Déployer BitLocker en entreprise avec une GPO et PowerShell

Florian BURNEL - ITConnect - 03/01
Comment déployer BitLocker en entreprise pour chiffrer les disques systèmes Windows et centraliser les clés de récupération BitLocker dans l'Active Directory.

Sommaire

  • I. Présentation
  • II. Stocker les clés de récupération BitLocker dans l'Active Directory
  • III. GPO pour configurer BitLocker sur Windows
    • A. Paramètre n°1 - Choisir la méthode et la puissance de chiffrement des lecteurs
    • B. Paramètre n°2 - Appliquer le type de chiffrement de lecteur aux lecteurs du système d’application
    • C. Paramètre n°3 - Sélectionner la méthode de récupération des lecteurs du système d’exploitation protégés par BitLocker
    • D. Paramètre n°4 - Exiger une authentification supplémentaire au démarrage
    • E. La GPO BitLocker est prête
  • IV. Activer le chiffrement BitLocker sur Windows
  • V. Comment retrouver une clé de récupération BitLocker ?
  • VI. GPO - Script pour activer BitLocker sur plusieurs postes Windows
    • A. Configurer BitLocker avec PowerShell
    • B. Exécuter le script par GPO
  • VII. Conclusion

I. Présentation

Dans ce tutoriel, nous allons voir comment déployer BitLocker en entreprise dans le but de chiffrer les disques système des postes de travail Windows, mais aussi de centraliser les clés de récupération dans l'Active Directory.



BitLocker est une fonctionnalité intégrée à Windows et qui permet de sécuriser le contenu de votre disque grâce au chiffrement des données. En complément, vous pouvez utiliser BitLocker To Go afin de chiffrer un disque externe, une clé USB ou une carte mémoire. Nous avons déjà vu comment chiffrer un PC Windows ou un périphérique USB externe, mais en entreprise, on peut avoir besoin d'aller un peu plus loin.

Quand je dis « aller un peu plus loin », c'est-à-dire :

  • Stocker les clés de récupération BitLocker dans l'Active Directory pour chaque ordinateur protégé par BitLocker
  • Déployer une configuration BitLocker identique sur un ensemble de postes
  • Activer automatiquement la protection BitLocker sur un ensemble de postes (sans devoir le faire à la main)

Remarque : ce tutoriel s'applique à Windows Server 2025 et Windows 11 24H2, ainsi que les précédentes versions de ces systèmes d'exploitation.

Version originale de l'article : 22 novembre 2021.

II. Stocker les clés de récupération BitLocker dans l'Active Directory

Sur votre serveur contrôleur de domaine, connectez-vous en tant qu'administrateur afin d'installer de nouvelles fonctionnalités.

Vous pouvez le faire à partir de l'interface graphique : Gestionnaire de serveur > Gérer > Ajouter des rôles et fonctionnalités. Une fois à l'étape "Fonctionnalités", sélectionnez l'entrée "Utilitaires d'administration de Chiffrement de lecteur BitLocker" qui se situe sous "Outils d'administration de serveur distant" puis "Outils d'administration de fonctionnalités".

L'alte...
[Courte citation de 8% de l'article original]