Over de BitLocker-herstelservice
Van toepassing op: Configuration Manager (current branch)
Belangrijk
Vanaf versie 2103 is de implementatie van de herstelservice gewijzigd. Het maakt geen gebruik meer van verouderde MBAM-onderdelen, maar wordt nog steeds conceptueel aangeduid als de herstelservice. Alle versie 2103-clients gebruiken het onderdeel van de berichtenverwerkingsengine van het beheerpunt als hun herstelservice. Ze borgen hun herstelsleutels via het beveiligde clientmeldingskanaal. Met deze wijziging kunt u de Configuration Manager site inschakelen voor verbeterde HTTP. Deze configuratie heeft geen invloed op de functionaliteit van BitLocker-beheer in Configuration Manager.
Wanneer zowel de site als de clients Configuration Manager versie 2103 of hoger worden uitgevoerd, verzenden clients hun herstelsleutels naar het beheerpunt via het beveiligde clientmeldingskanaal. Als er clients zijn met versie 2010 of eerder, hebben ze een HTTPS-herstelservice op het beheerpunt nodig om hun sleutels te borgen.
De BitLocker-herstelservice is een serveronderdeel dat BitLocker-herstelgegevens van Configuration Manager-clients ontvangt. De site implementeert de herstelservice wanneer u een BitLocker-beheerbeleid maakt. Configuration Manager installeert de herstelservice automatisch op elk beheerpunt met een https-website.
Configuration Manager slaat de herstelgegevens op in de sitedatabase. Zonder een BitLocker-beheerversleutelingscertificaat slaat Configuration Manager de sleutelherstelgegevens op in tekst zonder opmaak. Zie Herstelgegevens in de database versleutelen voor meer informatie.
Vanaf versie 2010 kunt u BitLocker-beleid en escrow-herstelsleutels beheren via een cloudbeheergateway (CMG). Wanneer clients die lid zijn van een domein communiceren via de CMG, gebruiken ze niet de verouderde herstelservice, maar het onderdeel van de berichtverwerkingsengine van het beheerpunt. Microsoft Entra hybride gekoppelde apparaten gebruiken ook de berichtenverwerkingsengine.
Vanaf versie 2103 gebruiken alle ondersteunde clients het onderdeel berichtverwerkingsengine van het beheerpunt als de herstelservice. Deze wijziging vermindert de afhankelijkheden van verouderde MBAM-onderdelen en maakt ondersteuning voor verbeterde HTTP mogelijk.
Opmerking
Voor versie 2010 worden in het kanaal van de berichtenverwerkingsengine alleen sleutels voor besturingssysteem- en vaste stationsvolumes bewaard. Het biedt geen ondersteuning voor herstelsleutels voor verwisselbare stations of de TPM-wachtwoord-hash.
Vanaf versie 2103 biedt BitLocker-beheerbeleid via een CMG ondersteuning voor de volgende mogelijkheden:
- Herstelsleutels voor verwisselbare stations
- TPM-wachtwoord-hash, ook wel bekend als autorisatie van TPM-eigenaar
Toetsen draaien
Wanneer u een sleutel herstelt met de selfservice- of helpdeskportals, omdat deze wordt vrijgegeven, vereist Configuration Manager dat de client de sleutel roteert. Het roteren van de sleutel betekent dat de client een nieuwe sleutel genereert voor BitLocker-herstel. Vervolgens wordt de nieuwe sleutel naar de herstelservice geblokkeerd.
Opmerking
Wanneer u migreert van MBAM en het apparaat een BitLocker-beheerbeleid van Configuration Manager ontvangt, wordt de sleutel eerst geroteerd. Vervolgens wordt de nieuwe sleutel naar de Configuration Manager herstelservice verzonden.