Initialiser et configurer la propriété du module de plateforme sécurisée (TPM)

Cette rubrique destinée aux professionnels de l’informatique décrit comment initialiser et définir la propriété du module de plateforme sécurisée (TPM), activer et désactiver le module de plateforme sécurisée, et effacer des clés du module de plateforme sécurisée. Elle explique également comment résoudre les problèmes que vous pouvez rencontrer dans l’utilisation de ces procédures.

À propos de l’initialisation et de la propriété du module de plateforme sécurisée

Le module de plateforme sécurisée doit être initialisé et vous devez en être propriétaire avant de pouvoir l’utiliser pour vous aider à protéger votre ordinateur. Le propriétaire du module de plateforme sécurisée est l’utilisateur qui possède le mot de passe de propriétaire et qui est en mesure de le définir et de le modifier. Il n’existe qu’un seul mot de passe de propriétaire par module TPM. Le propriétaire du module de plateforme sécurisée peut tirer pleinement profit des fonctionnalités du module de plateforme sécurisée. La prise de propriété du module de plateforme sécurisée peut être effectuée dans le cadre du processus d’initialisation.

Lorsque vous démarrez l’Assistant Initialisation du module de plateforme sécurisée (TPM), accessible via la console MMC (Microsoft Management Console), vous pouvez déterminer si le module de plateforme sécurisée de l’ordinateur a été initialisé. Vous pouvez également afficher les propriétés du module de plateforme sécurisée.

Cette rubrique contient les procédures des tâches suivantes :

• Initialiser le module de plateforme sécurisée et définir la propriété

• Résoudre les problèmes d’initialisation du module de plateforme sécurisée

• Activer ou désactiver le module de plateforme sécurisée

• Effacer toutes les clés du module de plateforme sécurisée

• Utiliser les applets de commande de module de plateforme sécurisée (TPM)

Initialiser le module de plateforme sécurisée et définir la propriété

Pour effectuer cette procédure, vous devez au moins être membre du groupe Administrateurs local ou d’un groupe équivalent. L’ordinateur doit également être équipé d’un BIOS compatible Trustred Computing Group.

Pour démarrer l’Assistant Initialisation du module de plateforme sécurisée (TPM)

1. Ouvrez la console de gestion du module de plateforme sécurisée (tpm.msc). Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, vérifiez que l’action affichée correspond à l’action souhaitée, puis cliquez sur Oui.

2. Dans le menu Action, cliquez sur Initialiser le module de plateforme sécurisée pour démarrer l’Assistant Initialisation du module de plateforme sécurisée (TPM).

3. Si le module de plateforme sécurisée n’a jamais été initialisé ou s’il est désactivé, l’Assistant Initialisation du module de plateforme sécurisée (TPM) affiche la boîte de dialogue Activer le matériel du module de plateforme sécurisée (TPM). Cette boîte de dialogue fournit des recommandations pour l’initialisation ou l’activation du module de plateforme sécurisée. Suivez les instructions qui s’affichent dans l’Assistant.

   Remarque  

   Si le module de plateforme sécurisée est déjà activé, l’Assistant Initialisation du module de plateforme sécurisée (TPM) affiche la boîte de dialogue Créer le mot de passe de propriétaire du module de plateforme sécurisée (TPM). Ignorez le reste de cette procédure et passez à la procédure Pour définir la propriété du module de plateforme sécurisée.

    

   Remarque  

   Si l’Assistant Initialisation du module de plateforme sécurisée (TPM) détecte que vous ne disposez pas d’un BIOS compatible, vous ne pouvez pas continuer avec l’Assistant Initialisation du module de plateforme sécurisée (TPM) et il vous est demandé de consulter la documentation du fabricant de l’ordinateur pour obtenir des instructions sur l’initialisation du module de plateforme sécurisée.

    

4. Cliquez sur Redémarrer.

5. Suivez les invites de l’écran du BIOS. Une invite d’acceptation s’affiche pour vous assurer qu’un utilisateur dispose d’un accès physique à l’ordinateur et qu’aucun logiciel malveillant ne tente d’activer le module de plateforme sécurisée.

   Remarque  

   Les invites de l’écran du BIOS et les séquences de touches requises varient selon le fabricant de l’ordinateur.

    

6. Après le redémarrage de l’ordinateur, connectez-vous à l’ordinateur avec les mêmes informations d’identification d’administration que celles utilisées au début de cette procédure.

7. L’Assistant Initialisation du module de plateforme sécurisée (TPM) redémarre automatiquement. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, vérifiez que l’action affichée correspond à l’action souhaitée, puis cliquez sur Oui.

8. Passez à la procédure suivante pour devenir propriétaire du module de plateforme sécurisée.

Pour terminer l’initialisation du module de plateforme sécurisée à utiliser, vous devez définir un propriétaire pour le module de plateforme sécurisée. Le processus de prise de propriété inclut la création d’un mot de passe de propriétaire pour le module de plateforme sécurisée.

Pour définir la propriété du module de plateforme sécurisée

1. Si vous ne continuez pas immédiatement après la dernière procédure, démarrez l’Assistant Initialisation du module de plateforme sécurisée (TPM). Si vous avez besoin de revoir les étapes nécessaires, voir la procédure précédente Pour démarrer l’Assistant Initialisation du module de plateforme sécurisée (TPM).

2. Dans la boîte de dialogue Créer le mot de passe de propriétaire du module de plateforme sécurisée (TPM), cliquez sur Créer automatiquement le mot de passe (recommandé).

3. Dans la boîte de dialogue Enregistrer votre mot de passe de propriétaire du module de plateforme sécurisée, cliquez sur Enregistrer le mot de passe.

4. Dans la boîte de dialogue Enregistrer sous, sélectionnez l’emplacement où enregistrer le mot de passe, puis cliquez sur Enregistrer. Le fichier de mot de passe est enregistré sous computer_name.tpm.

   Important  

   Nous vous recommandons vivement d’enregistrer le mot de passe de propriétaire du module de plateforme sécurisée sur un appareil de stockage amovible et de le noter en lieu sûr.

    

5. Cliquez sur Imprimer le mot de passe si vous voulez imprimer une copie de votre mot de passe.

   Important  

   Nous vous recommandons vivement d’imprimer une copie de votre mot de passe de propriétaire du module de plateforme sécurisée et de ne noter en lieu sûr.

    

6. Cliquez sur Initialiser.

   Remarque  

   L’exécution du processus d’initialisation du module de plateforme sécurisée peut prendre quelques minutes.

    

7. Cliquez sur Fermer.

   Attention  

   Ne perdez pas votre mot de passe. Si c’est le cas, vous ne pourrez pas à apporter de modifications d’administration, sauf si vous effacez le module de plateforme sécurisée, ce qui peut entraîner une perte de données.

    

Résoudre les problèmes d’initialisation du module de plateforme sécurisée

La gestion du module de plateforme sécurisée (TPM) est généralement une procédure très simple. Si ne parvenez pas à suivre la procédure d’initialisation, consultez les informations suivantes :

• Si le module de plateforme sécurisée n’est pas détecté par Windows, vérifiez que votre matériel informatique contienne un BIOS compatible Trusted Computing Group. Assurez-vous qu’aucun paramètre BIOS n’a été utilisé pour masquer le module de plateforme sécurisée du système d’exploitation.

• Si vous tentez d’initialiser le module de plateforme sécurisée dans le cadre de l’installation de BitLocker, vérifiez le pilote du module de plateforme sécurisée installé sur l’ordinateur. Nous vous recommandons de toujours utiliser l’un des pilotes du module de plateforme sécurisée fournis par Microsoft et qui est protégé par BitLocker. Si un pilote du module de plateforme sécurisée non-Microsoft est installé, il peut empêcher le chargement du pilote de module de plateforme sécurisée par défaut et amener BitLocker à signaler qu’un module de plateforme sécurisée n’est pas présent sur l’ordinateur. Si un pilote non-Microsoft est installé, supprimez-le, puis essayez d’initialiser le module de plateforme sécurisée. Le tableau suivant répertorie les trois pilotes du module de plateforme sécurisée standard fournis par Microsoft.

  Nom du pilote	Fabricant
  Module de plateforme sécurisée 1.2	(standard)
  Module de plateforme sécurisée Broadcom (A1), v1.2	Broadcom
  Module de plateforme sécurisée Broadcom (A2), v1.2	Broadcom

   

• Si le module de plateforme sécurisée a déjà été initialisé et que vous n’avez pas le mot de passe de propriétaire, vous devrez peut-être effacer ou rétablir les valeurs par défaut du module de plateforme sécurisée. Pour plus d’informations, voir Effacer toutes les clés du module de plateforme sécurisée.

  Attention  

  L’effacement du module de plateforme sécurisée peut entraîner une perte de données. Pour éviter une perte de données, veillez à disposer d’une méthode de sauvegarde ou de récupération des données protégées ou chiffrées par le module de plateforme sécurisée.

   

Étant donné que votre matériel de sécurité du module de plateforme sécurisée est une partie physique de votre ordinateur, vous pouvez consulter les manuels ou les instructions fournis avec votre ordinateur, ou rechercher sur le site Web du fabricant.

Connexion réseau

Vous ne pouvez pas effectuer l’initialisation du module de plateforme sécurisée (TPM) lorsque votre ordinateur est déconnecté du réseau de votre organisation si l’une des conditions suivantes est remplie :

• Un administrateur a configuré votre ordinateur pour demander l’enregistrement des informations de récupération du module de plateforme sécurisée dans les Services de domaine Active Directory (AD DS). Cette exigence peut être configurée via la stratégie de groupe.

• Un contrôleur de domaine n’est pas accessible. Cela peut se produire sur un ordinateur actuellement déconnecté du réseau, séparé du domaine par un pare-feu, ou qui rencontre un composant réseau défaillant (par exemple, un câble débranché ou une carte réseau défectueux).

Dans les deux cas, un message d’erreur s’affiche et vous ne pouvez pas effectuer le processus d’initialisation. Pour éviter ce problème, initialisez le module de plateforme sécurisée lorsque vous êtes connecté au réseau d’entreprise et que vous pouvez contacter un contrôleur de domaine.

Systèmes à plusieurs modules de plateforme sécurisée

Certains systèmes peuvent comporter plusieurs modules de plateforme sécurisée, et le module de plateforme sécurisée actif peut-être activé dans le BIOS. Windows 10 ne prend pas en charge ce comportement. Si vous changez de module de plateforme sécurisée, une fonctionnalité qui dépend du module de plateforme sécurisée ne fonctionnera pas avec le nouveau module de plateforme sécurisée, sauf s’il est effacé et placé par le biais d’un approvisionnement. Cet effacement peut entraîner une perte de données, notamment des clés et certificats associés au module de plateforme sécurisée précédent. Par exemple, le basculement entre des modules de plateforme sécurisée passe Bitlocker en mode de récupération. Il est fortement recommandé, sur les systèmes à deux modules de plateforme sécurisée, qu’un module de plateforme sécurisée soit sélectionné pour être utilisé et que la sélection ne change pas.

Activer ou désactiver le module de plateforme sécurisée

Le module de plateforme sécurisée est généralement activé lors du processus d’initialisation du module de plateforme sécurisée. Vous ne devez normalement pas activer ou désactiver le module de plateforme sécurisée. Vous pouvez toutefois le faire, si nécessaire, à l’aide de la console MMC TPM.

Activer le module de plateforme sécurisée

Si le module de plateforme sécurisée a été initialisé mais qu’il n’a jamais été utilisé, ou si vous voulez utiliser le module de plateforme sécurisée après l’avoir désactivé, vous pouvez suivre la procédure ci-dessous pour activer le module de plateforme sécurisée.

Pour activer le module de plateforme sécurisée

1. Ouvrez la console MMC TPM (tpm.msc).

2. Dans le volet Action, cliquez sur Activer le module de plateforme sécurisée (TPM) pour afficher la page Activer le matériel du module de plateforme sécurisée (TPM). Lisez les instructions qui s’affichent sur cette page.

3. Cliquez sur Arrêt (ou Redémarrer), puis suivez les invites de l’écran du BIOS.

   Après le redémarrage de l’ordinateur, mais avant de vous connecter à Windows, vous êtes invité à accepter la reconfiguration du module de plateforme sécurisée. Cela permet de s’assurer que l’utilisateur dispose d’un accès physique à l’ordinateur et que des logiciels malveillants ne tentent pas d’apporter des modifications au module de plateforme sécurisée.

Désactiver le module de plateforme sécurisée

Si vous voulez cesser d’utiliser les services fournis par le module de plateforme sécurisée, vous pouvez utiliser la console MMC TPM pour désactiver le module de plateforme sécurisée. Si vous disposez du mot de passe de propriétaire du module de plateforme sécurisée (TPM), un accès physique à l’ordinateur n’est pas nécessaire pour désactiver le module de plateforme sécurisée. Si vous ne disposez pas du mot de passe de propriétaire du module de plateforme sécurisée (TPM), vous devez disposer d’un accès physique à l’ordinateur pour désactiver le module de plateforme sécurisée.

Pour désactiver le module de plateforme sécurisée

1. Ouvrez la console MMC TPM (tpm.msc).

2. Dans le volet Action, cliquez sur Désactiver le module de plateforme sécurisée (TPM) pour afficher la page Désactiver le matériel du module de plateforme sécurisée (TPM).

3. Dans la boîte de dialogue Désactiver le matériel de sécurité du module de plateforme sécurisée (TPM), sélectionnez une méthode pour entrer votre mot de passe de propriétaire et désactiver le module de plateforme sécurisée :

   • Si vous avez enregistré votre mot de passe de propriétaire du module de plateforme sécurisée (TPM) sur un appareil de stockage amovible, insérez-le, puis cliquez sur J’ai le fichier de mot de passe de propriétaire. Dans la boîte de dialogue Sélectionner le fichier de sauvegarde avec le mot de passe de propriétaire du module de plateforme sécurisée (TPM), cliquez sur Parcourir pour rechercher le fichier .tpm enregistré sur votre appareil de stockage amovible, cliquez sur Ouvrir, puis cliquez sur Désactiver le module de plateforme sécurisée (TPM).

   • Si vous n’avez pas l’appareil de stockage amovible avec votre mot de passe de propriétaire du module de plateforme sécurisée (TPM) enregistré, cliquez sur Je souhaite entrer le mot de passe. Dans la boîte de dialogue Taper votre mot de passe de propriétaire du module de plateforme sécurisée (TPM), tapez votre mot de passe (traits d’union inclus), puis cliquez sur Désactiver le module de plateforme sécurisée (TPM).

   • Si vous ne connaissez pas votre mot de passe de propriétaire du module de plateforme sécurisée (TPM), cliquez sur Je n’ai pas le mot de passe de propriétaire du module de plateforme sécurisée (TPM), puis suivez les instructions fournies dans la boîte de dialogue et les écrans du BIOS suivants pour désactiver le module de plateforme sécurisée sans entrer le mot de passe.

Effacer toutes les clés du module de plateforme sécurisée

L’effacement du module de plateforme sécurisée le réinitialise à un état sans propriété. Après l’effacement du module de plateforme sécurisée, vous devez exécuter le processus d’initialisation du module de plateforme sécurisée avant d’utiliser le logiciel qui s’appuie sur le module de plateforme sécurisée, le chiffrement de lecteur BitLocker par exemple. Par défaut, le module de plateforme sécurisée est initialisé automatiquement.

Important  

L’effacement du module de plateforme sécurisée peut entraîner une perte de données. Pour éviter une perte de données, veillez à disposer d’une méthode de sauvegarde ou de récupération des données protégées ou chiffrées par le module de plateforme sécurisée.

Une fois que le module de plateforme sécurisée est effacé, il est également désactivé.

Pour suspendre temporairement les opérations du module de plateforme sécurisée, désactivez le module de plateforme sécurisée au lieu de l’effacer.

Pour effectuer cette procédure, vous devez au moins être membre du groupe Administrateurs local ou d’un groupe équivalent.

Pour effacer le module de plateforme sécurisée

1. Ouvrez la console MMC TPM (tpm.msc).

2. Si la boîte de dialogue Contrôle de compte d’utilisateur apparaît, vérifiez que l’action affichée correspond à l’action souhaitée, puis cliquez sur Oui.

3. Sous Actions, cliquez sur Effacer le module de plateforme sécurisée (TPM).

   Avertissement  

   Si le module de plateforme sécurisée est désactivé, réinitialisez-le avant de l’effacer.

   L’effacement du module de plateforme sécurisée le réinitialise aux valeurs d’usine par défaut et le désactive. Vous perdrez toutes les clés créées et données qui sont protégées par ces clés.

    

4. Dans la boîte de dialogue Effacer le matériel de sécurité module de plateforme sécurisée (TPM), sélectionnez l’une des méthodes suivantes pour entrer votre mot de passe et effacer le module de plateforme sécurisée :

   • Si vous disposez de l’appareil de stockage amovible avec votre mot de passe de propriétaire du module de plateforme sécurisée (TPM) enregistré, insérez-le, puis cliquez sur J’ai le fichier de mot de passe de propriétaire. Dans la boîte de dialogue Sélectionner le fichier de sauvegarde avec le mot de passe de propriétaire du module de plateforme sécurisée (TPM), utilisez Parcourir pour accéder au fichier .tpm enregistré sur votre appareil de stockage amovible. Cliquez sur Ouvrir, puis cliquez sur Effacer le module de plateforme sécurisée (TPM).

   • Si vous n’avez pas l’appareil de stockage amovible avec votre mot de passe enregistré, cliquez sur Je souhaite entrer le mot de passe de propriétaire. Dans la boîte de dialogue Taper votre mot de passe de propriétaire du module de plateforme sécurisée (TPM), tapez votre mot de passe (traits d’union inclus), puis cliquez sur Effacer le module de plateforme sécurisée (TPM).

   • Si vous ne connaissez pas votre mot de passe de propriétaire du module de plateforme sécurisée (TPM), cliquez sur Je n’ai pas le mot de passe de propriétaire du module de plateforme sécurisée (TPM), puis suivez les instructions fournies pour effacer le module de plateforme sécurisée sans entrer le mot de passe.

   Remarque  

   Si vous disposez d’un accès physique à l’ordinateur, vous pouvez effacer le module de plateforme sécurisée et effectuer un nombre limité de tâches de gestion sans entrer le mot de passe de propriétaire du module de plateforme sécurisée (TPM).

    

   L’état de votre module de plateforme sécurisée s’affiche sous État dans la console MMC TPM.

Utiliser les applets de commande de module de plateforme sécurisée (TPM)

Si vous utilisez Windows PowerShell pour gérer vos ordinateurs, vous pouvez également gérer le module de plateforme sécurisée (TPM) à l’aide de Windows PowerShell. Pour installer les applets de commande de module TPM, tapez la commande suivante :

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Pour plus d’informations sur chaque applet de commande, voir Applets de commande de module de plateforme sécurisée (TPM) dans Windows PowerShell.

Ressources supplémentaires

Pour plus d’informations sur le module de plateforme sécurisée (TPM), voir Vue d’ensemble de la technologie du module de plateforme sécurisée.