A BitLocker helyreállítási szolgáltatás ismertetése
A következőre vonatkozik: Configuration Manager (aktuális ág)
Fontos
A 2103-es verziótól kezdve a helyreállítási szolgáltatás implementációja megváltozott. Már nem használ örökölt MBAM-összetevőket, de továbbra is fogalmilag helyreállítási szolgáltatásnak nevezzük. Minden 2103-as verziójú ügyfél a felügyeleti pont üzenetfeldolgozó motor összetevőjét használja helyreállítási szolgáltatásként. A helyreállítási kulcsokat a biztonságos ügyfél-értesítési csatornán keresztül eszkesztik. Ezzel a módosítással engedélyezheti a Configuration Manager webhelyet a továbbfejlesztett HTTP-hez. Ez a konfiguráció nincs hatással a BitLocker felügyeletének működésére Configuration Manager.
Ha a hely és az ügyfelek Configuration Manager 2103-es vagy újabb verzióját futtatják, az ügyfelek a biztonságos ügyfélértesítési csatornán keresztül küldik el helyreállítási kulcsaikat a felügyeleti pontnak. Ha bármelyik ügyfél a 2010-es vagy korábbi verziót használja, a kulcsok elszabadulásához HTTPS-kompatibilis helyreállítási szolgáltatásra van szüksége a felügyeleti ponton.
A BitLocker helyreállítási szolgáltatás egy kiszolgáló-összetevő, amely bitlocker helyreállítási adatokat fogad Configuration Manager ügyfelektől. A hely üzembe helyezi a helyreállítási szolgáltatást a BitLocker felügyeleti szabályzat létrehozásakor. Configuration Manager automatikusan telepíti a helyreállítási szolgáltatást minden felügyeleti pontra egy HTTPS-kompatibilis webhely használatával.
Configuration Manager a helyreállítási adatokat a helyadatbázisban tárolja. BitLocker felügyeleti titkosítási tanúsítvány nélkül Configuration Manager egyszerű szöveges formátumban tárolja a kulcs-helyreállítási információkat. További információ: Helyreállítási adatok titkosítása az adatbázisban.
A 2010-es verziótól kezdve kezelheti a BitLocker-szabályzatokat, és a helyreállítási kulcsokat egy felhőfelügyeleti átjárón (CMG) keresztül helyezheti üzembe. Amikor a tartományhoz csatlakoztatott ügyfelek a CMG-vel kommunikálnak, nem az örökölt helyreállítási szolgáltatást használják, hanem a felügyeleti pont üzenetfeldolgozó motorjának összetevőjét. Microsoft Entra hibrid csatlakoztatott eszközök is használják az üzenetfeldolgozó motort.
A 2103-as verziótól kezdődően minden támogatott ügyfél a felügyeleti pont üzenetfeldolgozó motor összetevőjét használja helyreállítási szolgáltatásként. Ez a módosítás csökkenti a régi MBAM-összetevők függőségeit, és lehetővé teszi a továbbfejlesztett HTTP támogatását.
Megjegyzés:
A 2010-es verzió esetében az üzenetfeldolgozó motor csatornája csak az operációs rendszer és a rögzített meghajtók köteteinek kulcsait eszkalálta. Nem támogatja a cserélhető meghajtók helyreállítási kulcsait és a TPM jelszókivonatát.
A 2103-es verziótól kezdődően a BitLocker cmg-en keresztüli felügyeleti szabályzatai a következő képességeket támogatják:
- Cserélhető meghajtók helyreállítási kulcsai
- TPM-jelszókivonat, más néven TPM-tulajdonos engedélyezése
Billentyűk elforgatása
Amikor önkiszolgáló vagy segélyszolgálati portálokkal állít helyre egy kulcsot, mivel az nyilvánosságra kerül, Configuration Manager megköveteli, hogy az ügyfél rotálta a kulcsot. A kulcs elforgatása azt jelenti, hogy az ügyfél létrehoz egy új kulcsot a BitLocker helyreállításához. Ezután az új kulcsot a helyreállítási szolgáltatáshoz eszkéli.
Megjegyzés:
Amikor az MBAM-ról migrál, amikor az eszköz bitlocker felügyeleti szabályzatot kap Configuration Manager, először elforgatja a kulcsát. Ezután elküldi az új kulcsot a Configuration Manager helyreállítási szolgáltatásnak.