Microsoft Intune : activer BitLocker et gérer les clés de récupération

Le chiffrement des postes de travail n'est plus une option dans un contexte où le vol de matériel, les ransomwares et les fuites de données constituent des menaces quotidiennes pour les entreprises. BitLocker, la solution de chiffrement intégrée à Windows, offre une protection robuste des données au repos, à condition d'être correctement déployée et gérée à l'échelle. C'est précisément là qu'intervient Microsoft Intune : en centralisant la configuration, le déploiement et la récupération des clés BitLocker depuis une console unifiée dans le cloud, les équipes IT peuvent piloter la conformité chiffrement sur des centaines ou des milliers d'appareils sans recourir aux traditionnelles GPO Active Directory. Ce guide détaille étape par étape comment activer BitLocker via Intune, stocker les clés de récupération dans Entra ID, surveiller la conformité et résoudre les erreurs courantes — le tout dans une logique Zero Trust où chaque endpoint est considéré comme potentiellement compromis jusqu'à preuve du contraire. Que vous gériez un parc hybride (jointure Entra ID + AD on-premise) ou un environnement cloud-native, ce tutoriel vous donnera les clés pour sécuriser l'ensemble de votre flotte Windows 10 et Windows 11 en 2026.

BitLocker dans le contexte réglementaire 2026 — ISO 27001, NIS 2 et RGPD

Le chiffrement des supports de stockage est une exigence explicite de plusieurs cadres réglementaires auxquels les entreprises françaises sont soumises. Comprendre ces obligations permet de justifier l'investissement dans Intune et de dimensionner correctement la politique de chiffrement.

ISO 27001:2022 — Contrôle A.8.24

La norme ISO 27001 dans sa version 2022 intègre le contrôle A.8.24 — Use of cryptography, qui exige que les organisations définissent et appliquent des règles d'utilisation de la cryptographie pour protéger les informations sensibles. Le chiffrement des postes de travail portables (laptops) est systématiquement mentionné comme mesure appropriée dans la déclaration d'applicabilité (SOA) des organisations certifiées. BitLocker géré via Intune, avec traçabilité des clés dans Entra ID, satisfait directement cette exigence.

NIS 2 — Mesures de sécurité des entités essentielles

La directive NIS 2, transposée en droit français depuis octobre 2024, impose aux entités essentielles et importantes de mettre en œuvre des mesures techniques de protection des données, incluant le chiffrement des données au repos pour les systèmes d'information critiques. Les équipes IT de ces entités doivent être en mesure de démontrer la conformité lors d'inspections de l'ANSSI — les rapports de conformité Intune constituent une preuve documentaire immédiatement disponible.

RGPD — Chiffrement comme mesure technique appropriée

L'article 32 du RGPD demande aux responsables de traitement de mettre en œuvre des mesures techniques "appropriées" pour garantir un niveau de sécurité adapté au risque. Les autorités de protection des données européennes (dont la CNIL) ont explicitement cité le chiffrement des données sur les postes de travail comme mesure technique appropriée, notamment pour les données de santé, financières ou RH. En cas de vol d'un poste chiffré avec BitLocker, l'incident peut être qualifié de "risque faible" ne nécessitant pas de notification à la CNIL, à condition que la gestion des clés soit robuste.

Planifier le déploiement BitLocker Intune — Checklist projet

Un déploiement BitLocker Intune mal planifié peut bloquer des centaines de postes simultanément ou laisser des clés inaccessibles. Voici la checklist des étapes préparatoires indispensables.

Phase 1 : Audit du parc (J-30 à J-15)

• Inventaire des OS Windows sur le parc : pourcentage Win10/Win11, éditions (Pro, Enterprise, Home)
• Vérification de la présence et de l'état du TPM sur chaque modèle de machine (rapport Intune → Hardware → TPM Chip Specification Version)
• Identification des machines sans TPM (VM, postes anciens) → politique d'exception à définir
• État du Secure Boot sur les machines UEFI (requis pour le chiffrement silencieux)
• Vérification que les appareils sont bien Entra ID-joincts ou Hybrides (pas seulement Entra ID Registered)

Phase 2 : Configuration et pilote (J-15 à J0)

• Création des groupes Entra ID pilotes (20-50 machines représentatives)
• Configuration de la politique BitLocker dans Intune avec les paramètres XTS-AES 256
• Test de récupération de clé depuis Entra ID et portail Intune
• Validation du rapport Encryption dans Intune (toutes les machines pilotes apparaissent comme Encrypted)
• Test du self-service utilisateur sur myaccount.microsoft.com
• Documentation de la procédure helpdesk pour la récupération de clé

Phase 3 : Déploiement progressif (J0 à J+30)

• Semaine 1 : 10% du parc (déploiement silencieux, aucune communication utilisateur requise)
• Semaine 2-3 : 50% du parc, surveillance des tickets helpdesk liés au chiffrement
• Semaine 4 : 100% du parc
• J+30 : revue de conformité — objectif 98%+ du parc chiffré

Pourquoi utiliser Intune pour gérer BitLocker plutôt que les GPO

Les stratégies de groupe (GPO) ont longtemps été le moyen standard pour déployer BitLocker dans les environnements Active Directory. Cette approche reste valide pour les infrastructures entièrement on-premise, mais elle présente des limites importantes dès lors que les postes sortent du réseau d'entreprise, ce qui est désormais la norme avec le télétravail.

Avec Intune, la politique BitLocker est livrée via le canal MDM (Mobile Device Management), directement depuis Microsoft Intune sur internet, sans VPN nécessaire. Les principaux avantages par rapport aux GPO sont :

• Portée cloud-first : les appareils Entra ID-joincts ou hybrides reçoivent la politique dès leur connexion internet, sans dépendance au réseau interne.
• Sauvegarde automatique des clés dans Entra ID : la clé de récupération est stockée dans le portail Azure, accessible aux administrateurs depuis n'importe où, sans serveur MBAM (Microsoft BitLocker Administration and Monitoring) on-premise.
• Rapport de conformité intégré : Intune fournit des tableaux de bord indiquant quels appareils sont chiffrés, lesquels ne le sont pas, et pourquoi.
• Déploiement granulaire : les politiques s'appliquent à des groupes Entra ID dynamiques, permettant de cibler des populations spécifiques (direction, RH, ingénieurs) avec des paramètres différenciés.
• Intégration avec Defender for Endpoint : la posture de chiffrement est visible dans Microsoft Defender, renforçant le score de sécurité global.

Contrairement aux GPO qui nécessitent un serveur AD, MBAM et une infrastructure PKI interne pour la gestion des clés, Intune simplifie radicalement l'architecture tout en améliorant la visibilité.

Prérequis pour gérer BitLocker avec Intune

Avant de configurer votre première politique, vérifiez que les éléments suivants sont en place :

Licences nécessaires

La gestion BitLocker via Intune requiert au minimum une licence Microsoft Intune Plan 1 (anciennement Intune standalone). Cette licence est incluse dans :

• Microsoft 365 Business Premium
• Microsoft 365 E3 / E5
• Enterprise Mobility + Security (EMS) E3 / E5

Les licences Microsoft 365 Business Basic et Standard ne suffisent pas — elles n'incluent pas Intune.

Statut des appareils

Les appareils doivent être :

• Entra ID-joincts (Azure AD Joined) : postes cloud-native sans jonction AD on-premise ;
• Hybrides Entra ID-joincts (Hybrid Azure AD Joined) : postes AD on-premise synchronisés avec Entra ID via Azure AD Connect ;
• Enregistrés Entra ID (Registered) : cas BYOD, support limité pour BitLocker (non recommandé pour ce scénario).

Matériel requis

Pour le chiffrement silencieux (sans interaction utilisateur), les postes doivent disposer d'un chip TPM 2.0. La plupart des PC professionnels depuis 2018 en sont équipés. Sans TPM, le chiffrement BitLocker reste possible mais nécessite soit un PIN au démarrage, soit une clé USB de démarrage.

Systèmes d'exploitation

BitLocker via Intune est supporté sur Windows 10 (version 1703 et supérieure) et Windows 11, éditions Pro, Enterprise et Education. Windows 11 Home ne supporte pas BitLocker (il utilise Device Encryption, une version simplifiée).

Créer la politique de chiffrement BitLocker dans Intune — Pas-à-pas

Connectez-vous au portail Intune sur intune.microsoft.com.

Méthode 1 : via Endpoint Security (recommandé)

1. Naviguez vers Endpoint Security → Disk encryption
2. Cliquez sur + Create policy
3. Sélectionnez Platform : Windows 10 and later
4. Sélectionnez Profile : BitLocker
5. Nommez la politique : ex. BitLocker-AllDevices-XTS256

Configuration des paramètres clés

Dans l'onglet Configuration settings, voici les valeurs recommandées pour une entreprise en 2026 :

Pour le paramètre "Save BitLocker recovery information to Azure Active Directory before enabling BitLocker", positionnez-le sur Required. Cela garantit que BitLocker ne s'activera jamais sans que la clé ait été préalablement sauvegardée dans Entra ID — évitant ainsi tout scénario de perte de données irréversible.

Affectation de la politique

Dans l'onglet Assignments, affectez la politique à un groupe Entra ID. Pour un déploiement progressif :

1. Créez d'abord un groupe pilote (20-50 machines) dans Entra ID
2. Déployez, validez pendant 1 semaine
3. Étendez au groupe All Devices ou à un groupe dynamique couvrant toute la flotte

Modes de chiffrement BitLocker disponibles via Intune

Intune supporte trois modes d'activation de BitLocker, chacun adapté à un contexte différent :

Chiffrement silencieux (Silent Encryption)

C'est le mode recommandé pour la majorité des déploiements. BitLocker s'active en arrière-plan sans aucune interaction de l'utilisateur. Conditions requises :

• TPM 2.0 présent et activé dans le BIOS/UEFI
• Secure Boot activé
• Appareil Entra ID-joinct ou Hybride
• Utilisateur non-admin (paradoxalement, les comptes admin locaux bloquent le silent encryption dans certains scénarios)

Chiffrement avec approbation utilisateur (User Approved)

Sur macOS (pour la gestion via Intune avec FileVault) ou dans des scénarios où l'utilisateur doit consenter explicitement. Sur Windows, ce mode s'applique quand le TPM n'est pas disponible ou quand l'organisation souhaite que l'utilisateur choisisse son PIN de démarrage.

TPM uniquement (TPM-only)

BitLocker utilise uniquement le TPM pour protéger la clé de chiffrement. Aucun PIN ni clé USB nécessaire au démarrage. C'est le mode le plus transparent pour l'utilisateur, mais il ne protège pas contre les attaques impliquant un accès physique à la carte mère (cold boot attack, TPM sniffing). Pour des environnements haute sécurité, combinaison TPM + PIN est préférable.

Gérer et récupérer les clés BitLocker depuis Entra ID et Intune

La récupération d'une clé BitLocker est l'opération la plus fréquente au quotidien — un utilisateur oubliant son PIN, un disque transféré sur une nouvelle machine, ou une mise à jour BIOS qui invalide le profil TPM.

Depuis le portail Entra ID

1. Connectez-vous sur entra.microsoft.com
2. Naviguez vers Devices → All devices
3. Recherchez l'appareil par nom ou ID
4. Cliquez sur l'appareil → onglet BitLocker keys
5. Cliquez sur Show recovery key — l'action est auditée dans les logs Entra ID

Depuis le portail Intune

1. Accédez à intune.microsoft.com → Devices → All devices
2. Sélectionnez l'appareil
3. Dans le menu de l'appareil : Monitor → Recovery keys
4. La clé de récupération numérique à 48 chiffres s'affiche

Self-service pour les utilisateurs

Les utilisateurs peuvent eux-mêmes récupérer leur clé sur myaccount.microsoft.com → Devices → View BitLocker keys. Cela réduit les tickets au helpdesk. Cette fonctionnalité peut être restreinte via des paramètres Entra ID si votre politique de sécurité l'exige.

Rapport de conformité BitLocker dans Intune

Intune fournit plusieurs rapports pour suivre l'état du chiffrement sur votre flotte :

Device compliance policies

Dans Intune → Devices → Monitor → Encryption report, vous obtenez un tableau listant :

• L'état de chiffrement par appareil (Encrypted / Not Encrypted / Not Applicable)
• La version TPM
• Le profil de protection de la clé actif
• La date de la dernière vérification

Policy compliance report

Naviguez vers Endpoint Security → Disk encryption → votre politique → Device status. Vous voyez en temps réel combien d'appareils ont appliqué la politique avec succès, combien sont en erreur, et lesquels sont en attente.

Export et intégration SIEM

Les données de conformité Intune peuvent être exportées vers Azure Monitor / Log Analytics via Diagnostic settings, permettant d'intégrer le statut BitLocker dans votre SIEM (Microsoft Sentinel, Splunk) et de créer des alertes sur les appareils non chiffrés.

Dépannage des erreurs courantes BitLocker Intune

Malgré une configuration correcte, des erreurs surviennent. Voici les plus fréquentes et leurs résolutions :

Erreur 0x8031004A — The drive cannot be encrypted because it is not formatted with NTFS

BitLocker requiert que la partition système soit formatée en NTFS. Si le disque utilise encore FAT32 (rare sur les machines modernes), il faut convertir la partition. Sur Windows 11, toutes les partitions système sont en NTFS par défaut — vérifiez cependant si le volume de récupération est bien présent.

Appareils sans TPM — chiffrement bloqué

Si votre parc inclut des machines sans TPM (VM, anciens postes), deux options :

1. Activer le paramètre "Allow BitLocker without compatible TPM" dans la politique — l'utilisateur devra utiliser un PIN ou une clé USB au démarrage.
2. Exclure ces appareils de la politique et les gérer séparément avec une procédure manuelle documentée.

Clés de récupération manquantes dans Entra ID

Possible si BitLocker a été activé avant l'inscription Intune, ou si le paramètre de sauvegarde n'était pas "Required". Pour forcer la sauvegarde des clés existantes :

manage-bde -protectors -get C:
manage-bde -protectors -adbackup C: -id {GUID_DU_PROTECTEUR}

Ou via PowerShell à distance avec Intune (remédiation proactive) :

$BLV = Get-BitLockerVolume -MountPoint "C:"
BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

Politique Intune non reçue par le device

Vérifiez dans Devices → votre appareil → Device configuration si la politique apparaît avec le statut "Success" ou "Error". Si l'appareil n'a pas synchronisé depuis longtemps, forcez une synchronisation MDM : Settings → Accounts → Access work or school → Info → Sync.

Chiffrement en cours indéfiniment

Sur les disques HDD anciens, le chiffrement initial peut prendre plusieurs heures. Sur SSD avec chiffrement matériel (eDrive), il est quasi instantané. Vérifiez l'avancement avec manage-bde -status C: dans une invite de commande administrateur.

Intégrer BitLocker Intune dans une stratégie Zero Trust

Le Zero Trust repose sur le principe "ne jamais faire confiance, toujours vérifier". Le chiffrement BitLocker géré via Intune s'inscrit naturellement dans cette architecture :

Signal de conformité pour l'accès conditionnel

Créez une politique de conformité Intune qui exige que le chiffrement soit activé. Liez ensuite cette politique à une règle d'accès conditionnel Entra ID : seuls les appareils conformes (donc chiffrés) peuvent accéder aux applications Microsoft 365 et aux ressources cloud. Un poste non chiffré sera automatiquement bloqué ou redirigé vers un portail de remédiation.

Protection des données au repos + en transit

BitLocker protège les données au repos. Combinez-le avec :

• Microsoft Purview Information Protection pour le chiffrement des documents en transit
• Defender for Endpoint pour la détection des menaces sur les postes chiffrés
• Microsoft Entra ID Protection pour détecter les connexions anormales sur les comptes associés aux postes

Conformité ISO 27001 et NIS 2

Le chiffrement des supports est une exigence explicite de l'ISO 27001 (contrôle A.8.24) et de la directive NIS 2. Disposer d'un rapport Intune attestant que 100% des postes sont chiffrés simplifie considérablement les audits de conformité. Les logs d'accès aux clés de récupération dans Entra ID constituent également une piste d'audit complète.

Réponse aux incidents

En cas de vol d'un poste, la procédure est simple : vérifiez que l'appareil est chiffré (via Intune), révoquez l'accès Entra ID (le jeton d'authentification devient invalide), et si nécessaire envoyez une commande de wipe à distance via Intune. Les données sur le disque sont inaccessibles sans la clé BitLocker, protégée par le TPM et l'identité Entra ID.

FAQ — Intune et BitLocker

Peut-on forcer BitLocker sur des appareils Entra ID déjà chiffrés manuellement ?

Oui. Si BitLocker a déjà été activé manuellement sur un poste, Intune détectera l'état de chiffrement existant. La politique ne rechiffrera pas le disque, mais elle vérifiera que les paramètres (algorithme, sauvegarde des clés dans Entra ID) correspondent à la politique. Si la clé de récupération n'est pas dans Entra ID, Intune tentera de la faire remonter automatiquement selon vos paramètres.

Quelle est la différence entre Endpoint Security Disk Encryption et Configuration Profiles pour BitLocker ?

Les deux approches configurent BitLocker mais via des canaux différents. Endpoint Security → Disk Encryption est l'interface unifiée recommandée depuis 2022, conçue pour les scénarios de sécurité. Les Configuration Profiles (Device configuration) permettent des paramètres plus granulaires et peuvent coexister. En cas de conflit, la politique la plus restrictive l'emporte généralement. Microsoft recommande d'utiliser une seule approche par environnement pour éviter les conflits.

Le chiffrement BitLocker ralentit-il les performances des postes ?

Sur les SSD modernes avec chiffrement matériel AES (NVMe ou SATA avec eDrive), l'impact sur les performances est négligeable (moins de 1%). Sur les HDD mécaniques, un léger overhead de 3 à 5% peut être observé en lecture/écriture intensive. Pour les postes de travail standard, l'impact est imperceptible au quotidien.

Peut-on gérer BitLocker sur des appareils BYOD via Intune ?

Les appareils BYOD enregistrés dans Entra ID (Entra ID Registered) ne supportent pas le contrôle complet de BitLocker via Intune MDM. Pour le BYOD, Microsoft recommande d'utiliser des politiques de protection des applications (App Protection Policies) pour protéger les données d'entreprise dans les applications mobiles, sans imposer le chiffrement du disque entier sur un appareil personnel.

Comment gérer les mises à jour firmware qui invalident le TPM et bloquent le démarrage ?

Certaines mises à jour BIOS/UEFI modifient les mesures PCR du TPM, ce qui déclenche une demande de clé de récupération au démarrage. Pour éviter cela, activez la politique Suspend BitLocker protection before updates dans Intune — BitLocker est suspendu temporairement pendant la mise à jour, puis réactivé automatiquement au redémarrage suivant. Les pilotes Windows Update gèrent cela nativement si l'appareil est correctement configuré.

Pour aller plus loin dans la sécurisation de vos postes Windows, consultez notre guide sur la configuration du pare-feu Windows Defender via Intune Endpoint Security et notre page dédiée à la certification ISO 27001. Pour toute question sur la documentation officielle Microsoft, référez-vous à la documentation Intune BitLocker et au portail Azure Active Directory / Entra ID.