Plánování správy nástrojem BitLocker
Platí pro: Configuration Manager (Current Branch)
Pomocí Configuration Manager můžete spravovat nástroj BitLocker Drive Encryption (BDE) pro místní klienty Windows, kteří jsou připojení ke službě Active Directory. Poskytuje úplnou správu životního cyklu nástroje BitLocker, která může nahradit používání nástroje Microsoft BitLocker Administration and Monitoring (MBAM).
Poznámka
Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.
Další obecné informace o nástroji BitLocker najdete v tématu Přehled nástroje BitLocker. Porovnání nasazení nástroje BitLocker a požadavků najdete v grafu porovnání nasazení nástroje BitLocker.
Tip
Pokud chcete spravovat šifrování na společně spravovaných Windows 10 nebo novějších zařízeních pomocí cloudové služby Microsoft Intune, přepněte úlohu Endpoint Protection na Intune. Další informace o používání Intune najdete v tématu Šifrování Windows.
Funkce
Configuration Manager poskytuje následující možnosti správy nástroje BitLocker Drive Encryption:
Nasazení klienta
Nasaďte klienta Nástroje BitLocker na spravovaná zařízení s Windows se systémem Windows 8.1, Windows 10 nebo Windows 11.
Správa zásad nástroje BitLocker a obnovovacích klíčů pro úschovu pro místní a internetové klienty
Správa zásad šifrování
Například: zvolte šifrování jednotky a sílu šifry, nakonfigurujte zásady výjimek uživatelů a nastavení šifrování pevných datových jednotek.
Určete algoritmy, pomocí kterých se má zařízení zašifrovat, a disky, jejichž cílem je šifrování.
Vynuťte, aby uživatelé před použitím zařízení dodržovali nové zásady zabezpečení.
Přizpůsobte si profil zabezpečení vaší organizace na základě jednotlivých zařízení.
Když uživatel odemkne jednotku operačního systému, určete, jestli se má odemknout jenom jednotka operačního systému, nebo všechny připojené jednotky.
Sestavy dodržování předpisů
Integrované sestavy pro:
- Stav šifrování podle svazku nebo zařízení
- Primární uživatel zařízení
- Stav dodržování předpisů
- Důvody pro nedodržování předpisů
Web pro správu a monitorování
Umožnit jiným osobám ve vaší organizaci mimo konzolu Configuration Manager pomoct s obnovením klíčů, včetně obměny klíčů a další podpory související s nástrojem BitLocker. Například správci helpdesku můžou uživatelům pomoct s obnovením klíče.
Tip
Od verze 2107 můžete také získat obnovovací klíče nástroje BitLocker pro zařízení připojené k tenantovi z Centra pro správu Microsoft Intune. Další informace najdete v tématu Připojení tenanta: Obnovovací klíče nástroje BitLocker.
Samoobslužný portál uživatele
Umožněte uživatelům pomoct si pomocí klíče na jedno použití pro odemknutí šifrovaného zařízení nástrojem BitLocker. Jakmile se tento klíč použije, vygeneruje nový klíč pro zařízení.
Požadavky
Obecné požadavky
Pokud chcete vytvořit zásady správy nástroje BitLocker, potřebujete v Configuration Manager roli Úplný správce.
Pokud chcete používat sestavy správy nástroje BitLocker, nainstalujte roli systému lokality bodu služby Reporting Services. Další informace najdete v tématu Konfigurace vytváření sestav.
Poznámka
Aby sestava auditu obnovení fungovala z webu pro správu a monitorování, použijte pouze bod služby Reporting Services v primární lokalitě.
Požadavky pro klienty
Zařízení vyžaduje čip TPM, který je povolený v systému BIOS a je možné ho resetovat z Windows.
Microsoft doporučuje zařízení s čipem TPM verze 2.0 nebo novější. Zařízení s čipem TPM verze 1.2 nemusí správně podporovat všechny funkce nástroje BitLocker.
Pevný disk počítače vyžaduje systém BIOS, který je kompatibilní s čipem TPM a který podporuje zařízení USB během spouštění počítače.
Poznámka
Nahrání hodnoty hash hesel TPM se týká hlavně verzí Windows před Windows 10. Windows 10 nebo novějším ve výchozím nastavení neukládá hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu Informace o hesle vlastníka čipu TPM.
Správa BitLockeru nepodporuje všechny typy klientů podporované Configuration Manager. Další informace najdete v tématu Podporované konfigurace.
Požadavky na službu Recovery Service
Ve verzi 2010 a starších vyžaduje služba obnovení nástroje BitLocker protokol HTTPS k šifrování obnovovacích klíčů v síti od klienta Configuration Manager do bodu správy. Použijte jednu z následujících možností:
HTTPS – povolte web služby IIS v bodě správy, který je hostitelem služby Recovery Service.
Nakonfigurujte bod správy pro HTTPS.
Další informace najdete v tématu Šifrování dat obnovení přes síť.
Poznámka
Pokud lokalita i klienti používají Configuration Manager verze 2103 nebo novější, klienti odesílají své obnovovací klíče do bodu správy přes kanál oznámení zabezpečeného klienta. Pokud mají klienti verzi 2010 nebo starší, potřebují v bodě správy službu obnovení s podporou protokolu HTTPS, aby mohli své klíče uschovat.
Od verze 2103, protože klienti používají zabezpečený kanál oznámení klienta pro klíče pro úschovu, můžete povolit Configuration Manager lokalitu pro rozšířený protokol HTTP. Tato konfigurace nemá vliv na funkce správy nástrojem BitLocker v Configuration Manager.
Ve verzi 2010 a starších potřebujete k použití služby Recovery Service alespoň jeden bod správy, který není v konfiguraci repliky. Přestože se služba obnovení bitlockeru nainstaluje na bod správy, který používá repliku databáze, klienti nemůžou obnovovací klíče vy escovat. BitLocker pak jednotku nezašifruje. Zakažte službu obnovení nástroje BitLocker v jakémkoli bodě správy s replikou databáze.
Od verze 2103 podporuje služba recovery service body správy, které používají repliku databáze.
Požadavky na portály BitLockeru
Pokud chcete používat samoobslužný portál nebo web pro správu a monitorování, potřebujete windows server se službou IIS. Můžete znovu použít Configuration Manager systému lokality nebo použít samostatný webový server, který má připojení k serveru databáze lokality. Pro servery systému lokality použijte podporovanou verzi operačního systému.
Na webovém serveru, který bude hostitelem samoobslužného portálu, nainstalujte microsoft ASP.NET MVC 4.0 a funkci rozhraní .NET Framework 3.5 a teprve potom zíráte proces instalace. Další požadované role a funkce windows serveru se nainstalují automaticky během procesu instalace portálu.
Tip
S ASP.NET MVC nemusíte instalovat žádnou verzi sady Visual Studio.
Uživatelský účet, který spouští instalační skript portálu, musí SQL Server oprávnění správce systému na serveru databáze lokality. Během procesu instalace skript nastaví oprávnění k přihlášení, uživateli a SQL Server role pro účet počítače s webovým serverem. Tento uživatelský účet můžete odebrat z role správce systému po dokončení nastavení samoobslužného portálu a webu pro správu a monitorování.
Podporované konfigurace
Správa nástroje BitLocker se nepodporuje na virtuálních počítačích ani v serverových edicích. Například správa nástroje BitLocker nespustí šifrování na pevných jednotkách virtuálních počítačů. Pevné jednotky ve virtuálních počítačích se navíc můžou zobrazovat jako vyhovující, i když nejsou šifrované.
Ve verzi 2010 a starších verzích se nepodporují klienti Microsoft Entra připojení, klienti pracovní skupiny nebo klienti v nedůvěryhodných doménách. V těchto starších verzích Configuration Manager podporuje správa BitLockeru jenom zařízení, která jsou připojená k místní Active Directory včetně Microsoft Entra hybridních zařízení. Tato konfigurace slouží k ověření ve službě Recovery Service pro klíče úschovy.
Od verze 2103 Configuration Manager podporuje všechny typy připojení klientů pro správu nástroje BitLocker. Komponenta uživatelského rozhraní nástroje BitLocker na straně klienta je však stále podporována pouze na zařízeních připojených službou Active Directory a Microsoft Entra zařízeních připojených k hybridním připojením.
Od verze 2010 teď můžete spravovat zásady nástroje BitLocker a ukládaní obnovovacích klíčů přes bránu pro správu cloudu (CMG). Tato změna také poskytuje podporu pro správu bitlockeru prostřednictvím internetové správy klientů (IBCM). Proces nastavení pro správu BitLockeru se nijak nemění. Toto vylepšení podporuje zařízení připojená k doméně a hybridní zařízení připojená k doméně. Další informace najdete v tématu Nasazení agenta pro správu: Recovery Service.
- Pokud máte zásady správy nástroje BitLocker, které jste vytvořili před aktualizací na verzi 2010, chcete je zpřístupnit internetovým klientům prostřednictvím CMG:
- V konzole Configuration Manager otevřete vlastnosti existující zásady.
- Přepněte na kartu Správa klientů .
- Výběrem OK nebo Použít zásadu uložte. Tato akce upraví zásady tak, aby byly dostupné klientům přes CMG.
- Pokud máte zásady správy nástroje BitLocker, které jste vytvořili před aktualizací na verzi 2010, chcete je zpřístupnit internetovým klientům prostřednictvím CMG:
Krok pořadí úkolů Povolit nástroj BitLocker ve výchozím nastavení šifruje pouze využité místo na jednotce. Správa Nástroje BitLocker používá úplné šifrování disku . Nakonfigurujte tento krok pořadí úkolů tak, aby povolte možnost Použít úplné šifrování disku.
Od verze 2203 můžete tento krok pořadí úkolů nakonfigurovat tak, aby ukládaly informace nástroje BitLocker pro obnovení svazku operačního systému Configuration Manager.
Další informace najdete v tématu Kroky pořadí úkolů – povolení Nástroje BitLocker.
Důležité
Skript PowerShellu Invoke-MbamClientDeployment.ps1 je určený jenom pro samostatné MBAM . Neměl by se používat se správou nástroje BitLocker Configuration Manager.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro