Configurer BitLocker sur les appareils Windows 10 ou 11

Cette fonctionnalité est disponible dans l'édition Cloud Identity Premium. Comparer les éditions

En tant qu'administrateur, vous pouvez spécifier la manière dont les appareils Microsoft Windows 10 ou 11 enregistrés dans la gestion des appareils Windows sont chiffrés. Les paramètres que vous choisissez sont appliqués si le chiffrement du lecteur BitLocker est activé sur l'appareil. Voici les paramètres à configurer les plus courants :

Chiffrement du lecteur
Authentification supplémentaire au démarrage
Options de récupération préalables au démarrage
Chiffrement des lecteurs fixes
Options de récupération des lecteurs fixes
Chiffrement des lecteurs amovibles

Avant de commencer

Les appareils doivent être enregistrés dans la gestion des appareils Windows pour que ces paramètres s'appliquent. En savoir plus

Configurer le chiffrement du lecteur BitLocker

Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
Dans la console d'administration, accédez à Menu Appareils Appareils mobiles et points de terminaison Paramètres Windows.
Cliquez sur Paramètres BitLocker.
(Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre
Sous Chiffrement du lecteur, sélectionnez Activé dans la liste des éléments.
Configurez les options suivantes (tout ouvrir) : Chiffrement du lecteur
- Option de chiffrement pour les lecteurs système : sélectionnez la méthode et le niveau de l'algorithme de chiffrement de la clé pour les lecteurs du système d'exploitation.
- Authentification supplémentaire au démarrage : choisissez si BitLocker nécessite une authentification supplémentaire à chaque démarrage de l'ordinateur et indiquez si vous utilisez un module de plate-forme sécurisée (TPM). Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
  - Autoriser BitLocker sans module TPM compatible : cochez l'option pour exiger qu'un mot de passe ou une clé USB soit nécessaire au démarrage.
  - Configurer le démarrage TPM sans code ni clé : vous pouvez exiger un module TPM comme authentification au démarrage au lieu d'un code ou d'une clé.
  - Code de démarrage du module TPM : vous pouvez exiger la saisie d'un code de 6 à 20 chiffres avant le démarrage. Vous pouvez également configurer la longueur minimale du code.
  - Clé de démarrage du module TPM : vous pouvez exiger que les utilisateurs s'authentifient à l'aide d'une clé de démarrage du module TPM pour accéder à un lecteur. Une clé de démarrage est une clé USB contenant les informations nécessaires au chiffrement du lecteur. Lorsque la clé USB est insérée dans l'appareil, l'accès au lecteur est authentifié et autorisé.
  - Clé et code de démarrage TPM : vous pouvez exiger une clé et un code au démarrage.
- Options de récupération préalables au démarrage : vous pouvez configurer le message de récupération ou personnaliser l'URL fournie sur l'écran de récupération de clé préalable au démarrage lorsque le lecteur du système d'exploitation est verrouillé.
- Options de récupération des lecteurs système : vous pouvez définir des options pour permettre aux utilisateurs de récupérer les données stockées sur les lecteurs du système d'exploitation protégés par BitLocker. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
  - Autoriser l'agent de récupération des données : les agents de récupération des données sont des utilisateurs dont les certificats d'infrastructure à clé publique (PKI) permettent de créer une protection par clé BitLocker. Lorsqu'ils y sont autorisés, ces utilisateurs peuvent déverrouiller les lecteurs protégés par BitLocker à l'aide de leurs identifiants PKI.
  - Spécifier un mot de passe de récupération à 48 chiffres : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer un mot de passe de récupération à 48 chiffres.
  - Clé de récupération 256 bits : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer une clé de récupération 256 bits.
  - Masquer les options de récupération dans l'assistant de configuration BitLocker : sélectionnez l'option pour empêcher les utilisateurs de spécifier des options de récupération lorsqu'ils activent BitLocker.
  - Enregistrer des informations de récupération BitLocker dans les services de domaine Active Directory : lorsque vous cochez cette option, vous pouvez sélectionner les informations de récupération BitLocker à enregistrer dans Active Directory. Vous pouvez choisir d'utiliser soit à la fois la clé et le mot de passe de récupération, soit uniquement le mot de passe de récupération. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
    - Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans Active Directory : sélectionnez cette option pour empêcher les utilisateurs d'activer BitLocker, à moins que leur ordinateur soit connecté au domaine et que des informations de récupération BitLocker aient été enregistrées dans Active Directory.
Chiffrement des lecteurs fixes
- Chiffrement des lecteurs fixes : permet d'exiger le chiffrement des lecteurs fixes avant d'autoriser l'accès en écriture. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
  - Chiffrement des lecteurs fixes : sélectionnez la méthode et le niveau de l'algorithme de chiffrement de la clé pour les lecteurs fixes.
  - Options de récupération des lecteurs fixes : vous pouvez définir des options pour permettre aux utilisateurs de récupérer les données stockées sur les lecteurs fixes protégés par BitLocker. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
    - Autoriser l'agent de récupération des données : les agents de récupération des données sont des utilisateurs dont les certificats d'infrastructure à clé publique (PKI) permettent de créer une protection par clé BitLocker. Lorsqu'ils y sont autorisés, ces utilisateurs peuvent déverrouiller les lecteurs protégés par BitLocker à l'aide de leurs identifiants PKI.
    - Mot de passe de récupération à 48 chiffres : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer un mot de passe de récupération à 48 chiffres.
    - Clé de récupération 256 bits : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer une clé de récupération 256 bits.
    - Masquer les options de récupération dans l'assistant de configuration BitLocker : sélectionnez l'option pour empêcher les utilisateurs de spécifier des options de récupération lorsqu'ils activent BitLocker.
    - Enregistrer des informations de récupération BitLocker dans les services de domaine Active Directory : lorsque vous cochez cette option, vous pouvez sélectionner les informations de récupération BitLocker à enregistrer dans Active Directory. Vous pouvez choisir d'utiliser soit à la fois la clé et le mot de passe de récupération, soit uniquement le mot de passe de récupération. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
      
      Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans Active Directory : sélectionnez cette option pour empêcher les utilisateurs d'activer BitLocker, à moins que leur ordinateur soit connecté au domaine et que des informations de récupération BitLocker aient été enregistrées dans Active Directory.
Chiffrement des lecteurs amovibles
- Chiffrement des lecteurs amovibles : vous pouvez exiger le chiffrement de tous les lecteurs amovibles avant que l'accès en écriture soit autorisé. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
  - Chiffrement des lecteurs amovibles : sélectionnez l'algorithme et le niveau de l'algorithme de chiffrement de la clé pour les lecteurs amovibles.
  - Refuser l'accès en écriture aux appareils configurés dans une autre organisation : lorsque vous cochez cette option, l'accès en écriture est autorisé uniquement pour les lecteurs dont les champs d'identification correspondent à ceux de l'ordinateur. Ces champs sont spécifiés par la stratégie de groupe de votre organisation.
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Définir le chiffrement du lecteur sur "Non configuré"

Si vous sélectionnez Non configuré pour Chiffrement du lecteur, la règle BitLocker que vous avez définie dans la console d'administration n'est plus appliquée. Le paramètre précédemment configuré pour la règle est rétabli sur les appareils des utilisateurs.Si l'utilisateur a chiffré l'appareil, aucune modification n'est apportée à l'appareil ni aux données qu'il contient.

Désactiver le chiffrement du lecteur BitLocker

Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
Dans la console d'administration, accédez à Menu Appareils Appareils mobiles et points de terminaison Paramètres Windows.
Cliquez sur Paramètres BitLocker.
Si vous souhaitez ne désactiver un profil que pour certains utilisateurs, sélectionnez une unité organisationnelle dans la liste de gauche. À défaut, le profil sera activé pour tous les utilisateurs.
Sous Chiffrement du lecteur, sélectionnez Désactivé dans la liste des éléments.
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.

Articles associés

_{Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.}

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?