Distribuire la gestione di BitLocker

  • Articolo

Si applica a: Configuration Manager (Current Branch)

La gestione di BitLocker in Configuration Manager include i componenti seguenti:

Prima di creare e distribuire i criteri di gestione di BitLocker:

Creare un criterio

Quando si crea e si distribuisce questo criterio, il client Configuration Manager abilita l'agente di gestione BitLocker nel dispositivo.

Nota

Per creare un criterio di gestione di BitLocker, è necessario il ruolo Amministratore completo in Configuration Manager.

  1. Nella console Configuration Manager passare all'area di lavoro Asset e conformità, espandere Endpoint Protection e selezionare il nodo Gestione BitLocker.

  2. Nella barra multifunzione selezionare Crea criteri di controllo di gestione BitLocker.

  3. Nella pagina Generale specificare un nome e una descrizione facoltativa. Selezionare i componenti da abilitare nei client con questo criterio:

    • Unità del sistema operativo: gestire se l'unità del sistema operativo è crittografata

    • Unità fissa: gestire la crittografia per altre unità dati in un dispositivo

    • Unità rimovibile: gestire la crittografia per le unità che è possibile rimuovere da un dispositivo, ad esempio una chiave USB

    • Gestione client: gestire il backup del servizio di ripristino delle chiavi delle informazioni di ripristino di Crittografia unità BitLocker

  4. Nella pagina Configurazione configurare le impostazioni globali seguenti per Crittografia unità BitLocker:

    Nota

    Configuration Manager applica queste impostazioni quando si abilita BitLocker. Se l'unità è già crittografata o è in corso, qualsiasi modifica a queste impostazioni dei criteri non modifica la crittografia dell'unità nel dispositivo.

    Se si disabilitano o non si configurano queste impostazioni, BitLocker usa il metodo di crittografia predefinito (AES a 128 bit).

    • Per Windows 8.1 dispositivi, abilitare l'opzione per il metodo di crittografia dell'unità e il livello di crittografia. Selezionare quindi il metodo di crittografia.

    • Per Windows 10 o dispositivi successivi, abilitare l'opzione per il metodo di crittografia dell'unità e la forza di crittografia (Windows 10 o versioni successive). Selezionare quindi singolarmente il metodo di crittografia per le unità del sistema operativo, le unità dati fisse e le unità dati rimovibili.

    Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Installazione.

  5. Nella pagina Unità del sistema operativo specificare le impostazioni seguenti:

    • Impostazioni di crittografia unità del sistema operativo: se si abilita questa impostazione, l'utente deve proteggere l'unità del sistema operativo e BitLocker crittografa l'unità. Se lo disabiliti, l'utente non può proteggere l'unità.

    Nei dispositivi con un TPM compatibile, è possibile usare due tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare solo il TPM per l'autenticazione oppure può anche richiedere l'immissione di un PIN (Personal Identification Number). Configurare le seguenti impostazioni:

    • Selezionare la protezione per l'unità del sistema operativo: configurarla per usare un TPM e un PIN o solo il TPM.

    • Configurare la lunghezza minima del PIN per l'avvio: se è necessario un PIN, questo valore è la lunghezza più breve che l'utente può specificare. L'utente immette questo PIN all'avvio del computer per sbloccare l'unità. Per impostazione predefinita, la lunghezza minima del PIN è 4.

    Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità del sistema operativo.

  6. Nella pagina Unità fissa specificare le impostazioni seguenti:

    • Correzione della crittografia dell'unità dati: se si abilita questa impostazione, BitLocker richiede agli utenti di mettere tutte le unità dati fisse sotto protezione. Crittografa quindi le unità dati. Quando si abilita questo criterio, abilitare lo sblocco automatico o le impostazioni per i criteri di password dell'unità dati fissa.

    • Configurare lo sblocco automatico per l'unità dati fissa: consentire o richiedere a BitLocker di sbloccare automaticamente qualsiasi unità dati crittografata. Per usare lo sblocco automatico, è anche necessario che BitLocker crittografi l'unità del sistema operativo.

    Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità fissa.

  7. Nella pagina Unità rimovibile specificare le impostazioni seguenti:

    • Crittografia unità dati rimovibile: quando si abilita questa impostazione e si consente agli utenti di applicare la protezione BitLocker, il client Configuration Manager salva le informazioni di ripristino sulle unità rimovibili nel servizio di ripristino nel punto di gestione. Questo comportamento consente agli utenti di ripristinare l'unità se dimenticano o perdono la protezione (password).

    • Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili: gli utenti possono attivare la protezione BitLocker per un'unità rimovibile.

    • Criteri password unità dati rimovibile: usare queste impostazioni per impostare i vincoli per le password per sbloccare le unità rimovibili protette da BitLocker.

    Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità rimovibile.

  8. Nella pagina Gestione client specificare le impostazioni seguenti:

    Importante

    Per le versioni di Configuration Manager precedenti alla 2103, se non si dispone di un punto di gestione con un sito Web abilitato per HTTPS, non configurare questa impostazione. Per altre informazioni, vedere Servizio di ripristino.

    • Configurare Servizi di gestione BitLocker: quando si abilita questa impostazione, Configuration Manager esegue automaticamente e automaticamente il backup delle informazioni di ripristino delle chiavi nel database del sito. Se si disabilita o non si configura questa impostazione, Configuration Manager non salva le informazioni di ripristino delle chiavi.

      • Selezionare Le informazioni di ripristino di BitLocker da archiviare: configurarla per l'uso di una password di ripristino e di un pacchetto di chiavi o solo di una password di ripristino.

      • Consenti l'archiviazione delle informazioni di ripristino in testo normale: senza un certificato di crittografia di gestione BitLocker, Configuration Manager archivia le informazioni di recupero delle chiavi in testo normale. Per altre informazioni, vedere Crittografare i dati di ripristino nel database.

    Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Gestione client.

  9. Completare la procedura guidata.

Per modificare le impostazioni di un criterio esistente, selezionarlo nell'elenco e selezionare Proprietà.

Quando si creano più criteri, è possibile configurare la relativa priorità. Se si distribuiscono più criteri in un client, viene usato il valore di priorità per determinarne le impostazioni.

A partire dalla versione 2006, è possibile usare Windows PowerShell cmdlet per questa attività. Per altre informazioni, vedere New-CMBlmSetting.

Distribuire un criterio

  1. Scegliere un criterio esistente nel nodo Gestione BitLocker . Nella barra multifunzione selezionare Distribuisci.

  2. Selezionare una raccolta di dispositivi come destinazione della distribuzione.

  3. Se si vuole che il dispositivo crittografi o decrittografi le unità in qualsiasi momento, selezionare l'opzione Consenti correzione all'esterno della finestra di manutenzione. Se la raccolta ha finestre di manutenzione, corregge comunque questo criterio BitLocker.

  4. Configurare una pianificazione semplice o personalizzata . Il client valuta la conformità in base alle impostazioni specificate nella pianificazione.

  5. Selezionare OK per distribuire i criteri.

È possibile creare più distribuzioni dello stesso criterio. Per visualizzare informazioni aggiuntive su ogni distribuzione, selezionare il criterio nel nodo Gestione BitLocker e quindi nel riquadro dei dettagli passare alla scheda Distribuzioni. È anche possibile usare Windows PowerShell cmdlet per questa attività. Per altre informazioni, vedere New-CMSettingDeployment.

Importante

Se è attiva una connessione RDP (Remote Desktop Protocol), il client MBAM non avvia azioni di crittografia unità BitLocker. Chiudere tutte le connessioni console remote e accedere a una sessione console con un account utente di dominio. Inizia quindi Crittografia unità BitLocker e il client carica le chiavi e i pacchetti di ripristino. Se si accede con un account utente locale, Crittografia unità BitLocker non viene avviato.

È possibile usare RDP per connettersi in remoto alla sessione della console del dispositivo con il /admin commutatore. Ad esempio: mstsc.exe /admin /v:<IP address of device>

Una sessione della console si verifica quando ci si trova nella console fisica del computer o in una connessione remota che è la stessa di quando ci si trova nella console fisica del computer.

Monitoraggio

Visualizzare le statistiche di conformità di base sulla distribuzione dei criteri nel riquadro dei dettagli del nodo Gestione BitLocker :

  • Conteggio conformità
  • Numero di errori
  • Numero di non conformità

Passare alla scheda Distribuzioni per visualizzare la percentuale di conformità e l'azione consigliata. Selezionare la distribuzione, quindi nella barra multifunzione selezionare Visualizza stato. Questa azione consente di passare alla visualizzazione del nodo Distribuzioni dell'area di lavoro Monitoraggio. Analogamente alla distribuzione di altre distribuzioni di criteri di configurazione, è possibile visualizzare lo stato di conformità più dettagliato in questa visualizzazione.

Per comprendere il motivo per cui i client segnalano non conformi ai criteri di gestione di BitLocker, vedere Codici di non conformità.

Per altre informazioni sulla risoluzione dei problemi, vedere Risolvere i problemi di BitLocker.

Usare i log seguenti per monitorare e risolvere i problemi:

Registri dei client

  • Registro eventi di MBAM: in Windows Visualizzatore eventi passare a Applicazioni e servizi>Microsoft>Windows>MBAM. Per altre informazioni, vedere Informazioni sui log eventi di BitLocker e i log eventi client.

  • BitlockerManagementHandler.log e BitlockerManagement_GroupPolicyHandler.log nel percorso dei log client, %WINDIR%\CCM\Logs per impostazione predefinita

Log dei punti di gestione (servizio di ripristino)

  • Registro eventi del servizio di ripristino: in Windows Visualizzatore eventi passare ad Applicazioni e servizi>Microsoft>Windows>MBAM-Web. Per altre informazioni, vedere Informazioni sui log eventi di BitLocker e i log eventi del server.

  • Log di traccia del servizio di ripristino: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Considerazioni sulla migrazione

Se attualmente si usa Microsoft BitLocker Administration and Monitoring (MBAM), è possibile eseguire facilmente la migrazione della gestione a Configuration Manager. Quando si distribuiscono i criteri di gestione di BitLocker in Configuration Manager, i client caricano automaticamente chiavi e pacchetti di ripristino nel servizio di ripristino Configuration Manager.

Importante

Quando si esegue la migrazione da MBAM autonomo a Configuration Manager gestione di BitLocker, se è necessaria la funzionalità esistente di MBAM autonomo, non riutilizzare i componenti o i server MBAM autonomi con Configuration Manager gestione di BitLocker. Se si riutilizzano questi server, MBAM autonomo smetterà di funzionare quando Configuration Manager gestione di BitLocker installa i relativi componenti in tali server. Non eseguire lo script MBAMWebSiteInstaller.ps1 per configurare i portali BitLocker nei server MBAM autonomi. Quando si configura Configuration Manager gestione di BitLocker, usare server separati.

Criteri di gruppo

  • Le impostazioni di gestione di BitLocker sono completamente compatibili con le impostazioni dei criteri di gruppo di MBAM. Se i dispositivi ricevono sia le impostazioni dei criteri di gruppo che i criteri di Configuration Manager, configurarli in modo che corrispondano.

    Nota

    Se esiste un'impostazione di Criteri di gruppo per MBAM autonomo, eseguirà l'override dell'impostazione equivalente tentata da Configuration Manager. MBAM autonomo usa criteri di gruppo di dominio, mentre Configuration Manager imposta i criteri locali per la gestione di BitLocker. I criteri di dominio sostituiscono i criteri di gestione Configuration Manager BitLocker locali. Se i criteri di gruppo di dominio MBAM autonomi non corrispondono ai criteri di Configuration Manager, Configuration Manager gestione di BitLocker avrà esito negativo. Ad esempio, se un criterio di gruppo di dominio imposta il server MBAM autonomo per i servizi di ripristino delle chiavi, Configuration Manager gestione di BitLocker non può impostare la stessa impostazione per il punto di gestione. Questo comportamento fa sì che i client non riportino le chiavi di ripristino al servizio di ripristino delle chiavi di gestione Configuration Manager BitLocker nel punto di gestione.

  • Configuration Manager non implementa tutte le impostazioni dei criteri di gruppo di MBAM. Se si configurano altre impostazioni in Criteri di gruppo, l'agente di gestione di BitLocker nei client Configuration Manager rispetta queste impostazioni.

    Importante

    Non impostare criteri di gruppo per un'impostazione già specificata Configuration Manager gestione di BitLocker. Impostare solo i criteri di gruppo per le impostazioni che attualmente non esistono nella gestione Configuration Manager BitLocker. Configuration Manager versione 2002 ha parità di funzionalità con MBAM autonomo. Con Configuration Manager versione 2002 e successive, nella maggior parte dei casi non dovrebbe essere necessario impostare criteri di gruppo di dominio per configurare i criteri di BitLocker. Per evitare conflitti e problemi, evitare l'uso di criteri di gruppo per BitLocker. Configurare tutte le impostazioni tramite Configuration Manager criteri di gestione di BitLocker.

Hash delle password TPM

  • I client MBAM precedenti non caricano l'hash della password TPM in Configuration Manager. Il client carica l'hash della password TPM una sola volta.

  • Se è necessario eseguire la migrazione di queste informazioni al servizio di ripristino Configuration Manager, deselezionare il TPM nel dispositivo. Dopo il riavvio, carica il nuovo hash della password TPM nel servizio di ripristino.

Nota

Il caricamento dell'hash delle password TPM riguarda principalmente le versioni di Windows prima Windows 10. Windows 10 o versioni successive per impostazione predefinita non salva l'hash della password TPM, quindi questi dispositivi in genere non lo caricano. Per altre informazioni, vedere Informazioni sulla password del proprietario di TPM.

Rieseguire la crittografia

Configuration Manager non crittografa nuovamente le unità già protette con Crittografia unità BitLocker. Se si distribuisce un criterio di gestione di BitLocker che non corrisponde alla protezione corrente dell'unità, viene segnalato come non conforme. L'unità è ancora protetta.

Ad esempio, è stato usato MBAM per crittografare l'unità con l'algoritmo di crittografia AES-XTS 128, ma il criterio di Configuration Manager richiede AES-XTS 256. L'unità non è conforme ai criteri, anche se l'unità è crittografata.

Per risolvere questo comportamento, disabilitare prima BitLocker nel dispositivo. Distribuire quindi un nuovo criterio con le nuove impostazioni.

Co-gestione e Intune

Il gestore client Configuration Manager per BitLocker è compatibile con la co-gestione. Se il dispositivo è co-gestito e si passa il carico di lavoro di Endpoint Protection a Intune, il client Configuration Manager ignora i relativi criteri BitLocker. Il dispositivo ottiene i criteri di crittografia di Windows da Intune.

Nota

Il cambio delle autorità di gestione della crittografia mantenendo l'algoritmo di crittografia desiderato non richiede azioni aggiuntive nel client. Tuttavia, se si modificano anche le autorità di gestione della crittografia e l'algoritmo di crittografia desiderato, è necessario pianificare la crittografia di nuovo.

Per altre informazioni sulla gestione di BitLocker con Intune, vedere gli articoli seguenti:

Passaggi successivi

Informazioni sul servizio di ripristino di BitLocker

Configurare i report e i portali di BitLocker