de jours pendant lesquels les utilisateurs finaux peuvent reporter la mise en conformité de leur lecteur fixe avec les stratégies MBAM après la première détection de non-conformité du lecteur.

La période de grâce commence lorsque le lecteur fixe est détecté comme étant non conforme. Si vous utilisez le déverrouillage automatique, la stratégie ne sera pas appliquée tant que le lecteur de système d'exploitation ne sera pas conforme. Toutefois, si vous n'utilisez pas le déverrouillage automatique, le chiffrement du lecteur de données fixe peut commencer avant que le lecteur de système d'exploitation ne soit totalement chiffré.

Une fois que la période de grâce configurée arrive à expiration, les utilisateurs ne peuvent pas reporter l'action requise ou demander à en être exemptés. Si l'intervention de l'utilisateur est requise, une boîte de dialogue s'affiche que les utilisateurs ne pourront pas fermer tant qu'ils n'auront pas fourni les informations requises.

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur fixe

Possibilité de fournir une URL dans l'Assistant de chiffrement de lecteur BitLocker qui pointe vers votre stratégie de sécurité

Un nouveau paramètre de stratégie de groupe, Fournir l'URL du lien vers la stratégie de sécurité, vous permet de configurer une URL qui sera présentée aux utilisateurs finaux sous la forme d'un lien nommé Stratégie de sécurité de l'entreprise. Ce lien s'affiche lorsque MBAM demande aux utilisateurs de chiffrer un volume.

Si vous activez ce paramètre de stratégie, vous pouvez configurer l'URL du lien Stratégie de sécurité de l'entreprise. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le lien Stratégie de sécurité de l'entreprise n'est pas affiché aux utilisateurs.

Ce nouveau paramètre de stratégie de groupe est placé dans le nœud GPO suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Gestion des clients.

Prise en charge des clés de récupération compatibles FIPS

MBAM 2.5 prend en charge les clés de récupération BitLocker compatibles FIPS (Federal Information Processing Standard) sur les appareils exécutant le système d'exploitation Windows 8.1. La clé de récupération n'était pas compatible FIPS dans les versions précédentes de Windows. Cette nouvelle fonctionnalité améliore le processus de récupération de lecteur dans les organisations qui exigent la compatibilité FIPS, car elle permet aux utilisateurs finaux d'utiliser le portail libre-service ou le site web d'administration et de surveillance (support technique) pour récupérer leurs lecteurs en cas d'oubli de leur code confidentiel ou mot de passe ou d'accès verrouillé à leur ordinateur. Cette nouvelle fonctionnalité de compatibilité FIPS n'étend pas les protecteurs de mot de passe.

Pour activer la compatibilité FIPS dans votre organisation, vous devez configurer les paramètres de stratégie de groupe FIPS (Federal Information Processing Standard). Pour obtenir des instructions sur la configuration, consultez Paramètres de stratégie de groupe BitLocker.

Pour les ordinateurs clients qui exécutent les systèmes d'exploitation Windows 8 ou Windows 7 sans le correctif logiciel BitLocker, les administrateurs informatiques continueront d'utiliser le protecteur Agent de récupération des données (DRA) dans les environnements compatibles FIPS. Pour plus d'informations sur les agents de récupération des données, consultez Utilisation d'agents de récupération de données avec BitLocker.

Voir Correctif logiciel 2 pour BitLocker Administration and Monitoring 2.5 pour télécharger et installer le correctif BitLocker pour les ordinateurs Windows 7 et Windows 8.

Prise en charge des déploiements haute disponibilité

MBAM prend en charge les scénarios haute disponibilité suivants, en plus des topologies standard à deux serveurs et Intégration Configuration Manager :

Groupes de disponibilité SQL Server AlwaysOn
Clustering SQL Server
Équilibrage de la charge réseau
Mise en miroir SQL Server
Sauvegarde VSS (Volume Shadow Copy Service)

Pour plus d'informations sur ces composants, consultez Planification de la haute disponibilité de MBAM 2.5.

Modification de la gestion des rôles pour le site web d'administration et de surveillance

Dans MBAM 2.5, vous devez créer des groupes de sécurité dans les services de domaine Active Directory (AD DS) pour gérer les rôles qui fournissent les droits d'accès au site web d'administration et de surveillance. Les rôles permettent aux utilisateurs appartenant à des groupes de sécurité spécifiques de réaliser différentes tâches dans le site web, comme afficher des rapports ou aider les utilisateurs finaux à récupérer des lecteurs chiffrés. Dans les versions précédentes de MBAM, les rôles étaient gérés à l'aide de groupes locaux.

Dans MBAM 2.5, le terme de « rôle » remplace le terme de « rôles d'administrateur » qui était utilisé dans les versions antérieures de MBAM. En outre, dans MBAM 2.5, le rôle « Administrateurs système MBAM » a été supprimé.

Le tableau suivant répertorie les groupes de sécurité que vous devez créer dans AD DS. Vous pouvez nommer les groupes de sécurité comme il vous plaît.

Rôle	Droits d'accès de ce rôle sur le site web d'administration et de surveillance
Utilisateurs du support technique de MBAM	Fournit un accès aux zones de gestion de TPM et de récupération de lecteur du site web d'administration et de surveillance de MBAM. Les utilisateurs qui ont accès à ces zones doivent renseigner tous les champs lorsqu'ils utilisent l'une ou l'autre de ces zones.
Utilisateurs de rapport MBAM	Fournit un accès aux rapports dans le site web d'administration et de surveillance.
Utilisateurs avancés du support technique MBAM	Fournit un accès à toutes les zones du site web d'administration et de surveillance. Les utilisateurs de ce groupe doivent uniquement entrer la clé de récupération, pas le domaine ni le nom d'utilisateur de l'utilisateur final, pour aider les utilisateurs finaux à récupérer leurs lecteurs. Si un utilisateur est membre des groupes Utilisateurs du support technique de MBAM et du groupe Utilisateurs avancés du support technique de MBAM, les autorisations du groupe Utilisateurs avancés du support technique de MBAM remplacent les autorisations du groupe Utilisateurs du support technique de MBAM.

Après avoir créé les groupes de sécurité dans AD DS, affectez les utilisateurs et/ou groupes au groupe de sécurité approprié afin d'autoriser le niveau d'accès correspondant au site web d'administration et de surveillance. Pour autoriser les individus auxquels un rôle est affecté d'accéder au site web d'administration et de surveillance, vous devez également spécifier chaque groupe de sécurité lorsque vous configurez le site web d'administration et de surveillance.

Applets de commande Windows PowerShell permettant de configurer les composants serveur de MBAM

Les applets de commande Windows PowerShell pour MBAM 2.5 vous permettent de configurer et de gérer les composants serveur de MBAM. Chaque composant est associé à une applet de commande Windows PowerShell que vous pouvez utiliser pour activer ou désactiver des composants ou pour obtenir des informations sur un composant.

Pour connaître la configuration requise permettant d'utiliser Windows PowerShell, consultez Configuration des composants du serveur MBAM 2.5 à l'aide de Windows PowerShell.

Pour charger l'aide de MBAM 2.5 sur les applets de commande Windows PowerShell après l'installation du logiciel serveur MBAM

Ouvrez Windows PowerShell ou l'environnement d'écriture de scripts intégré de Windows PowerShell.
Tapez Update-Help –Module Microsoft.MBAM.

L'aide de Windows PowerShell sur MBAM est disponible dans les formats suivants :

Format de l'aide de Windows PowerShell	Plus d'informations
À une invite de commandes Windows PowerShell, taper Get-Help <applet de commande>	Pour télécharger les dernières applets de commande Windows PowerShell, suivez les instructions de la section précédente concernant le chargement de l'aide de Windows PowerShell pour MBAM.
Sur TechNet, sous forme de pages Web	https://go.microsoft.com/fwlink/?LinkId=393498
Dans le Centre de téléchargement, sous forme de fichier Word .docx	https://go.microsoft.com/fwlink/?LinkId=393497
Dans le Centre de téléchargement, sous forme de fichier .pdf	https://go.microsoft.com/fwlink/?LinkId=393499

Prise en charge des codes confidentiels ASCII seulement et améliorés et possibilité d'interdire les caractères séquentiels et répétés

Paramètre de stratégie de groupe Autoriser les codes confidentiels améliorés au démarrage

Le paramètre de stratégie de groupe, Autoriser les codes confidentiels améliorés au démarrage, vous permet de configurer si des codes confidentiels de démarrage améliorés sont utilisés avec BitLocker. Avec les codes confidentiels de démarrage améliorés, les utilisateurs peuvent utiliser toutes les touches d'un clavier étendu, notamment les lettres majuscules et minuscules, les symboles, les nombres et les espaces. Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker seront des codes améliorés. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, les codes confidentiels améliorés ne peuvent pas être utilisés.

Tous les ordinateurs ne prennent pas en charge l'entrée de codes confidentiels améliorés dans l'environnement PXE (Pre-Boot Execution Environment). Avant d'activer ce paramètre de stratégie de groupe pour votre organisation, effectuez une vérification du système au cours du processus de configuration de BitLocker pour vous assurer que le BIOS de l'ordinateur prend en charge l'utilisation du clavier étendu dans l'environnement PXE. Pour plus d'informations, consultez Planification des exigences en matière de stratégie de groupe MBAM 2.5.

Case à cocher Exiger des codes confidentiels en caractères ASCII uniquement

La stratégie de groupe Autoriser les codes confidentiels améliorés au démarrage contient également une case à cocher Exiger des codes confidentiels en caractères ASCII uniquement. Si les ordinateurs de votre organisation ne prennent pas en charge l'utilisation du clavier étendu dans l'environnement PXE, vous pouvez activer le paramètre de stratégie de groupe Autoriser les codes confidentiels améliorés au démarrage, puis activer la case à cocher Exiger des codes confidentiels en caractères ASCII uniquement pour exiger que les codes confidentiels améliorés utilisent uniquement des caractères ASCII imprimables.

Utilisation forcée de caractères non séquentiels et non répétés

MBAM 2.5 empêche les utilisateurs finaux de créer des codes confidentiels constitués de chiffres qui se répètent (comme 1111) ou de nombres séquentiels (par exemple, 1234). Si les utilisateurs finaux essaient d'entrer un mot de passe contenant au moins trois chiffres répétés ou séquentiels, l'Assistant de chiffrement de lecteur BitLocker affiche un message d'erreur et empêche les utilisateurs d'entrer un code confidentiel avec les caractères interdits.

Ajout d'un certificat Agent de récupération des données au rapport de conformité des ordinateurs BitLocker

Un nouveau type de protecteur, le certificat Agent de récupération des données, a été ajouté au rapport de conformité des ordinateurs BitLocker dans Configuration Manager. Ce protecteur s'applique aux lecteurs de système d'exploitation et apparaît dans la section Volume(s) de l'ordinateur de la colonne Types de protecteur.

Prise en charge des déploiements à plusieurs forêts

MBAM 2.5 prend en charge les types suivants de déploiements à plusieurs forêts :

Une seule forêt avec un seul domaine
Une seule forêt avec un seul arbre et plusieurs domaines
Une seule forêt avec plusieurs arbres et espaces de noms disjoints
Plusieurs forêts dans une topologie de forêt centrale
Plusieurs forêts dans une topologie de forêt de ressources

Ni la migration de forêts (une-à-plusieurs, plusieurs-à-une, de ressources, inter-forêt, etc.) ni la mise à niveau de forêts vers une version supérieure ou une version antérieure ne sont prises en charge.

Configuration requise pour le déploiement de MBAM dans des déploiements à plusieurs forêts :

La forêt doit s'exécuter sur les versions prises en charge de Windows Server.
Une approbation à sens unique ou bidirectionnelle est requise. Dans les approbations à sens unique, le domaine du serveur doit approuver le domaine du client. En d'autres termes, le domaine du serveur est pointé vers le domaine du client.

Prise en charge du client MBAM pour les disques durs chiffrés

MBAM prend en charge BitLocker sur les disques durs chiffrés qui répondent aux exigences de la spécification TCG pour Opal et à celles des normes IEEE 1667. Quand BitLocker est activé sur ces périphériques, il génère des clés et exécute des fonctions de gestion sur le lecteur chiffré. Consultez Disque dur chiffré pour plus d'informations.

Comment obtenir les technologies MDOP

MBAM fait partie de MDOP (Microsoft Desktop Optimization Pack). MDOP fait partie du programme Microsoft Software Assurance. Pour plus d'informations sur le programme Microsoft Software Assurance et comment acquérir MDOP, consultez Comment obtenir MDOP ?.

Notes de publication de MBAM 2.5

Pour obtenir d'autres informations et connaître les dernières nouveautés non incluses dans cette documentation, consultez Notes de publication de MBAM 2.5.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.