BitLocker yönetimini dağıtma

Uygulama hedefi: Configuration Manager (güncel dalı)

Configuration Manager'da BitLocker yönetimi aşağıdaki bileşenleri içerir:

BitLocker yönetim ilkelerini oluşturmadan ve dağıtmadan önce:

İlke oluşturma

Bu ilkeyi oluşturduğunuzda ve dağıttığınızda, Configuration Manager istemcisi cihazda BitLocker yönetim aracısını etkinleştirir.

Not

BitLocker yönetim ilkesi oluşturmak için Configuration Manager'da Tam Yönetici rolüne sahip olmanız gerekir.

  1. Configuration Manager konsolunda Varlıklar ve Uyumluluk çalışma alanına gidin, Endpoint Protection'ı genişletin ve BitLocker Yönetim düğümünü seçin.

  2. Şeritte BitLocker Yönetim Denetimi İlkesi Oluştur'u seçin.

  3. Genel sayfasında, bir ad ve isteğe bağlı bir açıklama belirtin. Bu ilkeye sahip istemcilerde etkinleştirecek bileşenleri seçin:

    • İşletim Sistemi Sürücüsü: İşletim sistemi sürücüsünün şifrelenip şifrelenmediğini yönetme

    • Sabit Sürücü: Bir cihazdaki diğer veri sürücüleri için şifrelemeyi yönetme

    • Çıkarılabilir Sürücü: USB anahtarı gibi bir cihazdan kaldırabileceğiniz sürücüler için şifrelemeyi yönetme

    • İstemci Yönetimi: BitLocker Sürücü Şifrelemesi kurtarma bilgilerinin anahtar kurtarma hizmeti yedeklemesini yönetme

  4. Kurulum sayfasında BitLocker Sürücü Şifrelemesi için aşağıdaki genel ayarları yapılandırın:

    Not

    Configuration Manager, BitLocker'ı etkinleştirdiğinizde bu ayarları uygular. Sürücü zaten şifrelenmişse veya devam ediyorsa, bu ilke ayarlarında yapılan herhangi bir değişiklik cihazda sürücü şifrelemesini değiştirmez.

    Bu ayarları devre dışı bırakır veya yapılandırmazsanız BitLocker varsayılan şifreleme yöntemini (AES 128 bit) kullanır.

    • Windows 8.1 cihazlar için Sürücü şifreleme yöntemi ve şifreleme gücü seçeneğini etkinleştirin. Ardından şifreleme yöntemini seçin.

    • Windows 10 veya sonraki cihazlar için Sürücü şifreleme yöntemi ve şifreleme gücü (Windows 10 veya üzeri) seçeneğini etkinleştirin. Ardından işletim sistemi sürücüleri, sabit veri sürücüleri ve çıkarılabilir veri sürücüleri için şifreleme yöntemini tek tek seçin.

    Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz . Ayarlar başvurusu - Kurulum.

  5. İşletim Sistemi Sürücüsü sayfasında aşağıdaki ayarları belirtin:

    • İşletim Sistemi Sürücüsü Şifreleme Ayarları: Bu ayarı etkinleştirirseniz, kullanıcının işletim sistemi sürücüsünü koruması gerekir ve BitLocker sürücüyü şifreler. Devre dışı bırakırsanız, kullanıcı sürücüyü koruyamaz.

    Uyumlu bir TPM'ye sahip cihazlarda, şifrelenmiş veriler için ek koruma sağlamak üzere başlangıçta iki tür kimlik doğrulama yöntemi kullanılabilir. Bilgisayar başlatıldığında, kimlik doğrulaması için yalnızca TPM kullanabilir veya kişisel kimlik numarası (PIN) girişini de gerektirebilir. Aşağıdaki ayarları yapılandırın:

    • İşletim sistemi sürücüsü için koruyucu seçin: TPM ve PIN kullanacak şekilde veya yalnızca TPM'yi kullanacak şekilde yapılandırın.

    • Başlangıç için en düşük PIN uzunluğunu yapılandırma: PIN gerekiyorsa, bu değer kullanıcının belirtebileceği en kısa uzunluk olur. Bilgisayar sürücünün kilidini açmak için önyükleme yaptığında kullanıcı bu PIN'i girer. Varsayılan olarak, en düşük PIN uzunluğu şeklindedir 4.

    Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - İşletim sistemi sürücüsü.

  6. Sabit Sürücü sayfasında aşağıdaki ayarları belirtin:

    • Sabit veri sürücüsü şifrelemesi: Bu ayarı etkinleştirirseniz, BitLocker kullanıcıların tüm sabit veri sürücülerini koruma altına almasını gerektirir. Ardından veri sürücülerini şifreler. Bu ilkeyi etkinleştirdiğinizde otomatik kilidi açmayı veya Sabit veri sürücüsü parola ilkesi ayarlarını etkinleştirin.

    • Sabit veri sürücüsü için otomatik kilidi açmayı yapılandırma: BitLocker'ın şifrelenmiş herhangi bir veri sürücüsünün kilidini otomatik olarak açmasına izin verin veya gerekli kılabilir. Otomatik kilidi açmayı kullanmak için BitLocker'ın işletim sistemi sürücüsünü şifrelemesini de gerekli kılar.

    Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - Sabit sürücü.

  7. Çıkarılabilir Sürücü sayfasında aşağıdaki ayarları belirtin:

    • Çıkarılabilir veri sürücüsü şifrelemesi: Bu ayarı etkinleştirdiğinizde ve kullanıcıların BitLocker koruması uygulamasına izin verdiğinizde, Configuration Manager istemcisi çıkarılabilir sürücüler hakkındaki kurtarma bilgilerini yönetim noktasındaki kurtarma hizmetine kaydeder. Bu davranış, kullanıcıların koruyucuyu (parola) unutması veya kaybetmesi durumunda sürücüyü kurtarmasına olanak tanır.

    • Kullanıcıların çıkarılabilir veri sürücülerine BitLocker koruması uygulamasına izin ver: Kullanıcılar çıkarılabilir bir sürücü için BitLocker korumasını açabilir.

    • Çıkarılabilir veri sürücüsü parola ilkesi: BitLocker korumalı çıkarılabilir sürücülerin kilidini açmak için parola kısıtlamalarını ayarlamak için bu ayarları kullanın.

    Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz. Ayarlar başvurusu - Çıkarılabilir sürücü.

  8. İstemci Yönetimi sayfasında aşağıdaki ayarları belirtin:

    Önemli

    2103 öncesi Configuration Manager sürümlerinde, HTTPS özellikli web sitesine sahip bir yönetim noktanız yoksa, bu ayarı yapılandırmayın. Daha fazla bilgi için bkz . Kurtarma hizmeti.

    • BitLocker Yönetim Hizmetlerini Yapılandırma: Bu ayarı etkinleştirdiğinizde, Configuration Manager site veritabanındaki anahtar kurtarma bilgilerini otomatik ve sessizce yedekler. Bu ayarı devre dışı bırakır veya yapılandırmazsanız Configuration Manager anahtar kurtarma bilgilerini kaydetmez.

      • Depolamak için BitLocker kurtarma bilgilerini seçin: Kurtarma parolası ve anahtar paketi kullanacak şekilde yapılandırın veya yalnızca bir kurtarma parolası kullanın.

      • Kurtarma bilgilerinin düz metin olarak depolanmasına izin ver: BitLocker yönetim şifreleme sertifikası olmadan Configuration Manager anahtar kurtarma bilgilerini düz metin olarak depolar. Daha fazla bilgi için bkz . Veritabanında kurtarma verilerini şifreleme.

    Bu ve bu sayfadaki diğer ayarlar hakkında daha fazla bilgi için bkz . Ayarlar başvurusu - İstemci yönetimi.

  9. Sihirbazı tamamlayın.

Var olan bir ilkenin ayarlarını değiştirmek için, listeden ilkeyi seçin ve Özellikler'i seçin.

Birden fazla ilke oluşturduğunuzda, göreli önceliğini yapılandırabilirsiniz. Bir istemciye birden çok ilke dağıtırsanız, ayarlarını belirlemek için öncelik değerini kullanır.

Sürüm 2006'dan başlayarak, bu görev için Windows PowerShell cmdlet'leri kullanabilirsiniz. Daha fazla bilgi için bkz. New-CMBlmSetting.

İlke dağıtma

  1. BitLocker Yönetim düğümünde var olan bir ilkeyi seçin. Şeritte Dağıt'ı seçin.

  2. Dağıtımın hedefi olarak bir cihaz koleksiyonu seçin.

  3. Cihazın herhangi bir zamanda sürücülerini şifrelemesini veya şifresini çözmesini istiyorsanız bakım penceresinin dışında Düzeltmeye izin ver seçeneğini belirleyin. Koleksiyonun bakım pencereleri varsa, bu BitLocker ilkesini düzeltmeye devam eder.

  4. Basit veya Özel bir zamanlama yapılandırın. İstemci, uyumluluğunu zamanlamada belirtilen ayarlara göre değerlendirir.

  5. İlkeyi dağıtmak için Tamam'ı seçin.

Aynı ilkenin birden çok dağıtımını oluşturabilirsiniz. Her dağıtımla ilgili ek bilgileri görüntülemek için BitLocker Yönetim düğümünde ilkeyi seçin ve ayrıntılar bölmesinde Dağıtımlar sekmesine geçin. Bu görev için Windows PowerShell cmdlet'leri de kullanabilirsiniz. Daha fazla bilgi için bkz. New-CMSettingDeployment.

Önemli

Uzak masaüstü protokolü (RDP) bağlantısı etkinse, MBAM istemcisi BitLocker Sürücü Şifrelemesi eylemlerini başlatmaz. Tüm uzak konsol bağlantılarını kapatın ve bir etki alanı kullanıcı hesabıyla konsol oturumunda oturum açın. Ardından BitLocker Sürücü Şifrelemesi başlar ve istemci kurtarma anahtarlarını ve paketlerini karşıya yükler. Yerel bir kullanıcı hesabıyla oturum açarsanız BitLocker Sürücü Şifrelemesi başlatılmaz.

RDP kullanarak cihazın konsol oturumuna anahtarla /admin uzaktan bağlanabilirsiniz. Örneğin: mstsc.exe /admin /v:<IP address of device>

Konsol oturumu, bilgisayarın fiziksel konsolunda olduğunuzda veya bilgisayarın fiziksel konsolunda olmanızla aynı olan uzak bir bağlantıdır.

Monitör

BitLocker Yönetim düğümünün ayrıntılar bölmesinde ilke dağıtımıyla ilgili temel uyumluluk istatistiklerini görüntüleyin:

  • Uyumluluk sayısı
  • Hata sayısı
  • Uyumsuzluk sayısı

Uyumluluk yüzdesini ve önerilen eylemi görmek için Dağıtımlar sekmesine geçin. Dağıtımı seçin, ardından şeritte Durumu Görüntüle'yi seçin. Bu eylem görünümü İzleme çalışma alanı olan Dağıtımlar düğümüne geçirir. Diğer yapılandırma ilkesi dağıtımlarına benzer şekilde, bu görünümde daha ayrıntılı uyumluluk durumu görebilirsiniz.

İstemcilerin neden BitLocker yönetim ilkesiyle uyumlu olmadığını bildirdiğini anlamak için bkz . Uyumsuzluk kodları.

Daha fazla sorun giderme bilgisi için bkz. BitLocker sorunlarını giderme.

İzlemek ve sorun gidermek için aşağıdaki günlükleri kullanın:

İstemci günlükleri

  • MBAM olay günlüğü: Windows Olay Görüntüleyicisi Uygulamalar ve Hizmetler>Microsoft>Windows>MBAM'ye göz atın. Daha fazla bilgi için bkz. BitLocker olay günlükleri ve İstemci olay günlükleri hakkında.

  • BitlockerManagementHandler.log ve BitlockerManagement_GroupPolicyHandler.log istemci günlükleri yolunda varsayılan %WINDIR%\CCM\Logs olarak

Yönetim noktası günlükleri (kurtarma hizmeti)

  • Kurtarma hizmeti olay günlüğü: Windows Olay Görüntüleyicisi, Uygulamalar ve Hizmetler>Microsoft>Windows>MBAM-Web'e göz atın. Daha fazla bilgi için bkz. BitLocker olay günlükleri ve Sunucu olay günlükleri hakkında.

  • Kurtarma hizmeti izleme günlükleri: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Geçişle ilgili dikkat edilmesi gerekenler

Şu anda Microsoft BitLocker Yönetim ve İzleme (MBAM) kullanıyorsanız, yönetimi sorunsuz bir şekilde Configuration Manager geçirebilirsiniz. BitLocker yönetim ilkelerini Configuration Manager dağıttığınızda, istemciler kurtarma anahtarlarını ve paketlerini otomatik olarak Configuration Manager kurtarma hizmetine yükler.

Önemli

Tek başına MBAM'den Configuration Manager BitLocker yönetimine geçiş yaptığınızda, tek başına MBAM'nin mevcut işlevselliğine ihtiyacınız varsa, tek başına MBAM sunucularını veya bileşenlerini Configuration Manager BitLocker yönetimiyle yeniden kullanmayın. Bu sunucuları yeniden kullandığınızda, Configuration Manager BitLocker yönetimi bileşenlerini bu sunuculara yüklediğinde tek başına MBAM çalışmayı durdurur. BitLocker portallarını tek başına MBAM sunucularında ayarlamak için MBAMWebSiteInstaller.ps1 betiğini çalıştırmayın. BitLocker yönetimi Configuration Manager ayarlarken ayrı sunucular kullanın.

Grup ilkesi

  • BitLocker yönetim ayarları MBAM grup ilkesi ayarlarıyla tamamen uyumludur. Cihazlar hem grup ilkesi ayarlarını hem de Configuration Manager ilkelerini alıyorsa, bunları eşleşecek şekilde yapılandırın.

    Not

    Tek başına MBAM için bir grup ilkesi ayarı varsa, Configuration Manager tarafından denenen eşdeğer ayarı geçersiz kılar. Tek başına MBAM, etki alanı grup ilkesini kullanırken, Configuration Manager BitLocker yönetimi için yerel ilkeler ayarlar. Etki alanı ilkeleri, yerel Configuration Manager BitLocker yönetim ilkelerini geçersiz kılar. Tek başına MBAM etki alanı grup ilkesi Configuration Manager ilkesiyle eşleşmiyorsa, Configuration Manager BitLocker yönetimi başarısız olur. Örneğin, bir etki alanı grubu ilkesi anahtar kurtarma hizmetleri için tek başına MBAM sunucusunu ayarlarsa, Configuration Manager BitLocker yönetimi yönetim noktası için aynı ayarı ayarlayamaz. Bu davranış, istemcilerin kurtarma anahtarlarını yönetim noktasındaki Configuration Manager BitLocker yönetim anahtarı kurtarma hizmetine raporlamamalarına neden olur.

  • Configuration Manager tüm MBAM grup ilkesi ayarlarını uygulamaz. Grup ilkesinde daha fazla ayar yapılandırıyorsanız, Configuration Manager istemcilerindeki BitLocker yönetim aracısı bu ayarları kabul eder.

    Önemli

    BitLocker yönetiminin önceden belirttiği Configuration Manager bir ayar için grup ilkesi ayarlamayın. Yalnızca şu anda Configuration Manager BitLocker yönetiminde mevcut olmayan ayarlar için grup ilkeleri ayarlayın. Configuration Manager sürüm 2002, tek başına MBAM ile özellik eşliğine sahiptir. Configuration Manager sürüm 2002 ve üzeriyle, çoğu durumda BitLocker ilkelerini yapılandırmak için etki alanı grubu ilkeleri ayarlamak için bir neden olmamalıdır. Çakışmaları ve sorunları önlemek için BitLocker için grup ilkelerini kullanmaktan kaçının. Tüm ayarları Configuration Manager BitLocker yönetim ilkeleri aracılığıyla yapılandırın.

TPM parola karması

  • Önceki MBAM istemcileri TPM parola karması Configuration Manager yüklemez. İstemci TPM parola karması yalnızca bir kez karşıya yükler.

  • Bu bilgileri Configuration Manager kurtarma hizmetine geçirmeniz gerekiyorsa cihazdaki TPM'yi temizleyin. Yeniden başlatıldıktan sonra yeni TPM parola karması kurtarma hizmetine yüklenir.

Not

TPM parola karması yükleme işlemi, Windows 10 önce çoğunlukla Windows sürümlerine yöneliktir. Windows 10 veya üzeri varsayılan olarak TPM parola karması kaydetmez, bu nedenle bu cihazlar normalde karşıya yüklemez. Daha fazla bilgi için bkz . TPM sahip parolası hakkında.

Yeniden şifreleme

Configuration Manager zaten BitLocker Sürücü Şifrelemesi ile korunan sürücüleri yeniden şifrelemez. Sürücünün geçerli korumasıyla eşleşmeyen bir BitLocker yönetim ilkesi dağıtırsanız, bu ilke uyumsuz olarak rapor eder. Sürücü hala korunuyor.

Örneğin, AES-XTS 128 şifreleme algoritmasıyla sürücüyü şifrelemek için MBAM kullandınız, ancak Configuration Manager ilkesi AES-XTS 256 gerektirir. Sürücü şifrelenmiş olsa bile, sürücü ilkeyle uyumlu değildir.

Bu davranışı geçici olarak çözmek için önce cihazda BitLocker'ı devre dışı bırakın. Ardından yeni ayarlarla yeni bir ilke dağıtın.

Ortak yönetim ve Intune

BitLocker için Configuration Manager istemci işleyicisi ortak yönetime duyarlıdır. Cihaz birlikte yönetiliyorsa ve Endpoint Protection iş yükünü Intune değiştirirseniz, Configuration Manager istemcisi BitLocker ilkesini yoksayar. Cihaz, windows şifreleme ilkesini Intune alır.

Not

İstenen şifreleme algoritmasını korurken şifreleme yönetimi yetkililerinin değiştirilmesi, istemcide ek eylemler gerektirmez. Ancak, şifreleme yönetimi yetkililerini değiştirirseniz ve istenen şifreleme algoritması da değişirse , yeniden şifrelemeyi planlamanız gerekir.

BitLocker'ı Intune ile yönetme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Sonraki adımlar

BitLocker kurtarma hizmeti hakkında

BitLocker raporlarını ve portallarını ayarlama