Witryna internetowa do administrowania i monitorowania funkcji BitLocker

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Witryna internetowa administracji i monitorowania funkcji BitLocker jest interfejsem administracyjnym szyfrowania dysków funkcją BitLocker. Jest on również określany jako portal pomocy technicznej. Ta witryna internetowa służy do przeglądania raportów, odzyskiwania dysków użytkowników i zarządzania modułami TPM urządzeń.

Domyślna witryna internetowa do administrowania funkcją BitLocker i monitorowania.

Przed rozpoczęciem korzystania z niego zainstaluj ten składnik na serwerze internetowym. Aby uzyskać więcej informacji, zobacz Konfigurowanie raportów i portali funkcji BitLocker.

Uzyskaj dostęp do witryny internetowej administracji i monitorowania za pośrednictwem następującego adresu URL: https://webserver.contoso.com/HelpDesk

Uwaga

Raport inspekcji odzyskiwania można wyświetlić w witrynie internetowej administrowania i monitorowania. Inne raporty zarządzania funkcją BitLocker są dodawane do punktu usług raportowania. Aby uzyskać więcej informacji, zobacz Wyświetlanie raportów funkcji BitLocker.

Grupy

Aby uzyskać dostęp do określonych obszarów witryny internetowej administracji i monitorowania, konto użytkownika musi znajdować się w jednej z następujących grup. Utwórz te grupy w usłudze Active Directory przy użyciu dowolnej nazwy. Podczas instalowania tej witryny internetowej należy określić te nazwy grup. Aby uzyskać więcej informacji, zobacz Konfigurowanie raportów i portali funkcji BitLocker.

Grupa Opis
Administratorzy pomocy technicznej funkcji BitLocker Zapewnia dostęp do wszystkich obszarów administrowania i monitorowania witryny internetowej. Gdy pomagasz użytkownikowi odzyskać dyski, wprowadzasz tylko klucz odzyskiwania, a nie domenę i nazwę użytkownika. Jeśli użytkownik jest członkiem zarówno tej grupy, jak i grupy użytkowników pomocy technicznej funkcji BitLocker, uprawnienia grupy administratorów przesłaniają uprawnienia grupy użytkowników.
Użytkownicy pomocy technicznej funkcji BitLocker Zapewnia dostęp do obszarów Zarządzanie modułem TPM i odzyskiwaniem dysków w witrynie internetowej administracji i monitorowania. W przypadku korzystania z dowolnego obszaru należy wypełnić wszystkie pola, w tym nazwę domeny i konta użytkownika. Jeśli użytkownik jest członkiem zarówno tej grupy, jak i grupy administratorów pomocy technicznej funkcji BitLocker, uprawnienia grupy administratorów przesłaniają uprawnienia grupy użytkowników.
Użytkownicy raportów funkcji BitLocker Zapewnia dostęp do obszaru Raporty w witrynie internetowej administracji i monitorowania.

Zarządzanie modułem TPM

Jeśli użytkownik wprowadzi nieprawidłowy numer PIN zbyt wiele razy, może zablokować moduł TPM. Liczba prób wprowadzenia przez użytkownika nieprawidłowego numeru PIN przed zablokowaniem modułu TPM różni się w zależności od producenta. W obszarze Zarządzanie modułem TPM w witrynie internetowej administracji i monitorowania uzyskaj dostęp do scentralizowanego systemu danych odzyskiwania kluczy.

Aby uzyskać więcej informacji na temat własności modułu TPM, zobacz Configure MBAM to escrow the TPM and store OwnerAuth passwords (Konfigurowanie mbam do deponowania modułu TPM i przechowywania haseł OwnerAuth).

Uwaga

Począwszy od Windows 10, wersja 1607, system Windows nie zachowuje hasła właściciela modułu TPM podczas aprowizacji modułu TPM.

  1. Przejdź do witryny internetowej administracji i monitorowania w przeglądarce internetowej, na przykład https://webserver.contoso.com/HelpDesk.

  2. W okienku po lewej stronie wybierz obszar Zarządzanie modułem TPM .

    Administracja funkcją BitLocker i monitorowanie witryny sieci Web Zarządzanie modułem TPM.

  3. Wprowadź w pełni kwalifikowaną nazwę domeny komputera i nazwę komputera.

  4. W razie potrzeby wprowadź domenę użytkownika i nazwę użytkownika, aby pobrać plik hasła właściciela modułu TPM.

  5. Wybierz jedną z następujących opcji w polu Przyczyna żądania pliku hasła właściciela modułu TPM:

    • Resetowanie blokady numeru PIN
    • Włączanie modułu TPM
    • Wyłączanie modułu TPM
    • Zmienianie hasła modułu TPM
    • Wyczyść moduł TPM
    • Inne

    Po przesłaniu formularza witryna internetowa zwraca jedną z następujących odpowiedzi:

    • Jeśli nie może znaleźć pasującego pliku hasła właściciela modułu TPM, zwraca komunikat o błędzie.

    • Plik hasła właściciela modułu TPM dla przesłanego komputera

    Po pobraniu pliku hasła właściciela modułu TPM w witrynie internetowej zostanie wyświetlone hasło właściciela.

  6. Aby zapisać hasło w pliku, wybierz pozycję Zapisz.

  7. W obszarze Zarządzanie modułem TPM wybierz opcję Resetuj blokadę modułu TPM i podaj plik hasła właściciela modułu TPM.

    Blokada modułu TPM jest resetowana. Funkcja BitLocker przywraca dostęp użytkownika do urządzenia.

    Ważna

    Nie udostępniaj wartości skrótu modułu TPM ani pliku hasła właściciela modułu TPM.

Odzyskiwanie dysku

Porada

Począwszy od wersji 2107, możesz również uzyskać klucze odzyskiwania funkcji BitLocker dla urządzenia dołączonego do dzierżawy z centrum administracyjnego Microsoft Intune. Aby uzyskać więcej informacji, zobacz Dołączanie dzierżawy: klucze odzyskiwania funkcji BitLocker.

Odzyskiwanie dysku w trybie odzyskiwania

Dyski przechodzą w tryb odzyskiwania w następujących scenariuszach:

  • Użytkownik traci lub zapomina o numerze PIN lub haśle
  • Platforma zaufanego modułu (TPM) wykrywa zmiany w systemie BIOS lub plikach uruchamiania komputera

Aby uzyskać hasło odzyskiwania, użyj obszaru Odzyskiwanie dysku w witrynie internetowej administracji i monitorowania.

Ważna

Hasła odzyskiwania wygasają po jednym użyciu. Na dyskach systemu operacyjnego i stałych dyskach danych reguła pojedynczego użycia jest stosowana automatycznie. Na dyskach wymiennych ma zastosowanie po usunięciu i ponownym włączeniu dysku.

  1. Przejdź do witryny internetowej administracji i monitorowania w przeglądarce internetowej, na przykład https://webserver.contoso.com/HelpDesk.

  2. W okienku po lewej stronie wybierz obszar Odzyskiwanie dysku .

    Strona odzyskiwania sterowników administracji i monitorowania funkcji BitLocker.

  3. W razie potrzeby wprowadź domenę użytkownika i nazwę użytkownika, aby wyświetlić informacje odzyskiwania.

  4. Aby wyświetlić listę możliwych pasujących kluczy odzyskiwania, wprowadź pierwsze osiem cyfr identyfikatora klucza odzyskiwania. Aby uzyskać dokładny klucz odzyskiwania, wprowadź cały identyfikator klucza odzyskiwania.

  5. Wybierz jedną z następujących opcji jako przyczynę odblokowania dysku:

    • Zmieniono kolejność rozruchu systemu operacyjnego
    • Zmieniono system BIOS
    • Zmodyfikowane pliki systemu operacyjnego
    • Utracony klucz uruchamiania
    • Utracony numer PIN
    • Resetowanie modułu TPM
    • Utracone hasło
    • Utracona karta inteligentna
    • Inne

    Po przesłaniu formularza witryna internetowa zwraca jedną z następujących odpowiedzi:

    • Jeśli użytkownik ma wiele pasujących haseł odzyskiwania, zwraca wiele możliwych dopasowań.

    • Hasło odzyskiwania i pakiet odzyskiwania dla przesłanego użytkownika.

      Uwaga

      Jeśli odzyskujesz uszkodzony dysk, opcja pakietu odzyskiwania udostępnia funkcję BitLocker z krytycznymi informacjami potrzebnymi do odzyskania dysku.

    • Jeśli nie można znaleźć pasującego hasła odzyskiwania, zwraca komunikat o błędzie.

    Po pobraniu hasła odzyskiwania i pakietu odzyskiwania w witrynie internetowej zostanie wyświetlone hasło odzyskiwania.

  6. Aby skopiować hasło, wybierz pozycję Kopiuj klucz. Aby zapisać hasło odzyskiwania w pliku, wybierz pozycję Zapisz.

Aby odblokować dysk, wprowadź hasło odzyskiwania lub użyj pakietu odzyskiwania.

Odzyskiwanie przeniesionego dysku

Po przeniesieniu dysku na nowy komputer, ponieważ moduł TPM jest inny, funkcja BitLocker nie akceptuje poprzedniego numeru PIN. Aby odzyskać przeniesiony dysk, pobierz identyfikator klucza odzyskiwania, aby pobrać hasło odzyskiwania.

Aby odzyskać przeniesiony dysk, użyj obszaru Odzyskiwania dysku w witrynie internetowej administracji i monitorowania.

  1. Na komputerze z przeniesionym dyskiem uruchom komputer w trybie Windows Recovery Environment (WinRE).

  2. W systemie WinRE funkcja BitLocker traktuje przeniesiony dysk systemu operacyjnego jako stały dysk danych. Funkcja BitLocker wyświetla identyfikator hasła odzyskiwania dysku i monituje o hasło odzyskiwania.

    Uwaga

    W niektórych sytuacjach podczas procesu uruchamiania wybierz pozycję Nie pamiętam numeru PIN , jeśli opcja jest dostępna. Następnie wprowadź tryb odzyskiwania, aby wyświetlić identyfikator klucza odzyskiwania.

  3. Użyj identyfikatora klucza odzyskiwania, aby uzyskać hasło odzyskiwania z witryny internetowej administracji i monitorowania. Aby uzyskać więcej informacji, zobacz Odzyskiwanie dysku w trybie odzyskiwania.

Jeśli przeniesiona stacja dysków została skonfigurowana do używania mikroukładu modułu TPM na oryginalnym komputerze, wykonaj następujące kroki. W przeciwnym razie proces odzyskiwania zostanie ukończony.

  1. Po odblokowaniu dysku uruchom komputer w trybie WinRE. Otwórz wiersz polecenia w winRE i użyj manage-bde polecenia , aby odszyfrować dysk. To narzędzie jest jedynym sposobem usunięcia modułu TPM i ochrony numeru PIN bez oryginalnego mikroukładu modułu TPM. Aby uzyskać więcej informacji na temat tego polecenia, zobacz Zarządzanie bde.

  2. Po zakończeniu uruchom komputer normalnie. Configuration Manager wymusi zasady funkcji BitLocker do szyfrowania dysku przy użyciu modułu TPM nowego komputera i numeru PIN.

Odzyskiwanie uszkodzonego dysku

Użyj identyfikatora klucza odzyskiwania, aby uzyskać pakiet klucza odzyskiwania z witryny internetowej administracji i monitorowania. Aby uzyskać więcej informacji, zobacz Odzyskiwanie dysku w trybie odzyskiwania.

  1. Zapisz pakiet klucza odzyskiwania na komputerze, a następnie skopiuj go na komputer ze uszkodzonym dyskiem.

  2. Otwórz wiersz polecenia jako administrator i wpisz następujące polecenie:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Zastąp następujące wartości:

    • <corrupted drive>: litera dysku uszkodzonego dysku, na przykład D:
    • <fixed drive>: litera dysku dostępnego dysku twardego o podobnym lub większym rozmiarze niż uszkodzony dysk. Funkcja BitLocker odzyskuje i przenosi dane na uszkodzonym dysku na określony dysk. Wszystkie dane na tym dysku są zastępowane.
    • <key package>: lokalizacja pakietu klucza odzyskiwania
    • <recovery password>: skojarzone hasło odzyskiwania

    Przykład:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Aby uzyskać więcej informacji na temat tego polecenia, zobacz Repair-bde.

Raporty

Witryna internetowa administrowania i monitorowania zawiera raport inspekcji odzyskiwania. Inne raporty są dostępne w punkcie usług raportowania Configuration Manager. Aby uzyskać więcej informacji, zobacz Wyświetlanie raportów funkcji BitLocker.

  1. Przejdź do witryny internetowej administracji i monitorowania w przeglądarce internetowej, na przykład https://webserver.contoso.com/HelpDesk.

  2. W okienku po lewej stronie wybierz obszar Raporty .

  3. Na górnym pasku menu wybierz pozycję Raport inspekcji odzyskiwania.

Aby uzyskać więcej informacji na temat tego raportu, zobacz Raport inspekcji odzyskiwania

Porada

Aby zapisać wyniki raportu, wybierz pozycję Eksportuj na pasku menu Raporty .