Configuration de BitLocker
Paramètres généraux |
||
Exiger le cryptage des appareils | Selon l’édition de Windows et la configuration du système, les utilisateurs peuvent être invités à activer le cryptage de l’appareil : – Pour confirmer que le cryptage d’un autre fournisseur n’est pas activé. – Pour désactiver BitLocker Drive Encryption et le réactiver. |
|
Méthodes de cryptage |
||
Méthode de cryptage pour les lecteurs du système d’exploitation | ||
Méthode de cryptage pour les lecteurs de données fixes | ||
Méthode de cryptage pour les lecteurs de données amovibles | ||
Désactiver l’avertissement concernant le chiffrement des disques par des tiers | Désactivez l’avertissement concernant l’utilisation d’un service de cryptage de disque tiers sur l’appareil. À partir de Windows 10, version 1803, ce paramètre n’est pris en charge que pour les appareils reliés à Azure Active Directory. |
|
Autoriser l’exécution du chiffrement lorsque l’utilisateur non administrateur est connecté | Uniquement pour les appareils reliés à Azure Active Directory |
|
Extensions AppTec360 |
||
Cryptage silencieux | Si cette option est sélectionnée en même temps que « Require device encryption », le service de gestion AppTec360 exécutera un chiffrement silencieux automatique des lecteurs de l’appareil. |
|
Générer automatiquement les informations d’identification de l’utilisateur | Le disque d’exploitation crypté sera protégé par des informations d’identification générées automatiquement. Soit un code PIN TPM, lorsqu’un TPM est disponible, soit un mot de passe textuel à 6 chiffres. Les informations d’identification générées sont envoyées à l’adresse électronique enregistrée pour l’appareil en question. Si cette option est désactivée, la seule protection possible pour le chiffrement silencieux est l’utilisation du TPM. Dans ce cas, pour les appareils sans TPM, le chiffrement silencieux échouera. |
|
Cryptage des disques fixes | Tous les lecteurs de données fixes disponibles seront également cryptés et protégés par un « déverrouillage automatique » à l’aide d’une clé stockée sur le lecteur du système d’exploitation. |
|
Paramètres du disque du système d’exploitation |
Exiger une authentification supplémentaire au démarrage | Ce paramètre vous permet de configurer si BitLocker requiert une authentification à chaque démarrage de l’ordinateur. Ce paramètre est appliqué lors de la configuration de BitLocker. Si vous activez ce paramètre, les utilisateurs peuvent configurer des options de démarrage avancées dans l’assistant de configuration de BitLocker. |
|
Bloquer BitLocker sans TPM compatible |
||
TPM uniquement |
||
TPM et PIN |
||
TPM et clé |
||
TPM, clé et code PIN | Si vous souhaitez exiger l’utilisation d’un code PIN et d’une clé USB, l’utilisateur doit configurer BitLocker à l’aide de l’outil de ligne de commande « manage-bde » au lieu de l’assistant de configuration de BitLocker Drive Encryption. |
|
Exiger la longueur minimale du code PIN |
|
Caractères minimums |
|
Configurer le message et l’URL de récupération avant démarrage | Configurez l’intégralité du message de récupération ou remplacez l’URL existante qui s’affiche sur l’écran de récupération de la clé de pré-amorçage lorsque le lecteur de système d’exploitation est verrouillé. Remarque : tous les caractères et toutes les langues ne sont pas pris en charge par le système de pré-amorçage. Il est fortement recommandé de vérifier que les caractères que vous utilisez s’affichent correctement sur l’écran de récupération avant le démarrage. |
|
Option de message de récupération avant le démarrage |
||
Message de récupération personnalisé |
||
URL de récupération personnalisée |
||
Options de récupération du disque du système d’exploitation | Ce paramètre vous permet de contrôler la façon dont les lecteurs du système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre est appliqué lors de la configuration de BitLocker. Par défaut, un agent de récupération des données basé sur un certificat est autorisé, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe et la clé de récupération, et les informations de récupération ne sont pas sauvegardées sur AD DS. |
|
Agent de récupération des données basé sur un certificat de bloc | Indiquez si un agent de récupération des données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant qu’un agent de récupération des données puisse être utilisé, il doit être ajouté à partir de l’élément Stratégies de clés publiques dans la console de gestion des stratégies de groupe ou dans l’éditeur local de stratégies de groupe. Consultez le BitLocker Drive Encryption Deployment Guide sur Microsoft TechNet pour plus d’informations sur l’ajout d’agents de récupération de données. |
|
Paramètres du mot de passe de récupération BitLocker |
||
Paramètres de la clé de récupération BitLocker |
||
Sauvegarder les informations de récupération BitLocker dans Active Directory Domain Services |
||
Configuration du stockage de récupération BitLocker de l’AD DS | Le stockage du paquet de clés permet de récupérer les données d’un disque physiquement endommagé. |
|
Exiger le stockage des données de récupération dans AD DS | Empêchez les utilisateurs d’activer BitLocker à moins que l’ordinateur ne soit connecté au domaine et qu’il n’y ait pas d’erreur. |
|
Réglages fixes de l’entraînement |
||
Options de récupération des disques fixes | Ce paramètre vous permet de contrôler la manière dont les lecteurs fixes protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre est appliqué lors de la configuration de BitLocker. Par défaut, un agent de récupération des données basé sur un certificat est autorisé, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe et la clé de récupération, et les informations de récupération ne sont pas sauvegardées sur AD DS. |
|
Agent de récupération des données basé sur un certificat de bloc |
||
Paramètres du mot de passe de récupération BitLocker |
||
Paramètres de la clé de récupération BitLocker |
||
Sauvegarder les informations de récupération BitLocker dans Active Directory Domain Services |
||
Configuration du stockage de récupération BitLocker de l’AD DS | Le stockage du paquet de clés permet de récupérer les données d’un disque physiquement endommagé. |
|
Exiger le stockage des données de récupération dans AD DS | Empêchez les utilisateurs d’activer BitLocker à moins que l’ordinateur ne soit connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS ne réussisse. Note : Le mot de passe de récupération est généré automatiquement. |
|
Interdire l’accès en écriture aux lecteurs fixes non protégés |
||
Paramètres du lecteur amovible |
|
Interdire l’accès en écriture aux lecteurs amovibles non protégés | Interdire l’accès en écriture aux lecteurs de données amovibles qui ne sont pas protégés par Bitlocker. Remarque : si l’option « Disques amovibles : Refuser l’accès en écriture » est activé dans la stratégie de groupe, ce paramètre de stratégie sera ignoré. |
Interdire l’accès en écriture aux appareils configurés dans une autre organisation | Seuls les lecteurs dont les champs d’identification correspondent à ceux de l’ordinateur bénéficieront d’un accès en écriture. Ces champs sont définis par le paramètre de stratégie de groupe « Fournir les identifiants uniques de votre organisation ». |