MENU
  1. Accueil
  2. Windows
  3. Windows11
  4. Windows 11 : corriger l’erreur BitLocker To Go « Group Policy settings in conflict »

Windows 11 : corriger l’erreur BitLocker To Go « Group Policy settings in conflict »

Windows11

Vous tentez de chiffrer une clé USB avec BitLocker To Go sous Windows 11 Pro et l’assistant s’arrête avec un message sur des paramètres de stratégie en conflit ? Voici la méthode éprouvée pour supprimer le conflit, nettoyer les résidus de configuration et relancer le chiffrement avec succès.

Sommaire

Problème rencontré

Au démarrage de l’assistant BitLocker sur un périphérique amovible (clé USB, SSD externe), Windows affiche :

Starting BitLocker – The Group Policy settings for BitLocker startup options are in conflict and cannot be applied.

Ce message apparaît même si vous êtes bien sous Windows 11 Pro/Enterprise/Education et que le module TPM est présent et fonctionnel sur la machine. Le symptôme est trompeur : vous chiffrez un lecteur amovible, mais l’erreur provient d’options de démarrage BitLocker normalement dédiées au lecteur système (OS).

Cause la plus fréquente

Des paramètres contradictoires ont été posés par une stratégie locale (GPO) ou laissent des traces dans le Registre. En pratique, BitLocker voit simultanément des directives qui :

  • demandent d’interdire le démarrage avec TPM seul,
  • et en parallèle exigent une autre combinaison avec TPM (PIN, clé, ou PIN+clé),
  • et/ou autorisent une configuration « sans TPM » tout en la refusant ailleurs.

Ce mélange suffit à bloquer l’assistant To Go : Windows détecte l’incohérence de la ligne de base sécurité côté « lecteur système » et coupe court, même si vous ne chiffrez qu’une clé USB.

Solution pas‑à‑pas (rapide)

Appliquez la séquence ci‑dessous. Elle remet des valeurs cohérentes dans la stratégie locale, puis supprime les résidus dans le Registre qui réintroduisent le conflit.

ÉtapeActionDétails importants
0Sauvegarde / point de restaurationCréez un point de restauration système et, si possible, exportez la clé de Registre HKLM\SOFTWARE\Policies\Microsoft\FVE (clic droit » Exporter). Cela permet de revenir en arrière si nécessaire.
1Modifier la stratégie locale (gpedit.msc)Ouvrez : Configuration ordinateur › Modèles d’administration › Composants Windows › Chiffrement de lecteur BitLocker › Lecteurs du système d’exploitation. Double‑cliquez sur « Exiger une authentification supplémentaire au démarrage » puis : Réglez la stratégie sur Activé. Décochez « Autoriser BitLocker sans module TPM compatible ». Dans les options TPM, fixez des valeurs mutuellement cohérentes : TPM seul : Interdire TPM + PIN : Exiger une PIN TPM + clé : Interdire TPM + clé + PIN : Interdire Validez, puis exécutez gpupdate /force dans une console administrateur.
2Nettoyer le RegistreOuvrez regedit et allez à : HKLM\SOFTWARE\Policies\Microsoft\FVE. Supprimez toute valeur REG_DWORD binaire (0/1) liée aux options TPM (ex. UseTPM, UseTPMPIN, UseTPMKey, etc.) ou héritées d’anciennes GPO. Ce sont elles qui réinstallent le conflit au démarrage de BitLocker. Ne supprimez pas des sous‑clés critiques autres que FVE et laissez vides les options non utilisées (pas de valeur = non configuré).
3RedémarrerRedémarrez Windows, insérez la clé USB, puis relancez l’assistant BitLocker To Go.

Pourquoi cette séquence fonctionne

BitLocker applique une matrice de décisions issue de plusieurs couches : paramètres locaux, GPO de domaine, MDM (Intune), et valeurs persistées sous HKLM\SOFTWARE\Policies\Microsoft\FVE. Si la strate locale ordonne simultanément « interdire TPM seul » et « requérir TPM + autre chose », ou autorise « sans TPM » tout en le refusant ailleurs, l’API considère la configuration non résoluble et bloque toute initialisation de chiffrement, y compris pour un lecteur amovible qui, lui, n’utilise pas le TPM. En re‑posant une politique cohérente (Étape 1) puis en retirant les résidus contradictoires (Étape 2), on remet BitLocker dans un état stable.

Procédure détaillée (si vous préférez pas à pas)

1) Vérifier l’édition et les prérequis

  • Édition Windows : BitLocker To Go est proposé sur Pro, Enterprise, Education. Sur Home, l’assistant n’est pas disponible.
  • Compte administrateur : ouvrez une session avec des droits d’administrateur.
  • Lettre du lecteur : notez la lettre de la clé (ex. X:).

2) Reconfigurer « Exiger une authentification supplémentaire au démarrage »

  1. Win+R » gpedit.msc » Entrée.
  2. Accédez à Chiffrement de lecteur BitLocker › Lecteurs du système d’exploitation et ouvrez la stratégie citée.
  3. Choisissez Activé, décochez « Autoriser sans TPM », puis appliquez exactement les options listées plus haut.
  4. Ouvrez cmd en admin, exécutez : gpupdate /force.
  5. Redémarrez si Windows vous le demande (certaines GPO nécessitent un reboot).

3) Nettoyer les résidus dans le Registre

Cette étape évite que d’anciennes valeurs persistées réintroduisent le conflit au prochain démarrage de l’assistant.

  1. Win+R » regedit.
  2. Allez à HKLM\SOFTWARE\Policies\Microsoft\FVE.
  3. Exportez la clé (Fichier » Exporter), puis supprimez les valeurs REG_DWORD binaires (0/1) relatives aux combinaisons TPM ou à « autoriser sans TPM ». Laissez la clé FVE exister, mais vide si vous n’avez plus de politique locale à appliquer.
  4. Fermez l’Éditeur du Registre.

Important : sur un poste géré par votre entreprise (GPO de domaine ou Intune), la GPO centrale peut réécrire ces valeurs au redémarrage. Voir la section Environnement d’entreprise ci‑dessous.

4) Relancer BitLocker To Go

  1. Insérez la clé USB » clic droit » Activer BitLocker.
  2. L’assistant doit désormais démarrer sans l’erreur de conflit et proposer le choix de mot de passe ou carte à puce pour le déverrouillage.
  3. Choisissez votre méthode, sauvegardez la clé de récupération (fichier, impression, compte Microsoft/Azure AD), puis sélectionnez le mode de chiffrement (compatible ou nouveau).

Résultat attendu

  1. L’assistant BitLocker s’ouvre sans message d’erreur.
  2. Vous choisissez le mode de déverrouillage (mot de passe ou carte à puce).
  3. Vous enregistrez la clé de récupération.
  4. Vous sélectionnez la méthode de chiffrement (mode compatible ou nouveau).

Diagnostics utiles (au cas où)

Vérifier l’application des stratégies

gpresult /r
rsop.msc

gpresult /r liste les GPO effectives. rsop.msc (Resultant Set of Policy) donne un aperçu graphique des paramètres réellement appliqués.Consulter les journaux BitLocker

Observateur d’événements › Journaux des applications et des servicesMicrosoftWindowsBitLocker‑APIManagement. Recherchez les erreurs ou avertissements au moment où l’assistant échoue.Contrôler l’état BitLocker par commande

manage-bde -status X:
manage-bde -protectors -get X:

Remplacez X: par la lettre de la clé. La première commande affiche l’état du lecteur, la seconde les protecteurs (mot de passe, carte à puce, clé de récupération).

Informations complémentaires utiles

  • Éditions Windows : BitLocker To Go n’est disponible que sur Windows Pro/Enterprise/Education. Une migration depuis Home est nécessaire.
  • TPM : pour un lecteur amovible, BitLocker ne s’appuie pas sur le TPM. La stratégie ajustée vise uniquement à éliminer les contradictions côté lecteur système qui bloquaient l’assistant.
  • Formatage : préférez NTFS ou exFAT pour de meilleures performances. FAT32 limite la taille des fichiers.
  • Environnement d’entreprise : si le PC est géré par Active Directory ou Intune, une GPO/stratégie MDM peut réappliquer des paramètres au redémarrage. Faites valider par l’IT la stratégie « Exiger une authentification supplémentaire au démarrage » et ses options, ou demandez à l’IT de positionner explicitement les réglages cohérents côté domaine.
  • Alternative si l’interface échoue : la ligne de commande contourne parfois l’erreur : manage-bde -on X: -password Vous serez invité à saisir un mot de passe, puis BitLocker créera automatiquement un protecteur de récupération.
  • Déverrouillage automatique : évitez d’activer le déverrouillage automatique des lecteurs amovibles sur des postes partagés. Le mot de passe reste la meilleure pratique utilisateur.

Comprendre les paramètres en conflit (vue technique)

Les contradictions typiques résident dans des valeurs de stratégie sous HKLM\SOFTWARE\Policies\Microsoft\FVE (par ex. UseTPM, UseTPMPIN, UseTPMKey, UseTPMKeyPIN, EnableBDEWithNoTPM). Selon les environnements, elles peuvent être posées par :

  • une ancienne GPO locale,
  • une GPO de domaine retirée mais encore en cache,
  • une stratégie MDM (Intune) n’ayant pas « nettoyé » le paramètre à la suppression du profil,
  • ou une image de poste (golden image) qui a laissé des valeurs par défaut non pertinentes.

Règle d’or : moins il y a de valeurs forcées, mieux c’est. Laissez « Non configuré » quand vous n’avez pas besoin de forcer un comportement. Si vous devez forcer, assurez‑vous que chaque option a un équivalent Do not allow sur les combinaisons que vous ne voulez pas.

Bonnes pratiques de sécurité

  • PIN/mot de passe robustes : minimum 8 caractères, mélange lettres, chiffres et symboles. Évitez une PIN triviale (1234, 0000…).
  • Clé de récupération : stockez‑la hors du poste (coffre‑fort de mots de passe, impression papier). Ne la conservez jamais seule sur la clé chiffrée.
  • Mode de chiffrement : « Compatible » si la clé doit voyager sur des postes plus anciens ; « Nouveau » si vous contrôlez entièrement le parc sous Windows 10/11 récents.

FAQ rapide

Faut‑il un TPM pour BitLocker To Go ? Non. Les lecteurs amovibles se déverrouillent par mot de passe ou carte à puce. Le TPM concerne surtout le disque système. Le conflit traité ici se situe côté politiques « démarrage » du disque système. Puis‑je laisser « Autoriser sans TPM » coché ? Évitez de le mélanger avec des exigences TPM + PIN ou autres. Soit vous autorisez sans TPM (usage password/startup key), soit vous imposez TPM+PIN. Ne combinez pas les deux dans la même ligne de base. Dois‑je supprimer toute la clé FVE dans le Registre ? Non. Sauvegardez puis supprimez uniquement les valeurs contradictoires (DWORD 0/1). Laisser la clé exister est plus propre, surtout en environnement géré. Le message revient après reboot Une GPO/MDM réécrit probablement les paramètres. Vérifiez gpresult /r et demandez l’ajustement côté IT.

Annexe : recettes rapides en ligne de commande

ObjectifCommandeNotes
Lancer le chiffrement To Gomanage-bde -on X: -passwordInvite un mot de passe, crée aussi un protecteur de récupération.
Forcer le profil de chiffrement utilisémanage-bde -on X: -password -used-used chiffre uniquement l’espace utilisé (plus rapide).
État du lecteurmanage-bde -status X:Permet de suivre l’avancement et vérifier les protecteurs actifs.
Lister les protecteursmanage-bde -protectors -get X:Affiche mot de passe, carte à puce et clé de récupération associés.

Environnement d’entreprise (AD/Intune)

Sur un poste joint au domaine ou inscrit MDM, appliquez la démarche suivante en complément :

  1. Identifiez la ou les GPO/stratégies MDM qui définissent BitLocker (noms types : « Require additional authentication at startup », « Allow enhanced PINs for startup », politiques To Go).
  2. Dans la GPO de référence, fixez un modèle clair : TPM seul interdit, TPM+PIN requis, TPM+clé interdit, TPM+clé+PIN interdit. Laissez « Allow without TPM » décoché si vous imposez TPM+PIN.
  3. Exécutez gpupdate /force et vérifiez gpresult /r pour confirmer la prise d’effet.
  4. Après propagation, nettoyez encore une fois HKLM\SOFTWARE\Policies\Microsoft\FVE sur les postes si des valeurs héritées persistent.

Résumé opérationnel

  • L’erreur provient d’options de démarrage BitLocker en conflit.
  • Corrigez la GPO locale, puis purgez les valeurs FVE contradictoires dans le Registre.
  • Relancez l’assistant To Go : vous retrouvez le choix du mot de passe ou de la carte à puce, la sauvegarde de la clé de récupération et la sélection du mode de chiffrement.

En appliquant ces modifications, l’utilisateur a confirmé que le chiffrement de la clé USB fonctionne à nouveau correctement.

Windows11
Registre Windows 11 BitLocker GPO GPEDIT BitLocker To Go
Sommaire