Udostępnij za pośrednictwem


Wdrażanie zarządzania funkcją BitLocker

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Zarządzanie funkcją BitLocker w programie Configuration Manager obejmuje następujące składniki:

  • Agent zarządzania funkcją BitLocker: program Configuration Manager włącza tego agenta na urządzeniu podczas tworzenia zasad i wdrażania go w kolekcji.

  • Usługa odzyskiwania: składnik serwera, który odbiera dane odzyskiwania funkcji BitLocker od klientów. Aby uzyskać więcej informacji, zobacz Usługa odzyskiwania.

Przed utworzeniem i wdrożeniem zasad zarządzania funkcją BitLocker:

Tworzenie zasad

Podczas tworzenia i wdrażania tych zasad klient programu Configuration Manager włącza agenta zarządzania funkcją BitLocker na urządzeniu.

Uwaga

Aby utworzyć zasady zarządzania funkcją BitLocker, potrzebna jest rola pełnego administratora w programie Configuration Manager.

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność , rozwiń węzeł Endpoint Protection i wybierz węzeł Zarządzanie funkcją BitLocker .

  2. Na wstążce wybierz pozycję Utwórz zasady kontroli zarządzania funkcją BitLocker.

  3. Na stronie Ogólne określ nazwę i opcjonalny opis. Wybierz składniki do włączenia na klientach z następującymi zasadami:

    • Dysk systemu operacyjnego: zarządzanie tym, czy dysk systemu operacyjnego jest zaszyfrowany

    • Dysk stały: zarządzanie szyfrowaniem dla innych dysków danych na urządzeniu

    • Dysk wymienny: zarządzanie szyfrowaniem dysków, które można usunąć z urządzenia, na przykład klucza USB

    • Zarządzanie klientem: zarządzanie kopią zapasową usługi odzyskiwania kluczy informacji odzyskiwania szyfrowania dysków funkcji BitLocker

  4. Na stronie Konfiguracja skonfiguruj następujące ustawienia globalne szyfrowania dysków funkcją BitLocker:

    Uwaga

    Program Configuration Manager stosuje te ustawienia po włączeniu funkcji BitLocker. Jeśli dysk jest już zaszyfrowany lub jest w toku, wszelkie zmiany tych ustawień zasad nie zmieniają szyfrowania dysków na urządzeniu.

    Jeśli te ustawienia zostaną wyłączone lub nie zostaną skonfigurowane, funkcja BitLocker użyje domyślnej metody szyfrowania (128-bitowej wersji AES).

    • W przypadku urządzeń z systemem Windows 8.1 włącz opcję Metody szyfrowania dysków i siły szyfrowania. Następnie wybierz metodę szyfrowania.

    • W przypadku urządzeń z systemem Windows 10 lub nowszym włącz opcję Metody szyfrowania dysków i siły szyfrowania (System Windows 10 lub nowszy). Następnie wybierz indywidualnie metodę szyfrowania dla dysków systemu operacyjnego, stałych dysków danych i wymiennych dysków danych.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — Konfiguracja.

  5. Na stronie Dysk systemu operacyjnego określ następujące ustawienia:

    • Ustawienia szyfrowania dysków systemu operacyjnego: jeśli to ustawienie zostanie włączone, użytkownik musi chronić dysk systemu operacyjnego, a funkcja BitLocker szyfruje dysk. Jeśli ją wyłączysz, użytkownik nie będzie mógł chronić dysku.

    Na urządzeniach ze zgodnym modułem TPM podczas uruchamiania można użyć dwóch typów metod uwierzytelniania, aby zapewnić dodatkową ochronę zaszyfrowanych danych. Po uruchomieniu komputera może używać tylko modułu TPM do uwierzytelniania lub może również wymagać wprowadzenia osobistego numeru identyfikacyjnego (PIN). Skonfiguruj następujące ustawienia:

    • Wybierz funkcję ochrony dla dysku systemu operacyjnego: skonfiguruj go do używania modułu TPM i numeru PIN lub po prostu modułu TPM.

    • Skonfiguruj minimalną długość numeru PIN na potrzeby uruchamiania: jeśli potrzebujesz numeru PIN, ta wartość jest najkrótszą długością, którą użytkownik może określić. Użytkownik wprowadza ten numer PIN, gdy komputer uruchamia się w celu odblokowania dysku. Domyślnie minimalna długość numeru PIN to 4.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk systemu operacyjnego.

  6. Na stronie Dysk stały określ następujące ustawienia:

    • Naprawiono szyfrowanie dysków danych: jeśli to ustawienie zostanie włączone, funkcja BitLocker wymaga od użytkowników umieszczenia wszystkich stałych dysków danych pod ochroną. Następnie szyfruje dyski danych. Po włączeniu tych zasad włącz automatyczne odblokowywanie lub ustawienia zasad haseł stałego dysku danych.

    • Konfigurowanie automatycznego odblokowywania dla stałego dysku danych: zezwalaj na automatyczne odblokowywanie zaszyfrowanego dysku danych lub wymagaj od funkcji BitLocker. Aby użyć automatycznego odblokowywania, należy również użyć funkcji BitLocker do szyfrowania dysku systemu operacyjnego.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk stały.

  7. Na stronie Dysk wymienny określ następujące ustawienia:

    • Szyfrowanie wymiennych dysków danych: po włączeniu tego ustawienia i umożliwieniu użytkownikom zastosowania ochrony funkcji BitLocker klient programu Configuration Manager zapisuje informacje odzyskiwania o dyskach wymiennych w usłudze odzyskiwania w punkcie zarządzania. To zachowanie pozwala użytkownikom odzyskać dysk, jeśli zapomną lub utracą ochronę (hasło).

    • Zezwalaj użytkownikom na stosowanie ochrony funkcji BitLocker na wymiennych dyskach danych: użytkownicy mogą włączyć ochronę funkcji BitLocker dla dysku wymiennego.

    • Zasady haseł wymiennych dysków danych: użyj tych ustawień, aby ustawić ograniczenia dotyczące haseł w celu odblokowania dysków wymiennych chronionych przez funkcję BitLocker.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk wymienny.

  8. Na stronie Zarządzanie klientami określ następujące ustawienia:

    Ważna

    W przypadku wersji programu Configuration Manager wcześniejszych niż 2103, jeśli nie masz punktu zarządzania z witryną internetową z obsługą protokołu HTTPS, nie konfiguruj tego ustawienia. Aby uzyskać więcej informacji, zobacz Usługa odzyskiwania.

    • Konfigurowanie usług zarządzania funkcją BitLocker: po włączeniu tego ustawienia program Configuration Manager automatycznie i w trybie dyskretnym tworzy kopie zapasowe informacji odzyskiwania kluczy w bazie danych lokacji. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, program Configuration Manager nie zapisze informacji o odzyskiwaniu kluczy.

      • Wybierz pozycję Informacje odzyskiwania funkcji BitLocker do przechowywania: skonfiguruj je do używania hasła odzyskiwania i pakietu kluczy lub po prostu hasła odzyskiwania.

      • Zezwalaj na przechowywanie informacji odzyskiwania w postaci zwykłego tekstu: bez certyfikatu szyfrowania zarządzania funkcją BitLocker program Configuration Manager przechowuje informacje odzyskiwania klucza w postaci zwykłego tekstu. Aby uzyskać więcej informacji, zobacz Encrypt recovery data in the database (Szyfrowanie danych odzyskiwania w bazie danych).

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — Zarządzanie klientami.

  9. Zakończ pracę kreatora.

Aby zmienić ustawienia istniejących zasad, wybierz je na liście, a następnie wybierz pozycję Właściwości.

Podczas tworzenia więcej niż jednej zasady można skonfigurować ich względny priorytet. W przypadku wdrażania wielu zasad na kliencie jest używana wartość priorytetu w celu określenia jego ustawień.

Począwszy od wersji 2006, możesz użyć poleceń cmdlet programu Windows PowerShell dla tego zadania. Aby uzyskać więcej informacji, zobacz New-CMBlmSetting.

Wdrażanie zasad

  1. Wybierz istniejące zasady w węźle Zarządzanie funkcją BitLocker . Na wstążce wybierz pozycję Wdróż.

  2. Wybierz kolekcję urządzeń jako cel wdrożenia.

  3. Jeśli chcesz, aby urządzenie potencjalnie szyfrować lub odszyfrowywać swoje dyski w dowolnym momencie, wybierz opcję Zezwalaj na korygowanie poza oknem konserwacji. Jeśli kolekcja ma jakieś okna obsługi, nadal koryguje te zasady funkcji BitLocker.

  4. Skonfiguruj harmonogram prosty lub niestandardowy . Klient ocenia jego zgodność na podstawie ustawień określonych w harmonogramie.

  5. Wybierz przycisk OK , aby wdrożyć zasady.

Można utworzyć wiele wdrożeń tych samych zasad. Aby wyświetlić dodatkowe informacje o każdym wdrożeniu, wybierz zasady w węźle Zarządzanie funkcją BitLocker , a następnie w okienku szczegółów przejdź do karty Wdrożenia. W tym zadaniu można również użyć poleceń cmdlet programu Windows PowerShell. Aby uzyskać więcej informacji, zobacz New-CMSettingDeployment.

Ważna

Jeśli połączenie protokołu pulpitu zdalnego (RDP) jest aktywne, klient MBAM nie uruchamia akcji szyfrowania dysków funkcji BitLocker. Zamknij wszystkie połączenia konsoli zdalnej i zaloguj się do sesji konsoli przy użyciu konta użytkownika domeny. Następnie rozpoczyna się szyfrowanie dysków funkcji BitLocker, a klient przekazuje klucze odzyskiwania i pakiety. Jeśli zalogujesz się przy użyciu konta użytkownika lokalnego, szyfrowanie dysków funkcji BitLocker nie zostanie uruchomione.

Za pomocą protokołu RDP można zdalnie nawiązać połączenie z sesją konsoli urządzenia za pomocą przełącznika /admin . Przykład: mstsc.exe /admin /v:<IP address of device>

Sesja konsoli jest albo wtedy, gdy jesteś w konsoli fizycznej komputera lub połączenie zdalne, które jest takie samo jak w konsoli fizycznej komputera.

Monitorowanie

Wyświetl podstawowe statystyki zgodności dotyczące wdrażania zasad w okienku szczegółów węzła Zarządzanie funkcją BitLocker :

  • Liczba zgodności
  • Liczba niepowodzeń
  • Liczba niezgodności

Przejdź do karty Wdrożenia , aby wyświetlić procent zgodności i zalecaną akcję. Wybierz wdrożenie, a następnie na wstążce wybierz pozycję Wyświetl stan. Ta akcja powoduje przełączenie widoku do obszaru roboczego Monitorowanie w węźle Wdrożenia . Podobnie jak w przypadku wdrażania innych wdrożeń zasad konfiguracji, w tym widoku można zobaczyć bardziej szczegółowy stan zgodności.

Aby zrozumieć, dlaczego klienci zgłaszają niezgodność z zasadami zarządzania funkcją BitLocker, zobacz Kody niezgodności.

Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z funkcją BitLocker.

Aby monitorować i rozwiązywać problemy, użyj następujących dzienników:

Dzienniki klientów

Dzienniki punktów zarządzania (usługa odzyskiwania)

Zagadnienia dotyczące migracji

Jeśli obecnie używasz funkcji Microsoft BitLocker Administration and Monitoring (MBAM), możesz bezproblemowo przeprowadzić migrację zarządzania do programu Configuration Manager. Podczas wdrażania zasad zarządzania funkcją BitLocker w programie Configuration Manager klienci automatycznie przekazują klucze odzyskiwania i pakiety do usługi odzyskiwania programu Configuration Manager.

Ważna

Podczas migracji z autonomicznego modułu MBAM do zarządzania funkcją BitLocker programu Configuration Manager, jeśli wymagasz istniejącej funkcjonalności autonomicznej funkcji MBAM, nie używaj ponownie autonomicznych serwerów MBAM ani składników za pomocą funkcji zarządzania funkcją BitLocker programu Configuration Manager. Jeśli te serwery zostaną ponownie użyte, autonomiczna usługa MBAM przestanie działać, gdy zarządzanie funkcją BitLocker programu Configuration Manager zainstaluje jego składniki na tych serwerach. Nie uruchamiaj skryptu MBAMWebSiteInstaller.ps1, aby skonfigurować portale funkcji BitLocker na autonomicznych serwerach MBAM. Podczas konfigurowania zarządzania funkcją BitLocker programu Configuration Manager użyj oddzielnych serwerów.

Zasady grupy

  • Ustawienia zarządzania funkcją BitLocker są w pełni zgodne z ustawieniami zasad grupy MBAM. Jeśli urządzenia otrzymają zarówno ustawienia zasad grupy, jak i zasady programu Configuration Manager, skonfiguruj je tak, aby były zgodne.

    Uwaga

    Jeśli istnieje ustawienie zasad grupy dla autonomicznej pamięci MBAM, zastąpi to równoważne ustawienie próby wykonania przez program Configuration Manager. Autonomiczna usługa MBAM używa zasad grupy domeny, a program Configuration Manager ustawia zasady lokalne na potrzeby zarządzania funkcją BitLocker. Zasady domeny zastąpią lokalne zasady zarządzania funkcją BitLocker programu Configuration Manager. Jeśli autonomiczne zasady grupy domeny MBAM nie są zgodne z zasadami programu Configuration Manager, zarządzanie funkcją BitLocker programu Configuration Manager zakończy się niepowodzeniem. Jeśli na przykład zasady grupy domeny ustawiają autonomiczny serwer MBAM dla usług odzyskiwania kluczy, zarządzanie funkcją BitLocker programu Configuration Manager nie może ustawić tego samego ustawienia dla punktu zarządzania. To zachowanie powoduje, że klienci nie zgłaszają swoich kluczy odzyskiwania do usługi odzyskiwania kluczy zarządzania funkcją BitLocker programu Configuration Manager w punkcie zarządzania.

  • Program Configuration Manager nie implementuje wszystkich ustawień zasad grupy MBAM. Jeśli skonfigurujesz więcej ustawień w zasadach grupy, agent zarządzania funkcją BitLocker na klientach programu Configuration Manager będzie honorować te ustawienia.

    Ważna

    Nie ustawiaj zasad grupy dla ustawienia, które zostało już określone przez zarządzanie funkcją BitLocker programu Configuration Manager. Ustaw tylko zasady grupy dla ustawień, które obecnie nie istnieją w zarządzaniu funkcją BitLocker programu Configuration Manager. Program Configuration Manager w wersji 2002 ma równoważność funkcji z autonomicznym modułem MBAM. W programie Configuration Manager w wersji 2002 lub nowszej w większości wystąpień nie powinno być powodu, aby ustawić zasady grupy domen w celu skonfigurowania zasad funkcji BitLocker. Aby zapobiec konfliktom i problemom, unikaj używania zasad grupy dla funkcji BitLocker. Skonfiguruj wszystkie ustawienia za pomocą zasad zarządzania funkcją BitLocker programu Configuration Manager.

Skrót hasła modułu TPM

  • Poprzedni klienci MBAM nie przekazują skrótu hasła modułu TPM do programu Configuration Manager. Klient przekazuje skrót hasła modułu TPM tylko raz.

  • Jeśli musisz przeprowadzić migrację tych informacji do usługi odzyskiwania programu Configuration Manager, wyczyść moduł TPM na urządzeniu. Po ponownym uruchomieniu przekazuje nowy skrót hasła modułu TPM do usługi odzyskiwania.

Uwaga

Przekazywanie skrótu hasła modułu TPM dotyczy głównie wersji systemu Windows przed systemem Windows 10. System Windows 10 lub nowszy domyślnie nie zapisuje skrótu hasła modułu TPM, więc te urządzenia zwykle go nie przekazują. Aby uzyskać więcej informacji, zobacz Informacje o haśle właściciela modułu TPM.

Ponowne szyfrowanie

Program Configuration Manager nie szyfruje ponownie dysków, które są już chronione za pomocą szyfrowania dysków funkcją BitLocker. Jeśli wdrożysz zasady zarządzania funkcją BitLocker, które nie są zgodne z bieżącą ochroną dysku, będą raportowane jako niezgodne. Dysk jest nadal chroniony.

Na przykład użyto programu MBAM do szyfrowania dysku za pomocą algorytmu szyfrowania AES-XTS 128, ale zasady programu Configuration Manager wymagają protokołu AES-XTS 256. Dysk jest niezgodny z zasadami, mimo że dysk jest zaszyfrowany.

Aby obejść to zachowanie, najpierw wyłącz funkcję BitLocker na urządzeniu. Następnie wdróż nowe zasady z nowymi ustawieniami.

Współzarządzanie i usługa Intune

Program obsługi klienta programu Configuration Manager dla funkcji BitLocker jest świadomy współzarządzania. Jeśli urządzenie jest współzarządzane i przełączasz obciążenie programu Endpoint Protection do usługi Intune, klient programu Configuration Manager ignoruje zasady funkcji BitLocker. Urządzenie pobiera zasady szyfrowania systemu Windows z usługi Intune.

Uwaga

Przełączanie urzędów zarządzania szyfrowaniem przy zachowaniu żądanego algorytmu szyfrowania nie wymaga żadnych dodatkowych akcji na kliencie. Jeśli jednak zmieni się również przełącznik urzędów zarządzania szyfrowaniem i żądany algorytm szyfrowania, konieczne będzie zaplanowanie ponownego szyfrowania.

Aby uzyskać więcej informacji na temat zarządzania funkcją BitLocker w usłudze Intune, zobacz następujące artykuły:

Następne kroki

Informacje o usłudze odzyskiwania funkcji BitLocker

Konfigurowanie raportów i portali funkcji BitLocker