Informacje o usłudze odzyskiwania funkcji BitLocker
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ważna
Począwszy od wersji 2103, implementacja usługi odzyskiwania została zmieniona. Nie używa już starszych składników MBAM, ale nadal jest koncepcyjnie określana jako usługa odzyskiwania. Wszyscy klienci w wersji 2103 używają składnika aparatu przetwarzania komunikatów punktu zarządzania jako usługi odzyskiwania. Deponują klucze odzyskiwania za pośrednictwem bezpiecznego kanału powiadomień klienta. Dzięki tej zmianie można włączyć witrynę Configuration Manager dla rozszerzonego protokołu HTTP. Ta konfiguracja nie wpływa na funkcjonalność zarządzania funkcją BitLocker w Configuration Manager.
Gdy zarówno lokacja, jak i klienci działają Configuration Manager wersji 2103 lub nowszej, klienci wysyłają klucze odzyskiwania do punktu zarządzania za pośrednictwem bezpiecznego kanału powiadomień klienta. Jeśli klienci są w wersji 2010 lub starszej, potrzebują usługi odzyskiwania z obsługą protokołu HTTPS w punkcie zarządzania, aby deponować klucze.
Usługa odzyskiwania funkcji BitLocker jest składnikiem serwera, który odbiera dane odzyskiwania funkcji BitLocker od klientów Configuration Manager. Lokacja wdraża usługę odzyskiwania podczas tworzenia zasad zarządzania funkcją BitLocker. Configuration Manager automatycznie instaluje usługę odzyskiwania w każdym punkcie zarządzania za pomocą witryny internetowej z obsługą protokołu HTTPS.
Configuration Manager przechowuje informacje odzyskiwania w bazie danych lokacji. Bez certyfikatu szyfrowania zarządzania funkcją BitLocker Configuration Manager przechowuje informacje odzyskiwania klucza w postaci zwykłego tekstu. Aby uzyskać więcej informacji, zobacz Encrypt recovery data in the database (Szyfrowanie danych odzyskiwania w bazie danych).
Począwszy od wersji 2010, można zarządzać zasadami funkcji BitLocker i escrow kluczami odzyskiwania za pośrednictwem bramy zarządzania chmurą (CMG). Gdy klienci przyłączone do domeny komunikują się za pośrednictwem cmg, nie używają starszej usługi odzyskiwania, ale składnik aparatu przetwarzania komunikatów punktu zarządzania. Microsoft Entra urządzenia przyłączone hybrydowo również korzystają z aparatu przetwarzania komunikatów.
Począwszy od wersji 2103, wszyscy obsługiwali klienci używają składnika aparatu przetwarzania komunikatów punktu zarządzania jako usługi odzyskiwania. Ta zmiana zmniejsza zależności od starszych składników MBAM i umożliwia obsługę rozszerzonego protokołu HTTP.
Uwaga
W wersji 2010 kanał aparatu przetwarzania komunikatów skasuje tylko klucze dla woluminów systemu operacyjnego i dysków stałych. Nie obsługuje kluczy odzyskiwania dla dysków wymiennych ani skrótu hasła modułu TPM.
Począwszy od wersji 2103, zasady zarządzania funkcją BitLocker za pośrednictwem usługi CMG obsługują następujące możliwości:
- Klucze odzyskiwania dla dysków wymiennych
- Skrót hasła modułu TPM, inaczej nazywany autoryzacją właściciela modułu TPM
Obracanie kluczy
Po odzyskaniu klucza za pomocą portali samoobsługi lub pomocy technicznej, ponieważ został on ujawniony, Configuration Manager wymaga od klienta rotacji klucza. Rotacja klucza oznacza, że klient generuje nowy klucz na potrzeby odzyskiwania funkcji BitLocker. Następnie skasuje nowy klucz do usługi odzyskiwania.
Uwaga
Podczas migracji z usługi MBAM, gdy urządzenie odbiera zasady zarządzania funkcją BitLocker z Configuration Manager, najpierw obraca swój klucz. Następnie wysyła nowy klucz do usługi odzyskiwania Configuration Manager.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla