Planear a gestão do BitLocker

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

Utilize o Gestor de Configuração para gerir a Encriptação bitLocker Drive (BDE) para clientes Windows no local, que se juntam ao Ative Directory. Fornece uma gestão completa do ciclo de vida bitLocker que pode substituir o uso da Microsoft BitLocker Administration and Monitoring (MBAM).

Nota

O Gestor de Configuração não ativa esta funcionalidade opcional por predefinição. Deve ativar esta função antes de a utilizar. Para mais informações, consulte Enable optional features from updates.

Para obter informações mais gerais sobre o BitLocker, consulte a visão geral do BitLocker. Para uma comparação das implementações e requisitos bitLocker, consulte o gráfico de comparação de implementação bitLocker.

Dica

Para gerir a encriptação em dispositivos Windows 10 cogeridos utilizando o serviço de cloud Microsoft Endpoint Manager, altere a carga de trabalho de Proteção de Pontos Finais para Intune. Para obter mais informações sobre a utilização do Intune, consulte Windows Encriptação.

Funcionalidades

O Gestor de Configuração fornece as seguintes capacidades de gestão para a encriptação BitLocker Drive:

Implementação de clientes

  • Implementar o cliente BitLocker para dispositivos de Windows geridos em execução Windows 10 ou Windows 8.1

  • Gerir as políticas bitLocker e chaves de recuperação de depósitos para clientes no local e com base na Internet

Gerir políticas de encriptação

  • Por exemplo: escolha a encriptação de unidade e a força de cifra, configufique a política de isenção do utilizador, as definições de encriptação de unidade de dados fixas.

  • Determine os algoritmos com os quais encriptar o dispositivo e os discos que visa para encriptação.

  • Force os utilizadores a cumprirem as novas políticas de segurança antes de utilizarem o dispositivo.

  • Personalize o perfil de segurança da sua organização por dispositivo.

  • Quando um utilizador desbloqueia a unidade de SO, especifique se desbloqueia apenas uma unidade de SISTEMA ou todas as unidades anexas.

Relatórios de conformidade

Relatórios incorporados para:

  • Estado de encriptação por volume ou por dispositivo
  • O principal utilizador do dispositivo
  • Estado de conformidade
  • Razões para o incumprimento

Site de administração e monitorização

Permitir que outras personalidades da sua organização fora da consola Do Gestor de Configuração ajudem na recuperação das chaves, incluindo a rotação de chaves e outro suporte relacionado com o BitLocker. Por exemplo, os administradores de mesa de ajuda podem ajudar os utilizadores com a recuperação das chaves.

Portal de self-service do utilizador

Deixe que os utilizadores se sirvam com uma chave de uso único para desbloquear um dispositivo encriptado BitLocker. Uma vez utilizada esta tecla, gera uma nova chave para o dispositivo.

Pré-requisitos

Pré-requisitos gerais

  • Para criar uma política de gestão BitLocker, precisa do papel de Administrador Completo no Gestor de Configuração.

  • Para utilizar os relatórios de gestão BitLocker, instale a função do sistema do site de pontos de reporte. Para mais informações, consulte a informação do Configure.

    Nota

    Para que o Relatório de Auditoria de Recuperação funcione a partir do site de administração e monitorização, utilize apenas um ponto de serviços de reporte no site principal.

Pré-requisitos para o serviço de recuperação

  • O serviço de recuperação BitLocker requer que HTTPS criptografe as chaves de recuperação em toda a rede do cliente Gestor de Configuração para o ponto de gestão. Utilize uma das seguintes opções:

    • Ative o site para HTTP melhorado. Esta opção aplica-se à versão 2103 ou posterior.

    • Viabilizar o website do IIS no ponto de gestão que acolhe o serviço de recuperação. Esta opção aplica-se à versão 2002 ou posterior.

    • Configurar o ponto de gestão para HTTPS. Esta opção aplica-se a todas as versões suportadas do Gestor de Configuração.

    Para obter mais informações, consulte os dados de recuperação de encriptação sobre a rede.

  • Na versão de 2010 e mais cedo, para utilizar o serviço de recuperação, é necessário pelo menos um ponto de gestão não numa configuração de réplica. Embora o serviço de recuperação BitLocker instale num ponto de gestão que utiliza uma réplica de base de dados, os clientes não podem caurer chaves de recuperação. Então o BitLocker não encripta a unidade. Desative o serviço de recuperação BitLocker em qualquer ponto de gestão com uma réplica de base de dados.

    A partir da versão 2103, o serviço de recuperação suporta pontos de gestão que utilizam uma réplica de base de dados.

Pré-requisitos para portais BitLocker

  • Para utilizar o portal de self-service ou o site de administração e monitorização, precisa de um servidor Windows que executa o IIS. Pode reutilizar um sistema de site do Gestor de Configuração ou utilizar um servidor web autónomo que tenha conectividade com o servidor de base de dados do site. Utilize uma versão DE suportada para servidores do sistema de sites.

    Nota

    A partir da versão 2006, pode instalar o portal de self-service BitLocker e o site de administração e monitorização no site da administração central.

    Na versão de 2002 e mais cedo, apenas instale o portal de self-service e o site de administração e monitorização com uma base de dados de site primário. Numa hierarquia, instale estes websites para cada site primário.

  • No servidor web que irá acolher o portal de self-service, instale o Microsoft ASP.NET MVC 4.0 e .NET Framework funcionalidade 3.5 antes de encarar o processo de instalação. Outras funções e funcionalidades Windows do servidor necessárias serão instaladas automaticamente durante o processo de instalação do portal.

    Dica

    Não é necessário instalar nenhuma versão de Visual Studio com ASP.NET MVC.

  • A conta de utilizador que executa o script do instalador do portal necessita de SQL Server direitos sysadmin no servidor de base de dados do site. Durante o processo de configuração, o script define o login, o utilizador e SQL Server direitos de função para a conta da máquina do servidor web. Pode remover esta conta de utilizador da função sysadmin depois de completar a configuração do portal de self-service e do website de administração e monitorização.

Configurações suportadas

  • A gestão do BitLocker não é suportada em máquinas virtuais (VMs) ou em edições de servidores. Por exemplo, a gestão bitLocker não iniciará a encriptação em unidades fixas de máquinas virtuais. Além disso, as unidades fixas em máquinas virtuais podem mostrar-se conformes, mesmo que não estejam encriptadas.

  • Azure Ative Directory (Azure AD)-aderido, clientes do grupo de trabalho ou clientes em domínios não fidedquicateiros não são suportados. A gestão do BitLocker no Gestor de Configuração apenas suporta dispositivos que se unam ao Ative Directory no local. Os dispositivos híbridos AD-ad também são suportados. Esta configuração destina-se a autenticar com o serviço de recuperação para as teclas de depósito.

  • A partir da versão 2010, pode agora gerir as políticas bitLocker e as chaves de recuperação de depósitos sobre um gateway de gestão de nuvem (CMG). Esta alteração também fornece suporte para a gestão do BitLocker através da gestão de clientes baseado na Internet (IBCM). Não há alteração no processo de configuração para a gestão bitLocker. Esta melhoria suporta dispositivos unidos por domínio e híbridos. Para obter mais informações, consulte o Agente de Gestão de Implementação: Serviço de recuperação.

    • Se tiver políticas de gestão BitLocker que criou antes de atualizar para a versão 2010, para disponibilizá-las a clientes baseados na Internet através de CMG:
      1. Na consola 'Gestor de Configuração', abra as propriedades da política existente.
      2. Mude para o separador Gestão de Clientes.
      3. Selecione OK ou Aplique para salvar a apólice. Esta ação revê a política para que esteja disponível para clientes através da CMG.

  • Por predefinição, o passo da sequência de tarefas Enable BitLocker apenas encripta o espaço utilizado na unidade. A gestão bitLocker utiliza encriptação completa do disco. Configure este passo de sequência de tarefa para permitir a opção de utilização da encriptação completa do disco. Para obter mais informações, consulte os passos da sequência de tarefas - Ativar o BitLocker.

Importante

O Invoke-MbamClientDeployment.ps1 script PowerShell é apenas para MBAM autónomo. Não deve ser utilizado com a Gestão BitLocker do Gestor de Configuração.

Passos seguintes

Encriptar dados de recuperação através da rede