Web pro správu a monitorování nástroje BitLocker

  • Článek

Platí pro: Configuration Manager (Current Branch)

Web pro správu a monitorování nástroje BitLocker je rozhraní pro správu nástroje BitLocker Drive Encryption. Označuje se také jako portál helpdesku. Na tomto webu můžete kontrolovat sestavy, obnovovat jednotky uživatelů a spravovat čipy TPM zařízení.

Výchozí web pro správu a monitorování nástroje BitLocker.

Než ji budete moct použít, nainstalujte tuto komponentu na webový server. Další informace najdete v tématu Nastavení sestav a portálů nástroje BitLocker.

Na web pro správu a monitorování přejděte přes následující adresu URL: https://webserver.contoso.com/HelpDesk

Poznámka

Sestavu auditu obnovení můžete zobrazit na webu pro správu a monitorování. Do bodu služby Reporting Services přidáte další sestavy správy nástroje BitLocker. Další informace najdete v tématu Zobrazení sestav nástroje BitLocker.

Skupiny

Pro přístup ke konkrétním oblastem webu pro správu a monitorování musí být váš uživatelský účet v jedné z následujících skupin. Vytvořte tyto skupiny ve službě Active Directory pomocí libovolného názvu. Při instalaci tohoto webu zadáte tyto názvy skupin. Další informace najdete v tématu Nastavení sestav a portálů nástroje BitLocker.

Skupina Popis
Správci technické podpory Nástroje BitLocker Poskytuje přístup ke všem oblastem webu pro správu a monitorování. Když uživateli pomůžete obnovit jeho jednotky, zadáte pouze obnovovací klíč, a ne doménu a uživatelské jméno. Pokud je uživatel členem této skupiny i skupiny uživatelé technické podpory Nástroje BitLocker, oprávnění skupiny správců přepíší oprávnění skupiny uživatelů.
Uživatelé helpdesku nástroje BitLocker Poskytuje přístup k oblastem Správa čipů TPM a Obnovení jednotek na webu pro správu a monitorování. Když použijete některou z těchto oblastí, musíte vyplnit všechna pole, včetně domény uživatele a názvu účtu. Pokud je uživatel členem této skupiny i skupiny správců helpdesku BitLockeru, oprávnění skupiny správců skupiny uživatelů přepíší oprávnění skupiny uživatelů.
Uživatelé sestav Nástroje BitLocker Poskytuje přístup k oblasti Sestavy na webu pro správu a monitorování.

Správa čipu TPM

Pokud uživatel zadá nesprávný PIN kód příliš mnohokrát, může čip TPM uzamknout. Počet, kolikrát může uživatel zadat nesprávný PIN kód před uzamčením čipu TPM, se liší od výrobce. V oblasti Správa čipu TPM na webu pro správu a monitorování přejděte k centralizovanému systému dat pro obnovení klíčů.

Další informace o vlastnictví čipu TPM najdete v tématu Konfigurace MBAM pro úschovu čipu TPM a uložení hesel ownerAuth.

Poznámka

Počínaje Windows 10 verze 1607 systém Windows při zřizování čipu TPM neuchová heslo vlastníka čipu TPM.

  1. Ve webovém prohlížeči přejděte na web pro správu a monitorování, například https://webserver.contoso.com/HelpDesk.

  2. V levém podokně vyberte oblast Spravovat čip TPM .

    Web pro správu a monitorování BitLockeru – Stránka Správa čipu TPM

  3. Zadejte plně kvalifikovaný název domény počítače a název počítače.

  4. V případě potřeby zadejte doménu a uživatelské jméno uživatele a načtěte soubor s heslem vlastníka čipu TPM.

  5. Pro soubor Důvod žádosti o heslo vlastníka ČIPU TPM zvolte jednu z následujících možností:

    • Resetování uzamčení PIN kódu
    • Zapnutí čipu TPM
    • Vypnutí čipu TPM
    • Změna hesla TPM
    • Vymazání čipu TPM
    • Další

    Po odeslání formuláře vrátí web jednu z následujících odpovědí:

    • Pokud nemůže najít odpovídající soubor s heslem vlastníka ČIPu TPM, vrátí chybovou zprávu.

    • Soubor hesla vlastníka čipu TPM pro odeslaný počítač

    Po načtení souboru s heslem vlastníka TPM se na webu zobrazí heslo vlastníka.

  6. Pokud chcete heslo uložit do souboru, vyberte Uložit.

  7. V oblasti Správa čipu TPM vyberte možnost Resetovat uzamčení čipu TPM a zadejte soubor s heslem vlastníka čipu TPM.

    Uzamčení čipu TPM se resetuje. BitLocker obnoví přístup uživatele k zařízení.

    Důležité

    Nesdílejte hodnotu hash TPM ani soubor s heslem vlastníka TPM.

Obnovení disku

Tip

Od verze 2107 můžete také získat obnovovací klíče nástroje BitLocker pro zařízení připojené k tenantovi z Centra pro správu Microsoft Intune. Další informace najdete v tématu Připojení tenanta: Obnovovací klíče nástroje BitLocker.

Obnovení jednotky v režimu obnovení

Jednotky přejdou do režimu obnovení v následujících scénářích:

  • Uživatel ztratí nebo zapomene svůj PIN kód nebo heslo
  • Čip TPM (Trusted Module Platform) detekuje změny v systému BIOS nebo spouštěcích souborech počítače.

Pokud chcete získat heslo pro obnovení, použijte oblast Obnovení disku na webu pro správu a monitorování.

Důležité

Platnost hesel pro obnovení vyprší po jednom použití. Na jednotkách s operačním systémem a pevných datových jednotkách se pravidlo pro jedno použití použije automaticky. Na vyměnitelných jednotkách se použije při odebrání a opětovném vložení jednotky.

  1. Ve webovém prohlížeči přejděte na web pro správu a monitorování, například https://webserver.contoso.com/HelpDesk.

  2. V levém podokně vyberte oblast Obnovení jednotky .

    Stránka obnovení ovladače pro správu a monitorování nástroje BitLocker

  3. V případě potřeby zadejte doménu a uživatelské jméno uživatele a zobrazte informace o obnovení.

  4. Pokud chcete zobrazit seznam možných odpovídajících obnovovacích klíčů, zadejte prvních osm číslic ID obnovovacího klíče. Pokud chcete získat přesný obnovovací klíč, zadejte celé ID obnovovacího klíče.

  5. Jako důvod odemknutí jednotky zvolte jednu z následujících možností:

    • Změnilo se pořadí spouštění operačního systému
    • Změna systému BIOS
    • Změněné soubory operačního systému
    • Ztracený spouštěcí klíč
    • Ztracený PIN kód
    • Resetování čipu TPM
    • Ztracené přístupové heslo
    • Ztracená čipová karta
    • Další

    Po odeslání formuláře vrátí web jednu z následujících odpovědí:

    • Pokud má uživatel více odpovídajících hesel pro obnovení, vrátí několik možných shod.

    • Heslo pro obnovení a balíček pro obnovení pro odeslaného uživatele.

      Poznámka

      Pokud obnovujete poškozenou jednotku, možnost balíčku pro obnovení poskytne nástroji BitLocker důležité informace, které potřebuje k obnovení jednotky.

    • Pokud nenajde odpovídající heslo pro obnovení, vrátí chybovou zprávu.

    Po načtení hesla pro obnovení a balíčku pro obnovení se na webu zobrazí heslo pro obnovení.

  6. Pokud chcete zkopírovat heslo, vyberte Kopírovat klíč. Pokud chcete uložit heslo pro obnovení do souboru, vyberte Uložit.

Pokud chcete jednotku odemknout, zadejte heslo pro obnovení nebo použijte balíček pro obnovení.

Obnovení přesunuté jednotky

Když přesunete jednotku do nového počítače, protože čip TPM je jiný, BitLocker nepřijme předchozí PIN kód. Pokud chcete obnovit přesunutou jednotku, získejte ID obnovovacího klíče a načtěte heslo pro obnovení.

Pokud chcete obnovit přesunutou jednotku, použijte oblast Obnovení jednotky na webu pro správu a monitorování.

  1. V počítači s přesunutou jednotkou spusťte počítač v režimu Prostředí Windows Recovery Environment (WinRE).

  2. Ve WinRE BitLocker považuje přesunutou jednotku operačního systému za pevnou datovou jednotku. BitLocker zobrazí ID hesla pro obnovení jednotky a vyzve k zadání hesla pro obnovení.

    Poznámka

    V některých situacích během procesu spouštění vyberte možnost Zapomněl(a) jsem PIN , pokud je tato možnost dostupná. Potom přejděte do režimu obnovení, aby se zobrazilo ID obnovovacího klíče.

  3. Pomocí ID obnovovacího klíče získejte heslo pro obnovení z webu pro správu a monitorování. Další informace najdete v tématu Obnovení jednotky v režimu obnovení.

Pokud jste nakonfigurovali přesunutou jednotku tak, aby používala čip TPM v původním počítači, proveďte následující kroky. V opačném případě je proces obnovení dokončen.

  1. Po odemknutí jednotky spusťte počítač v režimu WinRE. Otevřete příkazový řádek ve WinRE a pomocí příkazu manage-bde dešifrujte jednotku. Tento nástroj je jediným způsobem, jak odebrat ochranu TPM + PIN bez původního čipu TPM. Další informace o tomto příkazu najdete v tématu Manage-bde.

  2. Po dokončení spusťte počítač normálně. Configuration Manager vynutí zásadu nástroje BitLocker k šifrování jednotky pomocí čipu TPM a PIN kódu nového počítače.

Obnovení poškozené jednotky

Pomocí ID obnovovacího klíče získejte balíček obnovovacího klíče z webu pro správu a monitorování. Další informace najdete v tématu Obnovení jednotky v režimu obnovení.

  1. Uložte balíček obnovovacího klíče do počítače a zkopírujte ho do počítače s poškozenou jednotkou.

  2. Otevřete příkazový řádek jako správce a zadejte následující příkaz:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Nahraďte následující hodnoty:

    • <corrupted drive>: Písmeno poškozené jednotky, například D:
    • <fixed drive>: Písmeno jednotky dostupné jednotky pevného disku podobné nebo větší velikosti, než je poškozená jednotka. BitLocker obnoví a přesune data z poškozené jednotky na zadanou jednotku. Všechna data na této jednotce jsou přepsána.
    • <key package>: Umístění balíčku obnovovacího klíče
    • <recovery password>: Přidružené heslo pro obnovení

    Příklad:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Další informace o tomto příkazu najdete v tématu Repair-bde.

Sestavy

Web pro správu a monitorování obsahuje sestavu auditu obnovení. Další sestavy jsou k dispozici v Configuration Manager bodu služby Reporting Services. Další informace najdete v tématu Zobrazení sestav nástroje BitLocker.

  1. Ve webovém prohlížeči přejděte na web pro správu a monitorování, například https://webserver.contoso.com/HelpDesk.

  2. V levém podokně vyberte oblast Sestavy .

  3. V horním řádku nabídek vyberte Sestava auditu obnovení.

Další informace o této sestavě najdete v tématu Sestava auditu obnovení.

Tip

Výsledky sestavy uložíte tak, že na řádku nabídek Sestavyvyberete Exportovat.