Partage via

Site web d’administration et de surveillance BitLocker

  • Article

S’applique à : Gestionnaire de Configuration (branche actuelle)

Le site web d’administration et de surveillance BitLocker est une interface d’administration pour le chiffrement de lecteur BitLocker. Il est également appelé portail du support technique. Utilisez ce site web pour passer en revue les rapports, récupérer les lecteurs des utilisateurs et gérer les TPM des appareils.

Site web d’administration et de surveillance BitLocker par défaut.

Avant de pouvoir l’utiliser, installez ce composant sur un serveur web. Pour plus d’informations, consultez Configurer des rapports et des portails BitLocker.

Accédez au site web d’administration et de surveillance via l’URL suivante : https://webserver.contoso.com/HelpDesk

Remarque

Vous pouvez afficher le rapport d’audit de récupération sur le site web d’administration et de surveillance. Vous ajoutez d’autres rapports de gestion BitLocker au point Reporting Services. Pour plus d’informations, consultez Afficher les rapports BitLocker.

Groupes

Pour accéder à des zones spécifiques du site web d’administration et de surveillance, votre compte d’utilisateur doit se trouver dans l’un des groupes suivants. Créez ces groupes dans Active Directory à l’aide du nom de votre choix. Lorsque vous installez ce site web, vous spécifiez ces noms de groupe. Pour plus d’informations, consultez Configurer des rapports et des portails BitLocker.

Group Description
Administrateurs du support technique BitLocker Fournit l’accès à toutes les zones du site web d’administration et de surveillance. Lorsque vous aidez un utilisateur à récupérer ses lecteurs, vous entrez uniquement la clé de récupération, et non le domaine et le nom d’utilisateur. Si un utilisateur est membre de ce groupe et du groupe d’utilisateurs du support technique BitLocker, les autorisations du groupe d’administration remplacent les autorisations du groupe d’utilisateurs.
Utilisateurs du support technique BitLocker Fournit l’accès aux zones Gérer TPM et Récupération de lecteur du site web d’administration et de surveillance. Lorsque vous utilisez l’une ou l’autre zone, vous devez renseigner tous les champs, y compris le domaine et le nom du compte de l’utilisateur. Si un utilisateur est membre de ce groupe et du groupe administrateurs du support technique BitLocker, les autorisations du groupe d’administrateurs remplacent les autorisations du groupe d’utilisateurs.
Utilisateurs de rapports BitLocker Permet d’accéder à la zone Rapports du site web d’administration et de surveillance.

Gérer le module de plateforme sécurisée (TPM)

Si un utilisateur entre trop souvent le code confidentiel incorrect, il peut verrouiller le TPM. Le nombre de fois où un utilisateur peut entrer un code confidentiel incorrect avant le verrouillage du module de plateforme sécurisée varie d’un fabricant à l’autre. À partir de la zone Gérer le module de plateforme sécurisée (TPM) du site web d’administration et de surveillance, accédez au système centralisé de données de récupération de clés.

Pour plus d’informations sur la propriété du module de plateforme sécurisée, consultez Configurer MBAM pour mettre sous séquestre le module de plateforme sécurisée et stocker les mots de passe OwnerAuth.

Remarque

À compter de Windows 10 version 1607, Windows ne conserve pas le mot de passe du propriétaire du module de plateforme sécurisée lors de l’approvisionnement du module de plateforme sécurisée.

  1. Accédez au site web d’administration et de surveillance dans le navigateur web, par exemple https://webserver.contoso.com/HelpDesk.

  2. Dans le volet gauche, sélectionnez la zone Gérer le module TPM .

    Page Gérer le module TPM du site web d’administration et de surveillance BitLocker.

  3. Entrez le nom de domaine complet de l’ordinateur et le nom de l’ordinateur.

  4. Si nécessaire, entrez le domaine et le nom d’utilisateur de l’utilisateur pour récupérer le fichier de mot de passe du propriétaire TPM.

  5. Choisissez l’une des options suivantes pour le fichier De demande de mot de passe du propriétaire du module de plateforme sécurisée :

    • Réinitialiser le verrouillage du code confidentiel
    • Activer le module TPM
    • Désactiver le module de plateforme sécurisée
    • Modifier le mot de passe du module de plateforme sécurisée (TPM)
    • Effacer le module TPM
    • Autre

    Une fois le formulaire envoyé , le site web renvoie l’une des réponses suivantes :

    • S’il ne trouve pas de fichier de mot de passe du propriétaire du module de plateforme sécurisée correspondant, il retourne un message d’erreur.

    • Fichier de mot de passe du propriétaire du module de plateforme sécurisée pour l’ordinateur soumis

    Une fois que vous avez récupéré le fichier de mot de passe du propriétaire du module de plateforme sécurisée, le site web affiche le mot de passe du propriétaire.

  6. Pour enregistrer le mot de passe dans un fichier, sélectionnez Enregistrer.

  7. Dans la zone Gérer le module de plateforme sécurisée, sélectionnez l’option Réinitialiser le verrouillage du module de plateforme sécurisée et fournissez le fichier de mot de passe du propriétaire du module de plateforme sécurisée.

    Le verrouillage TPM est réinitialisé. BitLocker restaure l’accès de l’utilisateur à l’appareil.

    Importante

    Ne partagez pas la valeur de hachage du module de plateforme sécurisée ou le fichier de mot de passe du propriétaire du module de plateforme sécurisée.

Récupération de lecteur

Conseil

À compter de la version 2107, vous pouvez également obtenir des clés de récupération BitLocker pour un appareil attaché au locataire à partir du centre d’administration Microsoft Intune. Pour plus d’informations, consultez Attachement de locataire : clés de récupération BitLocker.

Récupérer un lecteur en mode de récupération

Les lecteurs passent en mode de récupération dans les scénarios suivants :

  • L’utilisateur perd ou oublie son code confidentiel ou son mot de passe
  • La plateforme de module de confiance (TPM) détecte les modifications apportées au BIOS ou aux fichiers de démarrage de l’ordinateur

Pour obtenir un mot de passe de récupération, utilisez la zone de récupération lecteur du site web d’administration et de surveillance.

Importante

Les mots de passe de récupération expirent après une seule utilisation. Sur les lecteurs de système d’exploitation et les lecteurs de données fixes, la règle à usage unique s’applique automatiquement. Sur les lecteurs amovibles, elle s’applique lorsque vous supprimez et réinsérez le lecteur.

  1. Accédez au site web d’administration et de surveillance dans le navigateur web, par exemple https://webserver.contoso.com/HelpDesk.

  2. Dans le volet gauche, sélectionnez la zone Récupération du lecteur .

    Page récupération du pilote du site web d’administration et de surveillance BitLocker.

  3. Si nécessaire, entrez le domaine et le nom d’utilisateur de l’utilisateur pour afficher les informations de récupération.

  4. Pour afficher la liste des clés de récupération correspondantes possibles, entrez les huit premiers chiffres de l’ID de clé de récupération. Pour obtenir la clé de récupération exacte, entrez l’ID complet de la clé de récupération.

  5. Choisissez l’une des options suivantes comme motif de déverrouillage du lecteur :

    • Ordre de démarrage du système d’exploitation modifié
    • BIOS modifié
    • Fichiers du système d’exploitation modifiés
    • Clé de démarrage perdue
    • Code confidentiel perdu
    • Réinitialisation du module de plateforme sécurisée (TPM)
    • Phrase secrète perdue
    • Carte à puce perdue
    • Autre

    Une fois le formulaire envoyé , le site web renvoie l’une des réponses suivantes :

    • Si l’utilisateur a plusieurs mots de passe de récupération correspondants, il retourne plusieurs correspondances possibles.

    • Mot de passe de récupération et package de récupération pour l’utilisateur soumis.

      Remarque

      Si vous récupérez un lecteur endommagé, l’option de package de récupération fournit à BitLocker les informations critiques dont il a besoin pour récupérer le lecteur.

    • S’il ne trouve pas de mot de passe de récupération correspondant, il retourne un message d’erreur.

    Une fois que vous avez récupéré le mot de passe de récupération et le package de récupération, le site web affiche le mot de passe de récupération.

  6. Pour copier le mot de passe, sélectionnez Copier la clé. Pour enregistrer le mot de passe de récupération dans un fichier, sélectionnez Enregistrer.

Pour déverrouiller le lecteur, entrez le mot de passe de récupération ou utilisez le package de récupération.

Récupérer un lecteur déplacé

Lorsque vous déplacez un lecteur vers un nouvel ordinateur, car le TPM est différent, BitLocker n’accepte pas le code confidentiel précédent. Pour récupérer le lecteur déplacé, obtenez l’ID de clé de récupération pour récupérer le mot de passe de récupération.

Pour récupérer un lecteur déplacé, utilisez la zone de récupération de lecteur du site web d’administration et de surveillance.

  1. Sur l’ordinateur avec le lecteur déplacé, démarrez l’ordinateur en mode Windows Recovery Environment (WinRE).

  2. Dans WinRE, BitLocker traite le lecteur de système d’exploitation déplacé comme un lecteur de données fixe. BitLocker affiche l’ID de mot de passe de récupération du lecteur et invite à entrer le mot de passe de récupération.

    Remarque

    Dans certains cas, pendant le processus de démarrage, sélectionnez J’ai oublié le code confidentiel si l’option est disponible. Ensuite, entrez en mode de récupération pour afficher l’ID de la clé de récupération.

  3. Utilisez l’ID de clé de récupération pour obtenir le mot de passe de récupération à partir du site web d’administration et de surveillance. Pour plus d’informations, consultez Récupérer un lecteur en mode de récupération.

Si vous avez configuré le lecteur déplacé pour utiliser une puce TPM sur l’ordinateur d’origine, procédez comme suit. Sinon, le processus de récupération est terminé.

  1. Après avoir déverrouillé le lecteur, démarrez l’ordinateur en mode WinRE. Ouvrez une invite de commandes dans WinRE et utilisez la manage-bde commande pour déchiffrer le lecteur. Cet outil est le seul moyen de supprimer le protecteur TPM + PIN sans la puce TPM d’origine. Pour plus d’informations sur cette commande, consultez Manage-bde.

  2. Une fois l’opération terminée, démarrez l’ordinateur normalement. Configuration Manager applique la stratégie BitLocker pour chiffrer le lecteur avec le TPM et le code pin du nouvel ordinateur.

Récupérer un lecteur endommagé

Utilisez l’ID de clé de récupération pour obtenir un package de clé de récupération à partir du site web d’administration et de surveillance. Pour plus d’informations, consultez Récupérer un lecteur en mode de récupération.

  1. Enregistrez le package de clé de récupération sur votre ordinateur, puis copiez-le sur l’ordinateur avec le lecteur endommagé.

  2. Ouvrez une invite de commandes en tant qu’administrateur, puis tapez la commande suivante :

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Remplacez les valeurs suivantes :

    • <corrupted drive>: lettre de lecteur du lecteur endommagé, par exemple D:
    • <fixed drive>: lettre de lecteur d’un disque dur disponible de taille similaire ou supérieure à celle du lecteur endommagé. BitLocker récupère et déplace les données sur le lecteur endommagé vers le lecteur spécifié. Toutes les données de ce lecteur sont remplacées.
    • <key package>: emplacement du package de clé de récupération
    • <recovery password>: mot de passe de récupération associé

    Par exemple :

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Pour plus d’informations sur cette commande, consultez Repair-bde.

Rapports

Le site web d’administration et de surveillance inclut le rapport d’audit de récupération. D’autres rapports sont disponibles à partir du point Configuration Manager Reporting Services. Pour plus d’informations, consultez Afficher les rapports BitLocker.

  1. Accédez au site web d’administration et de surveillance dans le navigateur web, par exemple https://webserver.contoso.com/HelpDesk.

  2. Dans le volet gauche, sélectionnez la zone Rapports .

  3. Dans la barre de menus supérieure, sélectionnez le rapport d’audit de récupération.

Pour plus d’informations sur ce rapport, consultez Rapport d’audit de récupération.

Conseil

Pour enregistrer les résultats du rapport, sélectionnez Exporter dans la barre de menus Rapports .