Planera för BitLocker-hantering

  • Artikel
  • 4 minuter för att läsa

Gäller för: Konfigurationshanteraren (aktuell gren)

Använd Konfigurationshanteraren för att BitLocker-diskkryptering (BDE) för lokala Windows-klienter, som är ansluten till Active Directory. Den ger fullständig Hantering av BitLocker-livscykeln som kan ersätta användningen av Microsoft BitLocker administration och övervakning (MBAM).

Anteckning

Konfigurationshanteraren aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i avsnittet Enable optional features from updates.

Mer allmän information om BitLocker finns i BitLocker-översikt. En jämförelse av BitLocker-distributioner och krav finns i jämförelsediagrammet för BitLocker-distribution.

Tips

Om du vill hantera kryptering på samhanterade enheter Windows 10 med hjälp Microsoft Endpoint Manager molntjänsten växlar du Endpoint Protection till Intune. Mer information om hur du använder Intune finns i Windows Encryption.

Funktioner

Konfigurationshanteraren innehåller följande hanteringsfunktioner för BitLocker-diskkryptering:

Klientdistribution

  • Distribuera BitLocker-klienten till hanterade enheter Windows som kör Windows 10 eller Windows 8.1

  • Hantera BitLocker-principer och återställningsnycklar för deposition för lokala och Internetbaserade klienter

Hantera krypteringsprinciper

  • Exempel: välj enhetskryptering och krypteringsstyrka, konfigurera användarundantagsprincip, krypteringsinställningar för fast dataenhet.

  • Fastställ med vilka algoritmer som enheten ska krypteras och vilka diskar du vill använda för kryptering.

  • Tvinga användarna att följa nya säkerhetsprinciper innan de använder enheten.

  • Anpassa din organisations säkerhetsprofil per enhet.

  • När en användare låser upp OS-enheten anger du om du bara vill låsa upp en operativsystemenhet eller alla anslutna enheter.

Efterlevnadsrapporter

Inbyggda rapporter för:

  • Krypteringsstatus per volym eller per enhet
  • Enhetens primära användare
  • efterlevnadsstatus
  • Orsaker till bristande efterlevnad

Webbplats för administration och övervakning

Tillåt andra personer i din organisation utanför Konfigurationshanteraren-konsolen för att hjälpa till med nyckelåterställning, inklusive nyckelrotation och annat BitLocker-relaterat stöd. Supportadministratörer kan till exempel hjälpa användare med nyckelåterställning.

Självbetjäning av användare – portal

Låt användarna hjälpa sig själva med en enkel användningsnyckel för att låsa upp en BitLocker-krypterad enhet. När den här nyckeln används genererar den en ny nyckel för enheten.

Förutsättningar

Allmänna krav

  • Om du vill skapa en BitLocker-hanteringsprincip behöver du rollen Fullständig administratör i Konfigurationshanteraren.

  • Om du vill använda BitLocker-hanteringsrapporter installerar du Reporting Services-platsens platssystemroll. Mer information finns i Konfigurera rapportering.

    Anteckning

    För att granskningsrapporten för återställning ska fungera från administrations- och övervakningswebbplatsen ska du bara använda en Reporting Services-plats på den primära platsen.

Krav för återställningstjänsten

  • BitLocker-återställningstjänsten kräver HTTPS för att kryptera återställningsnycklarna i nätverket från Konfigurationshanteraren klienten till hanteringsplatsen. Välj ett av följande alternativ:

    • Aktivera webbplatsen för förbättrad HTTP. Det här alternativet gäller version 2103 eller senare.

    • HTTPS-aktivera IIS-webbplatsen på den hanteringsplats som är värd för återställningstjänsten. Det här alternativet gäller för version 2002 eller senare.

    • Konfigurera hanteringsplatsen för HTTPS. Det här alternativet gäller för alla Konfigurationshanteraren versioner.

    Mer information finns i Kryptera återställningsdata över nätverket.

  • För att kunna använda återställningstjänsten i version 2010 och tidigare behöver du minst en hanteringsplats som inte finns i en replikkonfiguration. Även om BitLocker-återställningstjänsten installeras på en hanteringsplats som använder en databasreplik, kan klienter inte depositionsnycklar för återställning. BitLocker krypterar inte enheten. Inaktivera BitLocker-återställningstjänsten på valfri hanteringsplats med en databasreplik.

    Från och med version 2103 stöder återställningstjänsten hanteringsplatser som använder en databasreplik.

Krav för BitLocker-portaler

  • Om du vill använda självbetjäningsportalen eller administrations- och övervakningswebbplatsen behöver du en Windows server som kör IIS. Du kan återanvända en Konfigurationshanteraren platssystem eller använda en fristående webbserver som har anslutning till platsdatabasservern. Använd en operativsystemversion som stöds för platssystemservrar.

    Anteckning

    Från och med version 2006 kan du installera självbetjäningsportalen för BitLocker och administrations- och övervakningswebbplatsen på den centrala administrationsplatsen.

    I version 2002 och tidigare installerar du bara självbetjäningsportalen och administrations- och övervakningswebbplatsen med en primär platsdatabas. Installera dessa webbplatser för varje primär plats i en hierarki.

  • På den webbserver som ska vara värd för självbetjäningsportalen installerar du Microsoft ASP.NET MVC 4.0 och .NET Framework 3.5-funktionen innan du börjar installera. Andra obligatoriska Windows-serverroller och -funktioner installeras automatiskt under portalinstallationsprocessen.

    Tips

    Du behöver inte installera någon version av en Visual Studio med ASP.NET MVC.

  • Användarkontot som kör installationsskriptet för portalen måste SQL Server sysadmin-behörighet på platsdatabasservern. Under installationen anger skriptet inloggnings-, användar- och SQL Server för webbserverdatorkontot. Du kan ta bort det här användarkontot från sysadmin-rollen när du har slutfört konfigurationen av självbetjäningsportalen och administrations- och övervakningswebbplatsen.

Konfigurationer som stöds

  • BitLocker-hantering stöds inte på virtuella datorer (VM) eller i serverutgåvan. BitLocker-hanteringen startar till exempel inte krypteringen på fasta enheter på virtuella datorer. Dessutom kan fasta enheter på virtuella datorer visas som kompatibla även om de inte är krypterade.

  • Azure Active Directory (Azure AD)-ansluten, arbetsgruppsklienter eller klienter i ej betrodda domäner stöds inte. BitLocker-hantering i Konfigurationshanteraren stöder endast enheter som är anslutna till lokal Active Directory. Hybrid Azure AD-anslutna enheter stöds också. Den här konfigurationen är att autentisera med återställningstjänsten för att depositionsnycklar.

  • Från och med version 2010 kan du nu hantera BitLocker-principer och depositionsnycklar för återställning över en molnhanteringsgateway (CMG). Den här ändringen ger också stöd för BitLocker-hantering via Internetbaserad klienthantering (IBCM). Det finns ingen ändring i installationsprocessen för BitLocker-hantering. Den här förbättringen stöder domän-anslutna och hybrid domän-anslutna enheter. Mer information finns i Distribuera hanteringsagenten: Återställningstjänsten.

    • Om du har BitLocker-hanteringsprinciper som du skapade innan du uppdaterade till version 2010, för att göra dem tillgängliga för Internetbaserade klienter via CMG:
      1. I Konfigurationshanteraren-konsolen öppnar du egenskaperna för den befintliga principen.
      2. Växla till fliken Klienthantering.
      3. Välj OK eller Tillämpa för att spara principen. Den här åtgärden ändrar principen så att den är tillgänglig för klienter via CMG.

  • Som standard krypterar aktivitetssekvenssteget Aktivera BitLocker endast använt utrymme på enheten. BitLocker-hantering använder fullständig diskkryptering. Konfigurera det här aktivitetssekvenssteget för att aktivera alternativet Använd fullständig diskkryptering. Mer information finns i Aktivitetssekvenssteg – Aktivera BitLocker.

Viktigt

Invoke-MbamClientDeployment.ps1PowerShell-skriptet är endast för fristående MBAM. Det bör inte användas med Konfigurationshanteraren BitLocker-hantering.

Nästa steg

Kryptera återställningsdata via nätverket