Citrix Endpoint Management

Stratégie BitLocker

Windows 10 et Windows 11 comprennent une fonctionnalité de cryptage de disque appelée BitLocker, qui fournit une protection fichier et système supplémentaire contre tout accès non autorisé à un appareil Windows perdu ou volé. Pour une protection supplémentaire, vous pouvez utiliser BitLocker avec Trusted Platform Module (TPM), version 1.2 ou supérieure. Une puce TPM gère les opérations de chiffrement et génère, stocke et limite l’utilisation des clés cryptographiques.

À compter de Windows 10, build 1703, les stratégies MDM peuvent contrôler BitLocker. Vous pouvez utiliser la stratégie BitLocker dans Citrix Endpoint Management pour configurer les paramètres disponibles dans l’Assistant BitLocker sur les appareils Windows 10 et Windows 11. Par exemple, sur un appareil avec BitLocker activé, BitLocker invite les utilisateurs à configurer :

  • la manière dont ils souhaitent déverrouiller leur lecteur au démarrage ;
  • la manière de sauvegarder leur clé de récupération ;
  • la manière de déverrouiller un lecteur fixe.

La configuration de la stratégie BitLocker permet également d’indiquer si :

  • BitLocker doit être activé sur les appareils sans puce TPM ;
  • les options de récupération doivent être affichées sur l’interface BitLocker ;
  • l’accès en écriture sur un lecteur amovible ou fixe doit être refusé si BitLocker n’est pas activé.
  • Enregistrez en toute sécurité une clé de récupération BitLocker cryptée pour permettre aux utilisateurs d’y accéder au cas où ils oublieraient ou égareraient la clé. Cette clé se trouve sur le portail en libre-service.

Remarque

Une fois que le cryptage BitLocker démarre sur un appareil, vous ne pouvez pas modifier les paramètres de BitLocker sur l’appareil via le déploiement d’une stratégie BitLocker mise à jour.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Exigences

  • La stratégie BitLocker requiert Windows 10 Enterprise Edition ou Windows 11 Enterprise Edition.

  • Avant de déployer la stratégie BitLocker, préparez votre environnement pour l’utilisation de BitLocker. Pour plus d’informations, y compris sur la configuration système requise pour BitLocker et son installation, consultez les articles de la page BitLocker.

Paramètres Windows Desktop et Tablet

Écran de configuration Stratégies d’appareil

  • Paramètres de BitLocker

    • Exiger cryptage de l’appareil : permet d’indiquer si vous souhaitez inviter les utilisateurs à activer le cryptage BitLocker sur Windows Desktop ou Tablet. Si cette option est définie sur Activé, les appareils affichent un message, une fois l’inscription terminée, indiquant que l’entreprise requiert le cryptage de l’appareil. Si cette option est définie sur Désactivé, l’utilisateur ne reçoit pas d’invite et BitLocker utilise les paramètres de stratégie. La valeur par défaut est Désactivé.
  • Paramètres de cryptage

    • Configurer les méthodes de cryptage : permet d’indiquer les méthodes de cryptage à utiliser pour des types de lecteurs spécifiques. Si cette option est définie sur Désactivé, l’assistant BitLocker invite l’utilisateur à choisir la méthode de cryptage à utiliser pour un type de lecteur. Par défaut, la méthode de cryptage pour tous les lecteurs est XTS-AES 128 bits. La méthode de cryptage pour les lecteurs amovibles est AES-CBC 128 bits par défaut. Si cette option est définie sur Activé, BitLocker utilise la méthode de cryptage spécifiée dans la stratégie. Si cette option est définie sur Activé, ces paramètres supplémentaires s’affichent : Lecteur du système d’exploitation, Lecteur fixe et Lecteur amovible. Choisissez la méthode de cryptage par défaut pour chaque type de lecteur. La valeur par défaut est Désactivé.
  • Paramètres de lecteur d’OS

    • Exiger authentification supplémentaire au démarrage : indique l’authentification supplémentaire requise lors du démarrage de l’appareil. Spécifie également si vous souhaitez autoriser BitLocker sur les appareils qui ne possèdent pas de puce TPM. Si cette option est définie sur Désactivé, les appareils sans TPM ne peuvent pas utiliser le cryptage BitLocker. Pour plus d’informations sur la puce TPM, consultez l’article de Microsoft, Vue d’ensemble de la technologie de module de plateforme sécurisée. Si cette option est définie sur Activé, les paramètres supplémentaires suivants s’affichent. La valeur par défaut est Désactivé.

    • Bloquer BitLocker sur les appareils sans puce TPM : sur un appareil sans puce TPM, BitLocker exige que les utilisateurs créent un mot de passe de déverrouillage ou une clé de démarrage. La clé de démarrage est stockée sur un lecteur USB, que l’utilisateur doit connecter à l’appareil avant le démarrage. Le mot de passe de déverrouillage doit comporter un minimum de huit caractères. La valeur par défaut est Désactivé.

    • Démarrage de TPM : sur un appareil avec puce TPM, il existe quatre modes de déverrouillage : TPM uniquement, TPM + code PIN, TPM + clé et TPM + code PIN + clé. Le démarrage de TPM est pour le mode TPM uniquement, avec lequel les clés de cryptage sont stockées dans la puce TPM. Ce mode ne requiert pas qu’un utilisateur fournisse des données de déverrouillage supplémentaires. L’appareil utilisateur se déverrouille automatiquement au cours du redémarrage, à l’aide de la clé de cryptage stockée dans la puce TPM. La valeur par défaut est Autoriser TPM.

    • Code PIN de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + code PIN. Un code PIN peut contenir jusqu’à 20 chiffres. Utilisez le paramètre Longueur minimale du code PIN pour spécifier la longueur minimale du code PIN. Un utilisateur configure un code PIN lors de la configuration de BitLocker et fournit le code PIN lors du démarrage de l’appareil.

    • Clé de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + clé. La clé de démarrage est stockée sur un lecteur USB ou autre lecteur amovible, que l’utilisateur doit connecter à l’appareil avant le démarrage.

    • Clé et code PIN de démarrage de TPM : ce paramètre correspond au mode de déverrouillage TPM + code PIN + clé.

      Si le déverrouillage réussit, le chargement du système d’exploitation démarre. Sinon, l’appareil entre en mode de récupération.

  • Longueur du code PIN

    • Longueur minimale du code PIN : longueur minimale du code PIN de démarrage de la puce TPM. La valeur par défaut est de 6.
  • Paramètres de récupération du mot de passe de BitLocker

    • Récupération des données de BitLocker sur Citrix Endpoint Management : si cette option est activée, les utilisateurs qui ont besoin de déverrouiller leurs appareils peuvent trouver leur clé de récupération BitLocker sur le portail en libre-service. L’administrateur de Citrix Endpoint Management ne peut pas voir la clé de récupération BitLocker d’un utilisateur. Pour plus d’informations sur l’affichage de votre clé de récupération BitLocker, consultez la section Clé de récupération BitLocker.
  • Paramètres de récupération de lecteur d’OS : permet de configurer les options de récupération des utilisateurs pour un lecteur d’OS crypté par BitLocker.

    • Activer récupération de lecteur d’OS : en cas d’échec de l’étape de déverrouillage, BitLocker invite l’utilisateur à fournir la clé de récupération configurée. Ce paramètre permet de configurer les options de récupération de lecteur du système d’exploitation à la disposition des utilisateurs lorsqu’ils ne possèdent pas de mot de passe de déverrouillage ou de clé de démarrage USB. La valeur par défaut est Désactivé.

    • Autoriser agent de récupération de données basé sur certificat : indique si un agent de récupération des données basé sur certificat est autorisé. Ajoutez un agent de récupération de données depuis les stratégies de clé publique, qui se trouvent dans la Console de gestion des stratégie de groupe (GPMC) ou dans l’éditeur de stratégie de groupe local. Pour plus d’informations sur les agents de récupération de données, consultez l’article Microsoft BitLocker Basic Deployment. La valeur par défaut est Désactivé.

    • Mot de passe de récupération 48 bits : indique si vous souhaitez autoriser les utilisateurs à utiliser un mot de passe de récupération ou les y obliger. BitLocker génère le mot de passe et l’enregistre dans un fichier ou un compte Cloud Microsoft. La valeur par défaut est Autoriser mot de passe de 48 bits.

    • Clé de récupération de 256 bits : indique si vous souhaitez autoriser les utilisateurs à utiliser une clé de récupération ou les y obliger. Une clé de récupération est un fichier BEK, qui est stocké sur un lecteur USB. La valeur par défaut est Autoriser clé de récupération de 256 bits.

    • Masquer les options de récupération de lecteur d’OS : indique si vous souhaitez afficher ou masquer les options de récupération sur l’interface BitLocker. Si cette option est définie sur Activé, aucune option de récupération ne s’affiche sur l’interface BitLocker. Dans ce cas, inscrivez l’appareil sur Active Directory, enregistrez les options de récupération sur Active Directory et définissez Enregistrer les informations de récupération sur AD DS sur Activé. La valeur par défaut est Désactivé.

    • Enregistrer les informations de récupération dans Active Directory Domain Services : permet d’indiquer si vous souhaitez enregistrer les options de récupération dans les services de domaine Active Directory. La valeur par défaut est Désactivé.

    • Informations de récupération stockées dans Active Directory Domain Services : permet d’indiquer si vous souhaitez stocker le mot de passe de récupération BitLocker ou le mot de passe de récupération et le pack de clé dans les services de domaine Active Directory. Le stockage du pack de clé prend en charge la récupération des données à partir d’un lecteur qui est altéré physiquement. La valeur par défaut est Sauvegarder le mot de passe de récupération.

    • Activer BitLocker après avoir stocké les informations de récupération dans Active Directory Domain Services : permet d’indiquer si vous souhaitez empêcher les utilisateurs d’activer BitLocker sauf si l’appareil est connecté à un domaine et si la sauvegarde des informations de récupération BitLocker sur Active Directory réussit. Si cette option est définie sur Activé, un appareil doit appartenir à un domaine avant de démarrer BitLocker. La valeur par défaut est Désactivé.

    • Message et URL de récupération préalables au démarrage : permet d’indiquer si BitLocker affiche un message et une adresse URL personnalisés sur l’écran de récupération. Si cette option est définie sur Activé, les paramètres supplémentaires suivants s’affichent : Utiliser le message de récupération et l’URL par défaut, Utiliser un message de récupération et une URL vides, Utiliser un message de récupération personnalisé, Utiliser une URL de récupération personnalisée et Utiliser le message de récupération et l’URL de Citrix Endpoint Management. Si cette option est définie sur Désactivé, le message de récupération et l’URL par défaut s’affichent. La valeur par défaut est Désactivé.

  • Paramètres de récupération de lecteur fixe : permet de configurer les options de récupération des utilisateurs pour un lecteur fixe crypté par BitLocker. BitLocker n’affiche pas de message sur le cryptage de lecteur fixe. Pour déverrouiller un lecteur au cours du démarrage, un utilisateur fournit un mot de passe ou une carte à puce. Les paramètres de déverrouillage au démarrage, qui ne sont pas dans cette stratégie, s’affichent dans l’interface BitLocker lorsqu’un utilisateur active le cryptage BitLocker sur un lecteur fixe. Pour plus d’informations sur les paramètres connexes, consultez la section Configurer la récupération de lecteur d’OS, plus haut dans cette liste. La valeur par défaut est Désactivé.

  • Paramètres de lecteur fixe

    • Bloquer l’accès en écriture aux lecteurs fixes n’utilisant pas BitLocker : si cette option est définie sur Activé, les utilisateurs peuvent écrire sur les lecteurs fixes uniquement lorsque ces lecteurs sont cryptés avec BitLocker. La valeur par défaut est Désactivé.
  • Paramètres de lecteur amovible

  • Bloquer l’accès en écriture aux lecteurs amovibles n’utilisant pas BitLocker : si cette option est définie sur Activé, les utilisateurs peuvent écrire sur les lecteurs amovibles uniquement lorsque ces lecteurs sont cryptés avec BitLocker. Configurez ce paramètre en fonction de la politique de votre organisation, selon qu’elle autorise l’accès en écriture sur les lecteurs amovibles d’une autre organisation ou non. La valeur par défaut est Désactivé.

  • Bloquer l’accès en écriture aux autres appareils de l’organisation : si cette option est définie sur Activé, les utilisateurs ne peuvent pas écrire sur d’autres appareils de leur organisation, tels qu’un lecteur réseau.

  • Autres paramètres de lecteur

  • Demander autre cryptage de disque : vous permet de désactiver l’invite d’avertissement concernant d’autre cryptage de disque sur les appareils. La valeur par défaut est Désactivé.

Stratégie BitLocker