BitLocker-beheer- en bewakingswebsite

  • Artikel

Van toepassing op: Configuration Manager (current branch)

De bitLocker-website voor beheer en bewaking is een beheerinterface voor BitLocker-stationsversleuteling. Het wordt ook wel de helpdeskportal genoemd. Gebruik deze website om rapporten te bekijken, stations van gebruikers te herstellen en apparaat-TPM's te beheren.

De standaardwebsite voor beheer en bewaking van BitLocker.

Voordat u het kunt gebruiken, installeert u dit onderdeel op een webserver. Zie BitLocker-rapporten en -portals instellen voor meer informatie.

Toegang tot de website voor beheer en bewaking via de volgende URL: https://webserver.contoso.com/HelpDesk

Opmerking

U kunt het auditrapport voor herstel bekijken op de website voor beheer en bewaking. U voegt andere BitLocker-beheerrapporten toe aan het Reporting Services-punt. Zie BitLocker-rapporten weergeven voor meer informatie.

Groepen

Voor toegang tot specifieke gebieden van de beheer- en bewakingswebsite moet uw gebruikersaccount zich in een van de volgende groepen bevinden. Maak deze groepen in Active Directory met een gewenste naam. Wanneer u deze website installeert, geeft u deze groepsnamen op. Zie BitLocker-rapporten en -portals instellen voor meer informatie.

Groep Omschrijving
BitLocker-helpdeskbeheerders Biedt toegang tot alle gebieden van de beheer- en bewakingswebsite. Wanneer u een gebruiker helpt bij het herstellen van de stations, voert u alleen de herstelsleutel in en niet het domein en de gebruikersnaam. Als een gebruiker lid is van zowel deze groep als de bitLocker-helpdeskgebruikersgroep, overschrijven de machtigingen van de beheerdersgroep de machtigingen van de gebruikersgroep.
BitLocker-helpdeskgebruikers Biedt toegang tot de gebieden TPM enStationsherstel beheren van de beheer- en bewakingswebsite. Wanneer u een van beide gebieden gebruikt, moet u alle velden invullen, inclusief het domein en de accountnaam van de gebruiker. Als een gebruiker lid is van zowel deze groep als de bitLocker-helpdeskbeheerdersgroep, overschrijven de machtigingen van de beheerdersgroep de machtigingen van de gebruikersgroep.
BitLocker-rapportgebruikers Biedt toegang tot het gebied Rapporten van de beheer- en bewakingswebsite.

TPM beheren

Als een gebruiker de onjuiste pincode te vaak invoert, kan deze de TPM vergrendelen. Het aantal keren dat een gebruiker een onjuiste pincode kan invoeren voordat de TPM wordt vergrendeld, verschilt per fabrikant. Ga vanuit het gebied TPM beheren van de beheer- en bewakingswebsite naar het gecentraliseerde gegevenssysteem voor sleutelherstel.

Zie MBAM configureren om de TPM te borgen en OwnerAuth-wachtwoorden op te slaan voor meer informatie over tpm-eigendom.

Opmerking

Vanaf Windows 10 versie 1607 behoudt Windows het wachtwoord van de TPM-eigenaar niet bij het inrichten van de TPM.

  1. Ga naar de beheer- en bewakingswebsite in de webbrowser, bijvoorbeeld https://webserver.contoso.com/HelpDesk.

  2. Selecteer in het linkerdeelvenster het gebied TPM beheren .

    BitLocker-beheer- en bewakingswebsite TPM-pagina beheren.

  3. Voer de volledig gekwalificeerde domeinnaam voor de computer en de computernaam in.

  4. Voer indien nodig het domein en de gebruikersnaam van de gebruiker in om het wachtwoordbestand van de TPM-eigenaar op te halen.

  5. Kies een van de volgende opties voor het bestand Reden voor het aanvragen van het wachtwoord van de TPM-eigenaar:

    • Pincodevergrendeling opnieuw instellen
    • TPM inschakelen
    • TPM uitschakelen
    • TPM-wachtwoord wijzigen
    • TPM wissen
    • Overige

    Nadat u het formulier hebt verzonden , retourneert de website een van de volgende antwoorden:

    • Als er geen overeenkomend wachtwoordbestand voor de TPM-eigenaar kan worden gevonden, wordt er een foutbericht geretourneerd.

    • Het wachtwoordbestand van de TPM-eigenaar voor de ingediende computer

    Nadat u het wachtwoordbestand van de TPM-eigenaar hebt opgehaald, wordt op de website het wachtwoord van de eigenaar weergegeven.

  6. Als u het wachtwoord wilt opslaan in een bestand, selecteert u Opslaan.

  7. Selecteer in het gebied TPM beheren de optie TPM-vergrendeling opnieuw instellen en geef het wachtwoordbestand van de TPM-eigenaar op.

    De TPM-vergrendeling wordt opnieuw ingesteld. BitLocker herstelt de toegang van de gebruiker tot het apparaat.

    Belangrijk

    Deel de TPM-hashwaarde of het wachtwoordbestand van de TPM-eigenaar niet.

Schijfherstel

Tip

Vanaf versie 2107 kunt u ook BitLocker-herstelsleutels ophalen voor een apparaat dat aan een tenant is gekoppeld vanuit het Microsoft Intune-beheercentrum. Zie Tenantkoppeling: BitLocker-herstelsleutels voor meer informatie.

Een station herstellen in de herstelmodus

Stations gaan in de volgende scenario's naar de herstelmodus:

  • De gebruiker verliest of vergeet zijn pincode of wachtwoord
  • Tpm (Trusted Module Platform) detecteert wijzigingen in het BIOS of opstartbestanden van de computer

Als u een herstelwachtwoord wilt ophalen, gebruikt u het herstelgebied Drive van de beheer- en bewakingswebsite.

Belangrijk

Herstelwachtwoorden verlopen na eenmalig gebruik. Op besturingssysteemstations en vaste gegevensstations wordt de regel voor eenmalig gebruik automatisch toegepast. Op verwisselbare stations is dit van toepassing wanneer u het station verwijdert en opnieuw plaats.

  1. Ga naar de beheer- en bewakingswebsite in de webbrowser, bijvoorbeeld https://webserver.contoso.com/HelpDesk.

  2. Selecteer in het linkerdeelvenster het gebied Stationsherstel .

    BitLocker-beheer- en bewakingspagina voor het herstellen van stuurprogramma's op de website.

  3. Voer indien nodig het domein en de gebruikersnaam van de gebruiker in om herstelgegevens weer te geven.

  4. Als u een lijst met mogelijke overeenkomende herstelsleutels wilt zien, voert u de eerste acht cijfers van de id van de herstelsleutel in. Voer de volledige herstelsleutel-id in om de exacte herstelsleutel op te halen.

  5. Kies een van de volgende opties als reden voor het ontgrendelen van station:

    • Opstartvolgorde van besturingssysteem gewijzigd
    • BIOS gewijzigd
    • Gewijzigde besturingssysteembestanden
    • Opstartsleutel verloren
    • Pincode verloren
    • TPM opnieuw instellen
    • Wachtwoordzin verloren
    • Smartcard verloren
    • Overige

    Nadat u het formulier hebt verzonden , retourneert de website een van de volgende antwoorden:

    • Als de gebruiker meerdere overeenkomende herstelwachtwoorden heeft, retourneert deze meerdere mogelijke overeenkomsten.

    • Het herstelwachtwoord en het herstelpakket voor de ingediende gebruiker.

      Opmerking

      Als u een beschadigd station herstelt, biedt de optie herstelpakket BitLocker essentiële informatie die nodig is om het station te herstellen.

    • Als er geen overeenkomend herstelwachtwoord kan worden gevonden, wordt er een foutbericht geretourneerd.

    Nadat u het herstelwachtwoord en het herstelpakket hebt opgehaald, wordt het herstelwachtwoord op de website weergegeven.

  6. Als u het wachtwoord wilt kopiëren, selecteert u Sleutel kopiëren. Als u het herstelwachtwoord wilt opslaan in een bestand, selecteert u Opslaan.

Als u het station wilt ontgrendelen, voert u het herstelwachtwoord in of gebruikt u het herstelpakket.

Een verplaatst station herstellen

Wanneer u een station naar een nieuwe computer verplaatst, omdat de TPM anders is, accepteert BitLocker de vorige pincode niet. Als u het verplaatste station wilt herstellen, haalt u de herstelsleutel-id op om het herstelwachtwoord op te halen.

Als u een verplaatst station wilt herstellen, gebruikt u het herstelgebied Station van de website voor beheer en bewaking.

  1. Start de computer op de computer met het verplaatste station in de Modus Windows Recovery Environment (WinRE).

  2. In WinRE behandelt BitLocker het verplaatste besturingssysteemstation als een vast gegevensstation. BitLocker geeft de herstelwachtwoord-id van het station weer en vraagt om het herstelwachtwoord.

    Opmerking

    In sommige gevallen selecteert u tijdens het opstarten de optie Ik ben de pincode vergeten als de optie beschikbaar is. Ga vervolgens naar de herstelmodus om de id van de herstelsleutel weer te geven.

  3. Gebruik de herstelsleutel-id om het herstelwachtwoord op te halen van de beheer- en bewakingswebsite. Zie Een station herstellen in de herstelmodus voor meer informatie.

Als u het verplaatste station hebt geconfigureerd voor het gebruik van een TPM-chip op de oorspronkelijke computer, voert u de volgende stappen uit. Anders is het herstelproces voltooid.

  1. Nadat u het station hebt ontgrendeld, start u de computer in de WinRE-modus. Open een opdrachtprompt in WinRE en gebruik de manage-bde opdracht om het station te ontsleutelen. Dit hulpprogramma is de enige manier om de TPM + pincodebeveiliging te verwijderen zonder de oorspronkelijke TPM-chip. Zie Beheren-bde voor meer informatie over deze opdracht.

  2. Wanneer de computer is voltooid, start u de computer normaal op. Configuration Manager dwingt het BitLocker-beleid af om het station te versleutelen met de TPM plus pincode van de nieuwe computer.

Een beschadigd station herstellen

Gebruik de herstelsleutel-id om een herstelsleutelpakket op te halen van de beheer- en bewakingswebsite. Zie Een station herstellen in de herstelmodus voor meer informatie.

  1. Sla het herstelsleutelpakket op uw computer op en kopieer het vervolgens naar de computer met het beschadigde station.

  2. Open een opdrachtprompt als beheerder en typ de volgende opdracht:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Vervang de volgende waarden:

    • <corrupted drive>: De stationsletter van het beschadigde station, bijvoorbeeld D:
    • <fixed drive>: De stationsletter van een beschikbare harde schijf van vergelijkbare of grotere grootte dan het beschadigde station. BitLocker herstelt en verplaatst gegevens op het beschadigde station naar het opgegeven station. Alle gegevens op dit station worden overschreven.
    • <key package>: De locatie van het herstelsleutelpakket
    • <recovery password>: Het gekoppelde herstelwachtwoord

    Bijvoorbeeld:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Zie Repair-bde voor meer informatie over deze opdracht.

Rapporten

De beheer- en bewakingswebsite bevat het auditrapport voor herstel. Andere rapporten zijn beschikbaar op het Configuration Manager Reporting Services-punt. Zie BitLocker-rapporten weergeven voor meer informatie.

  1. Ga naar de beheer- en bewakingswebsite in de webbrowser, bijvoorbeeld https://webserver.contoso.com/HelpDesk.

  2. Selecteer in het linkerdeelvenster het gebied Rapporten .

  3. Selecteer in de bovenste menubalk het auditrapport voor herstel.

Zie Herstelcontrolerapport voor meer informatie over dit rapport

Tip

Als u rapportresultaten wilt opslaan, selecteert u Exporteren in de menubalk Rapporten .