Activation de BitLocker à l'aide de MBAM dans le cadre d'un déploiement de Windows

  • Article

Mis à jour: août 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Cette rubrique explique comment activer BitLocker sur l'ordinateur d'un utilisateur final à l'aide de MBAM dans le cadre de votre processus de création d'image et de déploiement de Windows.

Conditions préalables :

  • Un processus de déploiement d'image Windows existant : Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager ou autre processus ou outil de création d'image doit être en place.

  • Le Module de plateforme sécurisée doit être activé dans le BIOS et être visible par le système d'exploitation.

  • L'infrastructure de serveur MBAM doit être en place et accessible.

  • La partition système requise par BitLocker doit être créée.

  • L'ordinateur doit être joint au domaine pendant la création d'image avant que MBAM n'active entièrement BitLocker.

Pour activer BitLocker à l'aide de MBAM 2.5 SP1 dans le cadre d'un déploiement de Windows

  • Dans MBAM 2.5 SP1, nous vous recommandons d'activer BitLocker lors d'un déploiement de Windows à l'aide du script PowerShell Invoke-MbamClientDeployment.ps1.

    • Le script Invoke-MbamClientDeployment.ps1 active BitLocker pendant le processus de création d'image. Lorsque la stratégie BitLocker l'exige, l'agent MBAM invite immédiatement l'utilisateur de domaine à créer un code confidentiel ou un mot de passe quand l'utilisateur du domaine se connecte pour la première fois après la création d'image.

    • Processus de création d'image autonome, facile à utiliser avec MDT ou System Center Configuration Manager

    • Compatible avec PowerShell 2.0 ou version ultérieure

    • Chiffrer le volume du système d'exploitation avec le protecteur de clé de module de plateforme sécurisée

    • Prendre totalement en charge le pré-approvisionnement BitLocker

    • Chiffrer éventuellement les lecteurs de données fixes

    • Déposer le mot de passe d'authentification du propriétaire du module de plateforme sécurisée (TPM), même sur Windows 8 ou version ultérieure (MBAM doit toujours être propriétaire du TPM sur Windows 7 pour que le dépôt ait lieu)

    • Déposer des clés de récupération et des packages de clés de récupération

    • Signaler immédiatement l'état de chiffrement

    • Nouveaux fournisseurs WMI

    • Journalisation détaillée

    • Gestion des erreurs robuste

    Vous pouvez télécharger le script Invoke-MbamClientDeployment.ps1 à partir du Centre de téléchargement Microsoft.com. Voici le script principal que votre système de déploiement appellera pour configurer le chiffrement de lecteur BitLocker et enregistrer les clés de récupération auprès du serveur MBAM.

    Méthodes de déploiement de WMI pour MBAM : Les méthodes WMI suivantes ont été ajoutées dans MBAM 2.5 SP1 pour prendre en charge l'activation de BitLocker à l'aide du script PowerShell Invoke-MbamClientDeployment.ps1.

    • Classe WMI MBAM_Machine
      PrepareTpmAndEscrowOwnerAuth : lit le mot de passe d'authentification du propriétaire de module de plateforme sécurisée (TPM) et l'envoie à la base de données de récupération MBAM à l'aide du service de récupération MBAM. Si le TPM n'a pas de propriétaire et que l'approvisionnement automatique n'est pas activé, il génère un mot de passe d'authentification du propriétaire de TPM et prend possession. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.

      Paramètre Description 

      RecoveryServiceEndPoint

      Chaîne spécifiant le point de terminaison de service de récupération MBAM.
      Valeurs de retour courantes Message d'erreur

      S_OK

      0 (0x0)

      La méthode a réussi

      MBAM_E_TPM_NOT_PRESENT

      2147746304 (0x80040200)

      Le module de plateforme sécurisée n'est pas présent sur l'ordinateur ou il est désactivé dans la configuration du BIOS.

      MBAM_E_TPM_INCORRECT_STATE

      2147746305 (0x80040201)

      Le module de plateforme sécurisée n'est pas dans l'état correct (activé, activé et installation propriétaire autorisée).

      MBAM_E_TPM_AUTO_PROVISIONING_PENDING

      2147746306 (0x80040202)

      MBAM ne peut prendre possession du module de plateforme sécurisée, car l'approvisionnement automatique est en attente. Réessayez une fois l'approvisionnement automatique terminé.

      MBAM_E_TPM_OWNERAUTH_READFAIL

      2147746307 (0x80040203)

      MBAM ne peut pas lire la valeur d'autorisation de propriétaire de TPM. La valeur a peut-être été supprimée après un dépôt réussi. Sur Windows 7, MBAM ne peut pas lire la valeur si d'autres utilisateurs sont propriétaires du TPM.

      MBAM_E_REBOOT_REQUIRED

      2147746308 (0x80040204)

      Vous devez redémarrer l'ordinateur pour configurer le module de plateforme sécurisée à l'état correct. Vous devrez peut-être redémarrer manuellement l'ordinateur.

      MBAM_E_SHUTDOWN_REQUIRED

      2147746309 (0x80040205)

      Vous devez arrêter puis redémarrer l'ordinateur pour configurer le module de plateforme sécurisée à l'état correct. Vous devrez peut-être redémarrer manuellement l'ordinateur.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      L'accès a été refusé par le point de terminaison distant.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Le point de terminaison distant n'existe pas ou est introuvable.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Le point de terminaison distant n'a pas pu traiter la demande.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Le point de terminaison distant n'est pas accessible.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».

      ReportStatus : lit l'état de conformité du volume et l'envoie à la base de données d'état de conformité MBAM à l'aide du service de création de rapports d'état MBAM. L'état inclut le niveau de chiffrement, le type de protecteur, l'état du protecteur et l'état du chiffrement. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.

      Paramètre Description 

      ReportingServiceEndPoint

      Chaîne spécifiant le point de terminaison de service de création de rapports d'état MBAM.
      Valeurs de retour courantes Message d'erreur

      S_OK

      0 (0x0)

      La méthode a réussi

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      L'accès a été refusé par le point de terminaison distant.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Le point de terminaison distant n'existe pas ou est introuvable.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Le point de terminaison distant n'a pas pu traiter la demande.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Le point de terminaison distant n'est pas accessible.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».

    • Classe WMI MBAM_Volume
      EscrowRecoveryKey : lit le mot de passe numérique de récupération et le package de clés du volume et les envoie à la base de données de récupération MBAM à l'aide du service de récupération MBAM. Si l'opération échoue, un code d'erreur est retourné à des fins de dépannage.

      Paramètre Description 

      RecoveryServiceEndPoint

      Chaîne spécifiant le point de terminaison de service de récupération MBAM.
      Valeurs de retour courantes Message d'erreur

      S_OK

      0 (0x0)

      La méthode a réussi

      FVE_E_LOCKED_VOLUME

      2150694912 (0x80310000)

      Le volume est verrouillé.

      FVE_E_PROTECTOR_NOT_FOUND

      2150694963 (0x80310033)

      Impossible de trouver un protecteur de mot de passe numérique pour le volume.

      WS_E_ENDPOINT_ACCESS_DENIED

      2151481349 (0x803D0005)

      L'accès a été refusé par le point de terminaison distant.

      WS_E_ENDPOINT_NOT_FOUND

      2151481357 (0x803D000D)

      Le point de terminaison distant n'existe pas ou est introuvable.

      WS_E_ENDPOINT_FAILURE

      2151481357 (0x803D000F)

      Le point de terminaison distant n'a pas pu traiter la demande.

      WS_E_ENDPOINT_UNREACHABLE

      2151481360 (0x803D0010)

      Le point de terminaison distant n'est pas accessible.

      WS_E_ENDPOINT_FAULT_RECEIVED

      2151481363 (0x803D0013)

      Un message contenant une erreur a été reçu à partir du point de terminaison distant. Assurez-vous de vous connecter au point de terminaison de service correct.

      WS_E_INVALID_ENDPOINT_URL

      2151481376 (0x803D0020)

      L'URL du point de terminaison n'est pas valide. Elle doit commencer par « http » ou « https ».

  • Déployer MBAM à l'aide de Microsoft Deployment Toolkit (MDT) et PowerShell

    1. Dans MDT, créez un partage de déploiement ou ouvrez un partage de déploiement existant.

      Notes

      Vous pouvez utiliser le script PowerShell Invoke-MbamClientDeployment.ps1 avec n'importe quel processus ou outil de création d'image. Cette section montre comment l'intégrer à l'aide de MDT, mais les étapes sont semblables à l'intégration avec tout autre processus ou outil.

      Avertissement

      Si vous utilisez le pré-approvisionnement BitLocker (WinPE) et que vous souhaitez conserver la valeur d'autorisation du propriétaire de TPM, vous devez ajouter le script SaveWinPETpmOwnerAuth.wsf dans WinPE juste avant que l'installation redémarre dans le système d'exploitation complet. Si vous n'utilisez pas ce script, vous perdrez la valeur d'autorisation du propriétaire de TPM au redémarrage.

    2. Copiez Invoke-MbamClientDeployment.ps1 dans <DeploymentShare>\Scripts. Si vous utilisez le pré-approvisionnement, copiez le fichier SaveWinPETpmOwnerAuth.wsf dans <DeploymentShare>\Scripts.

    3. Ajoutez l'application cliente MBAM 2.5 SP1 au nœud Applications dans le partage de déploiement.

      1. Sous le nœud Applications, cliquez sur Nouvelle application.

      2. Sélectionnez Application avec fichiers sources. Cliquez sur Suivant.

      3. Dans Nom de l'application, tapez « Client MBAM 2.5 SP1 ». Cliquez sur Suivant.

      4. Accédez au répertoire qui contient MBAMClientSetup-<Version>.msi. Cliquez sur Suivant.

      5. Tapez « Client MBAM 2.5 SP1 » comme répertoire à créer. Cliquez sur Suivant.

      6. Entrez msiexec /i MBAMClientSetup-<Version>.msi /quiet sur la ligne de commande. Cliquez sur Suivant.

      7. Acceptez les valeurs par défaut restantes pour terminer l'Assistant Nouvelle application.

    4. Dans MDT, cliquez avec le bouton droit sur le nom du partage de déploiement, puis cliquez sur Properties. Cliquez sur l'onglet Rules. Ajoutez les lignes suivantes :

      SkipBitLocker=YES
      BDEInstall=TPM
      BDEInstallSuppress=NO
      BDEWaitForEncryption=YES

      Cliquez sur OK pour fermer la fenêtre.

    5. Sous le nœud Séquences de tâches, modifiez une séquence de tâches existante utilisée pour le déploiement de Windows. Si vous le souhaitez, vous pouvez créer une nouvelle séquence de tâches en cliquant avec le bouton droit sur le nœud Séquences de tâches, en sélectionnant Nouvelle séquence de tâches et en terminant l'Assistant.

      Sous l'onglet Séquence de tâches de la séquence de tâches sélectionnée, procédez comme suit :

      1. Sous le dossier Préinstallation, activez la tâche facultative Activer BitLocker (hors connexion) si vous souhaitez que BitLocker soit activé dans WinPE, qui chiffre uniquement l'espace disque utilisé.

      2. Pour conserver le mot de passe d'authentification du propriétaire de module de plateforme sécurisée lors de l'utilisation du pré-approvisionnement, ce qui permet à MBAM de le déposer ultérieurement, procédez comme suit :

        1. Recherchez l'étape Installation du système d'exploitation.

        2. Ajoutez une nouvelle étape Exécuter la ligne de commande juste après.

        3. Nommez l'étape Conserver le mot de passe d'authentification du propriétaire de TPM.

        4. Définissez la ligne de commande sur cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf".

      3. Dans le dossier Restauration de l'état, supprimez la tâche Activer BitLocker.

      4. Dans le dossier Restauration de l'état sous Tâches personnalisées, créez une tâche Installation d'application et nommez-la Installation de l'Agent MBAM. Cliquez sur la case d'option Installer une seule application, puis accédez à l'application cliente MBAM 2.5 SP1 créée précédemment.

      5. Dans le dossier Restauration de l'état sous Tâches personnalisées, créez une tâche Exécuter le script PowerShell (après l'étape Application cliente MBAM 2.5 SP1) avec les paramètres suivants (mettez à jour les paramètres en fonction de votre environnement) :

        • Nom : Configurer BitLocker pour MBAM

        • Script PowerShell : Invoke-MbamClientDeployment.ps1

        • Paramètres :

          -RecoveryServiceEndpoint

          Obligatoire

          Point de terminaison de service de récupération MBAM

          -StatusReportingServiceEndpoint

          Facultatif

          Point de terminaison de service de création de rapport d'état MBAM

          -EncryptionMethod

          Facultatif

          Méthode de chiffrement (par défaut : AES 128)

          -EncryptAndEscrowDataVolume

          Commutateur

          Spécifier pour chiffrer les volumes de données et déposer les clés de récupération de volumes de données

          -WaitForEncryptionToComplete

          Commutateur

          Spécifier pour attendre la fin du chiffrement

          -DoNotResumeSuspendedEncryption

          Commutateur

          Spécifier que le script de déploiement ne reprendra pas le chiffrement suspendu

          -IgnoreEscrowOwnerAuthFailure

          Commutateur

          Spécifier pour ignorer l'échec du dépôt d'authentification du propriétaire du module de plateforme sécurisée. Doit être utilisé dans les scénarios où MBAM ne peut pas lire l'authentification du propriétaire du module de plateforme sécurisée, par exemple si l'approvisionnement automatique du module de plateforme sécurisée est activé.

          -IgnoreEscrowRecoveryKeyFailure

          Commutateur

          Spécifier pour ignorer l'échec de dépôt de clé de récupération de volume

          -IgnoreReportStatusFailure

          Commutateur

          Spécifier pour ignorer l'échec de création de rapport d'état

Pour activer BitLocker à l'aide de MBAM 2.5 ou version antérieure dans le cadre d'un déploiement de Windows

  1. Installez le client MBAM. Pour obtenir des instructions, consultez Déploiement du client MBAM à l'aide d'une ligne de commande.

  2. Joignez l'ordinateur à un domaine (recommandé).

    • Si l'ordinateur n'est pas joint à un domaine, le mot de passe de récupération n'est pas stocké dans le service de récupération de clé MBAM. Par défaut, MBAM ne permet pas l'exécution du chiffrement sauf si la clé de récupération peut être stockée.

    • Si un ordinateur démarre en mode de récupération avant que la clé de récupération ne soit stockée sur le serveur MBAM, aucune méthode de récupération n'est disponible et l'ordinateur doit être reconfiguré.

  3. Ouvrez une invite de commandes en tant qu'administrateur et arrêtez le service MBAM.

  4. Affectez au service la valeur Manuel ou À la demande en tapant les commandes suivantes :

    net stop mbamagent

    sc config mbamagent start= demand

  5. Définissez les valeurs de Registre afin que le client MBAM ignore les paramètres de stratégie de groupe et définisse à la place le lancement du chiffrement au moment du déploiement de Windows sur cet ordinateur client.

    Avertissement

    Cette étape décrit comment modifier le Registre Windows. Une utilisation incorrecte de l'Éditeur du Registre peut provoquer des problèmes sérieux pouvant vous obliger à réinstaller Windows. Nous ne pouvons pas garantir que les problèmes résultant d'une utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

    1. Affectez au module de plateforme sécurisée le paramètre Chiffrement uniquement du système d'exploitation, exécutez Regedit.exe, puis importez le modèle de clé de Registre à partir de C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. Dans Regedit.exe, accédez à HKLM\SOFTWARE\Microsoft\MBAM, puis configurez les paramètres répertoriés dans le tableau suivant.

      Notes

      Vous pouvez définir les paramètres de stratégie de groupe ou les valeurs de Registre associés à MBAM ici. Ces paramètres remplacent les valeurs précédemment définies.

    Entrée de Registre Paramètres de configuration

    DeploymentTime

    0 = Désactivé

    1 = Utiliser les paramètres de stratégie de temps du déploiement (par défaut) : utilisez ce paramètre pour activer le chiffrement au moment du déploiement de Windows sur l'ordinateur client.

    UseKeyRecoveryService

    0 = Ne pas utiliser le dépôt de clé (les deux entrées de Registre suivantes ne sont pas requises dans ce cas)

    1 = Utiliser le dépôt de clé dans le système de récupération de clé (par défaut)

    Il s'agit du paramètre recommandé, qui permet à MBAM de stocker les clés de récupération. L'ordinateur doit être en mesure de communiquer avec le service de récupération de clé MBAM. Vérifiez que l'ordinateur peut communiquer avec ce service avant de continuer.

    KeyRecoveryOptions

    0 = Télécharge uniquement la clé de récupération

    1 = Télécharge la clé de récupération et le package de récupération de clé (par défaut)

    KeyRecoveryServiceEndPoint

    Définissez cette valeur sur l'URL du serveur exécutant le service de récupération de clé, par exemple, http://<nom_ordinateur>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. Le client MBAM redémarre le système lors du déploiement du client MBAM. Lorsque vous êtes prêt pour ce redémarrage, exécutez la commande suivante dans une invite de commandes en tant qu'administrateur :

    net start mbamagent

  7. Lorsque l'ordinateur redémarre et que le BIOS vous invite à accepter une modification du module de plateforme sécurisée, acceptez cette modification.

  8. Au cours du processus de création d'images du système d'exploitation client Windows, lorsque vous êtes prêt à lancer le chiffrement, ouvrez une invite de commandes en tant qu'administrateur et tapez les commandes suivantes pour définir le démarrage sur Automatique et pour redémarrer l'agent du client MBAM :

    sc config mbamagent start= auto

    net start mbamagent

  9. Pour supprimer les valeurs de Registre de dérivation, exécutez Regedit.exe, puis accédez à l'entrée de Registre HKLM\SOFTWARE\Microsoft. Cliquez avec le bouton droit sur le nœud MBAM, puis cliquez sur Supprimer.

    Vous avez une suggestion pour MBAM ? Ajoutez des suggestions ou votez pour les meilleures ici.
    Vous rencontrez un problème avec MBAM ? Utilisez le Forum TechNet MBAM.

Voir aussi

Concepts

Planification du déploiement de clients MBAM 2.5

Autres ressources

Déploiement du client MBAM 2.5