Partager via

Chiffrer des appareils Windows avec BitLocker à l’aide de Intune

Utilisez Microsoft Intune pour configurer le chiffrement BitLocker sur les appareils qui exécutent Windows et le chiffrement des données personnelles (PDE) sur les appareils qui exécutent Windows 11 version 22H2 ou ultérieure. Cet article couvre les scénarios de chiffrement BitLocker standard et de chiffrement BitLocker silencieux.

Importante

Le 14 octobre 2025, Windows 10 atteint la fin du support et ne recevra pas de mises à jour de qualité et de fonctionnalités. Windows 10 est une version autorisée dans Intune. Les appareils exécutant cette version peuvent toujours s’inscrire à Intune et utiliser des fonctionnalités éligibles, mais les fonctionnalités ne sont pas garanties et peuvent varier.

Conseil

Pour certains paramètres BitLocker, l’appareil doit avoir un module de plateforme sécurisée (TPM) pris en charge.

Scénarios de chiffrement BitLocker

Intune prend en charge deux approches principales de chiffrement BitLocker :

  • Standard chiffrement BitLocker : les utilisateurs peuvent voir des invites et interagir avec le processus de chiffrement. Offre une flexibilité pour la sélection du type de chiffrement et la gestion des clés de récupération dirigée par l’utilisateur.

  • Chiffrement BitLocker silencieux : chiffrement automatique sans interaction utilisateur ni privilèges administratifs requis sur l’appareil. Idéal pour les organisations qui souhaitent s’assurer que tous les appareils gérés sont chiffrés sans dépendre de l’action de l’utilisateur final.

Conseil

Intune fournit un rapport de chiffrement intégré qui présente des détails sur la status de chiffrement des appareils sur tous vos appareils gérés. Une fois qu’Intune a chiffré un appareil Windows avec BitLocker, vous pouvez voir et gérer les clés de récupération BitLocker quand vous consultez le rapport de chiffrement.

Configuration requise

Licences et éditions De Windows

Pour les éditions De Windows qui prennent en charge la gestion BitLocker, consultez Exigences relatives à l’édition et aux licences De Windows dans la documentation Windows.

Contrôles d’accès en fonction du rôle

Pour gérer BitLocker dans Intune, un compte doit se voir attribuer un rôle de contrôle d’accès en fonction du rôle (RBAC) Intune qui inclut l’autorisation Tâches distantes avec le droit Pivoter BitLockerKeys (préversion) défini sur Oui.

Vous pouvez ajouter cette autorisation à vos propres rôles RBAC personnalisés ou utiliser l’un des rôles RBAC intégrés suivants :

  • Opérateur du support technique
  • Administrateur de la sécurité des points de terminaison

Planification de la récupération

Avant d’activer BitLocker, comprenez et planifiez les options de récupération qui répondent aux besoins de votre organization. Pour plus d’informations, consultez Vue d’ensemble de la récupération BitLocker dans la documentation sur la sécurité Windows.

Types de stratégie pour le chiffrement BitLocker

Choisissez parmi les types de stratégie Intune suivants pour configurer le chiffrement BitLocker :

Sécurité des points > de terminaison La stratégie de chiffrement de disque fournit une configuration BitLocker spécifique à la sécurité :

  • Profil BitLocker : paramètres dédiés pour la configuration du chiffrement BitLocker. Pour plus d’informations, consultez le fournisseur de services de configuration BitLocker.
  • Profil de chiffrement des données personnelles : configurez PDE pour le chiffrement au niveau du fichier qui fonctionne avec BitLocker pour une sécurité en couches. Pour plus d’informations, consultez csp PDE.

Stratégie de configuration de l’appareil

Configuration de l’appareil > Le profil Endpoint Protection inclut des paramètres BitLocker dans le cadre d’une configuration plus large de Endpoint Protection. Affichez les paramètres disponibles sur BitLocker dans les profils de protection des points de terminaison.

Remarque

Paramètres Limitations du catalogue : Le catalogue de paramètres n’inclut pas les contrôles d’authentification de démarrage du module de plateforme sécurisée nécessaires pour l’activation de BitLocker en mode silencieux fiable. Utilisez des stratégies de sécurité de point de terminaison ou de configuration d’appareil pour les scénarios BitLocker.

Configurer le chiffrement BitLocker standard

Standard chiffrement BitLocker permet l’interaction utilisateur et offre une flexibilité pour la configuration du chiffrement.

Créer une stratégie de sécurité de point de terminaison

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Sécurité du point de terminaison>Chiffrement de disque>Créer une stratégie.

  3. Définir les options suivantes :

    • Plateforme : Windows
    • Profil : choisissez BitLocker ou Chiffrement des données personnelles

    Capture d’écran de la surface de sélection du profil de chiffrement Windows.

  4. Dans la page Paramètres de configuration , configurez les paramètres pour BitLocker afin de répondre aux besoins de votre entreprise :

    • Configurez des méthodes de chiffrement pour les lecteurs du système d’exploitation, fixes et amovibles.
    • Définir les options de récupération (exigences de mot de passe et de clé).
    • Configurez l’authentification de démarrage du module de plateforme sécurisée en fonction des besoins.

    Sélectionnez Suivant.

  5. Dans la page Balises d’étendue, choisissez Sélectionner les balises d’étendue pour ouvrir l’onglet Sélectionner des balises afin d’affecter des balises d’étendue au profil.

    Sélectionnez Suivant pour continuer.

  6. Dans la page Affectations , sélectionnez les groupes qui reçoivent ce profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

  7. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le profil que vous venez de créer apparaît dans la liste lorsque vous sélectionnez le type de stratégie pour le nouveau profil.

Créer une stratégie de configuration d’appareil

Conseil

La procédure suivante configure BitLocker via un modèle de configuration d’appareil pour Endpoint Protection. Pour configurer le chiffrement des données personnelles, utilisez le catalogue de paramètres de configuration de l’appareil et la catégorie PDE .

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils> Gérer laconfiguration>des appareils> Sous l’onglet Stratégies, sélectionnez Créer.

  3. Définir les options suivantes :

    • Plateforme : Windows 10 et versions ultérieures
    • Type de profil : sélectionnez Modèles>Endpoint Protection, puis créer.

    Capture d’écran du chemin d’accès au modèle Endpoint Protection.

  4. Dans la page Paramètres de configuration , développez Chiffrement Windows et configurez les paramètres BitLocker pour répondre aux besoins de votre entreprise.

    Sélectionner les paramètres de chiffrement Windows

    Si vous souhaitez activer BitLocker en mode silencieux, consultez Configurer le chiffrement BitLocker en mode silencieux dans cet article pour connaître les prérequis supplémentaires et les configurations de paramètres spécifiques que vous devez utiliser.

  5. Sélectionnez Suivant pour continuer.

  6. Terminez la configuration des autres paramètres en fonction des besoins de votre organization.

  7. Terminez le processus de création de stratégie en l’affectant aux groupes d’appareils appropriés et enregistrez le profil.

Configurer le chiffrement BitLocker en mode silencieux

Le chiffrement BitLocker silencieux chiffre automatiquement les appareils sans interaction de l’utilisateur, offrant ainsi une expérience de chiffrement transparente pour les environnements managés.

Prérequis pour le chiffrement silencieux

Configuration requise de l’appareil

Un appareil doit remplir les conditions suivantes pour l’activation de BitLocker en mode silencieux :

  • Système d’exploitation :

    • Si les utilisateurs finaux se connectent en tant qu’administrateurs : Windows 10 version 1803 ou ultérieure, ou Windows 11
    • Si les utilisateurs finaux se connectent en tant qu’utilisateurs Standard : Windows 10 version 1809 ou ultérieure, ou Windows 11

  • Configuration de l’appareil :

Remarque

Lorsque BitLocker est activé en mode silencieux, le système utilise automatiquement le chiffrement de disque complet sur les appareils de secours non modernes et utilise uniquement le chiffrement de l’espace sur les appareils de secours modernes. Le type de chiffrement dépend des fonctionnalités matérielles et ne peut pas être personnalisé pour les scénarios de chiffrement silencieux.

Pour en savoir plus sur la veille moderne, consultez Qu’est-ce que la secours moderne dans la documentation sur le matériel Windows.

Importante

Avant de déployer des stratégies BitLocker silencieuses, effectuez une évaluation approfondie de votre environnement :

  • Identifier les logiciels de chiffrement existants : utilisez des outils de découverte ou d’inventaire des appareils pour identifier les appareils avec un chiffrement tiers (McAfee, Symantec, Check Point, etc.).
  • Planifier la stratégie de migration : développez des procédures pour supprimer en toute sécurité le chiffrement existant avant le déploiement de BitLocker.
  • Tester dans des groupes pilotes : validez le comportement BitLocker en mode silencieux sur les appareils représentatifs avant le déploiement à grande échelle.
  • Préparer les procédures de restauration : disposer de plans de récupération et de restauration prêts en cas de conflit de chiffrement.

Les stratégies BitLocker silencieuses contournent les avertissements des utilisateurs concernant le chiffrement existant, ce qui rend l’évaluation du prédéploiement critique pour éviter la perte de données.

Paramètres requis pour le chiffrement en mode silencieux

Configurez les paramètres suivants en fonction du type de stratégie choisi :

Stratégie de sécurité des points de terminaison pour BitLocker en mode silencieux

Pour la stratégie de chiffrement de disque de sécurité du point de terminaison, configurez ces paramètres dans le profil BitLocker :

  • Exiger le chiffrement de l’appareil = Activé

  • Avertissement d’autorisation pour un autre chiffrement = de disqueHandicapé

    Capture d’écran des deux paramètres BitLocker requis pour activer le chiffrement silencieux.

Avertissement

La définition de l’option Autoriser l’avertissement pour le chiffrement des autres disques sur Désactivé signifie que BitLocker procède au chiffrement même lorsque d’autres logiciels de chiffrement de disque sont détectés. Cela peut entraîner les points suivants :

  • Perte de données dues à des méthodes de chiffrement en conflit
  • Instabilité du système et échecs de démarrage
  • Scénarios de récupération complexes avec plusieurs couches de chiffrement

Avant de déployer des stratégies BitLocker silencieuses, assurez-vous que votre environnement n’a pas de logiciel de chiffrement tiers installé. Envisagez d’utiliser des rapports d’inventaire des appareils pour identifier les appareils avec un logiciel de chiffrement existant.

Importante

Après avoir défini Autoriser l’avertissement pour le chiffrement des autres disques sur Désactivé, un autre paramètre devient disponible :

  • Autoriser Standard chiffrement = utilisateuractivé

Ce paramètre est requis si les appareils sont utilisés par des utilisateurs standard (non administrateur). Cela permet à la stratégie RequireDeviceEncryption de fonctionner même lorsque l’utilisateur actuellement connecté est un utilisateur standard.

Outre les paramètres requis, envisagez de configurer Configurer la rotation du mot de passe de récupération pour activer la rotation automatique des mots de passe de récupération.

Stratégie de configuration d’appareil pour BitLocker en mode silencieux

Pour La stratégie Endpoint Protection de configuration de l’appareil, configurez ces paramètres dans le modèle Endpoint Protection :

  • Avertissement pour un autre chiffrement = de disqueBloquer
  • Autoriser les utilisateurs standard à activer le chiffrement pendant Microsoft Entra jonction = Autoriser
  • Création d’une clé = de récupération par l’utilisateurAutoriser ou ne pas autoriser la clé de récupération 256 bits
  • Création d’un mot de passe de récupération par = l’utilisateurAutoriser ou exiger un mot de passe de récupération à 48 chiffres

Avertissement

La définition de Avertissement pour les autres chiffrements de disque sur Bloquer supprime les avertissements concernant les logiciels de chiffrement existants et permet à BitLocker de continuer automatiquement. Cela crée les mêmes risques que pour les stratégies de sécurité de point de terminaison. Vérifiez que votre environnement est exempt de chiffrement tiers avant le déploiement.

Authentification au démarrage du module de plateforme sécurisée pour le chiffrement silencieux

Pour que BitLocker fonctionne en mode silencieux, les appareils ne doivent pas nécessiter de code pin de démarrage ou de clé de démarrage du module de plateforme sécurisée, car ceux-ci nécessitent l’interaction de l’utilisateur.

Configurer les paramètres du module de plateforme sécurisée

Configurez les paramètres d’authentification de démarrage du module de plateforme sécurisée pour empêcher l’interaction de l’utilisateur :

Stratégie de sécurité du point de terminaison : dans le profil BitLocker sous Lecteurs du système d’exploitation, définissez d’abord Exiger une authentification supplémentaire au démarrage surActivé. Une fois activés, les paramètres TPM suivants deviennent disponibles :

  • Configurer le code pin de démarrage du module de plateforme sécurisée (TPM) = Ne pas autoriser le code pin de démarrage avec TPM
  • Configurer la clé de démarrage du module de plateforme sécurisée = Ne pas autoriser la clé de démarrage avec TPM
  • Configurer la clé de démarrage et le code confidentiel = du module de plateforme sécuriséeNe pas autoriser la clé de démarrage et le code confidentiel avec le module de plateforme sécurisée
  • Configurer le démarrage du module de plateforme sécurisée = Autoriser le module de plateforme sécurisée (TPM) ou exiger un module de plateforme sécurisée

Stratégie de configuration d’appareil : dans le modèle endpoint protection sous Chiffrement Windows :

  • Démarrage du module de plateforme = sécurisée compatibleAutoriser le module de plateforme sécurisée (TPM) ou exiger un module de plateforme sécurisée
  • Code pin = de démarrage du module de plateforme sécurisée compatibleNe pas autoriser le code pin de démarrage avec TPM
  • Clé = de démarrage TPM compatibleNe pas autoriser la clé de démarrage avec TPM
  • Clé de démarrage et code confidentiel du module de plateforme sécurisée compatibles = Ne pas autoriser la clé de démarrage et le code confidentiel avec le module de plateforme sécurisée

Avertissement

Surveillez les stratégies qui activent l’utilisation d’un code confidentiel ou d’une clé de démarrage TPM. Par exemple, la base de référence de sécurité pour Microsoft Defender peut activer le code pin et la clé de démarrage du module de plateforme sécurisée par défaut, ce qui bloque l’activation en mode silencieux. Examinez vos configurations de base pour les conflits et reconfigurez ou excluez les appareils en fonction des besoins.

Comportement du type de chiffrement

Le type de chiffrement (disque complet ou espace utilisé uniquement) est déterminé par les détails suivants :

  1. Fonctionnalités matérielles : indique si l’appareil prend en charge la secours moderne.
  2. Configuration du chiffrement silencieux : indique si l’activation en mode silencieux est configurée.
  3. Paramètre SystemDrivesEncryptionType : s’il est configuré explicitement.

Comportement par défaut

Lorsque SystemDrivesEncryptionType n’est pas configuré :

  • Appareils de secours modernes avec chiffrement silencieux = Chiffrement de l’espace utilisé uniquement.
  • Appareils de secours non modernes avec chiffrement silencieux = Chiffrement de disque complet.
  • Standard (non silencieux) : l’utilisateur peut choisir ou définir une stratégie.

Vérifier les fonctionnalités de l’appareil

Pour case activée si un appareil prend en charge la secours moderne, exécutez à partir d’une invite de commandes :

powercfg /a

Capture d’écran de l’invite de commandes affichant la sortie de la commande powercfg avec l’état de veille S0 disponible.

Capacité de secours moderne : indique que le réseau connecté en veille (S0 faible consommation d’inactivité) est disponible. Non compatible avec le mode de secours moderne : indique que le réseau connecté en veille (S0 faible consommation d’énergie) n’est pas pris en charge.

Capture d’écran de l’invite de commandes affichant la sortie de la commande powercfg avec l’état de veille S0 indisponible.

Vérifier le type de chiffrement

Pour case activée le type de chiffrement actuel, exécutez à partir d’une invite de commandes avec élévation de privilèges :

manage-bde -status c:

Le champ « État de la conversion » indique espace utilisé uniquement chiffré ou entièrement chiffré.

Capture d’écran de l’invite de commandes d’administration illustrant la sortie de manage-bde avec l’état de conversion reflétant le chiffrement intégral.

Capture d’écran de l’invite de commandes administrative illustrant la sortie de manage-bde avec l’état de conversion reflétant le chiffrement de l’espace utilisé uniquement.

Pour voir les informations sur les appareils qui reçoivent la stratégie BitLocker, consulter Superviser le chiffrement de disque.

Contrôler le type de chiffrement avec le catalogue de paramètres

Pour modifier le type de chiffrement de disque entre le chiffrement de disque complet et le chiffrement de l’espace utilisé uniquement, utilisez le paramètre Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation dans le catalogue de paramètres :

  1. Créer une stratégie de catalogue de paramètres
  2. Accédez à Composants Windows Lecteurs> dusystème d’exploitation chiffrement > delecteur BitLocker
  3. Sélectionnez et définissez Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation sur Activé pour ajouter Sélectionnez le type de chiffrement : (Appareil). Ensuite, configurez Sélectionner le type de chiffrement : (Appareil) sur Chiffrement complet ou Chiffrement espace utilisé uniquement.

Capture d’écran du catalogue de paramètres Intune affichant Appliquer le type de chiffrement de lecteur sur les lecteurs du système d’exploitation

Chiffrement des données personnelles (PDE)

Le chiffrement des données personnelles (PDE) fournit un chiffrement au niveau du fichier qui complète BitLocker :

Le chiffrement des données personnelles diffère de BitLocker en ce qu’il chiffre les fichiers au lieu de volumes et de disques entiers. PDE se produit en plus d’autres méthodes de chiffrement telles que BitLocker. Contrairement à BitLocker qui libère des clés de chiffrement des données au démarrage, PDE ne libère pas les clés de chiffrement des données tant qu’un utilisateur ne se connecte pas à l’aide de Windows Hello Entreprise.

  • PDE chiffre les fichiers au lieu de volumes et de disques entiers.
  • Fonctionne avec BitLocker pour la sécurité en couches : PDE ne remplace pas BitLocker.
  • Nécessite Windows Hello Entreprise connexion pour libérer les clés de chiffrement.
  • Disponible sur Windows 11 22H2 ou version ultérieure.

Pour plus d’informations, consultez csp PDE.

Pour configurer PDE, utilisez :

  • Stratégie de sécurité de point de terminaison avec le profil Chiffrement des données personnelles .
  • Catalogue de paramètres avec la catégorie PDE .

Surveiller et gérer BitLocker

Afficher les status de chiffrement

  1. Dans le centre d’administration Microsoft Intune, sélectionnezRapport de chiffrementdu moniteur>des appareils>.

  2. Passez en revue la status de chiffrement des appareils qui ont reçu des stratégies BitLocker.

  3. Accédez aux clés de récupération BitLocker et aux informations de conformité des appareils.

Gestion des clés de récupération

Afficher les clés de récupération pour les appareils gérés par Intune

Intune permet d’accéder au nœud Microsoft Entra pour BitLocker afin que vous puissiez afficher les ID de clé BitLocker et les clés de récupération de vos appareils Windows à partir du centre d’administration Microsoft Intune.

Pour afficher les clés de récupération :

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Sélectionner Appareils>Tous les appareils.
  3. Sélectionner un appareil dans la liste, puis sous Surveiller, sélectionner Clés de récupération.
  4. Sélectionnez Afficher la clé de récupération. Cela génère une entrée de journal d’audit sous l’activité « KeyManagement ».

Lorsque des clés sont disponibles dans Microsoft Entra ID, les informations suivantes s’affichent :

  • ID de clé BitLocker
  • Clé de récupération BitLocker
  • Type de lecteur

Lorsque les clés ne sont pas dans Microsoft Entra ID, Intune affiche Aucune clé BitLocker trouvée pour cet appareil.

Remarque

Microsoft Entra ID prend en charge un maximum de 200 clés de récupération BitLocker par appareil. Si vous atteignez cette limite, le chiffrement silencieux échoue en raison de l’échec de la sauvegarde des clés de récupération avant le démarrage du chiffrement sur l’appareil.

Autorisations requises : les administrateurs informatiques ont besoin de l’autorisation microsoft.directory/bitlockerKeys/key/read dans Microsoft Entra ID pour afficher les clés de récupération BitLocker de l’appareil. Cette autorisation est incluse dans les rôles Microsoft Entra suivants :

  • Administrateur d’appareil cloud
  • Administrateur du support technique
  • Administrateur général

Pour plus d’informations sur les autorisations de rôle Microsoft Entra, consultez Microsoft Entra rôles intégrés.

Journalisation d’audit : tous les accès aux clés de récupération BitLocker sont audités. Pour plus d’informations, consultez Portail Azure journaux d’audit.

Importante

Si vous supprimez l’objet Intune d’un appareil Microsoft Entra joint protégé par BitLocker, la suppression déclenche une synchronisation d’appareil Intune et supprime les protecteurs de clés pour le volume du système d’exploitation. Cela laisse BitLocker dans un état suspendu sur ce volume.

Afficher les clés de récupération pour les appareils connectés au client

Lorsque vous utilisez le scénario d’attachement de locataire, Microsoft Intune pouvez afficher les données de clé de récupération pour les appareils attachés au locataire.

Configuration requise :

  • Configuration Manager sites doivent exécuter la version 2107 ou ultérieure
  • Pour les sites exécutant 2107, installez le correctif cumulatif KB11121541 pour Microsoft Entra prise en charge des appareils joints
  • Votre compte Intune doit disposer d’autorisations RBAC Intune pour afficher les clés BitLocker
  • Doit être associé à un utilisateur local avec Configuration Manager rôle de collecte et l’autorisation de clé de récupération BitLocker en lecture

Pour plus d’informations, consultez Configurer l’administration basée sur des rôles pour Configuration Manager.

Rotation des clés de récupération BitLocker

Vous pouvez utiliser une action d’appareil Intune pour faire pivoter à distance la clé de récupération BitLocker d’un appareil qui exécute Windows 10 version 1909 ou une version ultérieure, et Windows 11.

Prérequis pour la rotation des clés :

  • Les appareils doivent exécuter Windows 10, version 1909 ou ultérieure, ou Windows 11

  • Microsoft Entra appareils joints et joints hybrides doivent avoir la rotation des clés activée via la stratégie BitLocker :

    • Rotation = du mot de passe de récupération pilotée par le clientActiver la rotation sur les appareils joints Microsoft Entra ou Activer la rotation sur les appareils Microsoft Entra ID et joints hybrides
    • Enregistrer les informations de récupération BitLocker dans Microsoft Entra ID = Enabled
    • Stocker les informations de récupération dans Microsoft Entra ID avant d’activer BitLocker = Obligatoire

Pour faire pivoter la clé de récupération BitLocker :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Appareils>Tous les appareils.

  3. Sélectionnez un appareil dans la liste.

  4. Sélectionnez l’action à distance rotation de clé BitLocker . S’il n’est pas visible, sélectionnez les points de suspension (...) puis sélectionnez Rotation des clés BitLocker.

    Capture d’écran du chemin de sélection de l’action de rotation de clé BiLocker

Pour plus d’informations sur les déploiements et la configuration requise de BitLocker, consultez le graphique de comparaison des déploiements BitLocker.

Récupération en libre-service

Pour aider les utilisateurs finaux à obtenir leurs clés de récupération sans appeler le support technique, Intune permet des scénarios en libre-service via l’application Portail d'entreprise et d’autres méthodes.

Options d’accès en libre-service :

  • application Portail d'entreprise : les utilisateurs peuvent accéder aux clés de récupération BitLocker via l’application Portail d'entreprise
  • Portail Mon compte : disponible sur account.microsoft.com pour Microsoft Entra appareils joints
  • Microsoft Entra ID : Accès direct pour les appareils joints Microsoft Entra

Contrôles administratifs pour l’accès en libre-service :

  1. Bascule à l’échelle du locataire : détermine si les utilisateurs non administrateurs peuvent utiliser le libre-service pour récupérer des clés BitLocker :

    • Par défaut : Non (permet à tous les utilisateurs de récupérer leurs clés)
    • Oui : empêche les utilisateurs non administrateurs de voir les clés BitLocker pour leurs propres appareils
    • Configurer dans Microsoft Entra paramètres de l’appareil

  2. Intégration de l’accès conditionnel : utilisez des stratégies d’accès conditionnel pour exiger des appareils conformes pour l’accès à la clé de récupération BitLocker :

    • Configurer Exiger un appareil conforme dans la stratégie d’accès conditionnel
    • Les appareils non conformes ne peuvent pas accéder aux clés de récupération BitLocker
    • Les clés de récupération BitLocker sont traitées comme des ressources d’entreprise soumises à l’accès conditionnel

  3. Journalisation d’audit pour le libre-service : tous les accès à la clé de récupération utilisateur sont enregistrés :

    • Journaux d’audit Microsoft Entra connectés sous la catégorie Gestion des clés
    • Type d’activité : Lire la clé BitLocker
    • Inclut le nom d’utilisateur principal et l’ID de clé
    • Pour plus d’informations, consultez journaux d’audit Microsoft Entra

Résolution des problèmes

Problèmes courants liés à BitLocker en mode silencieux

Problème : BitLocker nécessite une interaction de l’utilisateur en dépit d’une configuration silencieuse

  • Solution : vérifiez que le code pin ou les paramètres de clé de démarrage du module de plateforme sécurisée ne sont pas activés. Vérifiez les stratégies de base de sécurité en conflit.

Problème : les appareils ne remplissent pas les conditions préalables pour l’activation en mode silencieux

  • Solution : Vérifiez que les appareils répondent à tous les prérequis de l’appareil, notamment la version du module de plateforme sécurisée(TPM), le mode UEFI et Microsoft Entra status de jointure.

Problème : BitLocker ne parvient pas à chiffrer en mode silencieux

  • Solution : Recherchez les erreurs liées à BitLocker dans les journaux des événements Windows. Vérifiez que le démarrage sécurisé est activé et que WinRE est correctement configuré.

Problème : Les conflits de stratégie empêchent l’activation en mode silencieux

  • Solution : utilisez la détection des conflits de stratégie dans Intune pour identifier les paramètres en conflit entre les stratégies.

Résolution des problèmes de clé de récupération

Pour l’activation de BitLocker en mode silencieux, les clés de récupération sont automatiquement sauvegardées sur Microsoft Entra ID lorsque le chiffrement se produit. Vérifier:

  1. Les appareils sont correctement joints Microsoft Entra (requis pour la sauvegarde automatique)
  2. Aucun conflit de stratégie empêche le processus de sauvegarde automatique
  3. L’entiercement de la clé de récupération fonctionne via le rapport de chiffrement

Étapes suivantes

  • Last updated on