Cryptage Bitlocker avec AAD / MDM pour la sécurité des données dans le cloud
Avec les nouvelles fonctionnalités de Windows 10, la productivité des utilisateurs a augmenté de façon considérable. C'est parce que Windows 10 a introduit son approche en tant que «mobile d'abord, d'abord dans le cloud». Ce n'est rien d'autre que l'intégration des appareils mobiles à la technologie cloud. Windows 10 permet une gestion moderne des données à l'aide de solutions de gestion de périphériques basées sur le cloud, telles que Microsoft Enterprise Mobility Suite (EMS). Grâce à cela, les utilisateurs peuvent accéder à leurs données depuis n’importe où et à tout moment. Cependant, ce type de données nécessite également une bonne sécurité, ce qui est possible avec Bitlocker.
Cryptage Bitlocker pour la sécurité des données en nuage
La configuration du cryptage Bitlocker est déjà disponible sur les appareils mobiles Windows 10. Cependant, ces appareils devaient avoir InstantGo possibilité d'automatiser la configuration. Avec InstantGo, l'utilisateur peut automatiser la configuration sur le périphérique et sauvegarder la clé de récupération sur son compte Azure AD..
Mais maintenant, les appareils n’auront plus besoin de la fonctionnalité InstantGo. Avec la mise à jour de Windows 10 Creators, tous les périphériques Windows 10 disposent d'un assistant dans lequel les utilisateurs sont invités à démarrer le chiffrement Bitlocker quel que soit le matériel utilisé. Ceci est principalement dû aux commentaires des utilisateurs sur la configuration, qui souhaitaient automatiser ce cryptage sans que les utilisateurs ne fassent rien. Ainsi, le chiffrement Bitlocker est maintenant devenu automatique et indépendant du matériel.
Comment fonctionne le cryptage Bitlocker
Lorsque l'utilisateur final inscrit le périphérique et qu'il est un administrateur local, le MSI TriggerBitlocker effectue les opérations suivantes:
- Déploie trois fichiers dans C: \ Program Files (x86) \ BitLockerTrigger \
- Importe une nouvelle tâche planifiée basée sur le fichier Enable_Bitlocker.xml inclus.
La tâche planifiée sera exécutée tous les jours à 14 heures et effectuera les tâches suivantes:
- Exécutez Enable_Bitlocker.vbs dont le but principal est d'appeler Enable_BitLocker.ps1 et veillez à exécuter minimisé..
- À son tour, Enable_BitLocker.ps1 chiffrera le lecteur local et stockera la clé de récupération dans Azure AD et OneDrive for Business (s'il est configuré).
- La clé de récupération n'est stockée que si elle est modifiée ou non présente
Les utilisateurs qui ne font pas partie du groupe d’administrateurs locaux doivent suivre une procédure différente. Par défaut, le premier utilisateur qui joint un périphérique à Azure AD est membre du groupe d'administrateurs local. Si un deuxième utilisateur, qui fait partie du même locataire AAD, ouvre une session sur le périphérique, il s'agira d'un utilisateur standard..
Cette bifurcation est nécessaire lorsqu'un compte Device Enrollment Manager s'occupe de la jointure Azure AD avant de transférer le périphérique à l'utilisateur final. Pour Windows, l’équipe Windows a été transmise à MSI (TriggerBitlockerUser) modifié. Il est légèrement différent de celui des utilisateurs d’administrateur local:
La tâche planifiée BitlockerTrigger s’exécutera dans le contexte système et:
- Copiez la clé de récupération sur le compte Azure AD de l'utilisateur qui a connecté le périphérique à AAD..
- Copiez la clé de récupération dans Systemdrive \ temp (généralement C: \ Temp) temporairement.
Un nouveau script MoveKeyToOD4B.ps1 est introduit et s'exécute quotidiennement via une tâche planifiée appelée MoveKeyToOD4B. Cette tâche planifiée s'exécute dans le contexte des utilisateurs. La clé de récupération sera déplacée de SystemDrive \ Temp vers le dossier OneDrive Entreprise \ Recovery..
Pour les scénarios d’administration non locaux, les utilisateurs doivent déployer le fichier TriggerBitlockerUser via Accordé au groupe d'utilisateurs finaux. Ceci n'est pas déployé sur le groupe / compte de gestionnaire d'inscription de périphérique utilisé pour associer le périphérique à Azure AD..
Pour obtenir l'accès à la clé de récupération, les utilisateurs doivent accéder à l'un des emplacements suivants:
- Compte Azure AD
- Un dossier de récupération dans OneDrive for Business (si configuré).
Il est suggéré aux utilisateurs de récupérer la clé de récupération via http://myapps.microsoft.com et accédez à leur profil ou à leur dossier OneDrive Entreprise \ Recovery.
Pour plus d'informations sur l'activation du chiffrement Bitlocker, consultez le blog complet sur Microsoft TechNet..