Distribuire la gestione di BitLocker

Si applica a: Configuration Manager (current branch)

La gestione di BitLocker in Configuration Manager include i componenti seguenti:

  • Agente di gestione BitLocker: Configuration Manager abilita questo agente in un dispositivo quando crei un criterio e lo distribuisci in una raccolta.

  • Servizio di ripristino: componente server che riceve i dati di ripristino di BitLocker dai client. Per ulteriori informazioni, vedere Recovery service.

Prima di creare e distribuire i criteri di gestione di BitLocker:

Creare un criterio

Quando crei e distribuisci questo criterio, il client di Configuration Manager abilita l'agente di gestione BitLocker nel dispositivo.

Nota

Per creare un criterio di gestione di BitLocker, è necessario il ruolo amministratore completo in Configuration Manager.

  1. Nella console di Configuration Manager passare all'area di lavoro Asset e conformità, espandere Endpoint Protection e selezionare il nodo Gestione BitLocker.

  2. Nella barra multifunzione selezionare Crea criteri di controllo di gestione BitLocker.

  3. Nella pagina Generale specificare un nome e una descrizione facoltativa. Selezionare i componenti da abilitare nei client con questo criterio:

    • Unità del sistema operativo: consente di stabilire se l'unità del sistema operativo è crittografata

    • Fixed Drive: Gestire la crittografia per altre unità dati in un dispositivo

    • Unità rimovibile: gestire la crittografia per le unità che è possibile rimuovere da un dispositivo, ad esempio una chiave USB

    • Gestione client: Gestire il backup del servizio di ripristino delle chiavi delle informazioni di ripristino di Crittografia unità BitLocker

  4. Nella pagina Installazione configurare le impostazioni globali seguenti per Crittografia unità BitLocker:

    Nota

    Configuration Manager applica queste impostazioni quando abiliti BitLocker. Se l'unità è già crittografata o è in corso, qualsiasi modifica apportata a queste impostazioni dei criteri non modifica la crittografia dell'unità nel dispositivo.

    Se disabiliti o non configura queste impostazioni, BitLocker usa il metodo di crittografia predefinito (AES a 128 bit).

    • Per Windows 8.1 dispositivi, abilita l'opzione per il metodo di crittografia drive e la forza di crittografia. Selezionare quindi il metodo di crittografia.

    • Per Windows 10 dispositivi successivi, abilita l'opzione per il metodo di crittografia drive e la forza di crittografia (Windows 10 o versioni successive). Selezionare quindi singolarmente il metodo di crittografia per le unità del sistema operativo, le unità dati fisse e le unità dati rimovibili.

    Per ulteriori informazioni su queste e altre impostazioni in questa pagina, vedere Impostazioni - Setup.

  5. Nella pagina Unità del sistema operativo specificare le impostazioni seguenti:

    • Crittografia unità del sistema Impostazioni: se abiliti questa impostazione, l'utente deve proteggere l'unità del sistema operativo e BitLocker crittografa l'unità. Se lo disabiliti, l'utente non può proteggere l'unità.

    Nei dispositivi con un TPM compatibile, è possibile utilizzare due tipi di metodi di autenticazione all'avvio per fornire una maggiore protezione per i dati crittografati. All'avvio del computer, può utilizzare solo il TPM per l'autenticazione oppure può anche richiedere l'immissione di un PIN ( Personal Identification Number). Configurare le seguenti impostazioni:

    • Selezionare la protezione per l'unità del sistema operativo: configurarla per l'utilizzo di un TPM e un PIN o solo il TPM.

    • Configurare la lunghezza minima del PIN per l'avvio: se è necessario un PIN, questo valore è la lunghezza più breve che l'utente può specificare. L'utente immette questo PIN quando il computer si avvia per sbloccare l'unità. Per impostazione predefinita, la lunghezza minima del PIN è 4 .

    Per ulteriori informazioni su queste e altre impostazioni in questa pagina, vedere Impostazioni riferimento - Unità del sistema operativo.

  6. Nella pagina Unità fissa specificare le impostazioni seguenti:

    • Crittografia unità dati fissa: se abiliti questa impostazione, BitLocker richiede agli utenti di mettere sotto protezione tutte le unità dati fisse. Crittografa quindi le unità dati. Quando si abilita questo criterio, abilitare lo sblocco automatico o le impostazioni per Criterio password unità dati fissa.

    • Configurare lo sblocco automatico per l'unità dati fissa: consentire o richiedere a BitLocker di sbloccare automaticamente qualsiasi unità dati crittografata. Per usare lo sblocco automatico, richiedi anche a BitLocker di crittografare l'unità del sistema operativo.

    Per ulteriori informazioni su queste e altre impostazioni in questa pagina, vedere Impostazioni riferimento - Unità fissa.

  7. Nella pagina Unità rimovibile specificare le impostazioni seguenti:

    • Crittografia unità dati rimovibile: quando si abilita questa impostazione e si consente agli utenti di applicare la protezione BitLocker, il client di Configuration Manager salva le informazioni di ripristino sulle unità rimovibili nel servizio di ripristino nel punto di gestione. Questo comportamento consente agli utenti di ripristinare l'unità se dimenticano o perdono la protezione (password).

    • Consenti agli utenti di applicare la protezione BitLocker su unità dati rimovibili: gli utenti possono attivare la protezione BitLocker per un'unità rimovibile.

    • Criteri password unità dati rimovibili: utilizzare queste impostazioni per impostare i vincoli per le password per sbloccare le unità rimovibili protette con BitLocker.

    Per ulteriori informazioni su queste e altre impostazioni in questa pagina, vedere Impostazioni riferimento - Unità rimovibile.

  8. Nella pagina Gestione client specificare le impostazioni seguenti:

    Importante

    Per le versioni di Configuration Manager precedenti alla 2103, se non si dispone di un punto di gestione con un sito Web abilitato per HTTPS, non configurare questa impostazione. Per ulteriori informazioni, vedere Recovery service.

    • Configurare Servizi di gestione BitLocker: quando si abilita questa impostazione, Configuration Manager esegue automaticamente e automaticamente il backup delle informazioni di ripristino delle chiavi nel database del sito. Se disabiliti o non configure questa impostazione, Configuration Manager non salva le informazioni di ripristino delle chiavi.

      • Selezionare Informazioni di ripristino di BitLocker da archiviare: configurarla per l'uso di una password di ripristino e di un pacchetto di chiavi o solo di una password di ripristino.

      • Consenti l'archiviazione delle informazioni di ripristino in testo normale: senza un certificato di crittografia di gestione BitLocker, Configuration Manager archivia le informazioni di ripristino delle chiavi in testo normale. Per ulteriori informazioni, vedere Crittografare i dati di ripristino nel database.

    Per ulteriori informazioni su queste e altre impostazioni in questa pagina, vedere Impostazioni - Gestione client.

  9. Completare la procedura guidata.

Per modificare le impostazioni di un criterio esistente, selezionarlo nell'elenco e selezionare Proprietà.

Quando si creano più criteri, è possibile configurarne la priorità relativa. Se si distribuiscono più criteri in un client, viene utilizzato il valore di priorità per determinarne le impostazioni.

A partire dalla versione 2006, è possibile utilizzare Windows PowerShell cmdlet per questa attività. Per ulteriori informazioni, vedere New-CMBlmSetting.

Distribuire un criterio

  1. Scegliere un criterio esistente nel nodo Gestione BitLocker. Sulla barra multifunzione selezionare Distribuisci.

  2. Seleziona una raccolta di dispositivi come destinazione della distribuzione.

  3. Se vuoi che il dispositivo crittografi o decrittografi le unità in qualsiasi momento, seleziona l'opzione Consenti correzione al di fuori della finestra di manutenzione. Se la raccolta ha finestre di manutenzione, questo criterio di BitLocker viene comunque corretti.

  4. Configurare una pianificazione semplice o personalizzata. Il client valuta la conformità in base alle impostazioni specificate nella pianificazione.

  5. Selezionare OK per distribuire il criterio.

È possibile creare più distribuzioni dello stesso criterio. Per visualizzare ulteriori informazioni su ogni distribuzione, selezionare il criterio nel nodo Gestione BitLocker e quindi passare alla scheda Distribuzioni nel riquadro dei dettagli.

Importante

Se è attiva una connessione RDP (Remote Desktop Protocol), il client MBAM non avvia le azioni di Crittografia unità BitLocker. Chiudere tutte le connessioni della console remota e accedere a una sessione della console con un account utente di dominio. Viene quindi avviata crittografia unità BitLocker e il client carica le chiavi di ripristino e i pacchetti. Se accedi con un account utente locale, Crittografia unità BitLocker non si avvia.

Puoi usare RDP per connetterti in remoto alla sessione console del dispositivo con lo /admin switch. Ad esempio: mstsc.exe /admin /v:<IP address of device>

Una sessione della console si verifica quando ci si trova nella console fisica del computer o in una connessione remota uguale a quella della console fisica del computer.

A partire dalla versione 2006, è possibile utilizzare Windows PowerShell cmdlet per questa attività. Per ulteriori informazioni, vedere New-CMSettingDeployment.

Monitoraggio

Visualizzare le statistiche di conformità di base sulla distribuzione dei criteri nel riquadro dei dettagli del nodo Gestione BitLocker:

  • Conteggio conformità
  • Conteggio errori
  • Conteggio non conformità

Passare alla scheda Distribuzioni per visualizzare la percentuale di conformità e l'azione consigliata. Selezionare la distribuzione, quindi sulla barra multifunzione selezionare Visualizza stato. Questa azione passa la visualizzazione al nodo Area di lavoro monitoraggio, Distribuzioni. Analogamente alla distribuzione di altre distribuzioni di criteri di configurazione, è possibile visualizzare lo stato di conformità più dettagliato in questa visualizzazione.

Per comprendere perché i client segnalano non conformi ai criteri di gestione di BitLocker, vedi Codici di non conformità.

Per altre informazioni sulla risoluzione dei problemi, vedi Risoluzione dei problemi di BitLocker.

Utilizzare i registri seguenti per monitorare e risolvere i problemi:

Registri dei client

  • Registro eventi MBAM: nel Visualizzatore Windows eventi passare a Applicazioni e servizi > Microsoft > Windows > MBAM. Per ulteriori informazioni, vedere About BitLocker event logs and Client event logs.

  • BitlockerManagementHandler.log nel percorso dei registri client, %WINDIR%\CCM\Logs per impostazione predefinita

Log del punto di gestione (servizio di ripristino)

  • Registro eventi del servizio di ripristino: nel Visualizzatore eventi di Windows, accedere a Applicazioni e servizi > Microsoft > Windows > MBAM-Web. Per ulteriori informazioni, vedere About BitLocker event logs and Server event logs.

  • Log di traccia del servizio di ripristino: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Considerazioni sulla migrazione

Se attualmente si usa Microsoft BitLocker Administration and Monitoring (MBAM), è possibile eseguire senza problemi la migrazione della gestione a Configuration Manager. Quando distribuisci i criteri di gestione di BitLocker in Configuration Manager, i client caricano automaticamente chiavi di ripristino e pacchetti nel servizio di ripristino di Configuration Manager.

Importante

Quando si esegue la migrazione da MBAM autonomo alla gestione di BitLocker di Configuration Manager, se è necessaria la funzionalità esistente di MBAM autonomo, non riutilizzare i server o i componenti MBAM autonomi con la gestione di BitLocker di Configuration Manager. Se si riutilizzano questi server, MBAM autonomo smetterà di funzionare quando la gestione bitlocker di Configuration Manager installa i relativi componenti in tali server. Non eseguire lo script MBAMWebSiteInstaller.ps1 per configurare i portali di BitLocker nei server MBAM autonomi. Quando si configura la gestione di BitLocker di Configuration Manager, usare server separati.

Criteri di gruppo

  • Le impostazioni di gestione di BitLocker sono completamente compatibili con le impostazioni di Criteri di gruppo di MBAM. Se i dispositivi ricevono sia le impostazioni di Criteri di gruppo che i criteri di Configuration Manager, configurarli in modo che corrispondano.

    Nota

    Se esiste un'impostazione di Criteri di gruppo per mbam autonomo, avrà la precedenza sull'impostazione equivalente tentata da Configuration Manager. MbAM autonomo usa i criteri di gruppo di dominio, mentre Configuration Manager imposta i criteri locali per la gestione di BitLocker. I criteri di dominio sovrascriveranno i criteri di gestione bitLocker di Configuration Manager locali. Se i criteri di gruppo di dominio MBAM autonomi non corrispondono al criterio di Configuration Manager, la gestione di BitLocker di Configuration Manager avrà esito negativo. Ad esempio, se un criterio di gruppo di dominio imposta il server MBAM autonomo per i servizi di ripristino delle chiavi, la gestione di BitLocker di Configuration Manager non può impostare la stessa impostazione per il punto di gestione. Questo comportamento fa sì che i client non segnalano le chiavi di ripristino al servizio di ripristino delle chiavi di gestione BitLocker di Configuration Manager nel punto di gestione.

  • Configuration Manager non implementa tutte le impostazioni di Criteri di gruppo MBAM. Se si configurano altre impostazioni nei Criteri di gruppo, l'agente di gestione BitLocker nei client di Configuration Manager rispetta queste impostazioni.

    Importante

    Non impostare criteri di gruppo per un'impostazione già specificata dalla gestione di BitLocker di Configuration Manager. Imposta solo i criteri di gruppo per le impostazioni che attualmente non esistono nella gestione di BitLocker di Configuration Manager. Configuration Manager versione 2002 presenta parità di funzionalità con MBAM autonomo. Con Configuration Manager versione 2002 e successive, nella maggior parte dei casi non dovrebbe essere necessario impostare criteri di gruppo di dominio per configurare i criteri di BitLocker. Per evitare conflitti e problemi, evitare l'uso dei criteri di gruppo per BitLocker. Configurare tutte le impostazioni tramite i criteri di gestione di BitLocker di Configuration Manager.

Hash password TPM

  • I client MBAM precedenti non caricano l'hash della password TPM in Configuration Manager. Il client carica l'hash della password TPM una sola volta.

  • Se devi eseguire la migrazione di queste informazioni al servizio di ripristino di Configuration Manager, cancella il TPM nel dispositivo. Dopo il riavvio, carica il nuovo hash della password TPM nel servizio di ripristino.

Nota

Il caricamento dell'hash delle password TPM riguarda principalmente le versioni di Windows prima Windows 10. Windows 10 o versioni successive per impostazione predefinita non salva l'hash della password TPM, quindi questi dispositivi in genere non lo caricano. Per ulteriori informazioni, vedere Informazioni sulla password del proprietario del TPM.

Ri-crittografia

Configuration Manager non crittografa nuovamente le unità già protette con Crittografia unità BitLocker. Se distribuisci un criterio di gestione di BitLocker che non corrisponde alla protezione corrente dell'unità, viene segnalata come non conforme. L'unità è ancora protetta.

Ad esempio, è stato utilizzato MBAM per crittografare l'unità con l'algoritmo di crittografia AES-XTS 128, ma il criterio di Configuration Manager richiede AES-XTS 256. L'unità non è conforme ai criteri, anche se l'unità è crittografata.

Per risolvere questo problema, disabilitare innanzitutto BitLocker nel dispositivo. Distribuisci quindi un nuovo criterio con le nuove impostazioni.

Co-gestione e Intune

Il gestore client di Configuration Manager per BitLocker è in grado di riconoscere la co-gestione. Se il dispositivo è co-gestito e si passa il carico di lavoro Endpoint Protection a Intune, il client di Configuration Manager ignora i criteri di BitLocker. Il dispositivo ottiene Windows di crittografia da Intune.

Nota

Il cambio delle autorità di gestione della crittografia mantenendo l'algoritmo di crittografia desiderato non richiede azioni aggiuntive sul client. Tuttavia, se si cambiano anche le autorità di gestione della crittografia e l'algoritmo di crittografia desiderato, sarà necessario pianificare la ricrittura.

Per ulteriori informazioni sulla gestione di BitLocker con Intune, vedere gli articoli seguenti:

Passaggi successivi

Informazioni sul servizio di ripristino BitLocker

Configurare i report e i portali di BitLocker