Share via


BitLocker-beheer plannen

Van toepassing op: Configuration Manager (current branch)

Gebruik Configuration Manager voor het beheren van BitLocker Drive Encryption (BDE) voor on-premises Windows-clients, die zijn gekoppeld aan Active Directory. Het biedt volledig BitLocker-levenscyclusbeheer dat het gebruik van Microsoft BitLocker Administration and Monitoring (MBAM) kan vervangen.

Opmerking

Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.

Zie Overzicht van BitLocker voor meer algemene informatie over BitLocker. Zie de vergelijkingsgrafiek voor BitLocker-implementaties voor een vergelijking van BitLocker-implementaties en -vereisten.

Tip

Als u versleuteling wilt beheren op co-beheerde Windows 10 of nieuwere apparaten met behulp van de Microsoft Intune cloudservice, schakelt u de Endpoint Protection-workload over naar Intune. Zie Windows-versleuteling voor meer informatie over het gebruik van Intune.

Kenmerken

Configuration Manager biedt de volgende beheermogelijkheden voor BitLocker-stationsversleuteling:

Clientimplementatie

  • Implementeer de BitLocker-client op beheerde Windows-apparaten met Windows 8.1, Windows 10 of Windows 11.

  • BitLocker-beleid en escrow-herstelsleutels beheren voor on-premises en internetclients

Versleutelingsbeleid beheren

  • Bijvoorbeeld: kies stationsversleuteling en coderingssterkte, configureer het beleid voor gebruikersvrijstelling, vaste instellingen voor versleuteling van gegevensstations.

  • Bepaal de algoritmen waarmee het apparaat moet worden versleuteld en welke schijven u wilt versleutelen.

  • Dwing gebruikers af om te voldoen aan het nieuwe beveiligingsbeleid voordat ze het apparaat gebruiken.

  • Pas het beveiligingsprofiel van uw organisatie per apparaat aan.

  • Wanneer een gebruiker het besturingssysteemstation ontgrendelt, geeft u op of alleen een besturingssysteemstation of alle gekoppelde stations moet worden ontgrendeld.

Nalevingsrapporten

Ingebouwde rapporten voor:

  • Versleutelingsstatus per volume of apparaat
  • De primaire gebruiker van het apparaat
  • Nalevingsstatus
  • Redenen voor niet-naleving

Beheer- en bewakingswebsite

Sta andere persona's in uw organisatie buiten de Configuration Manager-console toe om te helpen bij het herstellen van sleutels, waaronder sleutelrotatie en andere BitLocker-gerelateerde ondersteuning. Helpdeskbeheerders kunnen gebruikers bijvoorbeeld helpen met sleutelherstel.

Tip

Vanaf versie 2107 kunt u ook BitLocker-herstelsleutels ophalen voor een apparaat dat aan een tenant is gekoppeld vanuit het Microsoft Intune-beheercentrum. Zie Tenantkoppeling: BitLocker-herstelsleutels voor meer informatie.

Selfserviceportal voor gebruikers

Laat gebruikers zichzelf helpen met een sleutel voor eenmalig gebruik voor het ontgrendelen van een versleuteld BitLocker-apparaat. Zodra deze sleutel is gebruikt, wordt er een nieuwe sleutel voor het apparaat gegenereerd.

Vereisten

Algemene vereisten

  • Als u een BitLocker-beheerbeleid wilt maken, hebt u de rol Volledige beheerder in Configuration Manager nodig.

  • Als u de BitLocker-beheerrapporten wilt gebruiken, installeert u de sitesysteemrol Reporting Services-punt. Zie Rapportage configureren voor meer informatie.

    Opmerking

    Gebruik alleen een Reporting Services-punt op de primaire site om het herstelcontrolerapport te laten werken vanaf de beheer- en bewakingswebsite.

Vereisten voor clients

  • Voor het apparaat is een TPM-chip vereist die is ingeschakeld in het BIOS en opnieuw kan worden ingesteld vanuit Windows.

    Microsoft raadt apparaten met TPM-versie 2.0 of hoger aan. Apparaten met TPM-versie 1.2 ondersteunen mogelijk niet alle BitLocker-functionaliteit.

  • De harde schijf van de computer vereist een BIOS dat compatibel is met TPM en dat USB-apparaten ondersteunt tijdens het opstarten van de computer.

Opmerking

Het uploaden van de TPM-wachtwoord-hash heeft voornamelijk betrekking op versies van Windows voordat Windows 10. Windows 10 of hoger wordt standaard de TPM-wachtwoord-hash niet opgeslagen, zodat deze apparaten deze normaal gesproken niet uploaden. Zie Over het wachtwoord van de TPM-eigenaar voor meer informatie.

BitLocker-beheer biedt geen ondersteuning voor alle clienttypen die worden ondersteund door Configuration Manager. Zie Ondersteunde configuraties voor meer informatie.

Vereisten voor de herstelservice

  • In versie 2010 en eerder vereist de BitLocker-herstelservice HTTPS om de herstelsleutels in het netwerk te versleutelen van de Configuration Manager-client naar het beheerpunt. Gebruik een van de volgende opties:

    • HTTPS-schakel de IIS-website in op het beheerpunt waarop de herstelservice wordt gehost.

    • Configureer het beheerpunt voor HTTPS.

    Zie Herstelgegevens versleutelen via het netwerk voor meer informatie.

    Opmerking

    Wanneer zowel de site als de clients Configuration Manager versie 2103 of hoger worden uitgevoerd, verzenden clients hun herstelsleutels naar het beheerpunt via het beveiligde clientmeldingskanaal. Als er clients zijn met versie 2010 of eerder, hebben ze een HTTPS-herstelservice op het beheerpunt nodig om hun sleutels te borgen.

    Vanaf versie 2103 kunt u, omdat clients het beveiligde clientmeldingskanaal gebruiken voor het borgen van sleutels, de Configuration Manager site inschakelen voor verbeterde HTTP. Deze configuratie heeft geen invloed op de functionaliteit van BitLocker-beheer in Configuration Manager.

  • In versie 2010 en eerder hebt u ten minste één beheerpunt in een replicaconfiguratie nodig om de herstelservice te gebruiken. Hoewel de BitLocker-herstelservice wordt geïnstalleerd op een beheerpunt dat gebruikmaakt van een databasereplica, kunnen clients geen herstelsleutels borgen. Vervolgens versleutelt BitLocker het station niet. Schakel de BitLocker-herstelservice uit op een beheerpunt met een databasereplica.

    Vanaf versie 2103 ondersteunt de herstelservice beheerpunten die gebruikmaken van een databasereplica.

Vereisten voor BitLocker-portals

  • Als u de selfserviceportal of de beheer- en bewakingswebsite wilt gebruiken, hebt u een Windows-server met IIS nodig. U kunt een Configuration Manager sitesysteem opnieuw gebruiken of een zelfstandige webserver gebruiken die verbinding heeft met de sitedatabaseserver. Gebruik een ondersteunde versie van het besturingssysteem voor sitesysteemservers.

  • Installeer op de webserver waarop de selfserviceportal wordt gehost Microsoft ASP.NET MVC 4.0 en .NET Framework 3.5-functie voordat u het installatieproces uitvoert. Andere vereiste Windows-serverfuncties en -onderdelen worden automatisch geïnstalleerd tijdens het installatieproces van de portal.

    Tip

    U hoeft geen versie van Visual Studio te installeren met ASP.NET MVC.

  • Het gebruikersaccount dat het script voor het portalinstallatieprogramma uitvoert, moet SQL Server sysadmin-rechten op de sitedatabaseserver. Tijdens het installatieproces stelt het script aanmeldings-, gebruikers- en SQL Server-rolrechten in voor het computeraccount van de webserver. U kunt dit gebruikersaccount verwijderen uit de rol sysadmin nadat u de installatie van de selfserviceportal en de beheer- en bewakingswebsite hebt voltooid.

Ondersteunde configuraties

  • BitLocker-beheer wordt niet ondersteund op virtuele machines (VM's) of op serverversies. BitLocker-beheer start bijvoorbeeld niet de versleuteling op vaste stations van virtuele machines. Bovendien kunnen vaste stations in virtuele machines worden weergegeven als compatibel, ook al zijn ze niet versleuteld.

  • In versie 2010 en eerder worden Microsoft Entra, werkgroepclients of clients in niet-vertrouwde domeinen niet ondersteund. In deze eerdere versies van Configuration Manager ondersteunt BitLocker-beheer alleen apparaten die zijn gekoppeld aan on-premises Active Directory, waaronder Microsoft Entra hybride gekoppelde apparaten. Deze configuratie is om te verifiëren bij de herstelservice voor escrow-sleutels.

    Vanaf versie 2103 ondersteunt Configuration Manager alle typen clientdeelname voor BitLocker-beheer. Het BitLocker-gebruikersinterfaceonderdeel aan de clientzijde wordt echter nog steeds alleen ondersteund op apparaten die lid zijn van Active Directory en Microsoft Entra hybride gekoppeld zijn.

  • Vanaf versie 2010 kunt u nu BitLocker-beleid en escrow-herstelsleutels beheren via een cloudbeheergateway (CMG). Deze wijziging biedt ook ondersteuning voor BitLocker-beheer via internetclientbeheer (IBCM). Er is geen wijziging in het installatieproces voor BitLocker-beheer. Deze verbetering ondersteunt apparaten die lid zijn van een domein en apparaten die lid zijn van een hybride domein. Zie Beheeragent implementeren: Herstelservice voor meer informatie.

    • Als u BitLocker-beheerbeleidsregels hebt gemaakt voordat u hebt bijgewerkt naar versie 2010, om deze via CMG beschikbaar te maken voor internetclients:
      1. Open in de Configuration Manager-console de eigenschappen van het bestaande beleid.
      2. Ga naar het tabblad Clientbeheer .
      3. Selecteer OK of Toepassen om het beleid op te slaan. Met deze actie wordt het beleid herzien zodat het beschikbaar is voor clients via de CMG.
  • Standaard versleutelt de takenreeksstap BitLocker inschakelen alleen de gebruikte ruimte op het station. BitLocker-beheer maakt gebruik van volledige schijfversleuteling . Configureer deze takenreeksstap om de optie Volledige schijfversleuteling gebruiken in te schakelen.

    Vanaf versie 2203 kunt u deze takenreeksstap configureren om de BitLocker-herstelgegevens voor het besturingssysteemvolume te Configuration Manager.

    Zie Takenreeksstappen - BitLocker inschakelen voor meer informatie.

Belangrijk

Het Invoke-MbamClientDeployment.ps1 PowerShell-script is alleen bedoeld voor zelfstandige MBAM . Het mag niet worden gebruikt met Configuration Manager BitLocker-beheer.

Volgende stappen

Herstelgegevens versleutelen via het netwerk