A BitLocker felügyeletének tervezése
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Configuration Manager használatával kezelheti a BitLocker meghajtótitkosítást (BDE) az Active Directoryhoz csatlakoztatott helyszíni Windows-ügyfeleken. Teljes Körű BitLocker-életciklus-felügyeletet biztosít, amely helyettesítheti a Microsoft BitLocker felügyeleti és monitorozási (MBAM) használatát.
Megjegyzés:
Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.
A BitLockerről a BitLocker áttekintésében olvashat bővebben. A BitLocker üzemelő példányainak és követelményeinek összehasonlításáért tekintse meg a BitLocker üzembehelyezési összehasonlítási diagramját.
Tipp
Ha a Microsoft Intune felhőszolgáltatást használó, közösen felügyelt Windows 10 vagy újabb eszközökön szeretné kezelni a titkosítást, állítsa át az Endpoint Protection számítási feladatot az Intune-ra. Az Intune használatával kapcsolatos további információkért lásd: Windows-titkosítás.
Funkciók
Configuration Manager a következő felügyeleti képességeket biztosítja a BitLocker meghajtótitkosításhoz:
Ügyféltelepítés
Telepítse a BitLocker-ügyfelet Windows 8.1-es, Windows 10 vagy Windows 11 rendszerű felügyelt Windows-eszközökre.
BitLocker-házirendek kezelése és helyreállítási kulcsok elszabadulása helyszíni és internetalapú ügyfelek esetén
Titkosítási szabályzatok kezelése
Például: meghajtótitkosítás és titkosítás erősségének kiválasztása, felhasználói kivételszabályzat konfigurálása, rögzített adatmeghajtó-titkosítási beállítások.
Határozza meg azokat az algoritmusokat, amelyekkel az eszközt titkosítja, valamint a titkosításhoz használt lemezeket.
Az eszköz használata előtt kényszerítse a felhasználókat, hogy megfeleljenek az új biztonsági szabályzatok előírásainak.
Testre szabhatja a szervezet biztonsági profilját eszközönként.
Amikor egy felhasználó feloldja az operációsrendszer-meghajtó zárolását, adja meg, hogy csak egy operációsrendszer-meghajtót vagy az összes csatlakoztatott meghajtót oldja-e fel.
Megfelelőségi jelentések
Beépített jelentések a következőhöz:
- Titkosítási állapot kötetenként vagy eszközönként
- Az eszköz elsődleges felhasználója
- Megfelelőségi állapot
- A meg nem felelés okai
Felügyeleti és figyelési webhely
A Configuration Manager konzolon kívüli más személyek is segíthetnek a kulcsok helyreállításában, beleértve a kulcsrotálást és a BitLockerhez kapcsolódó egyéb támogatást. Az ügyfélszolgálati rendszergazdák például segíthetnek a felhasználóknak a kulcsok helyreállításában.
Tipp
A 2107-es verziótól kezdve a bérlőhöz csatlakoztatott eszközök BitLocker helyreállítási kulcsait is lekérheti a Microsoft Intune Felügyeleti központból. További információ: Bérlő csatolása: BitLocker helyreállítási kulcsok.
Felhasználói önkiszolgáló portál
Lehetővé teszi, hogy a felhasználók egy egyszer használatos kulccsal oldják fel a BitLocker által titkosított eszközök zárolását. A kulcs használata után létrehoz egy új kulcsot az eszközhöz.
Előfeltételek
Általános előfeltételek
BitLocker felügyeleti szabályzat létrehozásához a Teljes rendszergazda szerepkörrel kell Configuration Manager.
A BitLocker felügyeleti jelentéseinek használatához telepítse a jelentéskészítési szolgáltatási pont helyrendszerszerepkört. További információ: Jelentéskészítés konfigurálása.
Megjegyzés:
Ahhoz, hogy a helyreállítási naplózási jelentés működjön a felügyeleti és figyelési webhelyről, csak az elsődleges helyen használjon jelentéskészítési szolgáltatási pontot.
Az ügyfelek előfeltételei
Az eszközhöz olyan TPM-lapka szükséges, amely engedélyezve van a BIOS-ban, és visszaállítható a Windowsból.
A Microsoft a TPM 2.0-s vagy újabb verzióját használó eszközöket javasolja. Előfordulhat, hogy a TPM 1.2-es verziójával rendelkező eszközök nem támogatják megfelelően a BitLocker összes funkcióját.
A számítógép merevlemezéhez olyan BIOS szükséges, amely kompatibilis a TPM-sel, és amely támogatja az USB-eszközöket a számítógép indításakor.
Megjegyzés:
A TPM-jelszókivonat feltöltése elsősorban a Windows Windows 10 előtti verzióira vonatkozik. Windows 10 vagy újabb verzió alapértelmezés szerint nem menti a TPM jelszókivonatát, így ezek az eszközök általában nem töltik fel. További információ: Tudnivalók a TPM-tulajdonos jelszaváról.
A BitLocker kezelése nem támogatja az Configuration Manager által támogatott összes ügyféltípust. További információ: Támogatott konfigurációk.
A helyreállítási szolgáltatás előfeltételei
A 2010-es és korábbi verziókban a BitLocker helyreállítási szolgáltatásnak HTTPS-titkosításra van szüksége a hálózaton a helyreállítási kulcsok titkosításához az Configuration Manager-ügyféltől a felügyeleti pontig. Használja az alábbi lehetőségek egyikét:
HTTPS-engedélyezze az IIS-webhelyet a helyreállítási szolgáltatást üzemeltető felügyeleti ponton.
Konfigurálja a FELÜGYELETI pontot a HTTPS-hez.
További információ: Helyreállítási adatok titkosítása a hálózaton keresztül.
Megjegyzés:
Ha a hely és az ügyfelek Configuration Manager 2103-es vagy újabb verzióját futtatják, az ügyfelek a biztonságos ügyfélértesítési csatornán keresztül küldik el helyreállítási kulcsaikat a felügyeleti pontnak. Ha bármelyik ügyfél a 2010-es vagy korábbi verziót használja, a kulcsok elszabadulásához HTTPS-kompatibilis helyreállítási szolgáltatásra van szüksége a felügyeleti ponton.
A 2103-es verziótól kezdődően, mivel az ügyfelek a biztonságos ügyfélértesítési csatornát használják a kulcsok elszabadításához, engedélyezheti a Configuration Manager webhelyet továbbfejlesztett HTTP-hez. Ez a konfiguráció nincs hatással a BitLocker felügyeletének működésére Configuration Manager.
A 2010-es és korábbi verziókban a helyreállítási szolgáltatás használatához legalább egy felügyeleti pontra van szükség, amely nem replikakonfigurációban van. Bár a BitLocker helyreállítási szolgáltatás egy adatbázis-replikát használó felügyeleti pontra van telepítve, az ügyfelek nem tudják elzárni a helyreállítási kulcsokat. Ezután a BitLocker nem titkosítja a meghajtót. Tiltsa le a BitLocker helyreállítási szolgáltatást bármely, adatbázis-replikával rendelkező felügyeleti ponton.
A 2103-es verziótól kezdődően a helyreállítási szolgáltatás támogatja az adatbázis-replikát használó felügyeleti pontokat.
A BitLocker-portálok előfeltételei
Az önkiszolgáló portál vagy a felügyeleti és figyelési webhely használatához IIS-t futtató Windows-kiszolgálóra van szükség. Újra felhasználhat egy Configuration Manager helyrendszert, vagy használhat különálló webkiszolgálót, amely rendelkezik kapcsolattal a helyadatbázis-kiszolgálóhoz. Használjon támogatott operációsrendszer-verziót a helyrendszer-kiszolgálókhoz.
Az önkiszolgáló portált üzemeltető webkiszolgálón telepítse a Microsoft ASP.NET MVC 4.0 és .NET-keretrendszer 3.5 szolgáltatást, mielőtt a telepítési folyamatra néz. A windowsos kiszolgáló egyéb szükséges szerepkörei és szolgáltatásai automatikusan települnek a portál telepítési folyamata során.
Tipp
A Visual Studio egyetlen verzióját sem kell telepítenie az ASP.NET MVC-vel.
A portáltelepítő szkriptet futtató felhasználói fióknak SQL Server rendszergazdai jogosultságokkal kell rendelkeznie a helyadatbázis-kiszolgálón. A beállítási folyamat során a szkript beállítja a bejelentkezési, felhasználói és SQL Server szerepköri jogosultságokat a webkiszolgálói számítógépfiókhoz. Ezt a felhasználói fiókot eltávolíthatja a rendszergazdai szerepkörből, miután befejezte az önkiszolgáló portál és a felügyeleti és figyelési webhely beállítását.
Támogatott konfigurációk
A BitLocker kezelése nem támogatott virtuális gépeken (VM-eken) és kiszolgálói kiadásokban. A BitLocker felügyelete például nem indítja el a titkosítást a virtuális gépek rögzített meghajtóján. Emellett a virtuális gépek rögzített meghajtói akkor is megfelelőként jelenhetnek meg, ha nincsenek titkosítva.
A 2010-es és korábbi verziókban a Microsoft Entra csatlakoztatott, munkacsoporthoz tartozó ügyfelek vagy nem megbízható tartományokban lévő ügyfelek nem támogatottak. A Configuration Manager ezen korábbi verzióiban a BitLocker kezelése csak azokat az eszközöket támogatja, amelyek helyi Active Directory csatlakoznak, beleértve Microsoft Entra hibrid csatlakoztatott eszközöket is. Ez a konfiguráció a helyreállítási szolgáltatással való hitelesítésre szolgál a kulcsok kiesése érdekében.
A 2103-es verziótól kezdődően a Configuration Manager támogatja a BitLocker-felügyelet összes ügyfélillesztési típusát. Az ügyféloldali BitLocker felhasználói felületi összetevő azonban továbbra is csak az Active Directoryhoz csatlakoztatott és Microsoft Entra hibrid csatlakoztatott eszközökön támogatott.
A 2010-es verziótól kezdve mostantól kezelheti a BitLocker-szabályzatokat, és helyreállítási kulcsokat helyezhet üzembe egy felhőfelügyeleti átjárón (CMG) keresztül. Ez a módosítás a BitLocker internetalapú ügyfélfelügyeleten (IBCM) keresztüli felügyeletét is támogatja. A BitLocker-felügyelet beállítási folyamata nem változik. Ez a fejlesztés támogatja a tartományhoz csatlakoztatott és a hibrid tartományhoz csatlakoztatott eszközöket. További információ: Felügyeleti ügynök üzembe helyezése: Helyreállítási szolgáltatás.
- Ha a 2010-es verzióra való frissítés előtt létrehozott BitLocker felügyeleti házirendekkel rendelkezik, hogy elérhetővé tegye őket az internetalapú ügyfelek számára a CMG-vel:
- A Configuration Manager konzolon nyissa meg a meglévő szabályzat tulajdonságait.
- Váltson az Ügyfélkezelés lapra.
- A szabályzat mentéséhez kattintson az OK vagy az Alkalmaz gombra. Ez a művelet módosítja a szabályzatot, hogy az elérhető legyen az ügyfelek számára a CMG-en keresztül.
- Ha a 2010-es verzióra való frissítés előtt létrehozott BitLocker felügyeleti házirendekkel rendelkezik, hogy elérhetővé tegye őket az internetalapú ügyfelek számára a CMG-vel:
Alapértelmezés szerint a BitLocker engedélyezése feladatütemezési lépés csak a meghajtón használt területet titkosítja. A BitLocker kezelése teljes lemeztitkosítást használ. Konfigurálja ezt a feladatütemezési lépést a Teljes lemeztitkosítás használata lehetőség engedélyezéséhez.
A 2203-es verziótól kezdődően ezt a feladatütemezési lépést konfigurálhatja úgy, hogy a BitLocker helyreállítási adatait az operációs rendszer kötetének Configuration Manager.
További információ: Feladatütemezési lépések – BitLocker engedélyezése.
Fontos
A Invoke-MbamClientDeployment.ps1PowerShell-szkript csak önálló MBAM-hez használható. Nem használható Configuration Manager BitLocker-felügyelettel.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: