Une des fonctionnalités (parmi tant d’autres) intéressante avec la MDT, c’est le chiffrement du disque lors du déploiement.
Voici comment je procède.
J’ai commencé par configurer les permissions dans Active Directory pour le chiffrement Bitlocker. Il faut configure les permissions dans Active Diretory pour être capable de stocker les informations de la TPM. Voir l’article Ajouter un ACE pour écrire les informations de récupération de la TPM dans un AD DSArticle Enlever les Apps indésirables via la MDT
Configurer Active Directory pour Bitlocker
Pour autoriser Bitlocker à stocker la clé de restauration et les informations TPM dans Active Directory, vous devrez créer une stratégie de groupe et configurer des permissions.
Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Stratégie \ Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista)
Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Lecteurs du système d’exploitation \ Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif
Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Lecteurs du système d’exploitation \ Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker
Et ça donnera ça :
On n’oublie pas d’installer Bitlocker Drive Encryption Administration Utilities. La fonctionnalité de Chiffrement de Lecteur BitLocker
Et la fonctionnalité Utilitaires de Chiffrement de lecteur BitLocker.
L’activation de la TPM est expliquée dans un autre article.
Ensuite il reste le plus gros qui consiste en la configuration de la Task Sequence pour activer Bitlocker
Pour ma part, avant de faire quoique ce soit, j’active la virtualisation et de fait la tpm dans le setup du bios de l’ordinateur. Je n’éprouve donc pas le besoin d’utiliser les utilitaires constructeur ni de vérifier la détection du BIOS correctement configuré. Néanmoins, parce que l’être humain n’est pas parfait. J’utilise le script ZTICheckforTPM.wsf (de DeploymentArtist) pour vérifier l’état de la puce TPM.
Télécharger le script sur le GitHub https://github.com/DeploymentArtist/DF4/tree/master/BitLocker%20and%20TPM
Références et liens :
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875527(v=ws.10)
https://technet.microsoft.com/fr-fr/library/mt404676%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396
https://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
https://technet.microsoft.com/en-us/library/dn466534.aspx
http://go.microsoft.com/fwlink/?LinkId=167133
https://social.technet.microsoft.com/Forums/en-US/0e2e4171-1a3c-4505-bbaf-e8626ce2406d/how-to-activate-tpm-in-mdt-cctk-other-?forum=mdt
Administration Système & Windows 