Plánování správy nástroje BitLocker

Platí pro: Configuration Manager (Current Branch)

Pomocí Configuration Manager můžete spravovat nástroj BitLocker Drive Encryption (BDE) pro místní klienty Windows, kteří jsou připojení ke službě Active Directory. Poskytuje úplnou správu životního cyklu nástroje BitLocker, která může nahradit použití nástroje Microsoft BitLocker Administration and Monitoring (MBAM).

Poznámka

Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

Další obecné informace o nástroji BitLocker naleznete v tématu Přehled nástroje BitLocker. Porovnání nasazení a požadavků nástroje BitLocker najdete v grafu porovnání nasazení nástroje BitLocker.

Tip

Pokud chcete spravovat šifrování na společně spravovaných Windows 10 nebo novějších zařízeních pomocí cloudové služby Microsoft Endpoint Manager, přepněte úlohu Endpoint Protection na Intune. Další informace o použití Intune naleznete v tématu Windows Šifrování.

Funkce

Configuration Manager poskytuje následující možnosti správy nástroje BitLocker Drive Encryption:

Nasazení klienta

  • Nasaďte klienta BitLockeru na spravovaná Windows zařízení s Windows 8.1, Windows 10 nebo Windows 11.

  • Správa zásad BitLockeru a klíčů pro obnovení pro místní a internetové klienty

Správa zásad šifrování

  • Příklad: Zvolte šifrování jednotky a sílu šifrování, nakonfigurujte zásady výjimky uživatele, nastavení pevného šifrování datové jednotky.

  • Určete algoritmy, pomocí kterých se má zařízení zašifrovat, a disky, na které cílíte pro šifrování.

  • Vynuťte uživatele, aby před použitím zařízení dodržovali nové zásady zabezpečení.

  • Přizpůsobte si profil zabezpečení vaší organizace podle jednotlivých zařízení.

  • Když uživatel odemkne jednotku operačního systému, určete, jestli se má odemknout jenom jednotka s operačním systémem nebo všechny připojené jednotky.

Sestavy dodržování předpisů

Předdefinované sestavy pro:

  • Stav šifrování na svazek nebo na zařízení
  • Primární uživatel zařízení
  • Stav dodržování předpisů
  • Důvody nedodržení předpisů

Web pro správu a monitorování

Povolte ostatním osobám ve vaší organizaci mimo konzolu Configuration Manager pomoc s obnovením klíčů, včetně obměny klíčů a další podpory související s BitLockerem. Správci helpdesku můžou například pomoct uživatelům s obnovením klíčů.

Tip

Od verze 2107 můžete také získat obnovovací klíče BitLockeru pro zařízení připojeného tenantem z centra pro správu Microsoft Endpoint Manager. Další informace najdete v tématu Připojení tenanta: Obnovovací klíče BitLockeru.

Samoobslužný portál uživatele

Nechte uživatele, aby si pomohli s jednorázovým klíčem pro odemknutí zařízení šifrovaného nástrojem BitLocker. Jakmile se tento klíč použije, vygeneruje pro zařízení nový klíč.

Požadavky

Obecné požadavky

  • Pokud chcete vytvořit zásadu správy BitLockeru, musíte mít v Configuration Manager roli Úplný správce.

  • Pokud chcete použít sestavy správy nástroje BitLocker, nainstalujte roli systému lokality bodu služby Reporting Services. Další informace najdete v tématu Konfigurace vytváření sestav.

    Poznámka

    Aby sestava auditu obnovení fungovala z webu pro správu a monitorování, používejte pouze bod služby Reporting Services v primární lokalitě.

Požadavky pro klienty

  • Zařízení vyžaduje čip TPM, který je povolený v systému BIOS a je resetovatelný z Windows.

    Microsoft doporučuje zařízení s čipem TPM verze 2.0 nebo novějším. Zařízení s čipem TPM verze 1.2 nemusí správně podporovat všechny funkce BitLockeru.

  • Pevný disk počítače vyžaduje systém BIOS, který je kompatibilní s čipem TPM a který během spouštění počítače podporuje zařízení USB.

Poznámka

Nahrání hodnoty hash hesla TPM se týká hlavně verzí Windows před Windows 10. Windows 10 nebo novější ve výchozím nastavení neukládá hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu O hesle vlastníka čipu TPM.

Správa BitLockeru nepodporuje všechny typy klientů, které Configuration Manager podporuje. Další informace najdete v tématu Podporované konfigurace.

Požadavky pro službu obnovení

  • Ve verzi 2010 a starší vyžaduje služba obnovení BitLockeru protokol HTTPS k šifrování klíčů obnovení v síti od klienta Configuration Manager až po bod správy. Použijte jednu z následujících možností:

    • Https povolte web služby IIS v bodu správy, který je hostitelem služby obnovení.

    • Nakonfigurujte bod správy pro protokol HTTPS.

    Další informace najdete v tématu Šifrování dat obnovení přes síť.

    Poznámka

    Pokud lokalita i klienti používají Configuration Manager verze 2103 nebo novější, klienti odesílají své obnovovací klíče do bodu správy přes kanál oznámení zabezpečeného klienta. Pokud jsou někteří klienti ve verzi 2010 nebo starší, potřebují v bodu správy službu obnovení s podporou PROTOKOLU HTTPS, aby mohli své klíče uchovat.

    Počínaje verzí 2103, protože klienti používají zabezpečený kanál oznámení klienta k ukládání klíčů, můžete povolit Configuration Manager lokalitu pro vylepšený protokol HTTP. Tato konfigurace nemá vliv na funkce správy BitLockeru v Configuration Manager.

  • Abyste mohli službu obnovení používat ve verzi 2010 a starší, potřebujete alespoň jeden bod správy, který není v konfiguraci repliky. Služba obnovení BitLockeru se sice instaluje do bodu správy, který používá repliku databáze, ale klienti nemůžou uchovat obnovovací klíče. BitLocker pak jednotku nezašifruje. Zakažte službu obnovení BitLockeru v libovolném bodu správy s replikou databáze.

    Od verze 2103 podporuje služba obnovení body správy, které používají repliku databáze.

Požadavky pro portály BitLockeru

  • Pokud chcete používat samoobslužný portál nebo web pro správu a monitorování, potřebujete Windows server se službou IIS. Můžete znovu použít systém lokality Configuration Manager nebo použít samostatný webový server, který má připojení k serveru databáze lokality. Pro servery systému lokality použijte podporovanou verzi operačního systému.

  • Na webovém serveru, který bude hostitelem samoobslužného portálu, nainstalujte před zahájením procesu instalace Microsoft ASP.NET MVC 4.0 a .NET Framework 3.5. Další požadované Windows role a funkce serveru se nainstalují automaticky během procesu instalace portálu.

    Tip

    S ASP.NET MVC nemusíte instalovat žádnou verzi Visual Studio.

  • Uživatelský účet, který spouští instalační skript portálu, potřebuje SQL Server oprávnění správce systému na serveru databáze lokality. Během procesu instalace skript nastaví přihlašovací, uživatelská a SQL Server oprávnění role pro účet počítače webového serveru. Tento uživatelský účet můžete odebrat z role správce systému po dokončení nastavení samoobslužného portálu a webu pro správu a monitorování.

Podporované konfigurace

  • Správa BitLockeru není podporovaná na virtuálních počítačích ani v serverových edicích. Správa BitLockeru například nespustí šifrování na pevných jednotkách virtuálních počítačů. Navíc pevné jednotky ve virtuálních počítačích se můžou zobrazovat jako vyhovující, i když nejsou šifrované.

  • Ve verzi 2010 a starších verzích nejsou podporováni klienti Azure Active Directory (Azure AD), klienti pracovních skupin nebo klienti v nedůvěryhodných doménách. V těchto starších verzích Configuration Manager podporuje správa BitLockeru jenom zařízení připojená k místní Active Directory, včetně zařízení připojených k hybridní službě Azure AD. Tato konfigurace slouží k ověření klíčů pomocí služby obnovení.

    Od verze 2103 Configuration Manager podporuje všechny typy připojení klientů pro správu BitLockeru. Komponenta uživatelského rozhraní BitLockeru na straně klienta je ale stále podporovaná jenom na zařízeních připojených ke službě Active Directory a hybridních zařízeních připojených k Azure AD.

  • Od verze 2010 teď můžete spravovat zásady BitLockeru a klíče obnovení escrow přes bránu pro správu cloudu (CMG). Tato změna také poskytuje podporu správy BitLockeru prostřednictvím internetové správy klientů (IBCM). V procesu nastavení pro správu BitLockeru nedošlo k žádné změně. Toto vylepšení podporuje zařízení připojená k doméně a zařízení připojená k hybridní doméně. Další informace najdete v tématu Nasazení agenta pro správu: Služba obnovení.

    • Pokud máte zásady správy BitLockeru, které jste vytvořili před aktualizací na verzi 2010, abyste je zpřístupnili internetovým klientům prostřednictvím CMG:
      1. V konzole Configuration Manager otevřete vlastnosti existující zásady.
      2. Přepněte na kartu Správa klienta .
      3. Pokud chcete zásadu uložit, vyberte OK nebo Použít . Tato akce upraví zásady tak, aby byly dostupné klientům přes cmg.
  • Ve výchozím nastavení krok Povolit pořadí úkolů nástroje BitLocker šifruje pouze využité místo na jednotce. Správa BitLockeru používá úplné šifrování disku . Nakonfigurujte tento krok pořadí úkolů a povolte možnost použít úplné šifrování disku.

    Od verze 2203 můžete tento krok pořadí úkolů nakonfigurovat tak, aby u svazku operačního systému Configuration Manager uchycovat informace o obnovení BitLockeru.

    Další informace najdete v tématu Kroky pořadí úkolů – Povolení nástroje BitLocker.

Důležité

Skript PowerShellu Invoke-MbamClientDeployment.ps1 je určený jenom pro samostatný MBAM . Neměl by se používat se správou nástroje Configuration Manager BitLocker.

Další kroky

Šifrování dat obnovení přes síť