Activer BitLocker dans une Task Sequence

Une des fonctionnalités (parmi tant d’autres) intéressante avec la MDT, c’est le chiffrement du disque lors du déploiement.
Voici comment je procède.

J’ai commencé par configurer les permissions dans Active Directory pour le chiffrement Bitlocker. Il faut configure les permissions dans Active Diretory pour être capable de stocker les informations de la TPM. Voir l’article Ajouter un ACE pour écrire les informations de récupération de la TPM dans un AD DSArticle Enlever les Apps indésirables via la MDT

Configurer Active Directory pour Bitlocker

Pour autoriser Bitlocker à stocker la clé de restauration et les informations TPM dans Active Directory, vous devrez créer une stratégie de groupe et configurer des permissions.
Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Stratégie \ Enregistrer les informations de récupération BitLocker dans les services de domaine Active Directory (Windows Server 2008 et Windows Vista)

Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Lecteurs du système d’exploitation \ Configurer le profil de validation de plateforme du module de plateforme sécurisée pour les configurations avec microprogramme UEFI natif

Configuration ordinateur \ Stratégies \ Modèles d’administration \ Définitions de stratégies \ Composants Windows \ Chiffrement de lecteur BitLocker \ Lecteurs du système d’exploitation \ Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker

Et ça donnera ça :
mdt_bitlocker-1-a

On n’oublie pas d’installer Bitlocker Drive Encryption Administration Utilities. La fonctionnalité de Chiffrement de Lecteur BitLocker
mdt_bitlocker-2-b
Et la fonctionnalité Utilitaires de Chiffrement de lecteur BitLocker.
mdt_bitlocker-2-a

L’activation de la TPM est expliquée dans un autre article.

Ensuite il reste le plus gros qui consiste en la configuration de la Task Sequence pour activer Bitlocker

Pour ma part, avant de faire quoique ce soit, j’active la virtualisation et de fait la tpm dans le setup du bios de l’ordinateur. Je n’éprouve donc pas le besoin d’utiliser les utilitaires constructeur ni de vérifier la détection du BIOS correctement configuré. Néanmoins, parce que l’être humain n’est pas parfait. J’utilise le script ZTICheckforTPM.wsf (de DeploymentArtist) pour vérifier l’état de la puce TPM.
Télécharger le script sur le GitHub https://github.com/DeploymentArtist/DF4/tree/master/BitLocker%20and%20TPM

mdt_bitlocker-3-b

Références et liens :

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-7/dd875527(v=ws.10)
https://technet.microsoft.com/fr-fr/library/mt404676%28v=vs.85%29.aspx?f=255&MSPPError=-2147217396
https://technet.microsoft.com/en-us/library/dd875529%28v=ws.10%29.aspx
https://technet.microsoft.com/en-us/library/dn466534.aspx
http://go.microsoft.com/fwlink/?LinkId=167133
https://social.technet.microsoft.com/Forums/en-US/0e2e4171-1a3c-4505-bbaf-e8626ce2406d/how-to-activate-tpm-in-mdt-cctk-other-?forum=mdt

Cet article, publié dans AD DS, Chiffrement, déploiement, MDT 2013, PowerShell, Server 2016, Tips, Windows 10, Windows 7, Windows Server, est tagué , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s