Informace o službě obnovení nástroje BitLocker
Platí pro: Configuration Manager (Current Branch)
Důležité
Od verze 2103 se změnila implementace služby Recovery Service. Už nepoužívá starší komponenty MBAM, ale stále se koncepčně označuje jako služba obnovení. Všichni klienti verze 2103 používají jako službu obnovení komponentu modulu zpracování zpráv bodu správy. Své obnovovací klíče zakládají do úschovy přes kanál oznámení zabezpečeného klienta. Díky této změně můžete webu Configuration Manager povolit rozšířený protokol HTTP. Tato konfigurace nemá vliv na funkce správy nástrojem BitLocker v Configuration Manager.
Pokud lokalita i klienti používají Configuration Manager verze 2103 nebo novější, klienti odesílají své obnovovací klíče do bodu správy přes kanál oznámení zabezpečeného klienta. Pokud mají klienti verzi 2010 nebo starší, potřebují v bodě správy službu obnovení s podporou protokolu HTTPS, aby mohli své klíče uschovat.
Služba obnovení nástroje BitLocker je serverová součást, která přijímá data nástroje BitLocker pro obnovení z Configuration Manager klientů. Lokalita nasadí službu Recovery Service při vytváření zásad správy nástroje BitLocker. Configuration Manager automaticky nainstaluje službu obnovení na každý bod správy s webem s povoleným protokolem HTTPS.
Configuration Manager ukládá informace o obnovení do databáze lokality. Bez šifrovacího certifikátu bitlockeru pro správu Configuration Manager ukládá informace o obnovení klíče ve formátu prostého textu. Další informace najdete v tématu Šifrování dat obnovení v databázi.
Od verze 2010 můžete spravovat zásady nástroje BitLocker a obnovovací klíče pro úschovu přes bránu pro správu cloudu (CMG). Když klienti připojení k doméně komunikují prostřednictvím cmg, nepoužívají starší službu obnovení, ale součást modulu pro zpracování zpráv bodu správy. Microsoft Entra zařízení připojená k hybridnímu připojení používají také modul pro zpracování zpráv.
Od verze 2103 používají všichni podporovaní klienti komponentu modulu zpracování zpráv bodu správy jako službu obnovení. Tato změna snižuje závislosti na starších komponentách MBAM a umožňuje podporu rozšířeného protokolu HTTP.
Poznámka
Pro verzi 2010 kanál modulu pro zpracování zpráv pouze klíče pro svazky operačního systému a pevných jednotek. Nepodporuje obnovovací klíče pro vyměnitelné jednotky ani hodnotu hash hesla TPM.
Od verze 2103 podporují zásady správy BitLockeru přes CMG následující možnosti:
- Obnovovací klíče pro vyměnitelné jednotky
- Hodnota hash hesla TPM, označovaná také jako autorizace vlastníka ČIPU TPM
Otočit klávesy
Když klíč obnovíte pomocí samoobslužných portálů nebo portálů helpdesku, protože je zveřejněný, Configuration Manager vyžaduje, aby klient klíč obměnil. Obměny klíče znamená, že klient vygeneruje nový klíč pro obnovení bitlockeru. Pak uloží nový klíč do služby Recovery Service.
Poznámka
Když migrujete z MBAM a zařízení obdrží zásadu správy nástroje BitLocker z Configuration Manager, nejprve obmění svůj klíč. Pak odešle nový klíč do služby Configuration Manager Recovery Service.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro