Migreren van MBAM

Van toepassing op: Configuration Manager (current branch)

Als u momenteel Microsoft BitLocker Administration and Monitoring (MBAM) gebruikt, kunt u het beheer naadloos migreren naar Configuration Manager. Wanneer u BitLocker-beheerbeleid implementeert in Configuration Manager, draaien clients automatisch hun sleutels en uploaden ze naar de Configuration Manager-herstelservice.

Belangrijk

Wanneer u migreert van zelfstandige MBAM naar Configuration Manager BitLocker-beheer en u bestaande functionaliteit van zelfstandige MBAM nodig hebt, moet u zelfstandige MBAM-servers of -onderdelen niet opnieuw gebruiken met Configuration Manager BitLocker-beheer. Als u deze servers opnieuw gebruikt, werkt de zelfstandige MBAM niet meer wanneer Configuration Manager BitLocker-beheer de onderdelen op die servers installeert. Voer het MBAMWebSiteInstaller.ps1-script niet uit om de BitLocker-portals in te stellen op zelfstandige MBAM-servers. Wanneer u Configuration Manager BitLocker-beheer instelt, gebruikt u afzonderlijke servers.

Groepsbeleid

Als er een groepsbeleidsinstelling bestaat voor zelfstandige MBAM, wordt de equivalente instelling die door Configuration Manager is geprobeerd, overschreven. Zelfstandige MBAM maakt gebruik van domeingroepsbeleid, terwijl Configuration Manager lokaal beleid instelt voor BitLocker-beheer. Domeinbeleid overschrijft het lokale Configuration Manager BitLocker-beheerbeleid. Als het zelfstandige MBAM-domeingroepsbeleid niet overeenkomt met het Configuration Manager-beleid, mislukt Configuration Manager BitLocker-beheer. Als een domeingroepsbeleid bijvoorbeeld de zelfstandige MBAM-server instelt voor belangrijke herstelservices, kan Configuration Manager BitLocker-beheer niet dezelfde instelling instellen voor de bijbehorende herstelservice. Dit gedrag zorgt ervoor dat clients hun herstelsleutels niet rapporteren aan de Configuration Manager BitLocker-beheerherstelservice.

Stel geen groepsbeleid in voor een instelling die Configuration Manager BitLocker-beheer al opgeeft. Stel alleen groepsbeleid in voor instellingen die momenteel niet bestaan in Configuration Manager BitLocker-beheer. Configuration Manager heeft functiepariteit met zelfstandige MBAM. In de meeste gevallen moet er geen reden zijn om domeingroepsbeleid in te stellen om BitLocker-beleid te configureren. Vermijd het gebruik van groepsbeleid voor BitLocker om conflicten en problemen te voorkomen. Configureer alle instellingen via Configuration Manager BitLocker-beheerbeleid.

TPM-wachtwoordhash

• Vorige MBAM-clients uploaden de TPM-wachtwoord-hash niet naar Configuration Manager. De client uploadt de TPM-wachtwoord-hash slechts eenmaal.

• Als u deze informatie wilt migreren naar de Configuration Manager herstelservice, wist u de TPM op het apparaat. Nadat deze opnieuw is gestart, wordt de nieuwe TPM-wachtwoord-hash geüpload naar de herstelservice.

Opmerking

Het uploaden van de TPM-wachtwoord-hash heeft voornamelijk betrekking op versies van Windows voordat Windows 10. Windows 10 of hoger wordt standaard de TPM-wachtwoord-hash niet opgeslagen, zodat deze apparaten deze normaal gesproken niet uploaden. Zie Over het wachtwoord van de TPM-eigenaar voor meer informatie.

Herversleuteling

Configuration Manager versleutelt stations die al zijn beveiligd met BitLocker-stationsversleuteling niet opnieuw. Als u een BitLocker-beheerbeleid implementeert dat niet overeenkomt met de huidige beveiliging van het station, wordt gerapporteerd als niet-compatibel. Het station is nog steeds beveiligd.

U hebt bijvoorbeeld MBAM gebruikt om het station te versleutelen met het AES-XTS 128-versleutelingsalgoritmen, maar voor het Configuration Manager-beleid is AES-XTS 256 vereist. Het station voldoet niet aan het beleid, ook al is het station versleuteld.

Als u dit gedrag wilt omzeilen, schakelt u eerst BitLocker op het apparaat uit. Implementeer vervolgens een nieuw beleid met de nieuwe instellingen.

Volgende stappen

Over de BitLocker-herstelservice

BitLocker-rapporten en -portals instellen