ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Comment activer et configurer BitLocker à l'aide de Microsoft Intune

Comment activer et configurer BitLocker à l'aide de Microsoft Intune

Déployer le chiffrement de lecteur BitLocker sur les appareils Windows 10/11 via le centre d'administration Microsoft Intune avec des méthodes silencieuses et interactives, y compris la configuration des politiques et le dépannage.

4 avril 2026 15 min
mediumbitlocker 9 étapes 15 min

Pourquoi déployer BitLocker via Microsoft Intune ?

Le chiffrement de lecteur BitLocker protège les données de votre organisation en chiffrant des lecteurs entiers, rendant les appareils volés ou perdus inutilisables pour les utilisateurs non autorisés. Bien que vous puissiez activer BitLocker manuellement sur des appareils individuels, gérer le chiffrement sur des centaines ou des milliers de points de terminaison Windows nécessite une approche centralisée.

Microsoft Intune offre une gestion BitLocker de niveau entreprise grâce à des politiques basées sur le cloud qui déploient automatiquement les paramètres de chiffrement, gèrent les clés de récupération et assurent la conformité sur l'ensemble de votre parc Windows. La version 2026 d'Intune propose un déploiement BitLocker simplifié via des politiques de sécurité des points de terminaison dédiées, prenant en charge à la fois le chiffrement silencieux (aucune interaction utilisateur requise) et les méthodes interactives.

Quels sont les méthodes de déploiement BitLocker prises en charge par Intune ?

Intune prend en charge deux approches principales de déploiement BitLocker. La méthode recommandée utilise les politiques de chiffrement de disque de sécurité des points de terminaison, qui offrent une interface simplifiée spécifiquement conçue pour la gestion du chiffrement. Cette approche convient le mieux aux organisations souhaitant un déploiement BitLocker simple avec une complexité de configuration minimale.

L'autre méthode utilise des profils de configuration de périphérique traditionnels avec soit des modèles de protection des points de terminaison, soit le catalogue de paramètres. Bien que plus complexe, cette approche offre un contrôle granulaire sur chaque paramètre BitLocker et fonctionne bien pour les organisations ayant des exigences de conformité spécifiques ou des scénarios de chiffrement complexes.

Quelles sont les exigences clés pour le déploiement BitLocker via Intune ?

Un déploiement BitLocker réussi via Intune nécessite une licence appropriée, un matériel compatible et un enregistrement correct des appareils. Vos appareils doivent exécuter Windows 10 Pro/Enterprise (version 1803 ou ultérieure) ou Windows 11, être joints à Microsoft Entra ID (anciennement Azure AD), et inclure TPM 1.2 ou supérieur (TPM 2.0 recommandé pour Windows 11).

Les appareils doivent également utiliser le mode BIOS UEFI plutôt que le BIOS hérité, et ne peuvent pas avoir de logiciel de chiffrement tiers préexistant. Votre organisation a besoin d'une licence Microsoft Intune avec les autorisations appropriées pour la configuration des appareils et la gestion de la sécurité des points de terminaison.

Guide de mise en oeuvre

Procédure complète

01

Accédez au Centre d'administration Microsoft Intune et naviguez vers le chiffrement de disque

Commencez par vous connecter au centre d'administration Microsoft Intune où vous configurerez les politiques BitLocker. C'est l'emplacement centralisé pour toutes les configurations de sécurité des points de terminaison.

Ouvrez votre navigateur web et accédez à https://endpoint.microsoft.com. Connectez-vous avec vos identifiants d'administrateur qui ont les permissions de configuration des appareils Intune.

Une fois connecté, naviguez vers Sécurité des points de terminaison dans le volet de navigation de gauche, puis sélectionnez Chiffrement de disque. Cette section contient toutes les politiques liées au chiffrement pour vos appareils gérés.

Astuce pro : Ajoutez l'URL du centre d'administration Intune à vos favoris pour un accès rapide. La nouvelle URL endpoint.microsoft.com a remplacé l'ancienne interface portal.azure.com pour la gestion Intune.

Vérification : Vous devriez voir la page d'aperçu du chiffrement de disque avec des options pour créer de nouvelles politiques et voir celles existantes. Si vous ne voyez pas ces options, vérifiez que votre compte dispose des permissions Intune nécessaires.

02

Créer une nouvelle stratégie BitLocker à l'aide de la sécurité des points de terminaison

Créez une politique BitLocker dédiée en utilisant la méthode recommandée de sécurité des points de terminaison. Cette approche offre une interface simplifiée spécialement conçue pour la gestion du chiffrement.

Cliquez sur Créer une politique dans la section Chiffrement de disque. Dans l'assistant de création de politique :

  • Définissez Plateforme sur Windows 10 et versions ultérieures
  • Définissez Profil sur BitLocker
  • Cliquez sur Créer

Dans l'onglet Informations de base, configurez les éléments suivants :

Nom : EndpointSecurity-BitLocker-Production
Description : Politique de chiffrement BitLocker pour les appareils Windows 10/11 avec activation silencieuse

Cliquez sur Suivant pour passer aux paramètres de configuration.

Avertissement : Utilisez des noms descriptifs pour vos politiques. Vous aurez probablement plusieurs politiques de chiffrement pour différents groupes d'appareils, et des noms clairs évitent la confusion lors du dépannage.

Vérification : L'assistant de création de politique devrait passer à l'onglet Paramètres de configuration, affichant des options spécifiques à BitLocker.

03

Configurer les paramètres de base de BitLocker pour un déploiement silencieux

Configurez les paramètres essentiels de BitLocker qui permettent le chiffrement silencieux sans interaction de l'utilisateur. Ces paramètres sont cruciaux pour les déploiements en entreprise où vous souhaitez que le chiffrement se fasse automatiquement.

Dans la section Paramètres de configuration, configurez ces options clés :

Options BitLocker :

Exiger le chiffrement de l'appareil : Activé
Autoriser l'avertissement pour le chiffrement d'autres disques : Désactivé
Autoriser les utilisateurs standard à activer le chiffrement lors de la jonction Entra ID : Activé

Lecteurs du système d'exploitation :

Activer silencieusement BitLocker sur les appareils avec TPM : Activé
Méthode de chiffrement pour les lecteurs du système d'exploitation : XTS-AES 256 bits
Longueur minimale du code PIN : 6 (si authentification par code PIN)
Configurer la rotation du mot de passe de récupération : Activé

Lecteurs de données fixes :

Méthode de chiffrement pour les lecteurs de données fixes : XTS-AES 256 bits
Refuser l'accès en écriture aux lecteurs fixes non protégés par BitLocker : Activé

La méthode de chiffrement XTS-AES 256 bits offre la sécurité la plus forte tout en maintenant de bonnes performances sur le matériel moderne.

Astuce pro : Activez la rotation du mot de passe de récupération pour rafraîchir automatiquement les clés de récupération BitLocker périodiquement. Cela améliore la sécurité en garantissant que les anciennes clés de récupération deviennent invalides au fil du temps.

Vérification : Survolez les icônes d'information à côté de chaque paramètre pour voir des explications détaillées de ce que fait chaque option.

04

Configurer la gestion et le stockage des clés de récupération

Configurez une gestion appropriée des clés de récupération pour garantir que les utilisateurs peuvent récupérer leurs données s'ils oublient leurs mots de passe ou rencontrent des problèmes matériels. Les clés de récupération sont automatiquement stockées dans Microsoft Entra ID.

Configurez ces paramètres de récupération dans la même section Paramètres de configuration :

Options de récupération pour les lecteurs du système d'exploitation :
- Configurer la rotation du mot de passe de récupération : Activé
- Fréquence de rotation : 180 jours
- Enregistrer les informations de récupération BitLocker dans Azure Active Directory : Activé
- Informations de récupération à stocker : Mots de passe de récupération et packages de clés
- Autoriser le stockage des informations de récupération avant d'activer BitLocker : Requis

Pour une sécurité supplémentaire, configurez ces options de récupération avancées :

Masquer les options de récupération lors de la configuration de BitLocker : Activé
Activer le stockage des informations de récupération avant d'activer BitLocker : Requis
Bloquer l'utilisation de l'agent de récupération de données basé sur un certificat : Activé

Ces paramètres garantissent que les clés de récupération sont stockées en toute sécurité dans le cloud avant le début du chiffrement, évitant ainsi les scénarios de verrouillage.

Avertissement : Ne sautez jamais la configuration du stockage des clés de récupération. Sans une gestion appropriée des clés de récupération, les utilisateurs pourraient perdre définitivement l'accès à leurs données chiffrées s'ils oublient leurs mots de passe ou perdent leurs appareils.

Vérification : La politique doit montrer toutes les options de récupération configurées. Vous pouvez vérifier que les clés de récupération sont stockées en vérifiant les propriétés de l'appareil dans Entra ID après le déploiement.

05

Attribuer la politique aux groupes de dispositifs cibles

Attribuez votre politique BitLocker à des groupes spécifiques d'appareils ou d'utilisateurs. Une attribution correcte des groupes garantit que la politique ne se déploie qu'aux appareils prévus et évite les conflits.

Cliquez sur Suivant pour atteindre la section Balises de portée. Si vous utilisez des balises de portée pour l'administration basée sur les rôles, attribuez les balises appropriées. Sinon, cliquez sur Suivant pour continuer.

Dans l'onglet Affectations, configurez vos groupes cibles :

  1. Cliquez sur Ajouter des groupes sous Groupes inclus
  2. Recherchez et sélectionnez vos groupes d'appareils cibles (par exemple, "Windows-Workstations" ou "Finance-Laptops")
  3. Cliquez sur Sélectionner

Pour les tests, commencez par un petit groupe pilote :

Groupes inclus : BitLocker-Pilot-Devices (10-20 appareils)
Groupes exclus : BitLocker-Exceptions (appareils qui ne doivent pas être chiffrés)

Vous pouvez attribuer à la fois à des groupes d'utilisateurs et à des groupes d'appareils. Les groupes d'appareils sont généralement préférés pour les politiques de chiffrement car ils garantissent une application cohérente quel que soit l'utilisateur connecté.

Astuce pro : Testez toujours d'abord avec un groupe pilote. Le chiffrement BitLocker peut prendre plusieurs heures à se terminer, et tout problème de politique est plus facile à résoudre avec un groupe plus petit.

Vérification : La section Affectations doit afficher vos groupes sélectionnés avec les paramètres d'inclusion/exclusion corrects.

06

Examiner et déployer la politique BitLocker

Complétez le processus de création de la stratégie et déployez-la sur vos appareils sélectionnés. Cette étape finale active le chiffrement BitLocker sur vos points de terminaison gérés.

Dans l'onglet Révision + création, examinez attentivement tous vos paramètres de configuration :

  • Nom et description de la stratégie
  • Plateforme et type de profil (Windows 10 et versions ultérieures, BitLocker)
  • Tous les paramètres de configuration que vous avez définis
  • Affectations de groupes cibles

Si tout semble correct, cliquez sur Créer pour déployer la stratégie.

Après la création, la stratégie apparaîtra dans votre liste de stratégies de chiffrement de disque avec un statut "Déploiement" ou "Actif".

Surveillez le déploiement initial en naviguant vers Appareils > Surveiller > Rapport de chiffrement. Ce rapport montre :

Statut de chiffrement de l'appareil :
- Chiffré : Appareils avec BitLocker activé avec succès
- Prêt : Appareils qui répondent aux exigences mais dont le chiffrement n'a pas commencé
- Non applicable : Appareils qui ne prennent pas en charge BitLocker
- Erreur : Appareils avec des échecs de déploiement
Avertissement : Le chiffrement BitLocker peut prendre 2 à 8 heures selon la taille du disque et les performances du système. N'interrompez pas le processus et n'effectuez pas de redémarrage forcé des appareils pendant le chiffrement initial.

Vérification : Vérifiez le rapport de chiffrement dans les 24 heures. Les appareils devraient afficher le statut "Prêt" initialement, puis passer à "Chiffré" à mesure que le processus se termine.

07

Vérifier le déploiement de BitLocker sur les appareils cibles

Confirmez que BitLocker est correctement déployé et fonctionne sur vos appareils cibles. Cette étape de vérification garantit que la politique a fonctionné correctement et que le chiffrement est actif.

Sur un appareil cible, ouvrez l'invite de commande en tant qu'administrateur et exécutez :

manage-bde -status

Vous devriez voir une sortie similaire à :

BitLocker Drive Encryption: Configuration Tool version 10.0.22000
Copyright (C) 2013 Microsoft Corporation. Tous droits réservés.

Volume C: [Windows]
[Volume OS]

    Taille :              476.84 GB
    Version BitLocker :   Windows 10
    État de conversion :  Espace utilisé uniquement chiffré
    Pourcentage chiffré : 100%
    Méthode de chiffrement : XTS-AES 256
    État de protection :  Protection activée
    État de verrouillage : Déverrouillé
    Champ d'identification : Inconnu
    Protecteurs de clé :  TPM

De plus, vérifiez dans le centre d'administration Intune :

  1. Accédez à Appareils > Tous les appareils
  2. Sélectionnez un appareil cible
  3. Vérifiez la section Chiffrement dans les propriétés de l'appareil
  4. Confirmez que le statut indique "Chiffré" et que la clé de récupération est stockée

Vous pouvez également vérifier que les clés de récupération sont correctement stockées en consultant Appareils > Surveiller > Rapport de chiffrement pour un statut détaillé appareil par appareil.

Astuce pro : Utilisez la commande PowerShell Get-BitLockerVolume pour obtenir des informations plus détaillées sur l'état du chiffrement, y compris l'état de protection et les types de protecteurs de clé.

Vérification : Tous les appareils cibles devraient afficher le statut "Protection activée" et "100% chiffré" dans la sortie de manage-bde.

08

Configurer les politiques de conformité pour l'application de BitLocker

Créez des stratégies de conformité qui imposent le chiffrement BitLocker et agissez sur les appareils non conformes. Cela garantit une conformité de sécurité continue dans votre organisation.

Accédez à Appareils > Stratégies de conformité > Créer une stratégie. Configurez ce qui suit :

Plateforme : Windows 10 et versions ultérieures
Nom : BitLocker-Compliance-Policy
Description : Imposer le chiffrement BitLocker sur tous les appareils Windows gérés

Dans la section État de l'appareil, configurez :

Exiger BitLocker : Exiger
Exiger que le démarrage sécurisé soit activé sur l'appareil : Exiger
Exiger l'intégrité du code : Exiger

Configurez des actions pour la non-conformité dans la section Actions pour la non-conformité :

Action : Marquer l'appareil comme non conforme
Planification : Immédiatement

Action : Envoyer un e-mail à l'utilisateur final
Planification : 1 jour après la non-conformité

Action : Bloquer l'accès aux ressources de l'entreprise
Planification : 7 jours après la non-conformité

Attribuez cette stratégie de conformité aux mêmes groupes que votre stratégie de chiffrement BitLocker pour garantir une application cohérente.

Avertissement : Soyez prudent avec le blocage de l'accès aux ressources de l'entreprise. Assurez-vous que les utilisateurs disposent de suffisamment de temps et de soutien pour résoudre les problèmes de conformité avant que l'accès ne soit bloqué.

Vérification : Vérifiez Appareils > Surveiller > Appareils non conformes pour voir les appareils qui ne répondent pas à vos exigences BitLocker.

09

Dépanner les problèmes courants de déploiement de BitLocker

Abordez les problèmes les plus courants qui surviennent lors du déploiement de BitLocker via Intune. Comprendre ces problèmes vous aide à les résoudre rapidement lorsqu'ils surviennent.

Problèmes de TPM et de matériel :

Si les appareils affichent le statut "Non applicable", vérifiez la disponibilité du TPM :

tpm.msc

Solutions courantes :

  • Activer le TPM dans les paramètres BIOS/UEFI
  • S'assurer que le mode UEFI est activé (pas le BIOS hérité)
  • Mettre à jour le firmware du TPM si vous utilisez TPM 1.2 sur Windows 11

Conflits de chiffrement préexistants :

Si un chiffrement tiers est détecté, déchiffrez d'abord le lecteur :

manage-bde -off C:

Attendez que le déchiffrement soit terminé avant d'appliquer la stratégie Intune.

Conflits de stratégie :

Vérifiez les conflits de stratégie en examinant :

  • Appareils > Profils de configuration - Recherchez plusieurs stratégies de chiffrement
  • Sécurité des points de terminaison > Chiffrement de disque - Assurez-vous qu'une seule stratégie BitLocker active par groupe d'appareils

Problèmes de permission d'utilisateur standard :

Pour les appareils Windows 10 antérieurs à 1809, les utilisateurs standard ne peuvent pas activer BitLocker lors de la jonction Entra ID. Solutions :

  • Mettre à niveau vers Windows 10 1809 ou version ultérieure
  • Utiliser des comptes administrateurs pour la configuration initiale
  • Activer le paramètre "Autoriser les utilisateurs standard à activer le chiffrement lors de la jonction Entra ID"
Astuce pro : Utilisez le rapport de chiffrement Intune pour identifier les modèles dans les déploiements échoués. Les problèmes courants affectent souvent plusieurs appareils avec des configurations similaires.

Vérification : Après avoir appliqué les correctifs, les appareils devraient passer du statut "Erreur" ou "Non applicable" à "Prêt" puis "Chiffré" dans le rapport de chiffrement.

Questions Fréquentes

Combien de temps prend le chiffrement BitLocker via Microsoft Intune ?+
Le chiffrement BitLocker via Intune prend généralement de 2 à 8 heures selon la taille du disque, les performances du système et la méthode de chiffrement. Le processus s'exécute en arrière-plan et n'interrompt pas l'utilisation normale de l'appareil. Intune utilise par défaut le chiffrement 'Espace utilisé uniquement', qui ne chiffre que les données existantes sur le disque, réduisant ainsi considérablement le temps de chiffrement initial par rapport au chiffrement complet du disque.
Puis-je déployer BitLocker silencieusement sans interaction utilisateur en utilisant Intune ?+
Oui, Intune prend en charge le déploiement silencieux de BitLocker sur Windows 10 version 1803 et ultérieures, et toutes les versions de Windows 11. Activez le paramètre 'Activer BitLocker silencieusement sur les appareils avec TPM' dans votre politique de sécurité des points de terminaison. Cela nécessite que les appareils aient TPM 2.0, soient joints à Entra ID et utilisent le mode BIOS UEFI. Le déploiement silencieux chiffre automatiquement les lecteurs sans demander de mots de passe ou de codes PIN aux utilisateurs.
Où sont stockées les clés de récupération BitLocker lorsqu'elles sont déployées via Intune ?+
Les clés de récupération BitLocker sont automatiquement stockées dans Microsoft Entra ID (anciennement Azure AD) lorsqu'elles sont déployées via Intune. Les administrateurs peuvent accéder à ces clés via le centre d'administration Intune sous les propriétés de l'appareil ou via le portail Azure. Les utilisateurs peuvent également récupérer leurs propres clés de récupération en visitant account.microsoft.com et en se connectant avec leur compte professionnel. Les clés de récupération sont cryptées et stockées en toute sécurité dans l'infrastructure cloud de Microsoft.
Que se passe-t-il si un appareil n'a pas de TPM lors du déploiement de BitLocker via Intune ?+
Les appareils sans TPM afficheront le statut 'Non applicable' dans le rapport de chiffrement Intune et ne recevront pas le chiffrement BitLocker. Les appareils modernes sous Windows 10/11 incluent généralement TPM 1.2 ou 2.0, mais le matériel plus ancien peut manquer de puces TPM. Vous pouvez vérifier la disponibilité du TPM en utilisant 'tpm.msc' sur l'appareil. Pour les appareils sans TPM, envisagez des mises à niveau matérielles ou des solutions de chiffrement alternatives, car BitLocker nécessite TPM pour le stockage sécurisé des clés dans les environnements d'entreprise.
Comment puis-je dépanner les échecs de déploiement de BitLocker dans Microsoft Intune ?+
Consultez le rapport de chiffrement Intune sous Appareils > Surveiller > Rapport de chiffrement pour identifier les appareils défaillants. Les problèmes courants incluent TPM non activé dans le BIOS, mode BIOS hérité au lieu de l'UEFI, chiffrement tiers préexistant ou version Windows insuffisante. Utilisez 'manage-bde -status' sur les appareils concernés pour vérifier l'état de BitLocker localement. Examinez les rapports de conformité des appareils et les journaux d'événements pour des codes d'erreur spécifiques. Assurez-vous que les appareils répondent à toutes les conditions préalables : TPM 1.2+, mode UEFI, Windows 10 1803+/Windows 11, et statut de jonction Entra ID.
Tags
#bitlocker#intune#chiffrement

Intelligence Complémentaire

Approfondissez vos connaissances

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)
tutorial
Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer
Comment résoudre les politiques Intune provoquant des redémarrages inattendus pendant l'OOBE de Windows Autopilot
tutorial
Cloud Computing

Comment résoudre les politiques Intune provoquant des redémarrages inattendus pendant l'OOBE de Windows Autopilot

Explorer
Comment activer et configurer BitLocker à l'aide de Microsoft Intune
tutorial
Cybersecurity

Comment activer et configurer BitLocker à l'aide de Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecterCréer un compte