Wdrażanie zarządzania funkcją BitLocker

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Zarządzanie funkcją BitLocker w Configuration Manager obejmuje następujące składniki:

  • Agent zarządzania funkcją BitLocker: Configuration Manager włącza tego agenta na urządzeniu podczas tworzenia zasad i wdrażania ich w kolekcji.

  • Usługa odzyskiwania: składnik serwera, który odbiera dane odzyskiwania funkcji BitLocker od klientów. Aby uzyskać więcej informacji, zobacz Usługa odzyskiwania.

Przed utworzeniem i wdrożeniem zasad zarządzania funkcją BitLocker:

Tworzenie zasad

Podczas tworzenia i wdrażania tych zasad klient Configuration Manager włącza agenta zarządzania funkcją BitLocker na urządzeniu.

Uwaga

Aby utworzyć zasady zarządzania funkcją BitLocker, musisz mieć rolę pełnego administratora w Configuration Manager.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność, rozwiń węzeł Endpoint Protection i wybierz węzeł Zarządzanie funkcją BitLocker.

  2. Na wstążce wybierz pozycję Utwórz zasady kontroli zarządzania funkcją BitLocker.

  3. Na stronie Ogólne określ nazwę i opcjonalny opis. Wybierz składniki do włączenia na klientach z następującymi zasadami:

    • Dysk systemu operacyjnego: zarządzanie tym, czy dysk systemu operacyjnego jest zaszyfrowany

    • Dysk stały: zarządzanie szyfrowaniem dla innych dysków danych na urządzeniu

    • Dysk wymienny: zarządzanie szyfrowaniem dysków, które można usunąć z urządzenia, na przykład klucza USB

    • Zarządzanie klientem: zarządzanie kopią zapasową usługi odzyskiwania kluczy informacji odzyskiwania szyfrowania dysków funkcji BitLocker

  4. Na stronie Konfiguracja skonfiguruj następujące ustawienia globalne szyfrowania dysków funkcją BitLocker:

    Uwaga

    Configuration Manager stosuje te ustawienia po włączeniu funkcji BitLocker. Jeśli dysk jest już zaszyfrowany lub jest w toku, wszelkie zmiany tych ustawień zasad nie zmieniają szyfrowania dysków na urządzeniu.

    Jeśli te ustawienia zostaną wyłączone lub nie zostaną skonfigurowane, funkcja BitLocker użyje domyślnej metody szyfrowania (128-bitowej wersji AES).

    • W przypadku urządzeń Windows 8.1 włącz opcję Metoda szyfrowania dysków i siła szyfrowania. Następnie wybierz metodę szyfrowania.

    • W przypadku urządzeń Windows 10 lub nowszych włącz opcję Metody szyfrowania dysków i siły szyfrowania (Windows 10 lub nowszych). Następnie wybierz indywidualnie metodę szyfrowania dla dysków systemu operacyjnego, stałych dysków danych i wymiennych dysków danych.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — Konfiguracja.

  5. Na stronie Dysk systemu operacyjnego określ następujące ustawienia:

    • Ustawienia szyfrowania dysków systemu operacyjnego: jeśli to ustawienie zostanie włączone, użytkownik musi chronić dysk systemu operacyjnego, a funkcja BitLocker szyfruje dysk. Jeśli ją wyłączysz, użytkownik nie będzie mógł chronić dysku.

    Na urządzeniach ze zgodnym modułem TPM podczas uruchamiania można użyć dwóch typów metod uwierzytelniania, aby zapewnić dodatkową ochronę zaszyfrowanych danych. Po uruchomieniu komputera może używać tylko modułu TPM do uwierzytelniania lub może również wymagać wprowadzenia osobistego numeru identyfikacyjnego (PIN). Skonfiguruj następujące ustawienia:

    • Wybierz funkcję ochrony dla dysku systemu operacyjnego: skonfiguruj go do używania modułu TPM i numeru PIN lub po prostu modułu TPM.

    • Skonfiguruj minimalną długość numeru PIN na potrzeby uruchamiania: jeśli potrzebujesz numeru PIN, ta wartość jest najkrótszą długością, którą użytkownik może określić. Użytkownik wprowadza ten numer PIN, gdy komputer uruchamia się w celu odblokowania dysku. Domyślnie minimalna długość numeru PIN to 4.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk systemu operacyjnego.

  6. Na stronie Dysk stały określ następujące ustawienia:

    • Naprawiono szyfrowanie dysków danych: jeśli to ustawienie zostanie włączone, funkcja BitLocker wymaga od użytkowników umieszczenia wszystkich stałych dysków danych pod ochroną. Następnie szyfruje dyski danych. Po włączeniu tych zasad włącz automatyczne odblokowywanie lub ustawienia zasad haseł stałego dysku danych.

    • Konfigurowanie automatycznego odblokowywania dla stałego dysku danych: zezwalaj na automatyczne odblokowywanie zaszyfrowanego dysku danych lub wymagaj od funkcji BitLocker. Aby użyć automatycznego odblokowywania, należy również użyć funkcji BitLocker do szyfrowania dysku systemu operacyjnego.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk stały.

  7. Na stronie Dysk wymienny określ następujące ustawienia:

    • Szyfrowanie wymiennych dysków danych: po włączeniu tego ustawienia i umożliwieniu użytkownikom zastosowania ochrony funkcji BitLocker klient Configuration Manager zapisuje informacje odzyskiwania o dyskach wymiennych w usłudze odzyskiwania w punkcie zarządzania. To zachowanie pozwala użytkownikom odzyskać dysk, jeśli zapomną lub utracą ochronę (hasło).

    • Zezwalaj użytkownikom na stosowanie ochrony funkcji BitLocker na wymiennych dyskach danych: użytkownicy mogą włączyć ochronę funkcji BitLocker dla dysku wymiennego.

    • Zasady haseł wymiennych dysków danych: użyj tych ustawień, aby ustawić ograniczenia dotyczące haseł w celu odblokowania dysków wymiennych chronionych przez funkcję BitLocker.

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — dysk wymienny.

  8. Na stronie Zarządzanie klientami określ następujące ustawienia:

    Ważna

    W przypadku wersji Configuration Manager wcześniejszych niż 2103, jeśli nie masz punktu zarządzania z witryną internetową z obsługą protokołu HTTPS, nie konfiguruj tego ustawienia. Aby uzyskać więcej informacji, zobacz Usługa odzyskiwania.

    • Konfigurowanie usług zarządzania funkcją BitLocker: po włączeniu tego ustawienia Configuration Manager automatycznie i w trybie dyskretnym tworzy kopie zapasowe informacji odzyskiwania kluczy w bazie danych lokacji. Jeśli to ustawienie zostanie wyłączone lub nie zostanie skonfigurowane, Configuration Manager nie zapisze informacji odzyskiwania klucza.

      • Wybierz pozycję Informacje odzyskiwania funkcji BitLocker do przechowywania: skonfiguruj je do używania hasła odzyskiwania i pakietu kluczy lub po prostu hasła odzyskiwania.

      • Zezwalaj na przechowywanie informacji odzyskiwania w postaci zwykłego tekstu: bez certyfikatu szyfrowania zarządzania funkcją BitLocker Configuration Manager przechowuje informacje odzyskiwania klucza w postaci zwykłego tekstu. Aby uzyskać więcej informacji, zobacz Encrypt recovery data in the database (Szyfrowanie danych odzyskiwania w bazie danych).

    Aby uzyskać więcej informacji na temat tych i innych ustawień na tej stronie, zobacz Dokumentacja ustawień — Zarządzanie klientami.

  9. Zakończ pracę kreatora.

Aby zmienić ustawienia istniejących zasad, wybierz je na liście, a następnie wybierz pozycję Właściwości.

Podczas tworzenia więcej niż jednej zasady można skonfigurować ich względny priorytet. W przypadku wdrażania wielu zasad na kliencie jest używana wartość priorytetu w celu określenia jego ustawień.

Począwszy od wersji 2006, możesz użyć poleceń cmdlet Windows PowerShell dla tego zadania. Aby uzyskać więcej informacji, zobacz New-CMBlmSetting.

Wdrażanie zasad

  1. Wybierz istniejące zasady w węźle Zarządzanie funkcją BitLocker . Na wstążce wybierz pozycję Wdróż.

  2. Wybierz kolekcję urządzeń jako cel wdrożenia.

  3. Jeśli chcesz, aby urządzenie potencjalnie szyfrować lub odszyfrowywać swoje dyski w dowolnym momencie, wybierz opcję Zezwalaj na korygowanie poza oknem konserwacji. Jeśli kolekcja ma jakieś okna obsługi, nadal koryguje te zasady funkcji BitLocker.

  4. Skonfiguruj harmonogram prosty lub niestandardowy . Klient ocenia jego zgodność na podstawie ustawień określonych w harmonogramie.

  5. Wybierz przycisk OK , aby wdrożyć zasady.

Można utworzyć wiele wdrożeń tych samych zasad. Aby wyświetlić dodatkowe informacje o każdym wdrożeniu, wybierz zasady w węźle Zarządzanie funkcją BitLocker, a następnie w okienku szczegółów przejdź do karty Wdrożenia. W tym zadaniu można również użyć poleceń cmdlet Windows PowerShell. Aby uzyskać więcej informacji, zobacz New-CMSettingDeployment.

Ważna

Jeśli połączenie protokołu pulpitu zdalnego (RDP) jest aktywne, klient MBAM nie uruchamia akcji szyfrowania dysków funkcji BitLocker. Zamknij wszystkie połączenia konsoli zdalnej i zaloguj się do sesji konsoli przy użyciu konta użytkownika domeny. Następnie rozpoczyna się szyfrowanie dysków funkcji BitLocker, a klient przekazuje klucze odzyskiwania i pakiety. Jeśli zalogujesz się przy użyciu konta użytkownika lokalnego, szyfrowanie dysków funkcji BitLocker nie zostanie uruchomione.

Za pomocą protokołu RDP można zdalnie nawiązać połączenie z sesją konsoli urządzenia za pomocą przełącznika /admin . Przykład: mstsc.exe /admin /v:<IP address of device>

Sesja konsoli jest albo wtedy, gdy jesteś w konsoli fizycznej komputera lub połączenie zdalne, które jest takie samo jak w konsoli fizycznej komputera.

Monitorowanie

Wyświetl podstawowe statystyki zgodności dotyczące wdrażania zasad w okienku szczegółów węzła Zarządzanie funkcją BitLocker :

  • Liczba zgodności
  • Liczba niepowodzeń
  • Liczba niezgodności

Przejdź do karty Wdrożenia , aby wyświetlić procent zgodności i zalecaną akcję. Wybierz wdrożenie, a następnie na wstążce wybierz pozycję Wyświetl stan. Ta akcja powoduje przełączenie widoku do obszaru roboczego Monitorowanie w węźle Wdrożenia . Podobnie jak w przypadku wdrażania innych wdrożeń zasad konfiguracji, w tym widoku można zobaczyć bardziej szczegółowy stan zgodności.

Aby zrozumieć, dlaczego klienci zgłaszają niezgodność z zasadami zarządzania funkcją BitLocker, zobacz Kody niezgodności.

Aby uzyskać więcej informacji na temat rozwiązywania problemów, zobacz Rozwiązywanie problemów z funkcją BitLocker.

Aby monitorować i rozwiązywać problemy, użyj następujących dzienników:

Dzienniki klientów

Dzienniki punktów zarządzania (usługa odzyskiwania)

Zagadnienia dotyczące migracji

Jeśli obecnie używasz funkcji Microsoft BitLocker Administration and Monitoring (MBAM), możesz bezproblemowo migrować zarządzanie do Configuration Manager. Podczas wdrażania zasad zarządzania funkcją BitLocker w Configuration Manager klienci automatycznie przekazują klucze odzyskiwania i pakiety do usługi odzyskiwania Configuration Manager.

Ważna

Podczas migracji z autonomicznej pamięci MBAM do Configuration Manager zarządzania funkcją BitLocker, jeśli wymagasz istniejącej funkcjonalności autonomicznej pamięci MBAM, nie używaj ponownie autonomicznych serwerów MBAM ani składników z Configuration Manager zarządzania funkcją BitLocker. Jeśli te serwery zostaną ponownie użyte, autonomiczna usługa MBAM przestanie działać, gdy Configuration Manager zarządzanie funkcją BitLocker zainstaluje jego składniki na tych serwerach. Nie uruchamiaj skryptu MBAMWebSiteInstaller.ps1, aby skonfigurować portale funkcji BitLocker na autonomicznych serwerach MBAM. Podczas konfigurowania Configuration Manager zarządzania funkcją BitLocker użyj oddzielnych serwerów.

Zasady grupy

  • Ustawienia zarządzania funkcją BitLocker są w pełni zgodne z ustawieniami zasad grupy MBAM. Jeśli urządzenia otrzymają zarówno ustawienia zasad grupy, jak i zasady Configuration Manager, skonfiguruj je tak, aby były zgodne.

    Uwaga

    Jeśli istnieje ustawienie zasad grupy dla autonomicznej pamięci MBAM, zastąpi to równoważne ustawienie, które próbuje Configuration Manager. Autonomiczna usługa MBAM używa zasad grupy domeny, a Configuration Manager ustawia zasady lokalne na potrzeby zarządzania funkcją BitLocker. Zasady domeny zastąpią lokalne zasady zarządzania funkcją BitLocker Configuration Manager. Jeśli autonomiczne zasady grupy domeny MBAM nie są zgodne z zasadami Configuration Manager, zarządzanie funkcją BitLocker Configuration Manager zakończy się niepowodzeniem. Jeśli na przykład zasady grupy domeny ustawiają autonomiczny serwer MBAM dla usług odzyskiwania kluczy, Configuration Manager zarządzanie funkcją BitLocker nie może ustawić tego samego ustawienia dla punktu zarządzania. To zachowanie powoduje, że klienci nie zgłaszają swoich kluczy odzyskiwania do Configuration Manager usługi odzyskiwania kluczy zarządzania funkcją BitLocker w punkcie zarządzania.

  • Configuration Manager nie implementuje wszystkich ustawień zasad grupy MBAM. Jeśli skonfigurujesz więcej ustawień w zasadach grupy, agent zarządzania funkcją BitLocker na Configuration Manager klienci będą uwzględniać te ustawienia.

    Ważna

    Nie ustawiaj zasad grupy dla ustawienia, które już określa Configuration Manager zarządzania funkcją BitLocker. Ustaw tylko zasady grupy dla ustawień, które obecnie nie istnieją w Configuration Manager zarządzania funkcją BitLocker. Configuration Manager wersja 2002 ma równoważność funkcji z autonomicznym modułem MBAM. W przypadku Configuration Manager wersji 2002 i nowszej w większości wystąpień nie powinno być powodu, aby ustawić zasady grupy domen w celu skonfigurowania zasad funkcji BitLocker. Aby zapobiec konfliktom i problemom, unikaj używania zasad grupy dla funkcji BitLocker. Skonfiguruj wszystkie ustawienia za pomocą Configuration Manager zasad zarządzania funkcją BitLocker.

Skrót hasła modułu TPM

  • Poprzedni klienci MBAM nie przekazują skrótu hasła modułu TPM do Configuration Manager. Klient przekazuje skrót hasła modułu TPM tylko raz.

  • Jeśli chcesz przeprowadzić migrację tych informacji do usługi odzyskiwania Configuration Manager, wyczyść moduł TPM na urządzeniu. Po ponownym uruchomieniu przekazuje nowy skrót hasła modułu TPM do usługi odzyskiwania.

Uwaga

Przekazywanie skrótu hasła modułu TPM dotyczy głównie wersji systemu Windows przed Windows 10. Windows 10 lub nowsze domyślnie nie zapisuje skrótu hasła modułu TPM, więc te urządzenia zwykle go nie przekazują. Aby uzyskać więcej informacji, zobacz Informacje o haśle właściciela modułu TPM.

Ponowne szyfrowanie

Configuration Manager nie szyfruje ponownie dysków, które są już chronione za pomocą szyfrowania dysków funkcją BitLocker. Jeśli wdrożysz zasady zarządzania funkcją BitLocker, które nie są zgodne z bieżącą ochroną dysku, będą raportowane jako niezgodne. Dysk jest nadal chroniony.

Na przykład użyto mbam do szyfrowania dysku za pomocą algorytmu szyfrowania AES-XTS 128, ale zasady Configuration Manager wymagają AES-XTS 256. Dysk jest niezgodny z zasadami, mimo że dysk jest zaszyfrowany.

Aby obejść to zachowanie, najpierw wyłącz funkcję BitLocker na urządzeniu. Następnie wdróż nowe zasady z nowymi ustawieniami.

Współzarządzanie i Intune

Obsługa klienta Configuration Manager funkcji BitLocker jest świadoma współzarządzania. Jeśli urządzenie jest współzarządzane i przełączasz obciążenie programu Endpoint Protection na Intune, klient Configuration Manager ignoruje swoje zasady funkcji BitLocker. Urządzenie pobiera zasady szyfrowania systemu Windows z Intune.

Uwaga

Przełączanie urzędów zarządzania szyfrowaniem przy zachowaniu żądanego algorytmu szyfrowania nie wymaga żadnych dodatkowych akcji na kliencie. Jeśli jednak zmieni się również przełącznik urzędów zarządzania szyfrowaniem i żądany algorytm szyfrowania, konieczne będzie zaplanowanie ponownego szyfrowania.

Aby uzyskać więcej informacji na temat zarządzania funkcją BitLocker za pomocą Intune, zobacz następujące artykuły:

Następne kroki

Informacje o usłudze odzyskiwania funkcji BitLocker

Konfigurowanie raportów i portali funkcji BitLocker