En tant qu'administrateur, vous pouvez spécifier le mode de chiffrement des appareils Microsoft Windows 10 ou 11 enregistrés dans la gestion des appareils Windows. Les paramètres que vous choisissez prennent effet si le chiffrement de lecteur BitLocker est activé sur l'appareil. Voici les paramètres à configurer les plus courants :
- Chiffrement du lecteur
- Authentification supplémentaire au démarrage
- Options de récupération préalables au démarrage
- Chiffrement des lecteurs fixes
- Options de récupération des lecteurs fixes
- Chiffrement des lecteurs amovibles
Avant de commencer
Les appareils doivent être enregistrés dans la gestion des appareils Windows pour que ces paramètres s'appliquent. En savoir plus
Configurer le chiffrement de lecteur BitLocker
-
Dans la console d'administration Google, accédez à Menu
Appareils
Mobiles et points de terminaison
Paramètres
Windows. Vous devez disposer du droit d'administrateur Services et appareils.
- Cliquez sur Paramètres BitLocker.
- (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
- Sous Chiffrement du lecteur, sélectionnez Activé dans la liste des éléments.
- Configurez les options :
Chiffrement du lecteur
- Option de chiffrement pour les lecteurs système : sélectionnez la méthode et le niveau de chiffrement de la clé pour les lecteurs du système d'exploitation.
- Authentification supplémentaire au démarrage : choisissez si BitLocker nécessite une authentification supplémentaire à chaque démarrage de l'ordinateur et indiquez si vous utilisez un module de plate-forme sécurisée (TPM). Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Autoriser BitLocker sans module TPM compatible : cochez la case pour exiger qu'un mot de passe ou une clé USB soit nécessaire au démarrage.
- Configurer le démarrage TPM sans code ni clé : vous pouvez exiger un module TPM comme authentification au démarrage au lieu d'un code ou d'une clé.
- Code de démarrage du module TPM : vous pouvez exiger la saisie d'un code de 6 à 20 chiffres avant le démarrage. Vous pouvez également configurer la longueur minimale du code.
- Clé de démarrage du module TPM : vous pouvez exiger que les utilisateurs s'authentifient à l'aide d'une clé de démarrage du module TPM pour accéder à un lecteur. Une clé de démarrage est une clé USB contenant les informations nécessaires au chiffrement du lecteur. Lorsque la clé USB est insérée dans l'appareil, l'accès au lecteur est authentifié et autorisé.
- Clé et code de démarrage TPM : vous pouvez exiger une clé et un code au démarrage.
- Options de récupération préalables au démarrage : activez cette option pour définir le message de récupération ou personnaliser l'URL fournie sur l'écran de récupération de clé préalable au démarrage lorsque le lecteur du système d'exploitation est verrouillé.
- Options de récupération des lecteurs système : vous pouvez définir des options pour permettre aux utilisateurs de récupérer les données stockées sur les lecteurs du système d'exploitation protégés par BitLocker. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Autoriser l'agent de récupération des données : les agents de récupération des données sont des utilisateurs dont les certificats d'infrastructure à clé publique (PKI) permettent de créer une protection par clé BitLocker. Lorsqu'ils y sont autorisés, ces utilisateurs peuvent déverrouiller les lecteurs protégés par BitLocker à l'aide de leurs identifiants PKI.
- Spécifier un mot de passe de récupération à 48 chiffres : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer un mot de passe de récupération à 48 chiffres.
- Clé de récupération 256 bits : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer une clé de récupération 256 bits.
- Masquer les options de récupération dans l'assistant de configuration BitLocker : cochez la case pour empêcher les utilisateurs de spécifier des options de récupération lorsqu'ils activent BitLocker.
- Enregistrer des informations de récupération BitLocker dans les services de domaine Active Directory : lorsque vous cochez cette option, vous pouvez sélectionner les informations de récupération BitLocker à enregistrer dans Active Directory. Vous pouvez choisir d'utiliser soit à la fois la clé et le mot de passe de récupération, soit uniquement le mot de passe de récupération. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans Active Directory : cochez cette case pour empêcher les utilisateurs d'activer BitLocker, à moins que leur ordinateur soit connecté au domaine et que des informations de récupération BitLocker aient été enregistrées dans Active Directory.
Chiffrement des lecteurs fixes
- Chiffrement des lecteurs fixes : permet d'exiger le chiffrement des lecteurs fixes avant d'autoriser l'accès en écriture. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Chiffrement des lecteurs fixes : sélectionnez la méthode et le niveau de chiffrement de clé pour les lecteurs fixes.
- Options de récupération des lecteurs fixes : vous pouvez définir des options pour permettre aux utilisateurs de récupérer les données stockées sur les lecteurs fixes protégés par BitLocker. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Autoriser l'agent de récupération des données : les agents de récupération des données sont des utilisateurs dont les certificats d'infrastructure à clé publique (PKI) permettent de créer une protection par clé BitLocker. Lorsqu'ils y sont autorisés, ces utilisateurs peuvent déverrouiller les lecteurs protégés par BitLocker à l'aide de leurs identifiants PKI.
- Mot de passe de récupération à 48 chiffres : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer un mot de passe de récupération à 48 chiffres.
- Clé de récupération 256 bits : choisissez si vous autorisez, n'autorisez pas ou obligez les utilisateurs à générer une clé de récupération 256 bits.
- Masquer les options de récupération dans l'assistant de configuration BitLocker : cochez la case pour empêcher les utilisateurs de spécifier des options de récupération lorsqu'ils activent BitLocker.
- Enregistrer des informations de récupération BitLocker dans les services de domaine Active Directory : lorsque vous cochez cette option, vous pouvez sélectionner les informations de récupération BitLocker à enregistrer dans Active Directory. Vous pouvez choisir d'utiliser soit à la fois la clé et le mot de passe de récupération, soit uniquement le mot de passe de récupération. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans Active Directory : cochez cette case pour empêcher les utilisateurs d'activer BitLocker, à moins que leur ordinateur soit connecté au domaine et que des informations de récupération BitLocker aient été enregistrées dans Active Directory.
Chiffrement des lecteurs amovibles
- Chiffrement des lecteurs amovibles : vous pouvez exiger le chiffrement de tous les lecteurs amovibles avant que l'accès en écriture soit autorisé. Si cette fonctionnalité est activée, vous pouvez configurer les options suivantes :
- Chiffrement des lecteurs amovibles : sélectionnez l'algorithme et le niveau de chiffrement de clé pour les lecteurs amovibles.
- Refuser l'accès en écriture aux appareils configurés dans une autre organisation : lorsque vous cochez cette option, l'accès en écriture est autorisé uniquement pour les lecteurs dont les champs d'identification correspondent à ceux de l'ordinateur. Ces champs sont spécifiés par la stratégie de groupe de votre organisation.
-
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.
Définir le chiffrement du lecteur sur "Non configuré"
Si vous sélectionnez Non configuré pour Chiffrement du lecteur, la règle BitLocker que vous avez définie dans la console d'administration n'est plus appliquée. Le paramètre précédemment configuré pour la règle est rétabli sur les appareils des utilisateurs. Si l'utilisateur a chiffré l'appareil, aucune modification n'est apportée à l'appareil ni aux données qu'il contient.
Désactiver le chiffrement de lecteur BitLocker
-
Dans la console d'administration Google, accédez à Menu
Appareils
Mobiles et points de terminaison
Paramètres
Windows. Vous devez disposer du droit d'administrateur Services et appareils.
- Cliquez sur Paramètres BitLocker.
- Si vous souhaitez ne désactiver un profil que pour certains utilisateurs, sélectionnez une unité organisationnelle dans la liste de gauche. À défaut, il s'applique à tous les utilisateurs.
- Sous Chiffrement du lecteur, sélectionnez Désactivé dans la liste des éléments.
-
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.
Articles associés
- Activer la gestion des appareils Windows
- Enregistrer un appareil dans la gestion des appareils Windows
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.