Pianificare la gestione di BitLockerPlan for BitLocker management

Si applica a: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

A partire dalla versione 1910, usare Configuration Manager per gestire Crittografia unità BitLocker per i client Windows locali aggiunti ad Active Directory.Starting in version 1910, use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients, which are joined to Active Directory. Configuration Manager offre una gestione completa del ciclo di vita di BitLocker che può sostituire l'uso di Microsoft BitLocker Administration and Monitoring (MBAM).It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

Nota

Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita.Configuration Manager doesn't enable this optional feature by default. Pertanto sarà necessario abilitarla prima di poterla usare.You must enable this feature before using it. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).For more information, see Enable optional features from updates.

Per informazioni più generali su BitLocker, vedere Panoramica di BitLocker.For more general information on BitLocker, see BitLocker overview.

Suggerimento

Per gestire la crittografia in dispositivi Windows 10 con co-gestione usando il servizio cloud Microsoft Endpoint Manager, spostare il carico di lavoro Endpoint Protection in Intune.To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Per altre informazioni sull'uso di Intune, vedere Crittografia di Windows.For more information on using Intune, see Windows Encryption.

CaratteristicheFeatures

Configuration Manager offre le funzionalità di gestione seguenti per Crittografia unità BitLocker:Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

Distribuzione clientClient deployment

  • Distribuire il client di BitLocker nei dispositivi Windows gestiti che eseguono Windows 10 o Windows 8.1Deploy the BitLocker client to managed Windows devices running Windows 10 or Windows 8.1

  • Gestire i criteri di BitLocker e le chiavi di ripristino del deposito per client locali e basati su InternetManage BitLocker policies and escrow recovery keys for on-premises and internet-based clients

Gestire i criteri di crittografiaManage encryption policies

  • Ad esempio: scegliere la crittografia delle unità e il livello di codifica, configurare i criteri di esenzione utente e le impostazioni di crittografia per unità dati fisse.For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • Determinare gli algoritmi con cui crittografare il dispositivo e i dischi di destinazione per la crittografia.Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • Forzare la conformità degli utenti con i nuovi criteri di sicurezza prima di usare il dispositivo.Force users to get compliant with new security policies before using the device.

  • Personalizzare il profilo di sicurezza dell'organizzazione in base ai singoli dispositivi.Customize your organization's security profile on a per device basis.

  • Quando un utente sblocca l'unità del sistema operativo, specificare se sbloccare solo un'unità del sistema operativo o tutte le unità collegate.When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

Report di conformitàCompliance reports

Report predefiniti per:Built-in reports for:

  • Stato di crittografia per volume o per dispositivoEncryption status per volume or per device
  • Utente primario del dispositivoThe primary user of the device
  • Stato di conformitàCompliance status
  • Motivi per la mancata conformitàReasons for non-compliance

Sito Web di amministrazione e monitoraggioAdministration and monitoring website

Consentire ad altri utenti dell'organizzazione all'esterno della console di Configuration Manager di fornire assistenza per il ripristino delle chiavi, inclusa la rotazione delle chiavi e altre attività di supporto correlate a BitLocker.Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. Ad esempio, gli amministratori dell'help desk possono aiutare gli utenti con il recupero della chiave.For example, help desk administrators can help users with key recovery.

Portale self-service degli utentiUser self-service portal

Consentire agli utenti di ottenere in autonomia una chiave monouso per sbloccare un dispositivo crittografato con BitLocker.Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. Una volta usata questa chiave, viene generata una nuova chiave per il dispositivo.Once this key is used, it generates a new key for the device.

PrerequisitiPrerequisites

Prerequisiti generaliGeneral prerequisites

  • Per creare un criterio di gestione di BitLocker, è necessario il ruolo di amministratore completo in Configuration Manager.To create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • Per usare i report di gestione di BitLocker, installare il ruolo del sistema del sito del punto di Reporting Services.To use the BitLocker management reports, install the reporting services point site system role. Per altre informazioni, vedere Configurare la creazione di report in Reporting Manager.For more information, see Configure reporting.

    Nota

    Affinché il report Controllo del ripristino funzioni dal sito Web di amministrazione e monitoraggio, usare solo un punto di Reporting Services nel sito primario.For the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

Prerequisiti per il servizio di ripristinoPrerequisites for the recovery service

  • Il servizio di ripristino di BitLocker richiede HTTPS per la crittografia delle chiavi di ripristino attraverso la rete dal client di Configuration Manager al punto di gestione.The BitLocker recovery service requires HTTPS to encrypt the recovery keys across the network from the Configuration Manager client to the management point. Usare una delle seguenti opzioni:Use one of the following options:

    • Abilitare il sito Web IIS per HTTPS nel punto di gestione che ospita il servizio di ripristino.HTTPS-enable the IIS website on the management point that hosts the recovery service. Questa opzione si applica a Configuration Manager versione 2002 o versioni successive.This option applies to Configuration Manager version 2002 or later.

    • Configurare il punto di gestione per HTTPS.Configure the management point for HTTPS. Questa opzione si applica a Configuration Manager versione 1910 o 2002.This option applies to Configuration Manager versions 1910 or later.

    Per altre informazioni, vedere Crittografare i dati di ripristino in rete.For more information, see Encrypt recovery data over the network.

  • Sebbene il servizio di ripristino di BitLocker venga installato in un punto di gestione che usa una replica di database, i client non possono depositare le chiavi di ripristino.Although the BitLocker recovery service installs on a management point that uses a database replica, clients can't escrow recovery keys. BitLocker non crittografa quindi l'unità.Then BitLocker won't encrypt the drive. Per utilizzare il servizio di ripristino, è necessario almeno un punto di gestione non in una configurazione di replica.To use the recovery service, you need at least one management point not in a replica configuration. Disabilitare il servizio di ripristino di BitLocker in qualsiasi punto di gestione con una replica di database.Disable the BitLocker recovery service on any management point with a database replica.

Prerequisiti per i portali BitLockerPrerequisites for BitLocker portals

  • Per usare il portale self-service o il sito Web di amministrazione e monitoraggio, è necessario un server Windows che esegue IIS.To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. È possibile riutilizzare un sistema del sito di Configuration Manager oppure usare un server Web autonomo con connettività al server di database del sito.You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. Usare una versione del sistema operativo supportata per i server del sistema del sito.Use a supported OS version for site system servers.

    Nota

    Installare solo il portale self-service e il sito Web di amministrazione e monitoraggio con un database del sito primario.Only install the self-service portal and the administration and monitoring website with a primary site database. In una gerarchia installare questi siti Web per ogni sito primario.In a hierarchy, install these websites for each primary site.

  • Nel server Web che ospiterà il portale self-service, installare Microsoft ASP.NET MVC 4.0 e la funzionalità .NET Framework 3.5 prima di avviare il processo di installazione.On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0 and .NET Framework 3.5 feature before staring the install process. Gli altri ruoli e funzionalità necessari del server Windows verranno installati automaticamente durante il processo di installazione del portale.Other required Windows server roles and features will be installed automatically during the portal installation process.

  • Per l'account utente che esegue lo script del programma di installazione del portale sono necessari i diritti sysadmin di SQL Server per il server di database del sito.The user account that runs the portal installer script needs SQL Server sysadmin rights on the site database server. Durante il processo di installazione, lo script imposta i diritti di accesso, utente e ruolo SQL Server per l'account del computer del server Web.During the setup process, the script sets login, user, and SQL Server role rights for the web server machine account. È possibile rimuovere questo account utente dal ruolo sysadmin dopo aver completato l'installazione del portale self-service e del sito Web di amministrazione e monitoraggio.You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

Configurazioni supportateSupported configurations

  • La gestione di BitLocker non è supportata nelle macchine virtuali o nelle edizioni server.BitLocker management isn't supported on virtual machines (VMs) or on server editions. Ad esempio, la gestione di BitLocker non avvierà la crittografia nelle unità fisse delle macchine virtuali.For example, BitLocker management won't start the encryption on fixed drives of virtual machines. Inoltre, le unità fisse aggiuntive delle macchine virtuali potrebbero essere visualizzate come conformi anche se non sono crittografate.Additionally fixed drives in virtual machines may show as compliant even though they aren't encrypted.

  • Non sono supportati i client aggiunti ad Azure Active Directory (Azure AD), i client di gruppo di lavoro o i client in domini non attendibili.Azure Active Directory (Azure AD)-joined, workgroup clients, or clients in untrusted domains aren't supported. La gestione di BitLocker in Configuration Manager supporta solo i dispositivi aggiunti ad Active Directory locale.BitLocker management in Configuration Manager only supports devices that are joined to on-premises Active Directory. Sono supportati anche i dispositivi aggiunti ad Azure AD ibrido.Hybrid Azure AD-joined devices are also supported. Questa configurazione consente di eseguire l'autenticazione con il servizio di ripristino per le chiavi del deposito.This configuration is to authenticate with the recovery service to escrow keys.

  • A partire dalla versione 2010 è possibile gestire i criteri di BitLocker e le chiavi di ripristino del deposito in un'istanza di Cloud Management Gateway (CMG).Starting in version 2010, you can now manage BitLocker policies and escrow recovery keys over a cloud management gateway (CMG). Questa modifica offre anche il supporto per la gestione di BitLocker tramite la gestione client basata su Internet (IBCM).This change also provides support for BitLocker management via internet-based client management (IBCM). Non sono state apportate modifiche al processo di configurazione per la gestione di BitLocker.There's no change to the setup process for BitLocker management. Questo miglioramento supporta dispositivi aggiunti a un dominio e dispositivi aggiunti a un dominio ibrido.This improvement supports domain-joined and hybrid domain-joined devices. Per altre informazioni, vedere Distribuire l'agente di gestione: Servizio di ripristino.For more information, see Deploy management agent: Recovery service.

    Nota

    Se sono stati creati criteri di gestione di BitLocker prima dell'aggiornamento alla versione 2010, per renderli disponibili per i client basati su Internet tramite CMG:If you have BitLocker management policies that you created before you updated to version 2010, to make them available to internet-based clients via CMG:

    1. Nella console di Configuration Manager aprire le proprietà dei criteri esistenti.In the Configuration Manager console, open the properties of the existing policy.
    2. Passare alla scheda Gestione client.Switch to the Client Management tab.
    3. Selezionare OK o Applica per salvare i criteri.Select OK or Apply to save the policy.

    Questa azione modifica i criteri in modo che siano disponibili per i client in CMG.This action revises the policy so that it's available to clients over the CMG.

Suggerimento

Per impostazione predefinita, il passaggio della sequenza di attività Attiva BitLocker consente di crittografare solo lo spazio usato nell'unità.By default, the Enable BitLocker task sequence step only encrypts used space on the drive. Gestione BitLocker usa la crittografia del disco completo.BitLocker management uses full disk encryption. Configurare questo passaggio della sequenza di attività per abilitare l'opzione Usa la crittografia del disco completo.Configure this task sequence step to enable the option to Use full disk encryption. Per altre informazioni, vedere Passaggi della sequenza di attività - Attiva BitLocker.For more information, see Task sequence steps - Enable BitLocker.

Passaggi successiviNext steps

Crittografare i dati di ripristino in reteEncrypt recovery data over the network