Planowanie zarządzania funkcją BitLocker
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Użyj Configuration Manager do zarządzania szyfrowaniem dysków funkcji BitLocker (BDE) dla lokalnych klientów systemu Windows, które są przyłączone do usługi Active Directory. Zapewnia pełne zarządzanie cyklem życia funkcji BitLocker, które może zastąpić użycie funkcji Microsoft BitLocker Administration and Monitoring (MBAM).
Uwaga
Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z poziomu aktualizacji.
Aby uzyskać bardziej ogólne informacje na temat funkcji BitLocker, zobacz Omówienie funkcji BitLocker. Aby zapoznać się z porównaniem wdrożeń i wymagań funkcji BitLocker, zobacz wykres porównawczy wdrażania funkcji BitLocker.
Porada
Aby zarządzać szyfrowaniem na współzarządzanych urządzeniach Windows 10 lub nowszych przy użyciu usługi w chmurze Microsoft Intune, przełącz obciążenie programu Endpoint Protection na usługę Intune. Aby uzyskać więcej informacji na temat korzystania z usługi Intune, zobacz Szyfrowanie systemu Windows.
Funkcje
Configuration Manager zapewnia następujące możliwości zarządzania szyfrowaniem dysków funkcją BitLocker:
Wdrażanie klienta
Wdróż klienta funkcji BitLocker na zarządzanych urządzeniach z systemem Windows z systemem Windows 8.1, Windows 10 lub Windows 11.
Zarządzanie zasadami funkcji BitLocker i kluczami odzyskiwania escrow dla klientów lokalnych i internetowych
Zarządzanie zasadami szyfrowania
Na przykład: wybierz pozycję Szyfrowanie dysków i siłę szyfrowania, skonfiguruj zasady wykluczania użytkowników, stałe ustawienia szyfrowania dysków danych.
Określ algorytmy, za pomocą których należy zaszyfrować urządzenie, oraz dyski przeznaczone do szyfrowania.
Wymuś użytkownikom zgodność z nowymi zasadami zabezpieczeń przed użyciem urządzenia.
Dostosuj profil zabezpieczeń organizacji na poszczególnych urządzeniach.
Gdy użytkownik odblokuje dysk systemu operacyjnego, określ, czy odblokować tylko dysk systemu operacyjnego, czy wszystkie dołączone dyski.
Raporty dotyczące zgodności
Wbudowane raporty dla:
- Stan szyfrowania na wolumin lub urządzenie
- Podstawowy użytkownik urządzenia
- Stan zgodności
- Przyczyny niezgodności
Witryna internetowa administrowania i monitorowania
Zezwalaj innym osobom w organizacji poza konsolą Configuration Manager, aby ułatwić odzyskiwanie kluczy, w tym rotację kluczy i inną obsługę związaną z funkcją BitLocker. Na przykład administratorzy pomocy technicznej mogą pomóc użytkownikom w odzyskiwaniu kluczy.
Porada
Począwszy od wersji 2107, możesz również uzyskać klucze odzyskiwania funkcji BitLocker dla urządzenia dołączonego do dzierżawy z centrum administracyjnego Microsoft Intune. Aby uzyskać więcej informacji, zobacz Dołączanie dzierżawy: klucze odzyskiwania funkcji BitLocker.
Portal samoobsługowy użytkownika
Pozwól użytkownikom na pomoc przy użyciu klucza jednorazowego do odblokowywania urządzenia zaszyfrowanego za pomocą funkcji BitLocker. Po użyciu tego klucza generuje nowy klucz dla urządzenia.
Wymagania wstępne
Ogólne wymagania wstępne
Aby utworzyć zasady zarządzania funkcją BitLocker, musisz mieć rolę pełnego administratora w Configuration Manager.
Aby korzystać z raportów zarządzania funkcją BitLocker, zainstaluj rolę systemu lokacji punktu usług raportowania. Aby uzyskać więcej informacji, zobacz Konfigurowanie raportowania.
Uwaga
Aby raport inspekcji odzyskiwania działał z witryny internetowej administracji i monitorowania, użyj tylko punktu usług raportowania w lokacji głównej.
Wymagania wstępne dla klientów
Urządzenie wymaga mikroukładu modułu TPM, który jest włączony w systemie BIOS i jest resetowany z systemu Windows.
Firma Microsoft zaleca urządzenia z modułem TPM w wersji 2.0 lub nowszej. Urządzenia z modułem TPM w wersji 1.2 mogą nie obsługiwać poprawnie wszystkich funkcji Funkcji BitLocker.
Dysk twardy komputera wymaga systemu BIOS zgodnego z modułem TPM, który obsługuje urządzenia USB podczas uruchamiania komputera.
Uwaga
Przekazywanie skrótu hasła modułu TPM dotyczy głównie wersji systemu Windows przed Windows 10. Windows 10 lub nowsze domyślnie nie zapisuje skrótu hasła modułu TPM, więc te urządzenia zwykle go nie przekazują. Aby uzyskać więcej informacji, zobacz Informacje o haśle właściciela modułu TPM.
Zarządzanie funkcją BitLocker nie obsługuje wszystkich typów klientów obsługiwanych przez Configuration Manager. Aby uzyskać więcej informacji, zobacz Obsługiwane konfiguracje.
Wymagania wstępne dotyczące usługi odzyskiwania
W wersji 2010 lub starszej usługa odzyskiwania funkcji BitLocker wymaga protokołu HTTPS do szyfrowania kluczy odzyskiwania w sieci z klienta Configuration Manager do punktu zarządzania. Użyj jednej z następujących opcji:
Protokół HTTPS włącza witrynę internetową usług IIS w punkcie zarządzania hostującym usługę odzyskiwania.
Skonfiguruj punkt zarządzania dla protokołu HTTPS.
Aby uzyskać więcej informacji, zobacz Encrypt recovery data over the network (Szyfrowanie danych odzyskiwania za pośrednictwem sieci).
Uwaga
Gdy zarówno lokacja, jak i klienci działają Configuration Manager wersji 2103 lub nowszej, klienci wysyłają klucze odzyskiwania do punktu zarządzania za pośrednictwem bezpiecznego kanału powiadomień klienta. Jeśli klienci są w wersji 2010 lub starszej, potrzebują usługi odzyskiwania z obsługą protokołu HTTPS w punkcie zarządzania, aby deponować klucze.
Począwszy od wersji 2103, ponieważ klienci używają bezpiecznego kanału powiadomień klienta do deponowania kluczy, możesz włączyć lokację Configuration Manager dla rozszerzonego protokołu HTTP. Ta konfiguracja nie wpływa na funkcjonalność zarządzania funkcją BitLocker w Configuration Manager.
W wersji 2010 lub starszej do korzystania z usługi odzyskiwania potrzebny jest co najmniej jeden punkt zarządzania, który nie jest w konfiguracji repliki. Mimo że usługa odzyskiwania funkcji BitLocker jest instalowana w punkcie zarządzania korzystającym z repliki bazy danych, klienci nie mogą deponować kluczy odzyskiwania. Funkcja BitLocker nie zaszyfruje dysku. Wyłącz usługę odzyskiwania funkcji BitLocker w dowolnym punkcie zarządzania z repliką bazy danych.
Począwszy od wersji 2103, usługa odzyskiwania obsługuje punkty zarządzania korzystające z repliki bazy danych.
Wymagania wstępne dotyczące portali funkcji BitLocker
Do korzystania z portalu samoobsługowego lub witryny internetowej administracji i monitorowania potrzebny jest serwer z systemem Windows z uruchomionymi usługami IIS. Możesz ponownie użyć Configuration Manager systemu lokacji lub użyć autonomicznego serwera internetowego, który ma łączność z serwerem bazy danych lokacji. Użyj obsługiwanej wersji systemu operacyjnego dla serwerów systemu lokacji.
Na serwerze internetowym, który będzie hostem portalu samoobsługowego, przed wyświetleniem procesu instalacji zainstaluj funkcję Microsoft ASP.NET MVC 4.0 i .NET Framework 3.5. Inne wymagane role i funkcje systemu Windows Server zostaną zainstalowane automatycznie podczas procesu instalacji portalu.
Porada
Nie musisz instalować żadnej wersji programu Visual Studio z ASP.NET MVC.
Konto użytkownika, które uruchamia skrypt instalatora portalu, musi SQL Server uprawnienia administratora systemu na serwerze bazy danych lokacji. Podczas procesu konfiguracji skrypt ustawia prawa logowania, użytkownika i SQL Server roli dla konta komputera serwera internetowego. To konto użytkownika można usunąć z roli administratora systemu po zakończeniu konfigurowania portalu samoobsługowego oraz witryny internetowej administracji i monitorowania.
Obsługiwane konfiguracje
Zarządzanie funkcją BitLocker nie jest obsługiwane na maszynach wirtualnych ani w wersjach serwera. Na przykład zarządzanie funkcją BitLocker nie spowoduje uruchomienia szyfrowania na stałych dyskach maszyn wirtualnych. Ponadto dyski stałe na maszynach wirtualnych mogą być wyświetlane jako zgodne, nawet jeśli nie są szyfrowane.
W wersji 2010 i starszej Microsoft Entra przyłączone, klienci grupy roboczej lub klienci w niezaufanych domenach nie są obsługiwane. W tych wcześniejszych wersjach Configuration Manager zarządzanie funkcją BitLocker obsługuje tylko urządzenia przyłączone do lokalna usługa Active Directory, w tym Microsoft Entra urządzeń przyłączonych hybrydowo. Ta konfiguracja polega na uwierzytelnieniu za pomocą usługi odzyskiwania w celu s escrow kluczy.
Począwszy od wersji 2103, Configuration Manager obsługuje wszystkie typy sprzężeń klientów na potrzeby zarządzania funkcją BitLocker. Jednak składnik interfejsu użytkownika funkcji BitLocker po stronie klienta jest nadal obsługiwany tylko na urządzeniach przyłączonych do usługi Active Directory i Microsoft Entra przyłączonych hybrydowo.
Począwszy od wersji 2010, można teraz zarządzać zasadami funkcji BitLocker i kluczami odzyskiwania escrow za pośrednictwem bramy zarządzania chmurą (CMG). Ta zmiana zapewnia również obsługę zarządzania funkcją BitLocker za pośrednictwem internetowego zarządzania klientami (IBCM). Nie ma żadnych zmian w procesie konfiguracji zarządzania funkcją BitLocker. To ulepszenie obsługuje urządzenia przyłączone do domeny i przyłączone do domeny hybrydowej. Aby uzyskać więcej informacji, zobacz Wdrażanie agenta zarządzania: usługa odzyskiwania.
- Jeśli masz utworzone zasady zarządzania funkcją BitLocker przed aktualizacją do wersji 2010, aby udostępnić je klientom internetowym za pośrednictwem usługi CMG:
- W konsoli Configuration Manager otwórz właściwości istniejących zasad.
- Przejdź do karty Zarządzanie klientami .
- Wybierz przycisk OK lub Zastosuj , aby zapisać zasady. Ta akcja poprawia zasady, tak aby były dostępne dla klientów za pośrednictwem usługi CMG.
- Jeśli masz utworzone zasady zarządzania funkcją BitLocker przed aktualizacją do wersji 2010, aby udostępnić je klientom internetowym za pośrednictwem usługi CMG:
Domyślnie krok Sekwencja zadań Włącz funkcję BitLocker szyfruje tylko używane miejsce na dysku. Zarządzanie funkcją BitLocker używa pełnego szyfrowania dysków . Skonfiguruj ten krok sekwencji zadań, aby włączyć opcję Użyj szyfrowania pełnego dysku.
Począwszy od wersji 2203, możesz skonfigurować ten krok sekwencji zadań, aby zdeponować informacje odzyskiwania funkcji BitLocker dla woluminu systemu operacyjnego w celu Configuration Manager.
Aby uzyskać więcej informacji, zobacz Kroki sekwencji zadań — Włączanie funkcji BitLocker.
Ważna
Skrypt Invoke-MbamClientDeployment.ps1 programu PowerShell jest przeznaczony tylko dla autonomicznego modułu MBAM . Nie należy jej używać w Configuration Manager zarządzania funkcją BitLocker.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla