Fournisseur de services de configuration BitLocker

Astuce

Ce csp contient des stratégies ADMX qui nécessitent un format SyncML spécial pour activer ou désactiver. Vous devez spécifier le type de données dans syncML en tant que <Format>chr</Format>. Pour plus d’informations, consultez Présentation des stratégies adossées à ADMX.

La charge utile de SyncML doit être encodée en XML ; pour cet encodage XML, vous pouvez utiliser un large éventail d’encodeurs en ligne. Pour éviter d’encoder la charge utile, vous pouvez utiliser CDATA si votre GPM la prend en charge. Pour plus d’informations, consultez Sections CDATA.

Le fournisseur de services de configuration (CSP) BitLocker est utilisé par l’entreprise pour gérer le chiffrement des PC et des appareils. Ce fournisseur de solutions cloud a été ajouté dans Windows 10, version 1703. À compter de Windows 10, version 1809, il est également pris en charge dans Windows 10 Professionnel.

Remarque

Pour gérer BitLocker via csp, sauf pour l’activer et le désactiver à l’aide de la RequireDeviceEncryption stratégie, l’une des licences suivantes doit être attribuée à vos utilisateurs, quelle que soit votre plateforme de gestion :

  • Windows 10/11 Entreprise E3 ou E5 (inclus dans Microsoft 365 F3, E3 et E5).
  • Windows 10/11 Entreprise A3 ou A5 (inclus dans Microsoft 365 A3 et A5).

Une Get opération sur l’un des paramètres, à l’exception de RequireDeviceEncryption et RequireStorageCardEncryption, retourne le paramètre configuré par l’administrateur.

Pour RequireDeviceEncryption et RequireStorageCardEncryption, l’opération Get retourne le status réel de mise en œuvre à l’administrateur, par exemple si la protection du module de plateforme sécurisée (TPM) est requise et si le chiffrement est requis. Et si BitLocker est activé sur l’appareil, mais avec le protecteur de mot de passe, le status signalé est 0. Une opération Get sur RequireDeviceEncryption ne vérifie pas qu’une longueur de code confidentiel minimale est appliquée (SystemDrivesMinimumPINLength).

Remarque

  • Les paramètres sont appliqués uniquement au moment du démarrage du chiffrement. Le chiffrement n’est pas redémarré avec des modifications de paramètres.
  • Vous devez envoyer tous les paramètres ensemble dans un seul SyncML pour être efficace.

La liste suivante présente les nœuds du fournisseur de services de configuration BitLocker :

AllowStandardUserEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Permet Administration d’appliquer la stratégie « RequireDeviceEncryption » dans les scénarios où la stratégie est envoyée (push) alors que l’utilisateur connecté actuel n’est pas un utilisateur administrateur/standard.

La stratégie « AllowStandardUserEncryption » est liée à la stratégie « AllowWarningForOtherDiskEncryption » définie sur « 0 », c’est-à-dire que le chiffrement silencieux est appliqué.

Si « AllowWarningForOtherDiskEncryption » n’est pas défini ou a la valeur « 1 », la stratégie « RequireDeviceEncryption » n’essaie pas de chiffrer le ou les lecteurs si un utilisateur standard est l’utilisateur actuellement connecté dans le système.

Les valeurs attendues pour cette stratégie sont les suivantes :

1 = la stratégie « RequireDeviceEncryption » tente d’activer le chiffrement sur tous les lecteurs fixes, même si un utilisateur connecté actuel est un utilisateur standard.

0 = Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. Si l’utilisateur connecté actuel est un utilisateur standard, la stratégie « RequireDeviceEncryption » n’essaiera d’activer le chiffrement sur aucun lecteur.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0
Dépendance [AllowWarningForOtherDiskEncryptionDependency] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
Valeur autorisée de dépendance : [0]
Type de valeur autorisée de dépendance : Range

Valeurs autorisées:

Valeur Description
0 (par défaut) Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. Si l’utilisateur connecté actuel est un utilisateur standard, la stratégie « RequireDeviceEncryption » n’essaiera d’activer le chiffrement sur aucun lecteur.
1 La stratégie « RequireDeviceEncryption » tente d’activer le chiffrement sur tous les lecteurs fixes, même si un utilisateur actuellement connecté est un utilisateur standard.

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Permet Administration de désactiver toute l’interface utilisateur (notification pour le chiffrement et invite d’avertissement pour un autre chiffrement de disque) et d’activer le chiffrement sur les ordinateurs utilisateur en mode silencieux.

Warning

Lorsque vous activez BitLocker sur un appareil avec un chiffrement tiers, cela peut rendre l’appareil inutilisable et nécessiter la réinstallation de Windows.

Remarque

Cette stratégie prend effet uniquement si la stratégie « RequireDeviceEncryption » est définie sur 1.

Les valeurs attendues pour cette stratégie sont les suivantes :

1 = Il s’agit de la valeur par défaut, lorsque la stratégie n’est pas définie. L’invite d’avertissement et la notification de chiffrement sont autorisées.

0 = Désactive l’invite d’avertissement et la notification de chiffrement. À compter de Windows 10 prochaine mise à jour majeure, la valeur 0 prend effet uniquement sur Microsoft Entra appareils joints.

Windows tente d’activer BitLocker en mode silencieux pour la valeur 0.

Remarque

Lorsque vous désactivez l’invite d’avertissement, la clé de récupération du lecteur de système d’exploitation est sauvegardée dans le compte Microsoft Entra de l’utilisateur. Lorsque vous autorisez l’invite d’avertissement, l’utilisateur qui reçoit l’invite peut sélectionner l’emplacement où sauvegarder la clé de récupération du lecteur du système d’exploitation.

Le point de terminaison pour la sauvegarde d’un lecteur de données fixe est choisi dans l’ordre suivant :

  1. Compte Windows Server Active Directory Domain Services de l’utilisateur.
  2. Compte Microsoft Entra de l’utilisateur.
  3. OneDrive personnel de l’utilisateur (MDM/GAM uniquement).

Le chiffrement attend que l’un de ces trois emplacements soit correctement sauvegardé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactive l’invite d’avertissement. À compter de Windows 10 version 1803, la valeur 0 ne peut être définie que pour Microsoft Entra appareils joints. Windows tente d’activer BitLocker en mode silencieux pour la valeur 0.
1 (par défaut) Invite d’avertissement autorisée.

Exemple :

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1909 [10.0.18363] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Permet Administration de configurer la rotation du mot de passe de récupération numérique lors de l’utilisation pour le système d’exploitation et les lecteurs fixes sur des appareils joints à un domaine Microsoft Entra ID et hybride.

Lorsqu’il n’est pas configuré, la rotation est activée par défaut pour Microsoft Entra ID uniquement et désactivée sur l’environnement hybride. La stratégie n’est effective que lorsque la sauvegarde Active Directory pour le mot de passe de récupération est configurée sur obligatoire.

Pour le lecteur de système d’exploitation : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation ».

Pour les lecteurs fixes : activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes ».

Valeurs prises en charge : 0 - Rotation des mots de passe de récupération numériques OFF.

1 - Rotation des mots de passe de récupération numériques lors de l’utilisation de on pour Microsoft Entra appareils joints. Valeur par défaut 2 - Rotation des mots de passe de récupération numériques lors de l’utilisation on pour les appareils Microsoft Entra ID et hybrides.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Actualiser (par défaut).
1 Actualisez pour Microsoft Entra appareils joints.
2 Actualisez pour les appareils joints Microsoft Entra et hybrides.

EncryptionMethodByDriveType

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un ordinateur puisse écrire des données sur un lecteur de données amovible.

  • Si vous activez ce paramètre de stratégie, tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.

Si l’option « Refuser l’accès en écriture aux appareils configurés dans un autre organization » est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur disposent d’un accès en écriture. Lorsqu’un lecteur de données amovible est accessible, le champ d’identification valide et les champs d’identification autorisés sont vérifiés. Ces champs sont définis par le paramètre de stratégie « Fournir les identificateurs uniques de votre organization ».

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et en écriture.

Remarque

Ce paramètre de stratégie peut être remplacé par les paramètres de stratégie sous Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Si le paramètre de stratégie « Disques amovibles : Refuser l’accès en écriture » est activé, ce paramètre de stratégie est ignoré.

Remarque

Lorsque vous activez EncryptionMethodByDriveType, vous devez spécifier des valeurs pour les trois lecteurs (système d’exploitation, données fixes et données amovibles), sinon cela échouera (500 retours status). Par exemple, si vous définissez uniquement la méthode de chiffrement pour le système d’exploitation et les lecteurs amovibles, vous obtiendrez un retour de 500 status.

Éléments d’ID de données :

  • EncryptionMethodWithXtsOsDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs du système d’exploitation.
  • EncryptionMethodWithXtsFdvDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs de données fixes.
  • EncryptionMethodWithXtsRdvDropDown_Name = Sélectionnez la méthode de chiffrement pour les lecteurs de données amovibles.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie et de définir les méthodes de chiffrement :

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom RDVDenyWriteAccess_Name
Nom convivial Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles
Nom de la clé de Registre System\CurrentControlSet\Policies\Microsoft\FVE
Nom de la valeur de Registre RDVDenyWriteAccess
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.

  • Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Valeurs possibles :

  • 0 : autoriser l’utilisateur à choisir.
  • 1 : chiffrement complet.
  • 2 : chiffrement de l’espace utilisé uniquement.

Remarque

Cette stratégie est ignorée lorsque vous réduisez ou développez un volume et que le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement Espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialis comme il le serait pour un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.

Pour plus d’informations sur l’outil permettant de gérer BitLocker, consultez manage-bde.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom FDVEncryptionType_Name
Nom convivial Appliquer le type de chiffrement de lecteur sur les lecteurs de données fixes
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre FDVEncryptionType
Nom du fichier ADMX VolumeEncryption.admx

FixedDrivesRecoveryOptions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de données fixes protégés par BitLocker sont récupérés en l’absence des informations d’identification requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

La zone de case activée « Autoriser l’agent de récupération de données » permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de données fixes protégés par BitLocker. Avant de pouvoir utiliser un agent de récupération de données, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou le stratégie de groupe Rédacteur local. Pour plus d’informations sur l’ajout d’agents de récupération de données, consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft TechNet.

Dans « Configurer le stockage utilisateur des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération 256 bits.

Sélectionnez « Omettre les options de récupération de l’Assistant Installation de BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne serez pas en mesure de spécifier l’option de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie.

Dans « Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory », choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de données fixes. Si vous sélectionnez « Mot de passe de récupération de sauvegarde et package de clé », le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez « Mot de passe de récupération de sauvegarde uniquement », seul le mot de passe de récupération est stocké dans AD DS.

Sélectionnez la zone de case activée « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes » si vous souhaitez empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker dans AD DS réussit.

Remarque

Si la zone de case activée « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes » est sélectionnée, un mot de passe de récupération est généré automatiquement.

  • Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de données fixes protégés par BitLocker.

  • Si ce paramètre de stratégie n’est pas configuré ou désactivé, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.

Éléments d’ID de données :

  • FDVAllowDRA_Name : Autoriser l’agent de récupération de données
  • FDVRecoveryPasswordUsageDropDown_Name et FDVRecoveryKeyUsageDropDown_Name : Configurer le stockage utilisateur des informations de récupération BitLocker
  • FDVHideRecoveryPage_Name : Omettre les options de récupération de l’Assistant Installation de BitLocker
  • FDVActiveDirectoryBackup_Name : Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory
  • FDVActiveDirectoryBackupDropDown_Name : Configurer le stockage des informations de récupération BitLocker sur AD DS
  • FDVRequireActiveDirectoryBackup_Name : N’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de données fixes

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • true = Autoriser explicitement
  • false = Stratégie non définie

Les valeurs possibles pour 'yy' sont les suivantes :

  • 0 = Non autorisé
  • 1 = Obligatoire
  • 2 = Autorisé

Les valeurs possibles pour « zz » sont les suivantes :

  • 1 = Stocker les mots de passe de récupération et les packages de clé
  • 2 = Stocker les mots de passe de récupération uniquement

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom FDVRecoveryUsage_Name
Nom convivial Choisir la façon dont les lecteurs fixes protégés par BitLocker peuvent être récupérés
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre FDVRecovery
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Ce paramètre de stratégie détermine si la protection BitLocker est requise pour que les lecteurs de données fixes puissent être accessibles en écriture sur un ordinateur.

  • Si vous activez ce paramètre de stratégie, tous les lecteurs de données fixes qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données fixes sur l’ordinateur sont montés avec un accès en lecture et en écriture.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom FDVDenyWriteAccess_Name
Nom convivial Refuser l’accès en écriture aux lecteurs fixes non protégés par BitLocker
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement de > lecteur BitLocker Lecteurs de données fixes
Nom de la clé de Registre System\CurrentControlSet\Policies\Microsoft\FVE
Nom de la valeur de Registre FDVDenyWriteAccess
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Champ d’identification

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/IdentificationField

Ce paramètre de stratégie vous permet d’associer des identificateurs d’organisation uniques à un nouveau lecteur activé avec BitLocker. Ces identificateurs sont stockés en tant que champ d’identification et champ d’identification autorisé. Le champ d’identification vous permet d’associer un identificateur organisationnel unique à des lecteurs protégés par BitLocker. Cet identificateur est automatiquement ajouté aux nouveaux lecteurs protégés par BitLocker et peut être mis à jour sur les lecteurs protégés par BitLocker existants à l’aide de l’outil en ligne de commande manage-bde . Un champ d’identification est requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker et pour les mises à jour potentielles du lecteur BitLocker To Go. BitLocker gère et met à jour les agents de récupération de données uniquement lorsque le champ d’identification sur le lecteur correspond à la valeur configurée dans le champ d’identification. De la même façon, BitLocker met à jour le lecteur BitLocker To Go uniquement lorsque le champ d’identification sur le lecteur correspond à la valeur configurée pour le champ d’identification.

Le champ d’identification autorisé est utilisé en combinaison avec le paramètre de stratégie « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker » pour contrôler l’utilisation des lecteurs amovibles dans votre organization. Il s’agit d’une liste de champs d’identification séparés par des virgules de votre organization ou d’autres organisations externes.

Vous pouvez configurer les champs d’identification sur les lecteurs existants à l’aide de manage-bde.exe.

  • Si vous activez ce paramètre de stratégie, vous pouvez configurer le champ d’identification sur le lecteur protégé par BitLocker et tout champ d’identification autorisé utilisé par votre organization.

Lorsqu’un lecteur protégé par BitLocker est monté sur un autre ordinateur avec BitLocker, le champ d’identification et le champ d’identification autorisé sont utilisés pour déterminer si le lecteur provient d’un organization externe.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le champ d’identification n’est pas obligatoire.

Remarque

Les champs d’identification sont requis pour la gestion des agents de récupération de données basés sur les certificats sur les lecteurs protégés par BitLocker. BitLocker gère et met à jour les agents de récupération de données basés sur un certificat uniquement lorsque le champ d’identification est présent sur un lecteur et identique à la valeur configurée sur l’ordinateur. Le champ d’identification peut contenir n’importe quelle valeur de 260 caractères ou moins.

Éléments d’ID de données :

  • Champ d’identification : champ d’identification BitLocker.
  • SecIdentificationField : champ d’identification BitLocker autorisé.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom IdentificationField_Name
Nom convivial Fournissez les identificateurs uniques de votre organization
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre Champ d’identification
Nom du fichier ADMX VolumeEncryption.admx

RemovableDrivesConfigureBDE

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Ce paramètre de stratégie contrôle l’utilisation de BitLocker sur les lecteurs de données amovibles. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Lorsque ce paramètre de stratégie est activé, vous pouvez sélectionner des paramètres de propriété qui contrôlent la façon dont les utilisateurs peuvent configurer BitLocker. Choisissez « Autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles » pour permettre à l’utilisateur d’exécuter l’Assistant Installation de BitLocker sur un lecteur de données amovible. Choisissez « Autoriser les utilisateurs à suspendre et déchiffrer BitLocker sur des lecteurs de données amovibles » pour permettre à l’utilisateur de supprimer le chiffrement de lecteur BitLocker du lecteur ou de suspendre le chiffrement pendant l’exécution de la maintenance. Pour plus d’informations sur la suspension de la protection BitLocker, consultez Déploiement de base de BitLocker.

  • Si vous ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent utiliser BitLocker sur des lecteurs de disque amovible.

  • Si vous désactivez ce paramètre de stratégie, les utilisateurs ne peuvent pas utiliser BitLocker sur des lecteurs de disque amovibles.

Éléments d’ID de données :

  • RDVAllowBDE_Name : autoriser les utilisateurs à appliquer la protection BitLocker sur les lecteurs de données amovibles.
  • RDVDisableBDE_Name : autoriser les utilisateurs à suspendre et déchiffrer BitLocker sur des lecteurs de données amovibles.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom RDVConfigureBDE
Nom convivial Contrôler l’utilisation de BitLocker sur les lecteurs amovibles
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre RDVConfigureBDE
Nom du fichier ADMX VolumeEncryption.admx

RemovableDrivesEncryptionType

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.

  • Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Valeurs possibles :

  • 0 : autoriser l’utilisateur à choisir.
  • 1 : chiffrement complet.
  • 2 : chiffrement de l’espace utilisé uniquement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Dépendance [BDEAllowed] Type de dépendance : DependsOn
URI de dépendance : Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
Type de valeur autorisée de dépendance : ADMX

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom RDVEncryptionType_Name
Nom convivial Appliquer le type de chiffrement de lecteur sur les lecteurs de données amovibles
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre RDVEncryptionType
Nom du fichier ADMX VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Lorsque cette option est activée, vous permet d’exclure les lecteurs amovibles et les appareils connectés via l’interface USB du chiffrement d’appareil BitLocker. Les appareils exclus ne peuvent pas être chiffrés, même manuellement. En outre, si « Refuser l’accès en écriture aux lecteurs amovibles non protégés par BitLocker » est configuré, l’utilisateur ne sera pas invité à effectuer le chiffrement et le lecteur sera monté en mode lecture/écriture. Fournissez une liste séparée par des virgules des lecteurs amovibles exclus et des appareils, à l’aide de l’ID matériel du périphérique de disque. Exemple USBSTOR\SEAGATE_ST39102LW_______0004.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : ,)

RemovableDrivesRequireEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Ce paramètre de stratégie configure si la protection BitLocker est requise pour qu’un ordinateur puisse écrire des données sur un lecteur de données amovible.

  • Si vous activez ce paramètre de stratégie, tous les lecteurs de données amovibles qui ne sont pas protégés par BitLocker seront montés en lecture seule. Si le lecteur est protégé par BitLocker, il est monté avec un accès en lecture et en écriture.

Si l’option « Refuser l’accès en écriture aux appareils configurés dans un autre organization » est sélectionnée, seuls les lecteurs dont les champs d’identification correspondent aux champs d’identification de l’ordinateur disposent d’un accès en écriture. Lorsqu’un lecteur de données amovible est accessible, le champ d’identification valide et les champs d’identification autorisés sont vérifiés. Ces champs sont définis par le paramètre de stratégie « Fournir les identificateurs uniques de votre organization ».

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les lecteurs de données amovibles sur l’ordinateur sont montés avec un accès en lecture et en écriture.

Remarque

Ce paramètre de stratégie peut être remplacé par les paramètres de stratégie sous Configuration utilisateur\Modèles d’administration\Système\Accès au stockage amovible. Si le paramètre de stratégie « Disques amovibles : Refuser l’accès en écriture » est activé, ce paramètre de stratégie est ignoré.

Éléments d’ID de données :

  • RDVCrossOrg : Refuser l’accès en écriture aux appareils configurés dans un autre organization

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

 <enabled/><data id="RDVCrossOrg" value="xx"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • true = Autoriser explicitement
  • false = Stratégie non définie

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom RDVDenyWriteAccess_Name
Nom convivial Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker
Emplacement Configuration ordinateur
Chemin d'accès Composants > Windows Chiffrement > de lecteur BitLocker Lecteurs de données amovibles
Nom de la clé de Registre System\CurrentControlSet\Policies\Microsoft\FVE
Nom de la valeur de Registre RDVDenyWriteAccess
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Permet à l’Administration d’exiger l’activation du chiffrement à l’aide de BitLocker\Device Encryption.

Exemple de valeur pour ce nœud afin d’activer cette stratégie :

1

La désactivation de la stratégie ne désactive pas le chiffrement sur le lecteur système. Mais cessera d’inviter l’utilisateur à l’activer.

Remarque

Actuellement, seul le chiffrement de disque complet est pris en charge lors de l’utilisation de ce fournisseur de solutions cloud pour le chiffrement silencieux. Pour le chiffrement non silencieux, le type de chiffrement dépend SystemDrivesEncryptionType de et FixedDrivesEncryptionType configuré sur l’appareil.

La status des volumes de système d’exploitation et des volumes de données fixes pouvant être chiffrés est vérifiée à l’aide d’une opération Get. En règle générale, BitLocker/Device Encryption suit la valeur de la stratégie EncryptionMethodByDriveType définie sur. Toutefois, ce paramètre de stratégie sera ignoré pour les lecteurs fixes à chiffrement automatique et les lecteurs de système d’exploitation autochiffrés.

Les volumes de données fixes pouvant être chiffrés sont traités de la même manière que les volumes de système d’exploitation. Toutefois, les volumes de données fixes doivent répondre à d’autres critères pour être considérés comme pouvant être chiffrés :

  • Il ne doit pas s’agir d’un volume dynamique.
  • Il ne doit pas s’agir d’une partition de récupération.
  • Il ne doit pas s’agir d’un volume masqué.
  • Il ne doit pas s’agir d’une partition système.
  • Il ne doit pas être sauvegardé par un stockage virtuel.
  • Il ne doit pas avoir de référence dans le magasin BCD.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactiver. Si le paramètre de stratégie n’est pas défini ou est défini sur 0, la status d’application de l’appareil n’est pas vérifiée. La stratégie n’applique pas le chiffrement et ne déchiffre pas les volumes chiffrés.
1 Activer. La status d’application de l’appareil est vérifiée. La définition de cette stratégie sur 1 déclenche le chiffrement de tous les lecteurs (en mode silencieux ou non, en fonction de la stratégie AllowWarningForOtherDiskEncryption).

Exemple :

Pour désactiver RequireDeviceEncryption :

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Remarque

Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Permet au Administration d’exiger le chiffrement de carte de stockage sur l’appareil.

Cette stratégie n’est valide que pour la référence SKU mobile.

Exemple de valeur pour ce nœud afin d’activer cette stratégie :

1

La désactivation de la stratégie ne désactive pas le chiffrement sur le carte de stockage. Mais cessera d’inviter l’utilisateur à l’activer.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Les cartes de stockage n’ont pas besoin d’être chiffrées.
1 Exiger le chiffrement des cartes de stockage.

RotateRecoveryPasswords

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1909 [10.0.18363] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Permet à l’administrateur d’envoyer (push) une rotation unique de tous les mots de passe de récupération numériques pour les lecteurs de système d’exploitation et de données fixes sur un appareil Microsoft Entra ID ou joint à un hybride.

Cette stratégie est de type d’exécution et fait pivoter tous les mots de passe numériques lorsqu’ils sont émis à partir d’outils MDM.

La stratégie n’entre en vigueur que lorsque la sauvegarde Active Directory d’un mot de passe de récupération est configurée sur « obligatoire ».

  • Pour les lecteurs de système d’exploitation, activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans services de domaine Active Directory pour les lecteurs du système d’exploitation ».

  • Pour les lecteurs fixes, activez « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans services de domaine Active Directory pour les lecteurs de données fixes ».

Le client retourne status DM_S_ACCEPTED_FOR_PROCESSING pour indiquer que la rotation a démarré. Le serveur peut interroger status avec les nœuds status suivants :

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID.

Valeurs prises en charge : forme de chaîne de l’ID de requête. Le GUID est un exemple de format d’ID de requête. Le serveur peut choisir le format en fonction des outils de gestion.

Remarque

La rotation des clés est prise en charge uniquement sur ces types d’inscription. Pour plus d’informations, consultez énumération deviceEnrollmentType.

  • windowsAzureADJoin.
  • windowsBulkAzureDomainJoin.
  • windowsAzureADJoinUsingDeviceAuth.
  • windowsCoManagement.

Astuce

La fonctionnalité de rotation des clés fonctionne uniquement dans les cas suivants :

  • Pour les lecteurs de système d’exploitation :

    • OSRequireActiveDirectoryBackup_Name est défini sur 1 (« Obligatoire »).
    • OSActiveDirectoryBackup_Name a la valeur true.
  • Pour les lecteurs de données fixes :

    • FDVRequireActiveDirectoryBackup_Name est défini sur 1 = (« Obligatoire »).
    • FDVActiveDirectoryBackup_Name a la valeur true.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Exec

Statut

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1903 [10.0.18362] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/Status

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format node
Type d’accès Télécharger

Status/DeviceEncryptionStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1903 [10.0.18362] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Ce nœud signale l’état de conformité du chiffrement de l’appareil sur le système.

La valeur « 0 » signifie que l’appareil est conforme. Toute autre valeur représente un appareil non conforme.

Cette valeur représente un masque de bits avec chaque bit et le code d’erreur correspondant décrit dans le tableau suivant :

Peu Code d'erreur
0 La stratégie BitLocker nécessite le consentement de l’utilisateur pour lancer l’Assistant Chiffrement de lecteur BitLocker pour démarrer le chiffrement du volume du système d’exploitation, mais l’utilisateur n’a pas donné son consentement.
1 La méthode de chiffrement du volume du système d’exploitation ne correspond pas à la stratégie BitLocker.
2 Le volume du système d’exploitation n’est pas protégé.
3 La stratégie BitLocker nécessite un protecteur TPM uniquement pour le volume du système d’exploitation, mais la protection TPM n’est pas utilisée.
4 La stratégie BitLocker nécessite une protection TPM+PIN pour le volume du système d’exploitation, mais aucun protecteur TPM+code confidentiel n’est utilisé.
5 La stratégie BitLocker nécessite une protection TPM+clé de démarrage pour le volume du système d’exploitation, mais aucun protecteur TPM+clé de démarrage n’est utilisé.
6 La stratégie BitLocker nécessite une protection TPM+PIN+clé de démarrage pour le volume du système d’exploitation, mais aucun protecteur de clé de démarrage+TPM+code confidentiel n’est utilisé.
7 La stratégie BitLocker nécessite un protecteur TPM pour protéger le volume du système d’exploitation, mais aucun module de plateforme sécurisée n’est utilisé.
8 La sauvegarde de la clé de récupération a échoué.
9 Un lecteur fixe n’est pas protégé.
10 La méthode de chiffrement du lecteur fixe ne correspond pas à la stratégie BitLocker.
11 Pour chiffrer les lecteurs, la stratégie BitLocker exige que l’utilisateur se connecte en tant qu’administrateur ou que l’appareil est joint à Microsoft Entra ID, la stratégie AllowStandardUserEncryption doit être définie sur 1.
12 L’environnement de récupération Windows (WinRE) n’est pas configuré.
13 Un module TPM n’est pas disponible pour BitLocker, soit parce qu’il n’est pas présent, qu’il a été rendu indisponible dans le Registre ou que le système d’exploitation se trouve sur un lecteur amovible.
14 Le TPM n’est pas prêt pour BitLocker.
15 Le réseau n’est pas disponible, ce qui est nécessaire pour la sauvegarde de la clé de récupération.
16 Le type de chiffrement du volume du système d’exploitation pour le chiffrement disque complet par rapport à l’espace utilisé uniquement ne correspond pas à la stratégie BitLocker.
17 Le type de chiffrement du lecteur fixe pour le chiffrement disque complet par rapport à l’espace utilisé uniquement ne correspond pas à la stratégie BitLocker.
18-31 Pour une utilisation ultérieure.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Télécharger

Status/RemovableDrivesEncryptionStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Ce nœud signale l’état de conformité du chiffrement du lecteur de suppression. La valeur « 0 » signifie que le lecteur de suppression est chiffré en fonction de tous les paramètres définis du lecteur de suppression.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Télécharger

Status/RotateRecoveryPasswordsRequestID

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1909 [10.0.18363] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Ce nœud signale le RequestID correspondant à RotateRecoveryPasswordsStatus.

Ce nœud doit être interrogé lors de la synchronisation avec RotateRecoveryPasswordsStatus pour s’assurer que le status correspond correctement à l’ID de requête.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Télécharger

Status/RotateRecoveryPasswordsStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1909 [10.0.18363] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Ce nœud signale la status de la requête RotateRecoveryPasswords.

Le code d’état peut être l’un des suivants :

NotStarted(2), Pending (1), Pass (0), Autres codes d’erreur en cas d’échec.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Télécharger

SystemDrivesDisallowStandardUsersCanChangePIN

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Ce paramètre de stratégie vous permet de configurer si les utilisateurs standard sont autorisés ou non à modifier les codes confidentiels du volume BitLocker, à condition qu’ils soient en mesure de fournir d’abord le code confidentiel existant.

Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

  • Si vous activez ce paramètre de stratégie, les utilisateurs standard ne seront pas autorisés à modifier les codes confidentiels ou les mots de passe BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs standard sont autorisés à modifier les codes confidentiels et les mots de passe BitLocker.

Remarque

Pour modifier le code confidentiel ou le mot de passe, l’utilisateur doit être en mesure de fournir le code confidentiel ou le mot de passe actuel.

Voici un exemple de valeur pour ce nœud afin de désactiver cette stratégie : <disabled/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom DisallowStandardUsersCanChangePIN_Name
Nom convivial Interdire aux utilisateurs standard de modifier le code confidentiel ou le mot de passe
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre DisallowStandardUserPINReset
Nom du fichier ADMX VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Ce paramètre de stratégie permet aux utilisateurs d’activer les options d’authentification qui nécessitent une entrée utilisateur à partir de l’environnement de prédémarreur, même si la plateforme n’a pas de fonctionnalité d’entrée de prédémarreur.

Le clavier tactile Windows (tel que celui utilisé par les tablettes) n’est pas disponible dans l’environnement de prédémarreur où BitLocker nécessite des informations supplémentaires telles qu’un code confidentiel ou un mot de passe.

  • Si vous activez ce paramètre de stratégie, les appareils doivent disposer d’un autre moyen d’entrée de prédémarreur (par exemple, un clavier USB attaché).

  • Si cette stratégie n’est pas activée, l’environnement de récupération Windows doit être activé sur les tablettes pour prendre en charge l’entrée du mot de passe de récupération BitLocker. Lorsque l’environnement de récupération Windows n’est pas activé et que cette stratégie n’est pas activée, vous ne pouvez pas activer BitLocker sur un appareil qui utilise le clavier tactile Windows.

Notez que si vous n’activez pas ce paramètre de stratégie, les options de la stratégie « Exiger une authentification supplémentaire au démarrage » peuvent ne pas être disponibles sur ces appareils. Ces options sont les suivantes :

  • Configurer le code pin de démarrage du module de plateforme sécurisée : Obligatoire/Autorisé
  • Configurer la clé de démarrage et le code confidentiel du module de plateforme sécurisée : Obligatoire/Autorisé
  • Configurez l’utilisation des mots de passe pour les lecteurs du système d’exploitation.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom EnablePrebootInputProtectorsOnSlates_Name
Nom convivial Activer l’utilisation de l’authentification BitLocker nécessitant une entrée clavier de prédémarrage sur les ardoises
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre OSEnablePrebootInputProtectorsOnSlates
Nom du fichier ADMX VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Ce paramètre de stratégie permet aux utilisateurs sur les appareils qui sont conformes à InstantGo ou à l’interface de test de sécurité matérielle Microsoft (HSTI) de ne pas avoir de code confidentiel pour l’authentification préalable au démarrage. Cela remplace les options « Exiger le code pin de démarrage avec TPM » et « Exiger une clé de démarrage et un code confidentiel avec TPM » de la stratégie « Exiger une authentification supplémentaire au démarrage » sur le matériel conforme.

  • Si vous activez ce paramètre de stratégie, les utilisateurs sur des appareils compatibles InstantGo et HSTI auront le choix d’activer BitLocker sans authentification préalable au démarrage.

  • Si cette stratégie n’est pas activée, les options de la stratégie « Exiger une authentification supplémentaire au démarrage » s’appliquent.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom EnablePreBootPinExceptionOnDECapableDevice_Name
Nom convivial Autorisez les appareils compatibles avec InstantGo ou HSTI à refuser le code confidentiel avant le démarrage.
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre OSEnablePreBootPinExceptionOnDECapableDevice
Nom du fichier ADMX VolumeEncryption.admx

SystemDrivesEncryptionType

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Ce paramètre de stratégie vous permet de configurer le type de chiffrement utilisé par le chiffrement de lecteur BitLocker. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. La modification du type de chiffrement n’a aucun effet si le lecteur est déjà chiffré ou si le chiffrement est en cours. Choisissez le chiffrement complet pour exiger que l’intégralité du lecteur soit chiffrée lorsque BitLocker est activé. Choisissez le chiffrement de l’espace utilisé uniquement pour exiger que seule la partie du lecteur utilisée pour stocker les données soit chiffrée lorsque BitLocker est activé.

  • Si vous activez ce paramètre de stratégie, le type de chiffrement que BitLocker utilisera pour chiffrer les lecteurs est défini par cette stratégie et l’option de type de chiffrement ne sera pas présentée dans l’Assistant Installation de BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’Assistant Installation de BitLocker demande à l’utilisateur de sélectionner le type de chiffrement avant d’activer BitLocker.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Valeurs possibles :

  • 0 : autoriser l’utilisateur à choisir.
  • 1 : chiffrement complet.
  • 2 : chiffrement de l’espace utilisé uniquement.

Remarque

Cette stratégie est ignorée lors de la réduction ou du développement d’un volume, et le pilote BitLocker utilise la méthode de chiffrement actuelle. Par exemple, lorsqu’un lecteur qui utilise le chiffrement espace utilisé uniquement est développé, le nouvel espace libre n’est pas réinitialis comme il le serait pour un lecteur qui utilise le chiffrement complet. L’utilisateur peut effacer l’espace libre sur un lecteur Espace utilisé uniquement à l’aide de la commande suivante : manage-bde -w. Si le volume est réduit, aucune action n’est effectuée pour le nouvel espace libre.

Pour plus d’informations sur l’outil permettant de gérer BitLocker, consultez manage-bde.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom OSEncryptionType_Name
Nom convivial Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre OSEncryptionType
Nom du fichier ADMX VolumeEncryption.admx

SystemDrivesEnhancedPIN

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 2004 [10.0.19041.1202] et versions ultérieures
✅Windows 10, version 2009 [10.0.19042.1202] et versions ultérieures
✅Windows 10, version 21H1 [10.0.19043.1202] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Ce paramètre de stratégie vous permet de configurer si les codes confidentiels de démarrage améliorés sont utilisés avec BitLocker.

Les codes confidentiels de démarrage améliorés permettent d’utiliser des caractères, notamment des lettres majuscules et minuscules, des symboles, des chiffres et des espaces. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

  • Si vous activez ce paramètre de stratégie, tous les nouveaux codes confidentiels de démarrage BitLocker définis seront des codes confidentiels améliorés.

Remarque

Tous les ordinateurs peuvent ne pas prendre en charge les codes confidentiels améliorés dans l’environnement de prédémarrisation. Il est fortement recommandé aux utilisateurs d’effectuer une case activée système pendant l’installation de BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les codes confidentiels améliorés ne seront pas utilisés.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie : <enabled/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom EnhancedPIN_Name
Nom convivial Autoriser les codes confidentiels améliorés pour le démarrage
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom de la valeur de Registre UseEnhancedPin
Nom du fichier ADMX VolumeEncryption.admx

SystemDrivesMinimumPINLength

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Ce paramètre de stratégie vous permet de configurer une longueur minimale pour un code pin de démarrage du module de plateforme sécurisée (TPM). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker. Le code pin de démarrage doit avoir une longueur minimale de 4 chiffres et peut avoir une longueur maximale de 20 chiffres.

  • Si vous activez ce paramètre de stratégie, vous pouvez exiger l’utilisation d’un nombre minimal de chiffres lors de la définition du code confidentiel de démarrage.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur comprise entre 6 et 20 chiffres.

Remarque

Si la longueur minimale du code confidentiel est inférieure à 6 chiffres, Windows tente de mettre à jour la période de verrouillage TPM 2.0 pour qu’elle soit supérieure à la valeur par défaut lorsqu’un code confidentiel est modifié. En cas de réussite, Windows réinitialise uniquement la période de verrouillage du module de plateforme sécurisée à la valeur par défaut si le module de plateforme sécurisée est réinitialisé.

Remarque

Dans Windows 10 version 1703 version B, vous pouvez utiliser une longueur de code confidentiel minimale de 4 chiffres.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/><data id="MinPINLength" value="xx"/>

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom MinimumPINLength_Name
Nom convivial Configurer la longueur minimale du code confidentiel pour le démarrage
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Ce paramètre de stratégie vous permet de configurer l’intégralité du message de récupération ou de remplacer l’URL existante qui s’affiche sur l’écran de récupération de la clé de prédémarreur lorsque le lecteur du système d’exploitation est verrouillé.

Si vous sélectionnez l’option « Utiliser le message et l’URL de récupération par défaut », le message et l’URL de récupération BitLocker par défaut s’affichent dans l’écran de récupération de la clé de prédémarreuse. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez revenir au message par défaut, vous devez conserver la stratégie activée et sélectionner l’option « Utiliser le message et l’URL de récupération par défaut ».

Si vous sélectionnez l’option « Utiliser le message de récupération personnalisé », le message que vous tapez dans la zone de texte « Option de message de récupération personnalisée » s’affiche dans l’écran de récupération de la clé de prédémarreur. Si une URL de récupération est disponible, incluez-la dans le message.

Si vous sélectionnez l’option « Utiliser l’URL de récupération personnalisée », l’URL que vous tapez dans la zone de texte « Option URL de récupération personnalisée » remplace l’URL par défaut dans le message de récupération par défaut, qui s’affiche dans l’écran de récupération de la clé de prédémarreur.

Remarque

Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.

Éléments d’ID de données :

  • PrebootRecoveryInfoDropDown_Name : sélectionnez une option pour le message de récupération de prédémarreur.
  • RecoveryMessage_Input : message de récupération personnalisé
  • RecoveryUrl_Input : URL de récupération personnalisée

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • 0 = Vide
  • 1 = Utiliser le message et l’URL de récupération par défaut (dans ce cas, vous n’avez pas besoin de spécifier une valeur pour « RecoveryMessage_Input » ou « RecoveryUrl_Input »).
  • 2 = Le message de récupération personnalisé est défini.
  • 3 = L’URL de récupération personnalisée est définie.

La valeur possible pour « yy » et « zz » est une chaîne de longueur maximale de 900 et 500 respectivement.

Remarque

  • Lorsque vous activez SystemDrivesRecoveryMessage, vous devez spécifier des valeurs pour les trois paramètres (écran de récupération de prédémarrage, message de récupération et URL de récupération). Sinon, l’opération échoue (500 retours status). Par exemple, si vous spécifiez uniquement des valeurs pour le message et l’URL, vous obtiendrez un retour de 500 status.
  • Tous les caractères et langues ne sont pas pris en charge dans le prédémarrement. Il est fortement recommandé de tester que les caractères que vous utilisez pour le message ou l’URL personnalisé s’affichent correctement sur l’écran de récupération préalable au démarrage.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom PrebootRecoveryInfo_Name
Nom convivial Configurer le message de récupération et l’URL de prédémarrisation
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre Software\Policies\Microsoft\FVE
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Ce paramètre de stratégie vous permet de contrôler la façon dont les lecteurs de système d’exploitation protégés par BitLocker sont récupérés en l’absence des informations de clé de démarrage requises. Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

La zone de case activée « Autoriser l’agent de récupération de données basé sur un certificat » permet de spécifier si un agent de récupération de données peut être utilisé avec des lecteurs de système d’exploitation protégés par BitLocker. Avant de pouvoir utiliser un agent de récupération de données, il doit être ajouté à partir de l’élément Stratégies de clé publique dans la console de gestion stratégie de groupe ou le stratégie de groupe Rédacteur local. Pour plus d’informations sur l’ajout d’agents de récupération de données, consultez le Guide de déploiement du chiffrement de lecteur BitLocker sur Microsoft TechNet.

Dans « Configurer le stockage utilisateur des informations de récupération BitLocker », indiquez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres ou une clé de récupération 256 bits.

Sélectionnez « Omettre les options de récupération de l’Assistant Installation de BitLocker » pour empêcher les utilisateurs de spécifier des options de récupération lorsqu’ils activent BitLocker sur un lecteur. Cela signifie que vous ne serez pas en mesure de spécifier l’option de récupération à utiliser lorsque vous activez BitLocker. Au lieu de cela, les options de récupération BitLocker pour le lecteur sont déterminées par le paramètre de stratégie.

Dans « Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory », choisissez les informations de récupération BitLocker à stocker dans AD DS pour les lecteurs de système d’exploitation. Si vous sélectionnez « Mot de passe de récupération de sauvegarde et package de clé », le mot de passe de récupération BitLocker et le package de clé sont stockés dans AD DS. Le stockage du package de clé prend en charge la récupération de données à partir d’un lecteur qui a été physiquement endommagé. Si vous sélectionnez « Mot de passe de récupération de sauvegarde uniquement », seul le mot de passe de récupération est stocké dans AD DS.

Sélectionnez la zone de case activée « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation » si vous souhaitez empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur est connecté au domaine et que la sauvegarde des informations de récupération BitLocker sur AD DS réussit.

Remarque

Si la zone de case activée « Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs du système d’exploitation » est sélectionnée, un mot de passe de récupération est généré automatiquement.

  • Si vous activez ce paramètre de stratégie, vous pouvez contrôler les méthodes disponibles pour les utilisateurs pour récupérer des données à partir de lecteurs de système d’exploitation protégés par BitLocker.

  • Si ce paramètre de stratégie est désactivé ou non configuré, les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, une DRA est autorisée, les options de récupération peuvent être spécifiées par l’utilisateur, y compris le mot de passe de récupération et la clé de récupération, et les informations de récupération ne sont pas sauvegardées dans AD DS.

Éléments d’ID de données :

  • OSAllowDRA_Name : Autoriser l’agent de récupération de données basé sur les certificats
  • OSRecoveryPasswordUsageDropDown_Name et OSRecoveryKeyUsageDropDown_Name : Configurer le stockage utilisateur des informations de récupération BitLocker
  • OSHideRecoveryPage_Name : omettre les options de récupération de l’Assistant Installation de BitLocker
  • OSActiveDirectoryBackup_Name et OSActiveDirectoryBackupDropDown_Name : Enregistrer les informations de récupération BitLocker dans services de domaine Active Directory
  • OSRequireActiveDirectoryBackup_Name : n’activez pas BitLocker tant que les informations de récupération ne sont pas stockées dans AD DS pour les lecteurs de système d’exploitation

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • true = Autoriser explicitement
  • false = Stratégie non définie

Les valeurs possibles pour 'yy' sont les suivantes :

  • 0 = Non autorisé
  • 1 = Obligatoire
  • 2 = Autorisé

Les valeurs possibles pour « zz » sont les suivantes :

  • 1 = Stocker les mots de passe de récupération et les packages de clés.
  • 2 = Stocker les mots de passe de récupération uniquement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom OSRecoveryUsage_Name
Nom convivial Choisir la façon dont les lecteurs de système d’exploitation protégés par BitLocker peuvent être récupérés
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre OSRecovery
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1703 [10.0.15063] et versions ultérieures
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Ce paramètre de stratégie vous permet de configurer si BitLocker nécessite une authentification supplémentaire chaque fois que l’ordinateur démarre et si vous utilisez BitLocker avec ou sans module de plateforme sécurisée (TPM). Ce paramètre de stratégie est appliqué lorsque vous activez BitLocker.

Remarque

Une seule des options d’authentification supplémentaires peut être requise au démarrage, sinon une erreur de stratégie se produit.

Si vous souhaitez utiliser BitLocker sur un ordinateur sans module de plateforme sécurisée, sélectionnez la zone de case activée « Autoriser BitLocker sans module de plateforme sécurisée compatible ». Dans ce mode, un mot de passe ou un lecteur USB est requis pour le démarrage. Lorsque vous utilisez une clé de démarrage, les informations de clé utilisées pour chiffrer le lecteur sont stockées sur le lecteur USB, ce qui crée une clé USB. Lorsque la clé USB est insérée, l’accès au lecteur est authentifié et le lecteur est accessible. Si la clé USB est perdue ou indisponible ou si vous avez oublié le mot de passe, vous devez utiliser l’une des options de récupération BitLocker pour accéder au lecteur.

Sur un ordinateur doté d’un module de plateforme sécurisée compatible, quatre types de méthodes d’authentification peuvent être utilisés au démarrage pour fournir une protection supplémentaire pour les données chiffrées. Au démarrage de l’ordinateur, il peut utiliser uniquement le module TPM pour l’authentification, ou il peut également nécessiter l’insertion d’un lecteur flash USB contenant une clé de démarrage, l’entrée d’un numéro d’identification personnel (PIN) à 6 chiffres à 20 chiffres, ou les deux.

  • Si vous activez ce paramètre de stratégie, les utilisateurs peuvent configurer des options de démarrage avancées dans l’Assistant Installation de BitLocker.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent configurer uniquement les options de base sur les ordinateurs dotés d’un TPM.

Remarque

Si vous souhaitez exiger l’utilisation d’un code confidentiel de démarrage et d’un lecteur flash USB, vous devez configurer les paramètres BitLocker à l’aide de l’outil en ligne de commande manage-bde au lieu de l’Assistant Configuration du chiffrement de lecteur BitLocker.

Remarque

  • Dans Windows 10, version 1703 version B, vous pouvez utiliser un code CONFIDENTIEL minimal de 4 chiffres. La stratégie SystemDrivesMinimumPINLength doit être définie pour autoriser les codes confidentiels inférieurs à 6 chiffres.
  • Les appareils qui réussissent la validation HSTI (Hardware Security Testability Specification) ou les appareils de secours modernes ne seront pas en mesure de configurer un code pin de démarrage à l’aide de ce csp. Les utilisateurs doivent configurer manuellement le code confidentiel. Éléments d’ID de données :
  • ConfigureNonTPMStartupKeyUsage_Name = Autoriser BitLocker sans module TPM compatible (nécessite un mot de passe ou une clé de démarrage sur un lecteur flash USB).
  • ConfigureTPMStartupKeyUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer la clé de démarrage du module de plateforme sécurisée.
  • ConfigurePINUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer le code pin de démarrage du module de plateforme sécurisée.
  • ConfigureTPMPINKeyUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurez la clé de démarrage et le code confidentiel du module de plateforme sécurisée.
  • ConfigureTPMUsageDropDown_Name = (pour l’ordinateur avec TPM) Configurer le démarrage du module de plateforme sécurisée.

Voici un exemple de valeur pour ce nœud afin d’activer cette stratégie :

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

Les valeurs possibles pour « xx » sont les suivantes :

  • true = Autoriser explicitement
  • false = Stratégie non définie

Les valeurs possibles pour 'yy' sont les suivantes :

  • 2 = Facultatif
  • 1 = Obligatoire
  • 0 = Non autorisé

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Astuce

Il s’agit d’une stratégie ADMX qui nécessite le format SyncML pour la configuration. Pour obtenir un exemple de format SyncML, consultez Activation d’une stratégie.

Mappage ADMX :

Nom Valeur
Nom ConfigureAdvancedStartup_Name
Nom convivial Exiger une authentification supplémentaire au démarrage
Emplacement Configuration ordinateur
Chemin d'accès Composants Windows Lecteurs > du système d’exploitation de chiffrement > de lecteur BitLocker
Nom de la clé de Registre SOFTWARE\Policies\Microsoft\FVE
Nom de la valeur de Registre UseAdvancedStartup
Nom du fichier ADMX VolumeEncryption.admx

Exemple :

Pour désactiver cette stratégie, utilisez le fichier SyncML suivant :

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Exemple de SyncML

L’exemple suivant est fourni pour afficher le format approprié et ne doit pas être considéré comme une recommandation.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Informations de référence sur les fournisseurs de services de configuration