Планирование для управления BitLocker

  • Статья

Относится к Configuration Manager (Current Branch)

Используйте Configuration Manager для управления шифрованием диска BitLocker (BDE) для локальных клиентов Windows, присоединенных к Active Directory. Она предоставляет полное управление жизненным циклом BitLocker, которое может заменить использование microsoft BitLocker Administration and Monitoring (MBAM).

Примечание.

Configuration Manager не включает эту необязательную функцию по умолчанию. Перед ее использованием необходимо включить эту функцию. Дополнительные сведения см. в разделе Включение дополнительных функций из обновлений.

Дополнительные общие сведения о BitLocker см. в статье Общие сведения о BitLocker. Сравнение развертываний и требований BitLocker см. в таблице сравнения развертываний BitLocker.

Совет

Чтобы управлять шифрованием на совместно управляемых устройствах Windows 10 или более поздних версий с помощью Microsoft Intune облачной службы, переключите рабочую нагрузку Endpoint Protection на Intune. Дополнительные сведения об использовании Intune см. в разделе Шифрование Windows.

Возможности

Configuration Manager предоставляет следующие возможности управления шифрованием дисков BitLocker:

Развертывание клиента

  • Разверните клиент BitLocker на управляемых устройствах Windows под управлением Windows 8.1, Windows 10 или Windows 11.

  • Управление политиками BitLocker и ключами восстановления депонирования для локальных и интернет-клиентов

Управление политиками шифрования

  • Например: выберите шифрование диска и надежность шифра, настройте политику исключения пользователей, фиксированные параметры шифрования диска данных.

  • Определите алгоритмы, с помощью которых следует шифровать устройство, и диски, которые вы хотите зашифровать.

  • Принудительное выполнение пользователями новых политик безопасности перед использованием устройства.

  • Настройте профиль безопасности организации для каждого устройства.

  • Когда пользователь разблокирует диск ОС, укажите, следует ли разблокировать только диск ОС или все подключенные диски.

Отчеты о соответствии

Встроенные отчеты для:

  • Состояние шифрования на том или устройство
  • Основной пользователь устройства
  • Состояние соответствия
  • Причины несоответствия

Администрирование и мониторинг веб-сайта

Разрешите другим пользователям в вашей организации за пределами консоли Configuration Manager помощь в восстановлении ключей, включая смену ключей и другую поддержку, связанную с BitLocker. Например, администраторы службы поддержки могут помочь пользователям с восстановлением ключей.

Совет

Начиная с версии 2107, вы также можете получить ключи восстановления BitLocker для подключенного к клиенту устройства из центра администрирования Microsoft Intune. Дополнительные сведения см. в разделе Подключение клиента: ключи восстановления BitLocker.

Портал самообслуживания пользователей

Позвольте пользователям помочь себе с одноразовым ключом для разблокировки зашифрованного устройства BitLocker. После использования этого ключа он создает новый ключ для устройства.

Предварительные требования

Общие предварительные требования

  • Чтобы создать политику управления BitLocker, вам потребуется роль "Полный администратор" в Configuration Manager.

  • Чтобы использовать отчеты управления BitLocker, установите роль системы сайта точек служб reporting Services. Дополнительные сведения см. в разделе Настройка отчетов.

    Примечание.

    Чтобы отчет об аудите восстановления работал на веб-сайте администрирования и мониторинга, используйте только точку служб отчетов на основном сайте.

Предварительные требования для клиентов

  • Для устройства требуется микросхема доверенного платформенного модуля, которая включена в BIOS и может быть сброшена из Windows.

    Корпорация Майкрософт рекомендует устройства с доверенным платформенный модуль версии 2.0 или более поздней. Устройства с TPM версии 1.2 могут неправильно поддерживать все функции BitLocker.

  • На жестком диске компьютера требуется BIOS, совместимый с TPM и поддерживающий USB-устройства во время запуска компьютера.

Примечание.

Передача хэша паролей доверенного платформенного модуля в основном относится к версиям Windows до Windows 10. Windows 10 или более поздней версии по умолчанию не сохраняет хэш пароля доверенного платформенного модуля, поэтому эти устройства обычно не передают его. Дополнительные сведения см. в разделе Сведения о пароле владельца доверенного платформенного модуля.

Управление BitLocker поддерживает не все типы клиентов, поддерживаемые Configuration Manager. Дополнительные сведения см. в разделе Поддерживаемые конфигурации.

Предварительные требования для службы восстановления

  • В версии 2010 и более ранних версиях служба восстановления BitLocker требует httpS для шифрования ключей восстановления по сети от клиента Configuration Manager до точки управления. Используйте один из следующих вариантов:

    • HttpS включает веб-сайт IIS в точке управления, где размещается служба восстановления.

    • Настройте точку управления для HTTPS.

    Дополнительные сведения см. в статье Шифрование данных восстановления по сети.

    Примечание.

    Когда сайт и клиенты работают Configuration Manager версии 2103 или более поздней, клиенты отправляют ключи восстановления в точку управления через защищенный канал уведомлений клиента. Если какие-либо клиенты работают в версии 2010 или более ранней, им требуется служба восстановления с поддержкой HTTPS в точке управления для депонирования ключей.

    Начиная с версии 2103, так как клиенты используют защищенный канал уведомлений клиента для депонирования ключей, вы можете включить сайт Configuration Manager для расширенного HTTP. Эта конфигурация не влияет на функциональность управления BitLocker в Configuration Manager.

  • В версии 2010 и более ранних версиях для использования службы восстановления требуется по крайней мере одна точка управления, не в конфигурации реплика. Хотя служба восстановления BitLocker устанавливается в точке управления, которая использует реплика базы данных, клиенты не могут депонирования ключей восстановления. После этого BitLocker не будет шифровать диск. Отключите службу восстановления BitLocker в любой точке управления с реплика базы данных.

    Начиная с версии 2103, служба восстановления поддерживает точки управления, использующие реплика базы данных.

Предварительные требования для порталов BitLocker

  • Чтобы использовать портал самообслуживания или веб-сайт администрирования и мониторинга, требуется сервер Windows под управлением IIS. Вы можете повторно использовать систему сайта Configuration Manager или автономный веб-сервер, имеющий подключение к серверу базы данных сайта. Используйте поддерживаемую версию ОС для серверов системы сайта.

  • На веб-сервере, на котором будет размещен портал самообслуживания, установите компонент Microsoft ASP.NET MVC 4.0 и платформа .NET Framework 3.5, прежде чем приступить к установке. Другие необходимые роли и компоненты windows server будут установлены автоматически во время установки портала.

    Совет

    Вам не нужно устанавливать какую-либо версию Visual Studio с ASP.NET MVC.

  • Учетная запись пользователя, которая запускает скрипт установщика портала, должна SQL Server права sysadmin на сервере базы данных сайта. В процессе установки скрипт задает права входа, пользователя и SQL Server роли для учетной записи компьютера веб-сервера. Эту учетную запись пользователя можно удалить из роли sysadmin после завершения настройки портала самообслуживания и веб-сайта администрирования и мониторинга.

Поддерживаемые конфигурации

  • Управление BitLocker не поддерживается на виртуальных машинах или в серверных выпусках. Например, управление BitLocker не запускает шифрование на фиксированных дисках виртуальных машин. Кроме того, фиксированные диски на виртуальных машинах могут отображаться как совместимые, даже если они не зашифрованы.

  • В версии 2010 и более ранних Microsoft Entra присоединены, клиенты рабочих групп или клиенты в недоверенных доменах не поддерживаются. В этих более ранних версиях Configuration Manager управление BitLocker поддерживает только устройства, присоединенные к локальная служба Active Directory включая Microsoft Entra устройства с гибридным присоединением. Эта конфигурация используется для проверки подлинности со службой восстановления для ключей депонирования.

    Начиная с версии 2103, Configuration Manager поддерживает все типы присоединения клиентов для управления BitLocker. Однако компонент пользовательского интерфейса BitLocker на стороне клиента по-прежнему поддерживается только на устройствах, присоединенных к Active Directory, и Microsoft Entra гибридных устройствах.

  • Начиная с версии 2010, теперь вы можете управлять политиками BitLocker и ключами восстановления депонирования через шлюз управления облаком (CMG). Это изменение также обеспечивает поддержку управления BitLocker через интернет-управление клиентами (IBCM). Процесс настройки управления BitLocker не изменяется. Это улучшение поддерживает присоединенные к домену и гибридные устройства, присоединенные к домену. Дополнительные сведения см. в разделе Развертывание агента управления: служба восстановления.

    • Если у вас есть политики управления BitLocker, созданные до обновления до версии 2010, чтобы сделать их доступными для интернет-клиентов через CMG:
      1. В консоли Configuration Manager откройте свойства существующей политики.
      2. Перейдите на вкладку Управление клиентом .
      3. Нажмите кнопку ОК или Применить , чтобы сохранить политику. Это действие пересматривает политику, чтобы она была доступна клиентам через шлюз управления облачными клиентами.

  • По умолчанию шаг включить последовательность задач BitLocker шифрует только используемое пространство на диске. Управление BitLocker использует полное шифрование дисков . Настройте этот шаг последовательности задач, чтобы включить параметр Использовать полное шифрование диска.

    Начиная с версии 2203, этот шаг последовательности задач можно настроить для депонирования сведений о восстановлении BitLocker для тома ОС на Configuration Manager.

    Дополнительные сведения см. в разделе Шаги последовательности задач — включение BitLocker.

Важно!

Сценарий Invoke-MbamClientDeployment.ps1 PowerShell предназначен только для автономных MBAM . Его не следует использовать с управлением BitLocker Configuration Manager.

Дальнейшие действия

Шифрование данных восстановления по сети