Partager via


New-CMBMSOSDEncryptionPolicy

Créez une stratégie pour gérer s’il faut chiffrer le lecteur du système d’exploitation avec BitLocker.

Syntaxe

New-CMBMSOSDEncryptionPolicy
   [-PolicyState <State>]
   [-RequireTpm]
   [-MinimumPinLength <UInt32>]
   [-Protector <TpmProtector>]
   [-DisableWildcardHandling]
   [-ForceWildcardHandling]
   [<CommonParameters>]

Description

Utilisez cette applet de commande pour créer une stratégie afin de gérer s’il faut chiffrer le lecteur du système d’exploitation avec BitLocker.

Si vous souhaitez utiliser BitLocker sur un ordinateur sans module de plateforme sécurisée (TPM), n’utilisez pas le paramètre -RequireTpm . Dans ce mode, BitLocker nécessite un mot de passe au démarrage de l’appareil. Si vous oubliez le mot de passe, utilisez une option de récupération BitLocker pour accéder au lecteur.

Sur un ordinateur doté d’un module TPM compatible, BitLocker peut utiliser deux méthodes d’authentification au démarrage de l’appareil. Ce comportement offre une protection supplémentaire pour les données chiffrées. Lorsque l’ordinateur démarre, il peut utiliser uniquement le module de plateforme sécurisée pour l’authentification, ou il peut également exiger l’entrée d’un numéro d’identification personnel (PIN).

Conseil

Pour plus de sécurité, lorsque vous activez des appareils avec TPM + protecteur de code confidentiel, envisagez de désactiver les paramètres de stratégie de groupe suivants dansParamètres de veillede la gestion de> l’alimentation système> :

  • Autoriser les états de secours (S1-S3) en mode veille (branché)

  • Autoriser les états de secours (S1-S3) en mode veille (sur batterie)

Exemples

Exemple 1 : Créer une stratégie qui nécessite un module de plateforme sécurisée (TPM) avec code confidentiel

Cet exemple crée une stratégie activée avec les attributs suivants :

  • Nécessite un module de plateforme sécurisée (TPM)
  • Exiger un code confidentiel avec le module de plateforme sécurisée
  • Le code confidentiel doit être d’au moins 16 numéros
New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -RequireTpm -MinimumPinLength 16 -Protector TpmAndPin

Exemple 2 : Créer une stratégie pour le module de plateforme sécurisée uniquement

Cet exemple crée une stratégie qui est activée et nécessite uniquement un module TPM.

New-CMBMSOSDEncryptionPolicy -PolicyState Enabled -Protector TpmOnly

Paramètres

-DisableWildcardHandling

Ce paramètre traite les caractères génériques comme des valeurs de caractère littéral. Vous ne pouvez pas la combiner avec ForceWildcardHandling.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-ForceWildcardHandling

Ce paramètre traite les caractères génériques et peut entraîner un comportement inattendu (non recommandé). Vous ne pouvez pas la combiner avec DisableWildcardHandling.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-MinimumPinLength

Si vous avez besoin d’un code confidentiel, cette valeur est la longueur la plus courte que l’utilisateur peut spécifier. L’utilisateur entre ce code confidentiel lorsque l’ordinateur démarre pour déverrouiller le lecteur. Par défaut, la longueur minimale du code confidentiel est 4. Définissez une valeur de à 420.

Type:UInt32
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-PolicyState

Utilisez ce paramètre pour configurer la stratégie.

  • Enabled: si vous activez cette stratégie, l’utilisateur doit placer le lecteur du système d’exploitation sous la protection BitLocker, et il chiffre le lecteur.

  • Disabled: si vous désactivez cette stratégie, l’utilisateur ne peut pas placer le lecteur du système d’exploitation sous la protection BitLocker. Si vous appliquez cette stratégie après le chiffrement du lecteur du système d’exploitation, BitLocker déchiffre le lecteur.

  • NotConfigured: si vous ne configurez pas cette stratégie, BitLocker n’est pas requis sur le lecteur du système d’exploitation.

Type:State
Valeurs acceptées:Enabled, Disabled, NotConfigured
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-Protector

Utilisez ce paramètre pour spécifier un protecteur pour le lecteur de système d’exploitation :

  • TpmOnly: utiliser uniquement le module de plateforme sécurisée comme protecteur

  • TpmAndPin: utiliser un code confidentiel avec le module de plateforme sécurisée (TPM)

Type:TpmProtector
Valeurs acceptées:TpmOnly, TpmAndPin
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

-RequireTpm

Ajoutez ce paramètre pour configurer la stratégie afin d’exiger que l’appareil dispose d’un module de plateforme sécurisée compatible.

Type:SwitchParameter
Position:Named
Valeur par défaut:None
Obligatoire:False
Accepter l'entrée de pipeline:False
Accepter les caractères génériques:False

Entrées

None

Sorties

Microsoft.ConfigurationManagement.AdminConsole.BitlockerManagement.PolicyObject