BitLocker-beheer plannen

Van toepassing op: Configuration Manager (Current Branch)

Gebruik Configuration Manager om BitLocker-stationsversleuteling (BDE) te beheren voor on-premises Windows-clients die zijn verbonden met Active Directory. Het biedt volledig bitLocker-levenscyclusbeheer dat het gebruik van Microsoft BitLocker Administration and Monitoring (PCM) kan vervangen.

Zie BitLocker-overzicht voor meer algemene informatie over BitLocker. Zie de vergelijkingsgrafiek voor BitLocker-implementaties en -vereisten voor een vergelijking van BitLocker-implementaties en -vereisten.

Functies

Configuration Manager biedt de volgende beheermogelijkheden voor BitLocker-stationsversleuteling:

Clientimplementatie

• Implementeer de BitLocker-client op beheerde Windows apparaten met Windows 10 of Windows 8.1

• BitLocker-beleid en escrow-herstelsleutels beheren voor on-premises clients en clients op internet

Versleutelingsbeleid beheren

• Bijvoorbeeld: kies stationversleuteling en coderingssterkte, configureer het uitzonderingsbeleid voor gebruikers, instellingen voor versleuteling van vaste gegevensstation.

• Bepaal de algoritmen waarmee het apparaat moet worden versleuteld en de schijven waarop u versleuteling wilt richten.

• Dwing gebruikers om te voldoen aan het nieuwe beveiligingsbeleid voordat ze het apparaat gebruiken.

• Pas het beveiligingsprofiel van uw organisatie per apparaat aan.

• Wanneer een gebruiker het besturingssysteemstation ontgrendelt, geeft u op of alleen een besturingssysteemstation of alle gekoppelde stations moeten worden ontgrendeld.

Nalevingsrapporten

Ingebouwde rapporten voor:

• Versleutelingsstatus per volume of apparaat
• De primaire gebruiker van het apparaat
• Status van naleving
• Redenen voor niet-naleving

Website voor beheer en controle

Sta andere personen in uw organisatie buiten de Configuration Manager-console toe om te helpen met sleutelherstel, waaronder sleutelrotatie en andere BitLocker-gerelateerde ondersteuning. Helpdeskbeheerders kunnen bijvoorbeeld gebruikers helpen met sleutelherstel.

Selfservice portal voor gebruikers

Laat gebruikers zichzelf helpen met een sleutel voor eenmalig gebruik voor het ontgrendelen van een met BitLocker versleuteld apparaat. Zodra deze sleutel is gebruikt, wordt er een nieuwe sleutel voor het apparaat gegenereerd.

Vereisten

Algemene vereisten

• Als u een BitLocker-beheerbeleid wilt maken, hebt u de rol Volledige beheerder nodig in Configuration Manager.

• Als u de BitLocker-beheerrapporten wilt gebruiken, installeert u de sitesysteemrol reporting services-punt. Zie Rapportage configureren voor meer informatie.

  Notitie

  Gebruik alleen een Reporting Services-punt op de primaire site om het herstelcontrolerapport te laten werken vanaf de beheer- en bewakingswebsite.

Vereisten voor de herstelservice

• De BitLocker-herstelservice vereist HTTPS voor het versleutelen van de herstelsleutels in het netwerk van Configuration Manager client naar het beheerpunt. Gebruik een van de volgende opties:

  • Schakel de site in voor verbeterde HTTP. Deze optie is van toepassing op versie 2103 of hoger.

  • SCHAKEL HTTPS in op de IIS-website op het beheerpunt dat als host voor de herstelservice wordt gebruikt. Deze optie is van toepassing op versie 2002 of hoger.

  • Configureer het beheerpunt voor HTTPS. Deze optie is van toepassing op alle Configuration Manager ondersteunde versies.

  Zie Herstelgegevens versleutelen via het netwerk voor meer informatie.

• Als u in versie 2010 en eerder de herstelservice wilt gebruiken, hebt u ten minste één beheerpunt nodig dat niet in een replicaconfiguratie staat. Hoewel de BitLocker-herstelservice wordt geïnstalleerd op een beheerpunt dat gebruikmaakt van een databasereplica, kunnen clients herstelsleutels niet escrowen. BitLocker versleutelt het station dan niet. Schakel de BitLocker-herstelservice uit op elk beheerpunt met een databasereplica.

  Vanaf versie 2103 ondersteunt de recovery-service beheerpunten die gebruikmaken van een databasereplica.

Vereisten voor BitLocker-portals

• Als u de selfserviceportal of de beheer- en bewakingswebsite wilt gebruiken, hebt u een Windows server met IIS nodig. U kunt een Configuration Manager sitesysteem gebruiken of een zelfstandige webserver gebruiken die verbinding heeft met de sitedatabaseserver. Gebruik een ondersteunde versie van het besturingssysteem voor sitesysteemservers.

  Notitie

  Vanaf versie 2006 kunt u de BitLocker-selfserviceportal en de beheer- en bewakingswebsite installeren op de centrale beheersite.

  Installeer in versie 2002 en eerder alleen de selfserviceportal en de beheer- en bewakingswebsite met een primaire sitedatabase. Installeer deze websites voor elke primaire site in een hiërarchie.

• Installeer Microsoft ASP.NET MVC 4.0 en .NET Framework 3.5 op de webserver die als host voor de selfserviceportal zal worden gebruikt voordat u het installatieproces start. Andere vereiste Windows serverfuncties en -onderdelen worden automatisch geïnstalleerd tijdens het installatieproces van de portal.

  Tip

  U hoeft geen versie van de Visual Studio installeren met ASP.NET MVC.

• Het gebruikersaccount dat het script voor het installatieprogramma van de portal SQL Server sysadmin-rechten op de sitedatabaseserver. Tijdens het installatieproces stelt het script aanmeldings-, gebruikers- en SQL Server voor het computeraccount van de webserver in. U kunt dit gebruikersaccount uit de sysadmin-rol verwijderen nadat u de selfserviceportal en de beheer- en bewakingswebsite hebt ingesteld.

Ondersteunde configuraties

• BitLocker-beheer wordt niet ondersteund op virtuele machines (VM's) of op serverversies. BitLocker-beheer start de versleuteling bijvoorbeeld niet op vaste stations van virtuele machines. Daarnaast kunnen vaste schijven in virtuele machines als compatibel worden gezien, ook al zijn ze niet versleuteld.

• Azure Active Directory (Azure AD)-verbonden, werkgroep-clients of clients in niet-vertrouwde domeinen worden niet ondersteund. BitLocker-beheer in Configuration Manager ondersteunt alleen apparaten die zijn on-premises Active Directory. Hybride Azure AD-apparaten worden ook ondersteund. Deze configuratie is om te verifiëren met de herstelservice om sleutels te escrowen.

• Vanaf versie 2010 kunt u nu BitLocker-beleid en escrow-herstelsleutels beheren via een cloudbeheergateway (CMG). Deze wijziging biedt ook ondersteuning voor BitLocker-beheer via internetclientbeheer (IBCM). Het installatieproces voor BitLocker-beheer wordt niet gewijzigd. Deze verbetering ondersteunt apparaten die lid zijn van een domein en hybride domein. Zie Deploy management agent: Recovery service (Beheeragent implementeren: Recovery-service) voor meer informatie.

  • Als u BitLocker-beheerbeleid hebt dat u hebt gemaakt voordat u hebt bijgewerkt naar versie 2010, om ze beschikbaar te maken voor clients op internet via CMG:
    1. Open in Configuration Manager-console de eigenschappen van het bestaande beleid.
    2. Ga naar het tabblad Clientbeheer.
    3. Selecteer OK of Toepassen om het beleid op te slaan. Met deze actie wordt het beleid herzien zodat het beschikbaar is voor clients via de CMG.

• Met de takenreeksstap BitLocker inschakelen wordt standaard alleen de gebruikte ruimte op het station versleuteld. BitLocker-beheer maakt gebruik van volledige schijfversleuteling. Configureer deze takenreeksstap om de optie voor het gebruik van volledige schijfversleuteling in te stellen. Zie Takenreeksstappen - BitLocker inschakelen voor meer informatie.

Volgende stappen

Herstelgegevens versleutelen via het netwerk