BitLocker yönetimi için planlama
Uygulama hedefi: Configuration Manager (geçerli dal)
Active Directory 'a katılmış şirket içi Windows istemcileri için BitLocker Sürücü Şifrelemesi (BDE) yönetmek üzere Configuration Manager kullanın. Microsoft BitLocker yönetim ve Izleme (MBAD) kullanımını değiştirecek tam BitLocker yaşam döngüsü yönetimi sağlar.
Not
Configuration Manager varsayılan olarak bu isteğe bağlı özelliği etkinleştirmez. Bu özelliği kullanmadan önce etkinleştirmeniz gerekir. Daha fazla bilgi için, bkz. Enable optional features from updates.
BitLocker hakkında daha fazla genel bilgi için bkz. BitLocker 'a genel bakış. BitLocker dağıtımlarının ve gereksinimlerinin bir karşılaştırması için bkz. BitLocker dağıtım karşılaştırma grafiği.
İpucu
Microsoft Endpoint Manager bulut hizmetini kullanarak birlikte yönetilen Windows 10 cihazlarındaki şifrelemeyi yönetmek için Endpoint Protection iş yükünü ıntune 'a geçirin. ıntune 'u kullanma hakkında daha fazla bilgi için bkz. Windows şifreleme.
Özellikler
Configuration Manager, BitLocker Sürücü Şifrelemesi için aşağıdaki yönetim özelliklerini sağlar:
İstemci dağıtımı
BitLocker istemcisini Windows 10 veya Windows 8.1 çalıştıran yönetilen Windows cihazlara dağıtın
Şirket içi ve internet tabanlı istemciler için BitLocker ilkelerini yönetme ve kurtarma anahtarlarını yönetme
Şifreleme ilkelerini yönetme
Örneğin: sürücü şifrelemeyi ve şifre gücünü seçin, Kullanıcı muafiyeti ilkesini yapılandırın, sabit veri sürücüsü şifreleme ayarları ' nı seçin.
Cihazı şifrelemek için kullanılacak algoritmaları ve şifreleme için hedeflediğiniz diskleri belirleme.
Cihazı kullanmadan önce kullanıcıları yeni güvenlik ilkeleriyle uyumlu hale getirmek için zorlayın.
Kuruluşunuzun güvenlik profilini cihaz bazında özelleştirin.
Bir kullanıcı işletim sistemi sürücüsünün kilidini açtığında, yalnızca bir işletim sistemi sürücüsünün mi yoksa tüm eklenen sürücülerin mi ekleneceğini belirtin.
Uyumluluk raporları
İçin yerleşik raporlar:
- Birim veya cihaz başına şifreleme durumu
- Cihazın birincil kullanıcısı
- Uyumluluk durumu
- Uyumsuzluk nedenleri
Yönetim ve web sitesini izleme
Anahtar dönüşü ve BitLocker ile ilgili diğer destek de dahil olmak üzere, kuruluşunuzda Configuration Manager konsolunun dışındaki diğer kişilerin anahtar kurtarmaya yardımcı olması için izin verin. Örneğin, yardım masası yöneticileri kullanıcılara anahtar kurtarmaya yardımcı olabilir.
Kullanıcı self servis portalı
Kullanıcıların, BitLocker şifreli bir cihazın kilidini açmak için tek kullanılan bir anahtarla yardım almasına izin verin. Bu anahtar kullanıldığında, cihaz için yeni bir anahtar oluşturur.
Önkoşullar
Genel önkoşullar
Bir BitLocker yönetim ilkesi oluşturmak için, Configuration Manager ' de tam yönetici rolüne sahip olmanız gerekir.
BitLocker yönetim raporlarını kullanmak için, Raporlama Hizmetleri noktası site sistemi rolünü yükler. Daha fazla bilgi için bkz. raporlamayı yapılandırma.
Not
Kurtarma denetim raporunun yönetim ve izleme Web sitesinden çalışması için yalnızca birincil sitede bir raporlama hizmetleri noktası kullanın.
Kurtarma hizmeti önkoşulları
BitLocker kurtarma hizmeti, ağ üzerindeki kurtarma anahtarlarını Configuration Manager istemcisinden yönetim noktasına şifrelemek için HTTPS gerektirir. Aşağıdaki seçeneklerden birini kullanın:
Siteyi gelişmiş HTTP için etkinleştirin. Bu seçenek 2103 veya üzeri sürümleri için geçerlidir.
HTTPS-kurtarma hizmetini barındıran yönetim noktasında IIS Web sitesini etkinleştirin. Bu seçenek 2002 veya üzeri sürümleri için geçerlidir.
HTTPS için yönetim noktasını yapılandırın. Bu seçenek, desteklenen tüm Configuration Manager sürümleri için geçerlidir.
Daha fazla bilgi için bkz. ağ üzerinden kurtarma verilerini şifreleme.
Sürüm 2010 ve önceki sürümlerde, kurtarma hizmetini kullanmak için bir çoğaltma yapılandırmasında değil en az bir yönetim noktasına ihtiyacınız vardır. BitLocker kurtarma hizmeti, veritabanı çoğaltması kullanan bir yönetim noktasına yüklense de, istemciler kurtarma anahtarlarını emanyapamıyorum. Ardından BitLocker sürücüyü şifrelemez. Herhangi bir yönetim noktasındaki BitLocker kurtarma hizmetini bir veritabanı çoğaltması ile devre dışı bırakın.
Sürüm 2103 ' den başlayarak, kurtarma hizmeti bir veritabanı çoğaltması kullanan yönetim noktalarını destekler.
BitLocker portalları için Önkoşullar
self servis portalı 'nı veya yönetim ve izleme web sitesini kullanmak için, ııs çalıştıran bir Windows sunucusuna ihtiyacınız vardır. Bir Configuration Manager site sistemini yeniden kullanabilir veya site veritabanı sunucusuna bağlantısı olan tek başına bir Web sunucusu kullanabilirsiniz. Site sistemi sunucuları için desteklenen bir işletim sistemi sürümükullanın.
Not
Sürüm 2006 ' den başlayarak, merkezi yönetim sitesinde BitLocker Self-Service Portal ve yönetim ve izleme Web sitesini yükleyebilirsiniz.
Sürüm 2002 ve önceki sürümlerde, yalnızca Self Servis Portalı 'nı ve yönetim ve izleme Web sitesini birincil site veritabanıyla birlikte yükler. Bir hiyerarşide, her birincil site için bu Web sitelerini yükler.
self servis portalını barındıracak web sunucusunda, yüklemeye başlamadan önce Microsoft ASP.NET MVC 4,0 ve .NET Framework 3,5 özelliğini yükledikten sonra. portal yükleme işlemi sırasında, diğer gerekli Windows sunucu rolleri ve özellikleri otomatik olarak yüklenir.
İpucu
ASP.NET MVC ile Visual Studio herhangi bir sürümünü yüklemeniz gerekmez.
portal yükleyici betiğini çalıştıran kullanıcı hesabının, site veritabanı sunucusunda sysadmin hakları SQL Server gerekir. kurulum işlemi sırasında, betik web sunucusu makine hesabı için oturum açma, kullanıcı ve SQL Server rol haklarını ayarlar. Self Servis portalı ve yönetim ve izleme Web sitesinin kurulumunu tamamladıktan sonra bu kullanıcı hesabını sysadmin rolünden kaldırabilirsiniz.
Desteklenen yapılandırmalar
BitLocker Yönetimi sanal makinelerde (VM) veya sunucu sürümlerinde desteklenmez. Örneğin, BitLocker Yönetimi, sanal makinelerin sabit sürücülerinde şifrelemeyi başlatmayacaktır. Ayrıca, sanal makinelerde sabit sürücüler şifrelenmese de uyumlu olarak gösterilebilir.
Azure Active Directory (Azure AD)-katılmış, çalışma grubu istemcileri veya güvenilmeyen etki alanındaki istemciler desteklenmez. Configuration Manager 'de BitLocker Yönetimi yalnızca şirket içi Active Directory katılmış cihazları destekler. Karma Azure AD 'ye katılmış cihazlar de desteklenir. Bu yapılandırma, anahtarları emanetmek için kurtarma hizmeti ile kimlik doğrulaması yapmak için kullanılır.
Sürüm 2010 ' den başlayarak, artık BitLocker ilkelerini yönetebilir ve kurtarma anahtarlarını bir bulut yönetimi ağ geçidi (CMG)üzerinden emanedebilirsiniz. Bu değişiklik Ayrıca, Internet tabanlı istemci yönetimi (IBCM) aracılığıyla BitLocker Yönetimi için destek sağlar. BitLocker Yönetimi için kurulum işleminde herhangi bir değişiklik yoktur. Bu geliştirme, etki alanına katılmış ve karma etki alanına katılmış cihazları destekler. Daha fazla bilgi için bkz. dağıtım Yönetim Aracısı: kurtarma hizmeti.
- Sürüm 2010 ' e güncelleştirildikten önce oluşturduğunuz BitLocker yönetim ilkelerinize sahipseniz, bunları CMG aracılığıyla Internet tabanlı istemciler için kullanılabilir hale getirmek için:
- Configuration Manager konsolunda, mevcut ilkenin özelliklerini açın.
- Istemci yönetimi sekmesine geçin.
- İlkeyi kaydetmek için Tamam ' ı veya Uygula ' yı seçin. Bu eylem, CMG üzerinden istemcilerin kullanabilmesi için ilkeyi yeniden düzeltir.
- Sürüm 2010 ' e güncelleştirildikten önce oluşturduğunuz BitLocker yönetim ilkelerinize sahipseniz, bunları CMG aracılığıyla Internet tabanlı istemciler için kullanılabilir hale getirmek için:
Varsayılan olarak, BitLocker 'ı etkinleştir görev dizisi adımı yalnızca sürücüdeki kullanılan alanı şifreler. BitLocker Yönetimi tam disk şifrelemesi kullanır. Tam disk şifrelemesi kullanma seçeneğini etkinleştirmek için bu görev dizisi adımını yapılandırın. Daha fazla bilgi için bkz. görev dizisi adımları-BitLocker 'ı etkinleştirme.
Önemli
Invoke-MbamClientDeployment.ps1PowerShell betiği yalnızca tek başına mbad içindir. Configuration Manager BitLocker Yönetimi ile kullanılmamalıdır.