Informationen zum BitLocker-Wiederherstellungsdienst
Gilt für: Configuration Manager (Current Branch)
Wichtig
Ab Version 2103 wurde die Implementierung des Wiederherstellungsdiensts geändert. Es verwendet keine Legacy-MBAM-Komponenten mehr, wird aber konzeptionell immer noch als Wiederherstellungsdienst bezeichnet. Alle Clients der Version 2103 verwenden die Nachrichtenverarbeitungs-Engine-Komponente des Verwaltungspunkts als Wiederherstellungsdienst. Sie verwalten ihre Wiederherstellungsschlüssel über den sicheren Clientbenachrichtigungskanal. Mit dieser Änderung können Sie die Configuration Manager Website für erweitertes HTTP aktivieren. Diese Konfiguration wirkt sich nicht auf die Funktionalität der BitLocker-Verwaltung in Configuration Manager aus.
Wenn sowohl der Standort als auch die Clients Configuration Manager Version 2103 oder höher ausgeführt werden, senden Clients ihre Wiederherstellungsschlüssel über den sicheren Clientbenachrichtigungskanal an den Verwaltungspunkt. Wenn Clients Version 2010 oder früher verwenden, benötigen sie einen HTTPS-fähigen Wiederherstellungsdienst auf dem Verwaltungspunkt, um ihre Schlüssel zu vervollkommnen.
Der BitLocker-Wiederherstellungsdienst ist eine Serverkomponente, die BitLocker-Wiederherstellungsdaten von Configuration Manager Clients empfängt. Der Standort stellt den Wiederherstellungsdienst bereit, wenn Sie eine BitLocker-Verwaltungsrichtlinie erstellen. Configuration Manager installiert den Wiederherstellungsdienst automatisch auf jedem Verwaltungspunkt mit einer HTTPS-fähigen Website.
Configuration Manager speichert die Wiederherstellungsinformationen in der Standortdatenbank. Ohne ein BitLocker-Verwaltungsverschlüsselungszertifikat speichert Configuration Manager die Schlüsselwiederherstellungsinformationen im Klartext. Weitere Informationen finden Sie unter Verschlüsseln von Wiederherstellungsdaten in der Datenbank.
Ab Version 2010 können Sie BitLocker-Richtlinien und Escrow-Wiederherstellungsschlüssel über ein Cloudverwaltungsgateway (CMG) verwalten. Wenn in die Domäne eingebundene Clients über das CMG kommunizieren, verwenden sie nicht den Legacywiederherstellungsdienst, sondern die Komponente des Nachrichtenverarbeitungsmoduls des Verwaltungspunkts. Microsoft Entra hybrid eingebundene Geräte verwenden auch die Nachrichtenverarbeitungs-Engine.
Ab Version 2103 verwenden alle unterstützten Clients die Nachrichtenverarbeitungs-Engine-Komponente des Verwaltungspunkts als Wiederherstellungsdienst. Diese Änderung reduziert die Abhängigkeiten von älteren MBAM-Komponenten und ermöglicht die Unterstützung für erweitertes HTTP.
Hinweis
In Version 2010 werden vom Kanal der Nachrichtenverarbeitungs-Engine nur Schlüssel für Betriebssystem- und Festplattenvolumes verwaltet. Wiederherstellungsschlüssel für Wechseldatenträger oder den TPM-Kennworthash werden nicht unterstützt.
Ab Version 2103 unterstützen BitLocker-Verwaltungsrichtlinien über ein CMG die folgenden Funktionen:
- Wiederherstellungsschlüssel für Wechseldatenträger
- TPM-Kennworthash, auch als TPM-Besitzerautorisierung bezeichnet
Drehen von Schlüsseln
Wenn Sie einen Schlüssel mit den Self-Service- oder Helpdeskportalen wiederherstellen, da er offengelegt wurde, fordert Configuration Manager, dass der Client den Schlüssel rotiert. Das Rotieren des Schlüssels bedeutet, dass der Client einen neuen Schlüssel für die BitLocker-Wiederherstellung generiert. Anschließend wird der neue Schlüssel dem Wiederherstellungsdienst zugewiesen.
Hinweis
Wenn Sie von MBAM migrieren und das Gerät eine BitLocker-Verwaltungsrichtlinie von Configuration Manager empfängt, rotiert es zuerst seinen Schlüssel. Anschließend wird der neue Schlüssel an den Configuration Manager Wiederherstellungsdienst gesendet.