Planowanie zarządzania funkcją BitLockerPlan for BitLocker management

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Począwszy od wersji 1910, użyj Configuration Manager do zarządzania szyfrowanie dysków funkcją BitLocker (BDE) dla lokalnych klientów systemu Windows, które są przyłączone do Active Directory.Starting in version 1910, use Configuration Manager to manage BitLocker Drive Encryption (BDE) for on-premises Windows clients, which are joined to Active Directory. Zapewnia pełne zarządzanie cyklem życia funkcji BitLocker, które może zastąpić korzystanie z funkcji zarządzania i monitorowania programu Microsoft BitLocker (rozwiązania MBAM).It provides full BitLocker lifecycle management that can replace the use of Microsoft BitLocker Administration and Monitoring (MBAM).

Uwaga

Configuration Manager domyślnie nie włącza tej funkcji opcjonalnej.Configuration Manager doesn't enable this optional feature by default. Tę funkcję należy włączyć przed jej użyciem.You must enable this feature before using it. Aby uzyskać więcej informacji, zobacz Enable optional features from updates.For more information, see Enable optional features from updates.

Aby uzyskać więcej ogólnych informacji na temat funkcji BitLocker, zobacz Omówienie funkcji BitLocker.For more general information on BitLocker, see BitLocker overview.

Porada

Aby zarządzać szyfrowaniem na współzarządzanych urządzeniach z systemem Windows 10 przy użyciu usługi Microsoft Endpoint Manager w chmurze, należy zmienić obciążenie Endpoint Protection na usługę Intune.To manage encryption on co-managed Windows 10 devices using the Microsoft Endpoint Manager cloud service, switch the Endpoint Protection workload to Intune. Aby uzyskać więcej informacji na temat korzystania z usługi Intune, zobacz szyfrowanie systemu Windows.For more information on using Intune, see Windows Encryption.

FunkcjeFeatures

Configuration Manager zapewnia następujące możliwości zarządzania dla szyfrowanie dysków funkcją BitLocker:Configuration Manager provides the following management capabilities for BitLocker Drive Encryption:

Wdrażanie klientówClient deployment

  • Wdróż klienta funkcji BitLocker na zarządzanych urządzeniach z systemem Windows 10 lub Windows 8.1Deploy the BitLocker client to managed Windows devices running Windows 10 or Windows 8.1

  • Zarządzanie zasadami funkcji BitLocker i kluczami odzyskiwania Escrow dla klientów lokalnych i internetowychManage BitLocker policies and escrow recovery keys for on-premises and internet-based clients

Zarządzanie zasadami szyfrowaniaManage encryption policies

  • Na przykład: wybierz pozycję Szyfrowanie dysków i siła szyfrowania, skonfiguruj Zasady wykluczania użytkowników, stałe ustawienia szyfrowania dysku danych.For example: choose drive encryption and cipher strength, configure user exemption policy, fixed data drive encryption settings.

  • Określ algorytmy, z których ma zostać zaszyfrowane urządzenie, oraz dyski docelowe na potrzeby szyfrowania.Determine the algorithms with which to encrypt the device, and the disks that you target for encryption.

  • Wymuś zgodność z nowymi zasadami zabezpieczeń przez użytkowników przed rozpoczęciem korzystania z urządzenia.Force users to get compliant with new security policies before using the device.

  • Dostosuj profil zabezpieczeń organizacji dla poszczególnych urządzeń.Customize your organization's security profile on a per device basis.

  • Gdy użytkownik odblokowuje dysk systemu operacyjnego, określ, czy ma zostać odblokowany tylko dysk systemu operacyjnego, czy wszystkie dołączone dyski.When a user unlocks the OS drive, specify whether to unlock only an OS drive or all attached drives.

Raporty zgodnościCompliance reports

Raporty wbudowane dla programu:Built-in reports for:

  • Stan szyfrowania na wolumin lub na urządzenieEncryption status per volume or per device
  • Podstawowy użytkownik urządzeniaThe primary user of the device
  • Stan zgodnościCompliance status
  • Przyczyny braku zgodnościReasons for non-compliance

Witryna internetowa do administrowania i monitorowaniaAdministration and monitoring website

Zezwalaj innym osób w organizacji poza konsolą Configuration Manager, aby ułatwić odzyskiwanie kluczy, w tym rotację kluczy i inne wsparcie związane z funkcją BitLocker.Allow other personas in your organization outside of the Configuration Manager console to help with key recovery, including key rotation and other BitLocker-related support. Na przykład Administratorzy działu pomocy technicznej mogą pomóc użytkownikom z odzyskiwaniem kluczy.For example, help desk administrators can help users with key recovery.

Portal samoobsługowy użytkownikaUser self-service portal

Poinformuj użytkowników, aby mogli korzystać z jednego klucza w celu odblokowania urządzenia szyfrowanego funkcją BitLocker.Let users help themselves with a single-use key for unlocking a BitLocker encrypted device. Gdy ten klucz jest używany, generuje nowy klucz dla urządzenia.Once this key is used, it generates a new key for the device.

Wymagania wstępnePrerequisites

Ogólne wymagania wstępneGeneral prerequisites

  • Aby utworzyć zasady zarządzania funkcją BitLocker, należy mieć rolę pełna administrator w Configuration Manager.To create a BitLocker management policy, you need the Full Administrator role in Configuration Manager.

  • Aby korzystać z raportów zarządzania funkcją BitLocker, Zainstaluj rolę systemu lokacji punktu usług raportowania.To use the BitLocker management reports, install the reporting services point site system role. Aby uzyskać więcej informacji, zobacz Konfigurowanie raportowania.For more information, see Configure reporting.

    Uwaga

    Aby raport inspekcji odzyskiwania działał z witryny sieci Web Administracja i monitorowanie, należy używać tylko punktu usług raportowania w lokacji głównej.For the Recovery Audit Report to work from the administration and monitoring website, only use a reporting services point at the primary site.

Wymagania wstępne dotyczące usługi odzyskiwaniaPrerequisites for the recovery service

  • Usługa odzyskiwania funkcji BitLocker wymaga protokołu HTTPS, aby szyfrować klucze odzyskiwania w sieci z poziomu klienta Configuration Manager do punktu zarządzania.The BitLocker recovery service requires HTTPS to encrypt the recovery keys across the network from the Configuration Manager client to the management point. Skorzystaj z jednej z następujących opcji:Use one of the following options:

    • HTTPS — Włącz witrynę sieci Web usług IIS w punkcie zarządzania, który obsługuje usługę odzyskiwania.HTTPS-enable the IIS website on the management point that hosts the recovery service. Ta opcja ma zastosowanie do Configuration Manager wersji 2002 lub nowszej.This option applies to Configuration Manager version 2002 or later.

    • Skonfiguruj punkt zarządzania dla protokołu HTTPS.Configure the management point for HTTPS. Ta opcja ma zastosowanie do Configuration Manager wersji 1910 lub nowszej.This option applies to Configuration Manager versions 1910 or later.

    Aby uzyskać więcej informacji, zobacz szyfrowanie danych odzyskiwania przez sieć.For more information, see Encrypt recovery data over the network.

  • Mimo że usługa odzyskiwania funkcji BitLocker jest instalowana w punkcie zarządzania, który używa repliki bazy danych, klienci nie mogą Escrow kluczy odzyskiwania.Although the BitLocker recovery service installs on a management point that uses a database replica, clients can't escrow recovery keys. Następnie funkcja BitLocker nie szyfruje dysku.Then BitLocker won't encrypt the drive. Aby można było korzystać z usługi odzyskiwania, w konfiguracji repliki musi być co najmniej jeden punkt zarządzania.To use the recovery service, you need at least one management point not in a replica configuration. Wyłącz usługę odzyskiwania funkcji BitLocker na dowolnym punkcie zarządzania z repliką bazy danych.Disable the BitLocker recovery service on any management point with a database replica.

Wymagania wstępne dotyczące portali funkcji BitLockerPrerequisites for BitLocker portals

  • Aby można było korzystać z portalu samoobsługowego lub witryny sieci Web do administrowania i monitorowania, wymagany jest system Windows Server z uruchomionym programem IIS.To use the self-service portal or the administration and monitoring website, you need a Windows server running IIS. Można ponownie użyć Configuration Manager systemu lokacji lub autonomicznego serwera sieci Web, który ma łączność z serwerem bazy danych lokacji.You can reuse a Configuration Manager site system, or use a standalone web server that has connectivity to the site database server. Użyj obsługiwanej wersji systemu operacyjnego dla serwerów systemu lokacji.Use a supported OS version for site system servers.

    Uwaga

    Począwszy od wersji 2006, można zainstalować Portal samoobsługowy funkcji BitLocker oraz witrynę sieci Web Administracja i monitorowanie w centralnej lokacji administracyjnej.Starting in version 2006, you can install the BitLocker self-service portal and the administration and monitoring website at the central administration site.

    W wersji 2002 i starszych należy zainstalować tylko Portal samoobsługowy i witrynę sieci Web Administracja i monitorowanie z bazą danych lokacji głównej.In version 2002 and earlier, only install the self-service portal and the administration and monitoring website with a primary site database. W hierarchii programu Zainstaluj te witryny sieci Web dla każdej lokacji głównej.In a hierarchy, install these websites for each primary site.

  • Przed rozpoczęciem procesu instalacji na serwerze sieci Web, który będzie hostem portalu samoobsługowego, zainstaluj Microsoft ASP.NET MVC 4,0 i .NET Framework 3,5.On the web server that will host the self-service portal, install Microsoft ASP.NET MVC 4.0 and .NET Framework 3.5 feature before staring the install process. Inne wymagane role i funkcje systemu Windows Server zostaną zainstalowane automatycznie podczas procesu instalacji portalu.Other required Windows server roles and features will be installed automatically during the portal installation process.

  • Konto użytkownika, na którym działa skrypt Instalatora portalu, musi SQL Server uprawnienia sysadmin na serwerze bazy danych lokacji.The user account that runs the portal installer script needs SQL Server sysadmin rights on the site database server. Podczas procesu instalacji skrypt ustawia prawa roli logowania, użytkownika i SQL Server dla konta komputera serwera sieci Web.During the setup process, the script sets login, user, and SQL Server role rights for the web server machine account. To konto użytkownika można usunąć z roli sysadmin po zakończeniu instalacji portalu samoobsługowego i witryny sieci Web Administracja i monitorowanie.You can remove this user account from the sysadmin role after you complete setup of the self-service portal and the administration and monitoring website.

Obsługiwane konfiguracjeSupported configurations

  • Funkcja zarządzania funkcją BitLocker nie jest obsługiwana na maszynach wirtualnych ani w wersjach serwerowych.BitLocker management isn't supported on virtual machines (VMs) or on server editions. Na przykład funkcja zarządzania funkcją BitLocker nie będzie uruchamiać szyfrowania na stałych dyskach maszyn wirtualnych.For example, BitLocker management won't start the encryption on fixed drives of virtual machines. Dodatkowo dyski stałe w maszynach wirtualnych mogą być wyświetlane jako zgodne, nawet jeśli nie są szyfrowane.Additionally fixed drives in virtual machines may show as compliant even though they aren't encrypted.

  • Azure Active Directory (Azure AD) — przyłączonych, klientów grupy roboczej lub klientów w niezaufanych domenach nie są obsługiwane.Azure Active Directory (Azure AD)-joined, workgroup clients, or clients in untrusted domains aren't supported. Funkcja zarządzania funkcją BitLocker w programie Configuration Manager obsługuje tylko urządzenia dołączone do Active Directory lokalnych.BitLocker management in Configuration Manager only supports devices that are joined to on-premises Active Directory. Obsługiwane są również hybrydowe urządzenia dołączone do usługi Azure AD.Hybrid Azure AD-joined devices are also supported. Ta konfiguracja służy do uwierzytelniania za pomocą usługi odzyskiwania kluczy.This configuration is to authenticate with the recovery service to escrow keys.

  • Począwszy od wersji 2010, można teraz zarządzać zasadami funkcji BitLocker i kluczami odzyskiwania Escrow za pośrednictwem bramy zarządzania chmurą (CMG).Starting in version 2010, you can now manage BitLocker policies and escrow recovery keys over a cloud management gateway (CMG). Ta zmiana zapewnia również obsługę zarządzania funkcją BitLocker za pośrednictwem internetowego zarządzania klientami (IBCM).This change also provides support for BitLocker management via internet-based client management (IBCM). Nie wprowadzono zmian w procesie instalacji zarządzania funkcją BitLocker.There's no change to the setup process for BitLocker management. To ulepszenie obsługuje przyłączone do domeny i hybrydowe urządzenia przyłączone do domeny.This improvement supports domain-joined and hybrid domain-joined devices. Aby uzyskać więcej informacji, zobacz temat Deploy Management Agent: Recovery Service.For more information, see Deploy management agent: Recovery service.

    Uwaga

    Jeśli masz zasady zarządzania funkcją BitLocker, które zostały utworzone przed zaktualizowaniem do wersji 2010, aby udostępnić je klientom internetowym za pośrednictwem CMG:If you have BitLocker management policies that you created before you updated to version 2010, to make them available to internet-based clients via CMG:

    1. W konsoli Configuration Manager Otwórz właściwości istniejących zasad.In the Configuration Manager console, open the properties of the existing policy.
    2. Przejdź do karty Zarządzanie klientem .Switch to the Client Management tab.
    3. Wybierz przycisk OK lub Zastosuj , aby zapisać zasady.Select OK or Apply to save the policy.

    Ta akcja umożliwia skorygowanie zasad tak, aby były dostępne dla klientów w ramach CMG.This action revises the policy so that it's available to clients over the CMG.

Porada

Domyślnie krok sekwencji zadań Włącz funkcję BitLocker szyfruje tylko zajęte miejsce na dysku.By default, the Enable BitLocker task sequence step only encrypts used space on the drive. Funkcja BitLocker Management używa pełnego szyfrowania dysków .BitLocker management uses full disk encryption. Skonfiguruj ten krok sekwencji zadań, aby włączyć opcję używania pełnego szyfrowania dysków.Configure this task sequence step to enable the option to Use full disk encryption. Aby uzyskać więcej informacji, zobacz kroki sekwencji zadań — Włącz funkcję BitLocker.For more information, see Task sequence steps - Enable BitLocker.

Następne krokiNext steps

Szyfrowanie danych odzyskiwania przez siećEncrypt recovery data over the network