Déployer la gestion de BitLockerDeploy BitLocker management

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

La gestion BitLocker dans Configuration Manager fournit les composants suivants :BitLocker management in Configuration Manager includes the following components:

Avant de créer et déployer des stratégies de gestion BitLocker :Before you create and deploy BitLocker management policies:

Créer une stratégieCreate a policy

Quand vous créez et déployez cette stratégie, le client Configuration Manager active l’agent de gestion BitLocker sur l’appareil.When you create and deploy this policy, the Configuration Manager client enables the BitLocker management agent on the device.

Notes

Pour créer une stratégie de gestion BitLocker, vous devez avoir le rôle Administrateur complet dans Configuration Manager.To create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Ressources et Conformité, développez Endpoint Protection, puis sélectionnez le nœud Gestion de BitLocker.In the Configuration Manager console, go to the Assets and Compliance workspace, expand Endpoint Protection, and select the BitLocker Management node.

  2. Dans le ruban, sélectionnez Créer une stratégie de contrôle de gestion BitLocker.In the ribbon, select Create BitLocker Management Control Policy.

  3. Dans la page Général, spécifiez un nom et une description facultative.On the General page, specify a name and optional description. Sélectionnez les composants à activer sur les clients avec cette stratégie :Select the components to enable on clients with this policy:

    • Lecteur du système d’exploitation : Gérer si le lecteur du système d’exploitation est chiffréOperating System Drive: Manage whether the OS drive is encrypted

    • Lecteur fixe : Gérer le chiffrement des lecteurs de données supplémentaires dans un appareilFixed Drive: Manage encryption for additional data drives in a device

    • Lecteur amovible : Gérer le chiffrement des lecteurs que vous pouvez retirer d’un appareil, tels qu’une clé USBRemovable Drive: Manage encryption for drives that you can remove from a device, like a USB key

    • Gestion des clients : Gérer la sauvegarde des informations de récupération du Chiffrement de lecteur BitLocker par le service de récupération de cléClient Management: Manage the key recovery service backup of BitLocker Drive Encryption recovery information

  4. Dans la page Configuration, configurez les paramètres globaux suivants pour le chiffrement de lecteur BitLocker :On the Setup page, configure the following global settings for BitLocker Drive Encryption:

    Notes

    Configuration Manager applique ces paramètres quand vous activez BitLocker.Configuration Manager applies these settings when you enable BitLocker. Si le lecteur a déjà été chiffré ou est en cours de chiffrement, les modifications apportées à ces paramètres de stratégie n’ont pas d’effet sur le chiffrement du lecteur sur l’appareil.If the drive is already encrypted or is in progress, any change to these policy settings doesn't change the drive encryption on the device.

    Si vous désactivez ou ne configurez pas ces paramètres, BitLocker utilise la méthode de chiffrement par défaut (AES 128 bits).If you disable or don't configure these settings, BitLocker uses the default encryption method (AES 128-bit).

    • Sur les appareils Windows 8.1, activez l’option Méthode et puissance de chiffrement des lecteurs.For Windows 8.1 devices, enable the option for Drive encryption method and cipher strength. Ensuite, sélectionnez la méthode de chiffrement.Then select the encryption method.

    • Sur les appareils Windows 10, activez l’option Méthode et puissance de chiffrement des lecteurs (Windows 10) .For Windows 10 devices, enable the option for Drive encryption method and cipher strength (Windows 10). Sélectionnez ensuite la méthode de chiffrement pour chaque lecteur de système d’exploitation, lecteur de données fixe et lecteur de données amovible.Then individually select the encryption method for OS drives, fixed data drives, and removable data drives.

    Pour plus d’informations sur ces paramètres et les autres paramètres dans cette page, consultez Informations de référence sur les paramètres - Configuration.For more information on these and other settings on this page, see Settings reference - Setup.

  5. Dans la page Lecteur du système d’exploitation, spécifiez les paramètres suivants :On the Operating System Drive page, specify the following settings:

    • Paramètres de chiffrement du lecteur du système d’exploitation : Si vous activez ce paramètre, l’utilisateur doit protéger le lecteur du système d’exploitation, et BitLocker chiffre le lecteur.Operating System Drive Encryption Settings: If you enable this setting, the user has to protect the OS drive, and BitLocker encrypts the drive. Si vous le désactivez, l’utilisateur ne peut pas protéger le lecteur.If you disable it, the user can't protect the drive.

    Sur des appareils munis d’un module de plateforme sécurisée (TPM) compatible, deux types de méthodes d’authentification peuvent être utilisés au démarrage pour offrir une protection renforcée des données chiffrées.On devices with a compatible TPM, two types of authentication methods can be used at startup to provide added protection for encrypted data. Lorsque l’ordinateur démarre, il peut utiliser uniquement le TPM pour l’authentification, ou il peut également demander l’entrée d’un code PIN.When the computer starts, it can use only the TPM for authentication, or it can also require the entry of a personal identification number (PIN). Configurez les paramètres suivants :Configure the following settings:

    • Sélectionner un protecteur pour le lecteur du système d’exploitation : Configurez-le pour utiliser un module TPM et un code PIN, ou juste le module TPM.Select protector for operating system drive: Configure it to use a TPM and PIN, or just the TPM.

    • Configurer la longueur minimale du code PIN au démarrage : Si vous exigez un code PIN, cette valeur est la longueur le plus courte que l’utilisateur peut spécifier.Configure minimum PIN length for startup: If you require a PIN, this value is the shortest length the user can specify. L’utilisateur entre ce code PIN quand l’ordinateur démarre pour déverrouiller le lecteur.The user enters this PIN when the computer boots to unlock the drive. Par défaut, la longueur minimale du code PIN est définie à 4.By default, the minimum PIN length is 4.

    Pour plus d’informations sur ces paramètres et les autres paramètres dans cette page, consultez Informations de référence sur les paramètres - Lecteur de système d’exploitation.For more information on these and other settings on this page, see Settings reference - OS drive.

  6. Dans la page Lecteur fixe, spécifiez les paramètres suivants :On the Fixed Drive page, specify the following settings:

    • Chiffrement du lecteur de données fixe : si vous activez ce paramètre, BitLocker demande aux utilisateurs de placer tous les lecteurs de données fixes sous protection.Fixed data drive encryption: If you enable this setting, BitLocker requires users to put all fixed data drives under protection. Il chiffre ensuite les lecteurs de données.It then encrypts the data drives. Quand vous activez cette stratégie, vous devez activer le déverrouillage automatique ou bien les paramètres de stratégie de mot de passe de lecteur de données fixe.When you enable this policy, either enable auto-unlock or the settings for Fixed data drive password policy.

    • Configurer le déverrouillage automatique pour le lecteur de données fixe : autorisez ou exigez que BitLocker déverrouille automatiquement tout lecteur de données chiffré.Configure auto-unlock for fixed data drive: Allow or require BitLocker to automatically unlock any encrypted data drive. Pour utiliser le déverrouillage automatique, exigez également que BitLocker chiffre le lecteur de système d’exploitation.To use auto-unlock, also require BitLocker to encrypt the OS drive.

    Pour plus d’informations sur ces paramètres et les autres paramètres dans cette page, consultez Informations de référence sur les paramètres - Lecteur fixe.For more information on these and other settings on this page, see Settings reference - Fixed drive.

  7. Dans la page Lecteur amovible, spécifiez les paramètres suivants :On the Removable Drive page, specify the following settings:

    • Chiffrement de lecteur de données amovible : quand vous activez ce paramètre et que vous autorisez les utilisateurs à appliquer la protection BitLocker, le client Configuration Manager enregistre les paramètres de récupération définis pour les lecteurs amovibles dans le service de récupération sur le point de gestion.Removable data drive encryption: When you enable this setting, and allow users to apply BitLocker protection, the Configuration Manager client saves recovery information about removable drives to the recovery service on the management point. Ce comportement permet aux utilisateurs de récupérer le lecteur s’ils oublient ou perdent le protecteur (le mot de passe).This behavior allows users to recover the drive if they forget or lose the protector (password).

    • Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles : les utilisateurs peuvent activer la protection BitLocker sur un lecteur amovible.Allow users to apply BitLocker protection on removable data drives: Users can turn on BitLocker protection for a removable drive.

    • Stratégie de mot de passe de lecteur de données amovible : utilisez ces paramètres pour définir les contraintes liées aux mots de passe utilisés afin de déverrouiller les lecteurs amovibles protégés par BitLocker.Removable data drive password policy: Use these settings to set the constraints for passwords to unlock BitLocker-protected removable drives.

    Pour plus d’informations sur ces paramètres et les autres paramètres dans cette page, consultez Informations de référence sur les paramètres - Lecteur amovible.For more information on these and other settings on this page, see Settings reference - Removable drive.

  8. Dans la page Gestion du client, spécifiez les paramètres suivants :On the Client Management page, specify the following settings:

    Important

    Si vous n’avez pas de point de gestion avec un site web HTTPS, ne configurez pas ce paramètre.If you don't have a management point with an HTTPS-enabled website, don't configure this setting. Pour plus d’informations, consultez Service de récupération.For more information, see Recovery service.

    • Configurer les services de gestion BitLocker : quand vous activez ce paramètre, Configuration Manager sauvegarde automatiquement et silencieusement les informations de récupération des clés dans la base de données de site.Configure BitLocker Management Services: When you enable this setting, Configuration Manager automatically and silently backs up key recovery information in the site database. Si vous désactivez ou ne configurez pas ce paramètre, Configuration Manager ne les enregistre pas.If you disable or don't configure this setting, Configuration Manager doesn't save key recovery information.

      • Sélectionner les informations de récupération BitLocker à stocker : Configurez-le pour utiliser un mot de passe de récupération et un package de clés, ou simplement un mot de passe de récupération.Select BitLocker recovery information to store: Configure it to use a recovery password and key package, or just a recovery password.

      • Autoriser le stockage des informations de récupération en texte brut : sans un certificat de chiffrement de la gestion BitLocker, Configuration Manager stocke les informations de récupération des clés en texte brut.Allow recovery information to be stored in plain text: Without a BitLocker management encryption certificate, Configuration Manager stores the key recovery information in plain text. Pour plus d’informations, consultez Chiffrer les données de récupération.For more information, see Encrypt recovery data.

    Pour plus d’informations sur ces paramètres et les autres paramètres dans cette page, consultez Informations de référence sur les paramètres - Gestion des clients.For more information on these and other settings on this page, see Settings reference - Client management.

  9. Effectuez toutes les étapes de l'Assistant.Complete the wizard.

Pour modifier les paramètres d’une stratégie existante, choisissez la stratégie dans la liste, puis sélectionnez Propriétés.To change the settings of an existing policy, choose it in the list, and select Properties.

Quand vous créez plusieurs stratégies, vous pouvez définir leur priorité respective.When you create more than one policy, you can configure their relative priority. Si vous déployez plusieurs stratégies sur un client, celui-ci utilise la valeur de priorité définie pour déterminer les paramètres de chaque stratégie.If you deploy multiple policies to a client, it uses the priority value to determine its settings.

À compter de la version 2006, vous pouvez utiliser des applets de commande Windows PowerShell pour cette tâche.Starting in version 2006, you can use Windows PowerShell cmdlets for this task. Pour plus d’informations, consultez New-CMBlmSetting.For more information, see New-CMBlmSetting.

Déployer une stratégieDeploy a policy

  1. Choisissez une stratégie existante dans le nœud Gestion BitLocker.Choose an existing policy in the BitLocker Management node. Dans le ruban, sélectionnez Déployer.In the ribbon, select Deploy.

  2. Sélectionnez un regroupement d’appareils comme cible du déploiement.Select a device collection as the target of the deployment.

  3. Si vous souhaitez que l’appareil puisse chiffrer ou déchiffrer ses lecteurs à tout moment, sélectionnez l’option Autoriser les corrections en dehors de la fenêtre de maintenance.If you want the device to potentially encrypt or decrypt its drives at any time, select the option to Allow remediation outside the maintenance window. Si le regroupement comporte des fenêtres de maintenance, il corrige toujours cette stratégie BitLocker.If the collection has any maintenance windows, it still remediates this BitLocker policy.

  4. Configurez une planification simple ou personnalisée.Configure a Simple or Custom schedule. Le client évalue sa conformité en fonction des paramètres spécifiés dans la planification.The client evaluates its compliance based on the settings specified in the schedule.

  5. Sélectionnez OK pour déployer la stratégie.Select OK to deploy the policy.

Vous pouvez créer plusieurs déploiements de la même stratégie.You can create multiple deployments of the same policy. Pour voir des informations supplémentaires sur chaque déploiement, sélectionnez la stratégie dans le nœud Gestion BitLocker, puis, dans le volet d’informations, accédez à l’onglet Déploiements.To view additional information about each deployment, select the policy in the BitLocker Management node, and then in the details pane, switch to the Deployments tab.

Important

Le client MBAM ne démarre pas les opérations de chiffrement de lecteur BitLocker si une connexion de protocole Bureau à distance est active.The MBAM Client does not start BitLocker Drive Encryption actions if a remote desktop protocol connection is active. Toutes les connexions à la console distante doivent être fermées et un utilisateur doit être connecté à une session de console physique avant que le chiffrement de lecteur BitLocker ne commence.All remote console connections must be closed and a user must be logged on to a physical console session before BitLocker Drive Encryption begins.

À compter de la version 2006, vous pouvez utiliser des applets de commande Windows PowerShell pour cette tâche.Starting in version 2006, you can use Windows PowerShell cmdlets for this task. Pour plus d’informations, consultez New-CMSettingDeployment.For more information, see New-CMSettingDeployment.

SurveillanceMonitor

Examinez les statistiques de conformité de base sur le déploiement de la stratégie dans le volet d’informations du nœud Gestion BitLocker :View basic compliance statistics about the policy deployment in the details pane of the BitLocker Management node:

  • Nombre de compatibilitésCompliance count
  • Nombre d’échecsFailure count
  • Nombre de non-compatibilitésNon-compliance count

Accédez à l’onglet Déploiements pour voir le pourcentage de conformité et l’action recommandée.Switch to the Deployments tab to see compliance percentage and recommended action. Sélectionnez le déploiement, puis dans le ruban, sélectionnez Afficher l’état.Select the deployment, then in the ribbon, select View Status. Cette action bascule la vue vers l’espace de travail Surveillance dans le nœud Déploiements.This action switches the view to the Monitoring workspace, Deployments node. Comme pour les autres déploiements de stratégie de configuration, cette vue fournit des informations plus détaillées sur l’état de conformité.Similar to the deployment of other configuration policy deployments, you can see more detailed compliance status in this view.

Pour comprendre pourquoi des clients sont signalés comme non conformes à la stratégie de gestion BitLocker, consultez Codes de non-conformité.To understand why clients are reporting not compliant with the BitLocker management policy, see Non-compliance codes.

Pour plus d’informations sur la résolution des problèmes, consultez Résolution des problèmes de BitLocker.For more troubleshooting information, see Troubleshoot BitLocker.

Utilisez les journaux suivants à des fins de supervision et de dépannage :Use the following logs to monitor and troubleshoot:

Journaux du clientClient logs

  • Journal des événements MBAM : dans l’observateur d’événements Windows, accédez à Applications et services > Microsoft > Windows > MBAM.MBAM event log: in the Windows Event Viewer, browse to Applications and Services > Microsoft > Windows > MBAM. Pour plus d’informations, consultez À propos des journaux des événements BitLocker et Journaux des événements de client.For more information, see About BitLocker event logs and Client event logs.

  • BitlockerMangementHandler.log dans le chemin des journaux du client, qui est %WINDIR%\CCM\Logs par défautBitlockerMangementHandler.log in client logs path, %WINDIR%\CCM\Logs by default

Journaux du point de gestion (service de récupération)Management point logs (recovery service)

  • Journal des événements du service de récupération : dans l’observateur d’événements Windows, accédez à Applications et services > Microsoft > Windows > MBAM-Web.Recovery service event log: in the Windows Event Viewer, browse to Applications and Services > Microsoft > Windows > MBAM-Web. Pour plus d’informations, consultez À propos des journaux des événements BitLocker et Journaux des événements de serveur.For more information, see About BitLocker event logs and Server event logs.

  • Journaux de suivi du service de récupération : <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etlRecovery service trace logs: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Service de récupérationRecovery service

Le service de récupération BitLocker est un composant serveur qui reçoit les données de récupération BitLocker transmises par les clients Configuration Manager.The BitLocker recovery service is a server component that receives BitLocker recovery data from Configuration Manager clients. Le site déploie le service de récupération quand vous créez une stratégie de gestion BitLocker.The site deploys the recovery service when you create a BitLocker management policy. Configuration Manager installe automatiquement le service de récupération sur chaque point de gestion avec un site web HTTPS.Configuration Manager automatically installs the recovery service on each management point with an HTTPS-enabled website.

Configuration Manager stocke les informations de récupération dans la base de données du site.Configuration Manager stores the recovery information in the site database. Sans un certificat de chiffrement de la gestion BitLocker, Configuration Manager stocke les informations de récupération des clés en texte brut.Without a BitLocker management encryption certificate, Configuration Manager stores the key recovery information in plain text.

Pour plus d’informations, consultez Chiffrer les données de récupération.For more information, see Encrypt recovery data.

Considérations relatives à la migrationMigration considerations

Si vous utilisez déjà Microsoft BitLocker Administration and Monitoring (MBAM), vous pouvez rapidement migrer la gestion vers Configuration Manager.If you currently use Microsoft BitLocker Administration and Monitoring (MBAM), you can seamlessly migrate management to Configuration Manager. Quand vous déployez des stratégies de gestion BitLocker dans Configuration Manager, les clients chargent automatiquement les packages et les clés de récupération nécessaires dans le service de récupération Configuration Manager.When you deploy BitLocker management policies in Configuration Manager, clients automatically upload recovery keys and packages to the Configuration Manager recovery service.

Important

Si vous migrez une installation MBAM autonome vers la gestion BitLocker dans Configuration Manager et que vous souhaitez conserver les fonctionnalités existantes de cette installation, ne réutilisez pas les serveurs ou composants MBAM autonomes avec la gestion BitLocker dans Configuration Manager.When you migrate from stand-alone MBAM to Configuration Manager BitLocker management, if you require existing functionality of stand-alone MBAM, don't reuse stand-alone MBAM servers or components with Configuration Manager BitLocker management. Si vous réutilisez ces serveurs, l’installation MBAM autonome cessera de fonctionner quand la gestion BitLocker dans Configuration Manager installera ses composants sur ces serveurs.If you reuse these servers, stand-alone MBAM will stop working when Configuration Manager BitLocker management installs its components on those servers. N’exécutez pas le script MBAMWebSiteInstaller.ps1 pour configurer les portails BitLocker sur des serveurs MBAM autonomes.Don't run the MBAMWebSiteInstaller.ps1 script to set up the BitLocker portals on stand-alone MBAM servers. Quand vous configurez la gestion BitLocker dans Configuration Manager, utilisez des serveurs distincts.When you set up Configuration Manager BitLocker management, use separate servers.

Stratégie de groupeGroup policy

  • Les paramètres de gestion BitLocker sont entièrement compatibles avec les paramètres de stratégie de groupe MBAM.The BitLocker management settings are fully compatible with MBAM group policy settings. Si les appareils reçoivent à la fois des paramètres de stratégie de groupe et des stratégies Configuration Manager, configurez-les pour qu’ils correspondent.If devices receive both group policy settings and Configuration Manager policies, configure them to match.

    Notes

    S’il existe un paramètre de stratégie de groupe pour les installations MBAM autonomes, celui-ci remplacera le paramètre équivalent tenté par Configuration Manager.If a group policy setting exists for standalone MBAM, it will override the equivalent setting attempted by Configuration Manager. L’installation MBAM autonome utilise une stratégie de groupe de domaines tandis que Configuration Manager définit des stratégies locales pour la gestion BitLocker.Standalone MBAM uses domain group policy, while Configuration Manager sets local policies for BitLocker management. Les stratégies de domaine remplacent les stratégies de gestion Configuration Manager BitLocker locales.Domain policies will override the local Configuration Manager BitLocker management policies. Si la stratégie de groupe de domaines de l’installation MBAM ne correspond pas à la stratégie de Configuration Manager, la gestion BitLocker de Configuration Manager échouera.If the standalone MBAM domain group policy doesn't match the Configuration Manager policy, Configuration Manager BitLocker management will fail. Par exemple, si une stratégie de groupe de domaines définit le serveur MBAM autonome pour les services de récupération de clés, la gestion BitLocker de Configuration Manager ne pourra pas définir le même paramètre pour le point de gestion.For example, if a domain group policy sets the standalone MBAM server for key recovery services, Configuration Manager BitLocker management can't set the same setting for the management point. Ce comportement empêche les clients de signaler leurs clés de récupération au service de récupération de clés de la gestion BitLocker Configuration Manager sur le point de gestion.This behavior causes clients to not report their recovery keys to the Configuration Manager BitLocker management key recovery service on the management point.

  • Configuration Manager n’implémente pas tous les paramètres de stratégie de groupe MBAM.Configuration Manager doesn't implement all MBAM group policy settings. Si vous configurez des paramètres supplémentaires dans la stratégie de groupe, l’agent de gestion BitLocker sur les clients Configuration Manager applique ces paramètres.If you configure additional settings in group policy, the BitLocker management agent on Configuration Manager clients honors these settings.

    Important

    Vous ne devez pas configurer une stratégie de groupe avec un paramètre qui est déjà utilisé par la gestion BitLocker de Configuration Manager.Don't set a group policy for a setting that Configuration Manager BitLocker management already specifies. Vous devez uniquement configurer des stratégies de groupe avec des paramètres qui ne sont pas utilisés par la gestion BitLocker de Configuration Manager.Only set group policies for settings that don't currently exist in Configuration Manager BitLocker management. Configuration Manager version 2002 dispose d’une parité des fonctionnalités avec une installation autonome de MBAM.Configuration Manager version 2002 has feature parity with standalone MBAM. Avec Configuration Manager version 2002 et ultérieures, dans la plupart des cas, il n’est pas nécessaire de définir des stratégies de groupe de domaines pour configurer les stratégies BitLocker.With Configuration Manager version 2002 and later, in most instances there should be no reason to set domain group policies to configure BitLocker policies. Pour éviter tout conflit ou problème, évitez d’utiliser des stratégies de groupe pour BitLocker.To prevent conflicts and problems, avoid use of group policies for BitLocker. Configurez tous les paramètres par le biais des stratégies de gestion BitLocker Configuration Manager.Configure all settings through Configuration Manager BitLocker management policies.

Hachage du mot de passe TPMTPM password hash

  • Les clients MBAM précédents ne chargent pas le hachage de mot de passe TPM dans Configuration Manager.Previous MBAM clients don't upload the TPM password hash to Configuration Manager. Le client ne charge le hachage de mot de passe TPM qu’une seule fois.The client only uploads the TPM password hash once.

  • Si vous devez migrer ces informations vers le service de récupération Configuration Manager, supprimez le TPM sur l’appareil.If you need to migrate this information to the Configuration Manager recovery service, clear the TPM on the device. Après son redémarrage, il chargera le nouveau hachage de mot de passe TPM vers le service de récupération.After it restarts, it will upload the new TPM password hash to the recovery service.

RechiffrementRe-encryption

Configuration Manager ne rechiffre pas les lecteurs qui sont déjà protégés par le chiffrement de lecteur BitLocker.Configuration Manager doesn't re-encrypt drives that are already protected with BitLocker Drive Encryption. Si vous déployez une stratégie de gestion BitLocker qui ne correspond pas à la protection actuelle du lecteur, elle est signalée comme non conforme.If you deploy a BitLocker management policy that doesn't match the drive's current protection, it reports as non-compliant. Le lecteur reste protégé.The drive is still protected.

Supposons que vous ayez utilisé MBAM pour chiffrer le lecteur avec l’algorithme de chiffrement AES-XTS 128 alors que la stratégie Configuration Manager exige l’algorithme AES-XTS 256.For example, you used MBAM to encrypt the drive with the AES-XTS 128 encryption algorithm, but the Configuration Manager policy requires AES-XTS 256. Le lecteur n’est pas conforme à la stratégie, même si le lecteur est chiffré.The drive is non-compliant with the policy, even though the drive is encrypted.

Pour contourner ce comportement, désactivez d’abord BitLocker sur l’appareil.To work around this behavior, first disable BitLocker on the device. Déployez ensuite une nouvelle stratégie avec les nouveaux paramètres voulus.Then deploy a new policy with the new settings.

Cogestion et IntuneCo-management and Intune

Le gestionnaire du client Gestionnaire de configuration pour BitLocker est à l’écoute de la cogestion.The Configuration Manager client handler for BitLocker is co-management aware. Si l’appareil est co-géré et que vous basculez la charge de travail Endpoint Protection vers Intune, le client Gestionnaire de configuration ignore sa stratégie BitLocker.If the device is co-managed, and you switch the Endpoint Protection workload to Intune, then the Configuration Manager client ignores its BitLocker policy. L’appareil obtient la stratégie de chiffrement Windows d’Intune.The device gets Windows encryption policy from Intune.

Notes

Le changement d’autorité de gestion du chiffrement tout en conservant l’algorithme de chiffrement souhaité ne nécessite aucune action supplémentaire sur le client.Switching encryption management authorities while maintaining the desired encryption algorithm doesn't require any additional actions on the client. Toutefois, si vous changez d’autorité de gestion du chiffrement et que l’algorithme de chiffrement souhaité change également, vous devez planifier un rechiffrement.However, if you switch encryption management authorities and the desired encryption algorithm also changes, you will need to plan for re-encryption.

Pour plus d’informations sur la gestion de BitLocker avec Intune, consultez les articles suivants :For more information about managing BitLocker with Intune, see the following articles:

Étapes suivantesNext steps

Configurer les rapports et les portails BitLockerSet up BitLocker reports and portals