Migrieren von MBAM
Gilt für: Configuration Manager (Current Branch)
Wenn Sie derzeit Microsoft BitLocker Administration and Monitoring (MBAM) verwenden, können Sie die Verwaltung nahtlos zu Configuration Manager migrieren. Wenn Sie BitLocker-Verwaltungsrichtlinien in Configuration Manager bereitstellen, rotieren Clients ihre Schlüssel automatisch und laden sie in den Configuration Manager-Wiederherstellungsdienst hoch.
Wichtig
Wenn Sie von eigenständigem MBAM zu Configuration Manager BitLocker-Verwaltung migrieren, sollten Sie keine eigenständigen MBAM-Server oder -Komponenten mit Configuration Manager BitLocker-Verwaltung wiederverwenden, wenn Sie vorhandene Funktionen von eigenständigem MBAM benötigen. Wenn Sie diese Server wiederverwenden, funktioniert eigenständiges MBAM nicht mehr, wenn Configuration Manager BitLocker-Verwaltung seine Komponenten auf diesen Servern installiert. Führen Sie das MBAMWebSiteInstaller.ps1-Skript nicht aus, um die BitLocker-Portale auf eigenständigen MBAM-Servern einzurichten. Wenn Sie Configuration Manager BitLocker-Verwaltung einrichten, verwenden Sie separate Server.
Gruppenrichtlinie
Wenn eine Gruppenrichtlinieneinstellung für eigenständiges MBAM vorhanden ist, wird die entsprechende Einstellung überschrieben, die von Configuration Manager versucht wurde. Eigenständiges MBAM verwendet Domänengruppenrichtlinien, während Configuration Manager lokale Richtlinien für die BitLocker-Verwaltung festlegt. Domänenrichtlinien überschreiben die lokalen Configuration Manager BitLocker-Verwaltungsrichtlinien. Wenn die eigenständige MBAM-Domänengruppenrichtlinie nicht mit der Configuration Manager-Richtlinie übereinstimmt, schlägt Configuration Manager BitLocker-Verwaltung fehl. Wenn z. B. eine Domänengruppenrichtlinie den eigenständigen MBAM-Server für Schlüsselwiederherstellungsdienste festlegt, kann Configuration Manager BitLocker-Verwaltung nicht dieselbe Einstellung für ihren Wiederherstellungsdienst festlegen. Dieses Verhalten bewirkt, dass Clients ihre Wiederherstellungsschlüssel nicht an den Configuration Manager BitLocker-Verwaltungswiederherstellungsdienst melden.
Legen Sie keine Gruppenrichtlinie für eine Einstellung fest, die Configuration Manager BitLocker-Verwaltung bereits angibt. Legen Sie Gruppenrichtlinien nur für Einstellungen fest, die derzeit nicht in Configuration Manager BitLocker-Verwaltung vorhanden sind. Configuration Manager verfügt über Featureparität mit eigenständigem MBAM. In den meisten Fällen sollte es keinen Grund geben, Domänengruppenrichtlinien zum Konfigurieren von BitLocker-Richtlinien festzulegen. Vermeiden Sie die Verwendung von Gruppenrichtlinien für BitLocker, um Konflikte und Probleme zu vermeiden. Konfigurieren Sie alle Einstellungen über Configuration Manager BitLocker-Verwaltungsrichtlinien.
TPM-Kennworthash
Frühere MBAM-Clients laden den TPM-Kennworthash nicht in Configuration Manager hoch. Der Client lädt den TPM-Kennworthash nur einmal hoch.
Wenn Sie diese Informationen zum Configuration Manager Wiederherstellungsdienst migrieren müssen, löschen Sie das TPM auf dem Gerät. Nach dem Neustart wird der neue TPM-Kennworthash in den Wiederherstellungsdienst hochgeladen.
Hinweis
Das Hochladen des TPM-Kennworthashs bezieht sich hauptsächlich auf Versionen von Windows vor Windows 10. Windows 10 oder höher speichert den TPM-Kennworthash standardmäßig nicht, sodass diese Geräte ihn normalerweise nicht hochladen. Weitere Informationen finden Sie unter Informationen zum TPM-Besitzerkennwort.
Erneute Verschlüsselung
Configuration Manager verschlüsselt keine Laufwerke erneut, die bereits mit der BitLocker-Laufwerkverschlüsselung geschützt sind. Wenn Sie eine BitLocker-Verwaltungsrichtlinie bereitstellen, die nicht mit dem aktuellen Schutz des Laufwerks übereinstimmt, wird als nicht konform gemeldet. Das Laufwerk ist weiterhin geschützt.
Beispielsweise haben Sie MBAM verwendet, um das Laufwerk mit dem AES-XTS 128-Verschlüsselungsalgorithmus zu verschlüsseln, aber die Configuration Manager Richtlinie erfordert AES-XTS 256. Das Laufwerk ist nicht konform mit der Richtlinie, obwohl das Laufwerk verschlüsselt ist.
Um dieses Verhalten zu umgehen, deaktivieren Sie zuerst BitLocker auf dem Gerät. Stellen Sie dann eine neue Richtlinie mit den neuen Einstellungen bereit.