Nasazení správy Nástroje BitLocker

Platí pro: Configuration Manager (Current Branch)

Správa nástroje BitLocker v Configuration Manager zahrnuje následující komponenty:

  • Agent pro správu BitLockeru: Configuration Manager povolí tohoto agenta na zařízení, když vytvoříte zásadu a nasadíte ji do kolekce.

  • Recovery Service: Serverová komponenta, která přijímá data bitlockeru pro obnovení od klientů. Další informace najdete v tématu Recovery Service.

Než vytvoříte a nasadíte zásady správy nástroje BitLocker:

Vytvoření zásady

Když vytvoříte a nasadíte tuto zásadu, klient Configuration Manager povolí na zařízení agenta pro správu nástroje BitLocker.

Poznámka

Pokud chcete vytvořit zásady správy nástroje BitLocker, potřebujete v Configuration Manager roli Úplný správce.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita, rozbalte Položku Endpoint Protection a vyberte uzel Správa nástroje BitLocker.

  2. Na pásu karet vyberte Vytvořit zásadu řízení správy nástroje BitLocker.

  3. Na stránce Obecné zadejte název a volitelný popis. Vyberte komponenty, které chcete povolit na klientech s touto zásadou:

    • Jednotka operačního systému: Umožňuje určit, jestli je jednotka s operačním systémem šifrovaná.

    • Pevná jednotka: Správa šifrování jiných datových jednotek v zařízení

    • Vyměnitelná jednotka: Správa šifrování jednotek, které můžete odebrat ze zařízení, jako je usb klíč

    • Správa klientů: Správa informací o obnovení služby Obnovení klíčů nástroje BitLocker Drive Encryption

  4. Na stránce Instalace nakonfigurujte následující globální nastavení nástroje BitLocker Drive Encryption:

    Poznámka

    Configuration Manager použije tato nastavení při povolení nástroje BitLocker. Pokud je jednotka už zašifrovaná nebo probíhá, při jakékoli změně nastavení těchto zásad se šifrování jednotky v zařízení nezmění.

    Pokud tato nastavení zakážete nebo nenakonfigurujete, BitLocker použije výchozí metodu šifrování (128bitová verze AES).

    • U Windows 8.1 zařízení povolte možnost Metoda šifrování disku a síla šifry. Pak vyberte metodu šifrování.

    • U Windows 10 nebo novějších zařízení povolte možnost Metoda šifrování jednotky a síla šifry (Windows 10 nebo novější). Pak jednotlivě vyberte metodu šifrování pro jednotky s operačním systémem, pevné datové jednotky a vyměnitelné datové jednotky.

    Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – nastavení.

  5. Na stránce Jednotka operačního systému zadejte následující nastavení:

    • Nastavení šifrování jednotky operačního systému: Pokud toto nastavení povolíte, musí uživatel chránit jednotku operačního systému a BitLocker jednotku zašifruje. Pokud ho zakážete, uživatel nemůže jednotku chránit.

    Na zařízeních s kompatibilním čipem TPM je možné při spuštění použít dva typy metod ověřování k zajištění další ochrany šifrovaných dat. Když se počítač spustí, může k ověření použít jenom čip TPM nebo může vyžadovat zadání osobního identifikačního čísla (PIN). Nakonfigurujte následující nastavení:

    • Vyberte ochranu pro jednotku s operačním systémem: Nakonfigurujte ji tak, aby používala čip TPM a PIN kód nebo jenom čip TPM.

    • Konfigurace minimální délky KÓDU PIN pro spuštění: Pokud potřebujete PIN kód, jedná se o nejkratší délku, kterou může uživatel zadat. Uživatel zadá tento PIN kód, když se počítač spustí a jednotku odemkne. Ve výchozím nastavení je 4minimální délka PIN kódu .

    Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – jednotka s operačním systémem.

  6. Na stránce Pevná jednotka zadejte následující nastavení:

    • Oprava šifrování datové jednotky: Pokud toto nastavení povolíte, BitLocker vyžaduje, aby uživatelé umístili všechny pevné datové jednotky pod ochranu. Pak zašifruje datové jednotky. Když tuto zásadu povolíte, povolte buď automatické odemykání, nebo nastavení pro zásady hesel pevných datových jednotek.

    • Konfigurace automatického odemykání pevné datové jednotky: Povolí nebo vyžaduje, aby Nástroj BitLocker automaticky odemyká všechny šifrované datové jednotky. Pokud chcete použít automatické odemykání, musíte také šifrovat jednotku s operačním systémem pomocí nástroje BitLocker.

    Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – pevná jednotka.

  7. Na stránce Vyměnitelná jednotka zadejte následující nastavení:

    • Šifrování vyměnitelné datové jednotky: Když povolíte toto nastavení a povolíte uživatelům použít ochranu nástrojem BitLocker, klient Configuration Manager uloží informace o obnovení o vyměnitelných jednotkách do služby obnovení v bodě správy. Toto chování umožňuje uživatelům obnovit jednotku, pokud zapomenou nebo ztratí ochranu (heslo).

    • Povolit uživatelům používat ochranu nástrojem BitLocker na vyměnitelné datové jednotky: Uživatelé můžou zapnout ochranu nástrojem BitLocker pro vyměnitelnou jednotku.

    • Zásady hesel pro vyměnitelnou datovou jednotku: Pomocí těchto nastavení můžete nastavit omezení hesel k odemknutí vyměnitelných jednotek chráněných bitlockerem.

    Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k Nastavení – Vyměnitelná jednotka.

  8. Na stránce Správa klientů zadejte následující nastavení:

    Důležité

    Pokud pro verze Configuration Manager starší než 2103 nemáte bod správy s webem s povoleným protokolem HTTPS, toto nastavení nekonfigurujte. Další informace najdete v tématu Recovery Service.

    • Konfigurace služeb správy nástroje BitLocker: Když povolíte toto nastavení, Configuration Manager automaticky a bezobslužně zálohuje informace o obnovení klíčů v databázi lokality. Pokud toto nastavení zakážete nebo nenakonfigurujete, Configuration Manager neuloží informace o obnovení klíče.

      • Vyberte BitLocker pro uložení informací o obnovení: Nakonfigurujte ho tak, aby používal heslo pro obnovení a balíček klíčů nebo jenom heslo pro obnovení.

      • Povolit ukládání informací o obnovení ve formátu prostého textu: Bez šifrovacího certifikátu pro správu nástroje BitLocker Configuration Manager ukládá informace o obnovení klíče ve formátu prostého textu. Další informace najdete v tématu Šifrování dat obnovení v databázi.

    Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – správa klientů.

  9. Dokončete průvodce.

Pokud chcete změnit nastavení existující zásady, zvolte ji v seznamu a vyberte Vlastnosti.

Když vytvoříte více než jednu zásadu, můžete nakonfigurovat jejich relativní prioritu. Pokud do klienta nasadíte více zásad, použije k určení nastavení hodnotu priority.

Od verze 2006 můžete pro tuto úlohu použít rutiny Windows PowerShell. Další informace najdete v tématu New-CMBlmSetting.

Nasazení zásady

  1. V uzlu správa nástroje BitLocker zvolte existující zásadu. Na pásu karet vyberte Nasadit.

  2. Jako cíl nasazení vyberte kolekci zařízení.

  3. Pokud chcete, aby zařízení mohlo své jednotky kdykoli zašifrovat nebo dešifrovat, vyberte možnost Povolit nápravu mimo časové období údržby. Pokud má kolekce nějaká časová období údržby, přesto tuto zásadu nástroje BitLocker opraví.

  4. Nakonfigurujte jednoduchý nebo vlastní plán. Klient vyhodnocuje dodržování předpisů na základě nastavení zadaných v plánu.

  5. Vyberte OK a nasaďte zásadu.

Můžete vytvořit několik nasazení stejné zásady. Pokud chcete zobrazit další informace o každém nasazení, vyberte zásadu v uzlu Správa nástroje BitLocker a pak v podokně podrobností přepněte na kartu Nasazení. Pro tuto úlohu můžete také použít rutiny Windows PowerShell. Další informace najdete v tématu New-CMSettingDeployment.

Důležité

Pokud je aktivní připojení protokolu RDP (Remote Desktop Protocol), klient MBAM nespustí akce nástroje BitLocker Drive Encryption. Zavřete všechna vzdálená připojení konzoly a přihlaste se k relaci konzoly pomocí uživatelského účtu domény. Pak se spustí nástroj BitLocker Drive Encryption a klient nahraje obnovovací klíče a balíčky. Pokud se přihlásíte pomocí místního uživatelského účtu, nástroj BitLocker Drive Encryption se nespustí.

Pomocí protokolu RDP se můžete pomocí přepínače vzdáleně připojit k relaci konzoly zařízení /admin . Například: mstsc.exe /admin /v:<IP address of device>

Relace konzoly je buď ve fyzické konzole počítače, nebo vzdálené připojení, které je stejné, jako když jste ve fyzické konzole počítače.

Sledování

Podívejte se na základní statistiky dodržování předpisů o nasazení zásad v podokně podrobností uzlu pro správu nástroje BitLocker :

  • Počet dodržování předpisů
  • Počet selhání
  • Počet nedodržování předpisů

Přepněte na kartu Nasazení , kde se zobrazí procento dodržování předpisů a doporučená akce. Vyberte nasazení a pak na pásu karet vyberte Zobrazit stav. Tato akce přepne zobrazení do uzlu Pracovní prostor Monitorování , Nasazení . Podobně jako u nasazení jiných nasazení zásad konfigurace můžete v tomto zobrazení zobrazit podrobnější stav dodržování předpisů.

Informace o tom, proč klienti hlásí, že nedodržují zásady správy nástroje BitLocker, najdete v tématu Kódy nekompatibilních předpisů.

Další informace o řešení potíží najdete v tématu Řešení potíží s nástrojem BitLocker.

K monitorování a řešení potíží použijte následující protokoly:

Protokoly klientů

  • Protokol událostí MBAM: V Prohlížeč událostí Windows přejděte na Aplikace a služby>Microsoft>Windows>MBAM. Další informace najdete v tématech Protokoly událostí nástroje BitLocker a Protokoly událostí klienta.

  • Cesta protokolů %WINDIR%\CCM\Logsklienta bitlockerManagementHandler.log a BitlockerManagement_GroupPolicyHandler.log ve výchozím nastavení

Protokoly bodů správy (recovery service)

  • Protokol událostí služby Recovery Service: V Prohlížeč událostí Windows přejděte na Aplikace a služby>Microsoft>Windows>MBAM-Web. Další informace najdete v tématech Protokoly událostí nástroje BitLocker a Protokoly událostí serveru.

  • Protokoly trasování služby Recovery Service: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Aspekty migrace

Pokud v současné době používáte microsoft BitLocker Administration and Monitoring (MBAM), můžete bez problémů migrovat správu do Configuration Manager. Když nasadíte zásady správy nástroje BitLocker v Configuration Manager, klienti automaticky nahrají obnovovací klíče a balíčky do služby Configuration Manager Recovery Service.

Důležité

Pokud při migraci ze samostatného MBAM na Configuration Manager správu Nástroje BitLocker vyžadujete existující funkce samostatného MBAM, nepoužívejte samostatné servery NEBO komponenty MBAM s Configuration Manager správou nástroje BitLocker. Pokud tyto servery znovu použijete, přestane samostatný MBAM fungovat, když Configuration Manager správa Nástroje BitLocker na tyto servery nainstaluje jeho součásti. Nepoužívejte skript MBAMWebSiteInstaller.ps1 k nastavení portálů BitLockeru na samostatných serverech MBAM. Při nastavování správy nástroje BitLocker Configuration Manager používejte samostatné servery.

Zásady skupiny

  • Nastavení správy nástroje BitLocker jsou plně kompatibilní s nastavením zásad skupiny MBAM. Pokud zařízení obdrží nastavení zásad skupiny i zásady Configuration Manager, nakonfigurujte je tak, aby odpovídaly.

    Poznámka

    Pokud pro samostatnou aplikaci MBAM existuje nastavení zásad skupiny, přepíše se ekvivalentní nastavení, které Configuration Manager pokusil. Samostatný MBAM používá zásady skupiny domény, zatímco Configuration Manager nastavuje místní zásady pro správu BitLockeru. Zásady domény přepíšou zásady správy místního Configuration Manager BitLockeru. Pokud zásady skupiny samostatné domény MBAM neodpovídají zásadám Configuration Manager, Configuration Manager správa nástroje BitLocker selže. Pokud například zásady skupiny domény nastaví samostatný server MBAM pro služby obnovení klíčů, Configuration Manager správa Nástroje BitLocker nemůže nastavit stejné nastavení pro bod správy. Toto chování způsobí, že klienti nebudou hlásit své obnovovací klíče službě Configuration Manager obnovení klíčů pro správu nástroje BitLocker v bodě správy.

  • Configuration Manager neimplementuje všechna nastavení zásad skupiny MBAM. Pokud v zásadách skupiny nakonfigurujete další nastavení, agent pro správu Nástroje BitLocker na Configuration Manager klientech tato nastavení respektuje.

    Důležité

    Nenastavujte zásady skupiny pro nastavení, které Configuration Manager už určuje správa Nástroje BitLocker. Nastavte zásady skupiny jenom pro nastavení, která v současné době neexistují ve správě nástroje Configuration Manager BitLocker. Configuration Manager verze 2002 má paritu funkcí se samostatným MBAM. U Configuration Manager verze 2002 a novějších by ve většině případů neměl být důvod ke konfiguraci zásad skupiny domény. Pokud chcete zabránit konfliktům a problémům, nepoužívejte zásady skupiny pro Nástroj BitLocker. Nakonfigurujte všechna nastavení prostřednictvím zásad správy nástroje Configuration Manager bitlockeru.

Hodnota hash hesla TPM

  • Předchozí klienti MBAM nenahrají hodnotu hash hesla TPM do Configuration Manager. Klient nahraje hodnotu hash hesla TPM jenom jednou.

  • Pokud potřebujete tyto informace migrovat do služby Configuration Manager Recovery Service, vymažte na zařízení čip TPM. Po restartování nahraje novou hodnotu hash hesla TPM do služby Recovery Service.

Poznámka

Nahrání hodnoty hash hesel TPM se týká hlavně verzí Windows před Windows 10. Windows 10 nebo novějším ve výchozím nastavení neukládá hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu Informace o hesle vlastníka čipu TPM.

Opětovné šifrování

Configuration Manager znovu nešifruje jednotky, které jsou už chráněné nástrojem BitLocker Drive Encryption. Pokud nasadíte zásadu správy nástroje BitLocker, která neodpovídá aktuální ochraně jednotky, hlásí se jako nevyhovující. Jednotka je stále chráněná.

Například jste použili MBAM k šifrování jednotky pomocí šifrovacího algoritmu AES-XTS 128, ale zásady Configuration Manager vyžadují AES-XTS 256. Jednotka nevyhovuje zásadám, i když je zašifrovaná.

Pokud chcete toto chování obejít, nejprve na zařízení zakažte Nástroj BitLocker. Pak nasaďte novou zásadu s novým nastavením.

Spoluspráva a Intune

Obslužná rutina Configuration Manager klienta pro Nástroj BitLocker je s podporou spolusprávy. Pokud je zařízení spoluspravované a úlohu Endpoint Protection přepnete na Intune, Configuration Manager klient ignoruje své zásady nástroje BitLocker. Zařízení získá zásady šifrování Windows z Intune.

Poznámka

Přepnutí autorit pro správu šifrování při zachování požadovaného šifrovacího algoritmu nevyžaduje u klienta žádné další akce. Pokud ale přepnete autority pro správu šifrování a změní se také požadovaný šifrovací algoritmus, budete muset naplánovat opětovné šifrování.

Další informace o správě nástroje BitLocker s Intune najdete v následujících článcích:

Další kroky

Informace o službě obnovení nástroje BitLocker

Nastavení sestav a portálů Nástroje BitLocker