Lorsque vous gérez vos périphériques de manière traditionnelles (ConfigMgr, MBAM, GPO, etc.), il existe de nombreux moyens de gérer et activer le chiffrement BitLocker (MBAM, déploiement de système d’exploitation, etc.). Quand vous gérez vos périphériques de manière moderne, il n’y a pas de remasterisation de la machine. De ce fait, vous devez procéder au chiffrement par des manières détournées. Il est possible d’initier le chiffrement automatique lors de la jointure à Azure Active Directory et la solution d’administration (Intune) lorsque votre périphérique est compatible InstantGo. C’est par exemple le cas des tablettes Surface mais ce n’est pas le cas de tous les périphériques. Dans ce cas de figure, vous n’avez pas de solution autre que l’activation manuelle. Avec l’arrivée de la GDPR, on retrouve des problématiques autour de ces enjeux. Microsoft a introduit des notifications et un assistant permettant à l’utilisateur d’initier le chiffrement.
Pieter Wigleven (MSFT) a travaillé une solution de scripts permettant d’initier le chiffrement automatique lorsque le périphérique est géré de manière moderne et quel que soit le matériel utilisé. Ces scripts ont été packagés au format MSI pour pouvoir être déployés par le canal MDM :
- Il installe les fichiers dans C:\Program Files (x86)\BitLockerTrigger\
- Il importe une nouvelle tâche planifiée qui s’exécute tous les jours à 14h00 en exécutant un script pour chiffrer le lecteur local et stocker la clé dans Azure Active Directory et OneDrive for Business (si configuré).
Note : Vous devez utiliser Windows 10 1703 x64.
Plus d’informations sur : Hardware independent automatic Bitlocker encryption using AAD/MDM