Plan für die BitLocker-VerwaltungPlan for BitLocker management

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Ab Version 1910 können Sie mit Configuration Manager BitLocker-Laufwerkverschlüsselung (BDE) für lokale Windows-Clients verwalten.Starting in version 1910, use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients. Er bietet eine vollständige BitLocker-Lebenszyklus Verwaltung, die die Verwendung von Microsoft BitLocker Administration and Monitoring (mbam) ersetzen kann.It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

Hinweis

Configuration Manager aktiviert dieses optionale Feature nicht automatisch.Configuration Manager doesn't enable this optional feature by default. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden.You must enable this feature before using it. Weitere Informationen finden Sie unter Enable optional features from updates (Aktivieren optionaler Features von Updates).For more information, see Enable optional features from updates.

Weitere Informationen finden Sie unter BitLocker (Übersicht).For more information, see BitLocker overview.

Tipp

Um die Verschlüsselung auf gemeinsam verwalteten Windows 10-Geräten mit dem Microsoft Endpoint Manager-clouddienst zu verwalten, wechseln Sie zur Endpoint Protection Arbeitsauslastung in InTune.To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Weitere Informationen zur Verwendung von InTune finden Sie unter Windows-Verschlüsselung.For more information on using Intune, see Windows Encryption.

FeaturesFeatures

Configuration Manager bietet die folgenden Verwaltungsfunktionen für BitLocker-Laufwerkverschlüsselung:Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

ClientbereitstellungClient deployment

Bereitstellen des BitLocker-Clients auf verwalteten Windows-Geräten mit Windows 10, Windows 8.1 oder Windows 7Deploy the BitLocker client to managed Windows devices running Windows 10, Windows 8.1, or Windows 7

Verwalten von VerschlüsselungsrichtlinienManage encryption policies

  • Beispiel: Wählen Sie Laufwerk Verschlüsselung und Verschlüsselungsstärke, Benutzer Ausnahme Richtlinie konfigurieren, Verschlüsselungseinstellungen für das Festplattenlaufwerk.For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • Bestimmen Sie die Algorithmen, mit denen das Gerät verschlüsselt werden soll, und die Datenträger, die Sie für die Verschlüsselung als Ziel angeben.Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • Erzwingen Sie, dass Benutzer vor der Verwendung des Geräts mit neuen Sicherheitsrichtlinien konform sind.Force users to get compliant with new security policies before using the device.

  • Passen Sie das Sicherheitsprofil ihrer Organisation auf Gerätebasis an.Customize your organization's security profile on a per device basis.

  • Wenn ein Benutzer das Betriebssystem Laufwerk entsperrt, geben Sie an, ob nur ein Betriebssystem Laufwerk oder alle angeschlossenen Laufwerke entsperrt werden.When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

KonformitätsberichteCompliance reports

Integrierte Berichte für:Built-in reports for:

  • Verschlüsselungs Status pro Volume oder pro GerätEncryption status per volume or per device
  • Der primäre Benutzer des GerätsThe primary user of the device
  • KonformitätsstatusCompliance status
  • Gründe für NichtkonformitätReasons for non-compliance

Administration and Monitoring-WebsiteAdministration and monitoring website

Gestatten Sie anderen Personas in Ihrer Organisation außerhalb der Configuration Manager-Konsole die Unterstützung der Schlüsselwiederherstellung, einschließlich Schlüssel Rotation und anderer BitLocker-bezogener Unterstützung.Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. Helpdeskadministratoren können z. b. Benutzer mit Schlüsselwiederherstellung unterstützen.For example, help desk administrators can help users with key recovery.

Self-Service-Portal für BenutzerUser self-service portal

Ermöglichen Sie es Benutzern, sich mit einem einfach zu verwendenden Schlüssel zum Entsperren eines BitLocker-verschlüsselten Geräts zu unterstützen.Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. Sobald dieser Schlüssel verwendet wird, generiert er einen neuen Schlüssel für das Gerät.Once this key is used, it generates a new key for the device.

Erforderliche KomponentenPrerequisites

  • Um in Version 1910 eine BitLocker-Verwaltungs Richtlinie zu erstellen, benötigen Sie in Configuration Manager die Rolle " Vollständiger Administrator ".In version 1910, to create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • Um den BitLocker-Wiederherstellungs Dienst in zu integrieren Configuration Manager ist ein HTTPS-fähiger Verwaltungspunkt erforderlich.To integrate the BitLocker recovery service in Configuration Manager requires a HTTPS-enabled management point. In den Eigenschaften des Verwaltungs Punkts muss die Einstellung für Client Verbindungen httpslauten.On the properties of the management point, the Client connections setting must be HTTPS.

    Hinweis

    In Version 1910 wird die erweiterte http-Version nicht unterstützt.In version 1910, it doesn't support Enhanced HTTP.

  • Installieren Sie die Standortsystem Rolle "Reporting Services-Punkt", um die BitLocker-Verwaltungsberichte zu verwenden.To use the BitLocker management reports, install the reporting services point site system role. Weitere Informationen finden Sie unter Konfigurieren der Berichterstellung.For more information, see Configure reporting.

    Hinweis

    Verwenden Sie in Version 1910 für den Überwachungsbericht für die Wiederherstellung auf der Administration and Monitoring-Website nur einen Reporting Services-Punkt am primären Standort.In version 1910, for the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

  • Um das Self-Service-Portal oder die Administration and Monitoring-Website zu verwenden, benötigen Sie einen Windows-Server, auf dem IIS ausgeführt wird.To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. Sie können ein Configuration Manager Standortsystem wieder verwenden oder einen eigenständigen Webserver verwenden, der über eine Verbindung mit dem Standortdaten Bankserver verfügt.You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. Verwenden Sie eine unterstützte Betriebssystemversion für Standortsystemserver.Use a supported OS version for site system servers.

    Hinweis

    Installieren Sie in Version 1910 nur das Self-Service-Portal und die Administration and Monitoring-Website mit einer Datenbank des primären Standorts.In version 1910, only install the self-service portal and the administration and monitoring website with a primary site database. Installieren Sie diese Websites in einer Hierarchie für jeden primären Standort.In a hierarchy, install these websites for each primary site.

  • Installieren Sie auf dem Webserver, auf dem das Self-Service-Portal gehostet wird, Microsoft ASP.NET MVC 4,0.On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0.

  • Das Benutzerkonto zur Ausführung des Portalinstallationsskripts benötigt auf dem Standortdatenbankserver sysadmin-Rechte für SQL.The user account that runs the portal installer script needs SQL sysadmin rights on the site database server. Während des Setupvorgangs legt das Skript die Anmeldung, den Benutzer und die SQL-Rollenberechtigungen für das Computerkonto des Webservers fest.During the setup process, the script sets login, user, and SQL role rights for the web server machine account. Sie können dieses Benutzerkonto aus der sysadmin-Rolle entfernen, nachdem Sie das-Setup für das Self-Service-Portal und die Administration and Monitoring-Website durchgeführt haben.You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

Tipp

Der Tasksequenz Schritt BitLocker aktivieren verschlüsselt standardmäßig nur den verwendeten Speicherplatz auf dem Laufwerk.By default, the Enable BitLocker task sequence step only encrypts used space on the drive. Die BitLocker-Verwaltung verwendet vollständige Datenträger Verschlüsselung.BitLocker management uses full disk encryption. Konfigurieren Sie diesen Tasksequenz Schritt, um die Option zur Verwendung der vollständigenDatenträger Verschlüsselung zu aktivieren.Configure this task sequence step to enable the option to Use full disk encryption. Weitere Informationen finden Sie unter Task Sequenz Schritte: Aktivieren von BitLocker.For more information, see Task sequence steps - Enable BitLocker.

Nächste SchritteNext step

Bereitstellen der BitLocker-VerwaltungDeploy BitLocker management client