Informace o službě obnovení bitlockeru

Platí pro: Configuration Manager (Current Branch)

Důležité

Od verze 2103 se změnila implementace služby obnovení. Už starší komponenty APLIKACE MBAM už používat nebude, ale koncepčně se označuje jako služba obnovení. Všichni klienti verze 2103 používají jako službu obnovení součást modulu pro zpracování zpráv bodu správy. Pomocí zabezpečeného kanálu oznámení klienta si klíče pro obnovení zakřeskují. S touto změnou můžete povolit Správce konfigurace web pro vylepšený protokol HTTP. Tato konfigurace nemá vliv na funkce správy nástroje BitLocker v Správce konfigurace.

Pokud na webu i klientech běží Správce konfigurace verze 2103 nebo novější, posílají klienti svoje obnovovací klíče do bodu správy přes zabezpečený kanál oznámení klienta. Pokud jsou všichni klienti ve verzi 2010 nebo starší, potřebují k escrowování klíčů službu obnovení pomocí protokolu HTTPS v bodu správy.

Služba obnovení BitLockeru je součást serveru, která přijímá data bitlockeru pro obnovení z Configuration Manager klientů. Lokalita nasadí službu obnovení při vytváření zásad správy nástroje BitLocker. Configuration Manager automaticky nainstaluje službu recovery service do každého bodu správy pomocí webu s podporou PROTOKOLU HTTPS.

Configuration Manager ukládá informace o obnovení do databáze lokality. Bez šifrovacího certifikátu pro správu BitLockeru Configuration Manager ukládá informace o obnovení klíče ve formátu prostého textu. Další informace najdete v tématu Šifrování dat obnovení v databázi.

Od verze 2010 můžete spravovat zásady BitLockeru a klíče obnovení escrow přes bránu pro správu cloudu (CMG). Když klienti připojení k doméně komunikují přes cmg, nepoužívají starší verzi služby obnovení, ale komponentu modulu pro zpracování zpráv bodu správy. Hybridní Azure AD připojená zařízení také používají modul pro zpracování zpráv.

Od verze 2103 používají všichni podporovaní klienti součást modulu pro zpracování zpráv bodu správy jako službu obnovení. Tato změna snižuje závislosti na starších komponentách MBAM a umožňuje podporu rozšířeného protokolu HTTP.

Poznámka

Pro verzi 2010 kanál modulu pro zpracování zpráv pouze umisťuje klíče pro svazky s operačním systémem a pevnými jednotkami. Nepodporuje obnovovací klíče pro vyměnitelné jednotky ani hodnotu hash hesla TPM.

Od verze 2103 podporují zásady správy BitLockeru přes cmg následující možnosti:

  • Obnovovací klíče pro vyměnitelné jednotky
  • Hodnota hash hesla TPM, jinak označované jako autorizace vlastníka čipu TPM

Otočení klíčů

Když obnovujete klíč pomocí samoobslužných portálů nebo portálů helpdesku, protože je zveřejněný, Configuration Manager vyžaduje, aby klient klíč obměňoval. Otočení klíče znamená, že klient vygeneruje nový klíč pro obnovení BitLockeru. Potom uloží nový klíč do služby obnovení.

Poznámka

Když migrujete z MBAM, zařízení obdrží ze Configuration Manager zásady správy BitLockeru, nejprve otočí svůj klíč. Potom odešle nový klíč do služby obnovení Configuration Manager.

Další kroky

Migrace z MBAM

Nastavení sestav a portálů nástroje BitLocker