Migrowanie z usługi MBAM
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Jeśli obecnie używasz Microsoft funkcji BitLocker Administration and Monitoring (MBAM), możesz bezproblemowo migrować zarządzanie do Configuration Manager. Podczas wdrażania zasad zarządzania funkcją BitLocker w Configuration Manager klienci automatycznie obracają klucze i przekazują je do usługi odzyskiwania Configuration Manager.
Ważna
Podczas migracji z autonomicznej pamięci MBAM do Configuration Manager zarządzania funkcją BitLocker, jeśli wymagasz istniejącej funkcjonalności autonomicznej pamięci MBAM, nie używaj ponownie autonomicznych serwerów MBAM ani składników z Configuration Manager zarządzania funkcją BitLocker. Jeśli te serwery zostaną ponownie użyte, autonomiczna usługa MBAM przestanie działać, gdy Configuration Manager zarządzanie funkcją BitLocker zainstaluje jego składniki na tych serwerach. Nie uruchamiaj skryptu MBAMWebSiteInstaller.ps1, aby skonfigurować portale funkcji BitLocker na autonomicznych serwerach MBAM. Podczas konfigurowania Configuration Manager zarządzania funkcją BitLocker użyj oddzielnych serwerów.
Zasady grupy
Jeśli istnieje ustawienie zasad grupy dla autonomicznej pamięci MBAM, zastąpi to równoważne ustawienie, które próbuje Configuration Manager. Autonomiczna usługa MBAM używa zasad grupy domeny, a Configuration Manager ustawia zasady lokalne na potrzeby zarządzania funkcją BitLocker. Zasady domeny zastąpią zasady zarządzania Configuration Manager lokalnym funkcją BitLocker. Jeśli autonomiczne zasady grupy domeny MBAM nie są zgodne z zasadami Configuration Manager, zarządzanie funkcją BitLocker Configuration Manager zakończy się niepowodzeniem. Jeśli na przykład zasady grupy domeny ustawiają autonomiczny serwer MBAM dla usług odzyskiwania kluczy, Configuration Manager zarządzanie funkcją BitLocker nie może ustawić tego samego ustawienia dla usługi odzyskiwania. To zachowanie powoduje, że klienci nie zgłaszają swoich kluczy odzyskiwania do Configuration Manager usługi odzyskiwania zarządzania funkcją BitLocker.
Nie ustawiaj zasad grupy dla ustawienia, które już określa Configuration Manager zarządzania funkcją BitLocker. Ustaw tylko zasady grupy dla ustawień, które obecnie nie istnieją w Configuration Manager zarządzania funkcją BitLocker. Configuration Manager ma równoważność funkcji z autonomiczną pamięcią MBAM. W większości przypadków nie powinno być powodu, aby ustawić zasady grupy domen w celu skonfigurowania zasad funkcji BitLocker. Aby zapobiec konfliktom i problemom, unikaj używania zasad grupy dla funkcji BitLocker. Skonfiguruj wszystkie ustawienia za pomocą Configuration Manager zasad zarządzania funkcją BitLocker.
Skrót hasła modułu TPM
Poprzedni klienci MBAM nie przekazują skrótu hasła modułu TPM do Configuration Manager. Klient przekazuje skrót hasła modułu TPM tylko raz.
Jeśli musisz przeprowadzić migrację tych informacji do usługi odzyskiwania Configuration Manager, wyczyść moduł TPM na urządzeniu. Po ponownym uruchomieniu przekazuje nowy skrót hasła modułu TPM do usługi odzyskiwania.
Uwaga
Przekazywanie skrótu hasła modułu TPM dotyczy głównie wersji systemu Windows przed Windows 10. Windows 10 lub nowsze domyślnie nie zapisuje skrótu hasła modułu TPM, więc te urządzenia zwykle go nie przekazują. Aby uzyskać więcej informacji, zobacz Informacje o haśle właściciela modułu TPM.
Ponowne szyfrowanie
Configuration Manager nie szyfruje ponownie dysków, które są już chronione za pomocą szyfrowania dysków funkcją BitLocker. Jeśli wdrożysz zasady zarządzania funkcją BitLocker, które nie są zgodne z bieżącą ochroną dysku, będą raportowane jako niezgodne. Dysk jest nadal chroniony.
Na przykład użyto mbam do szyfrowania dysku za pomocą algorytmu szyfrowania AES-XTS 128, ale zasady Configuration Manager wymagają AES-XTS 256. Dysk jest niezgodny z zasadami, mimo że dysk jest zaszyfrowany.
Aby obejść to zachowanie, najpierw wyłącz funkcję BitLocker na urządzeniu. Następnie wdróż nowe zasady z nowymi ustawieniami.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla