Bonjour,

Je suis en phase de test de chiffrement de disques durs avec Bitlocker pour Windows 10.

J'ai créé une GPO en suivant notamment un tutoriel. Dans cette GPO, j'ai configuré le mode de chiffrement ainsi qu'un paramètre qui oblige le client à stocker la clé de recouvrement dans l'Active Directory (Windows Server 2012 R2 pour le moment. Il passera en 2022 d'ici la fin de l'année) avant de lancer le chiffrement via un script PowerShell dans la GPO.

Le Powershell fonctionne très bien (test unitaire OK) et la GPO également. J'ai bien la clé de recouvrement dans l'AD.

Mon soucis est que, parfois la GPO tombe en erreur. Elle descend bien sur les postes, j'ai bien les éléments dans le dossier local C:\Windows\SYSVOL mais la GPO tombe parfois en erreur.

J'ai un popup me disant : "Bitlocker could not be enabled. The Bitlocker encryption key cannot be obtained. Verify that the TPM Module is enabled and ownership has been taken. If this computer does not have a TPM, verify that the USB drive is inserted".

Donc, j'ai fait ma propre analyse :
- Firmware à jour
- Le TPM est bien activé, c'est indiqué dans TPM.msc
- Si je lance le chiffrement Bitlocker directement depuis le panneau de configuration, ça fonctionne. Aucun message d'erreur et la clé de recouvrement est dans l'AD.
- Dans l'observateur d'évènements j'ai 1 warnings :
             - Bitlocker cannot use Secure Boot for integrity because the UEFI variable 'SecureBoot' could not be read.

- Et dans les informations systèmes : j'ai des erreurs pour le chiffrement tel que : Détection de bus/d'appareils compatibles DMA non autorisés OU L'interface du test de sécurité du matériel a échoué et l'appareil n'est pas en veille moderne.

Cdt,

slr56