Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Configuration Manager (branch atual)
Importante
A partir da versão 2103, a implementação do serviço de recuperação foi alterada. Já não está a utilizar componentes MBAM legados, mas ainda é conceptualmente referido como o serviço de recuperação. Todos os clientes da versão 2103 utilizam o componente do motor de processamento de mensagens do ponto de gestão como serviço de recuperação. As chaves de recuperação são armazenadas através do canal de notificação de cliente seguro. Com esta alteração, pode ativar o site Configuration Manager para HTTP melhorado. Esta configuração não afeta a funcionalidade da gestão do BitLocker no Configuration Manager.
Quando o site e os clientes estão a executar Configuration Manager versão 2103 ou posterior, os clientes enviam as respetivas chaves de recuperação para o ponto de gestão através do canal de notificação de cliente seguro. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação compatível com HTTPS no ponto de gestão para escrow as chaves.
O serviço de recuperação BitLocker é um componente de servidor que recebe dados de recuperação do BitLocker de clientes Configuration Manager. O site implementa o serviço de recuperação quando cria uma política de gestão do BitLocker. Configuration Manager instala automaticamente o serviço de recuperação em cada ponto de gestão com um site ativado para HTTPS.
Configuration Manager armazena as informações de recuperação na base de dados do site. Sem um certificado de encriptação de gestão bitLocker, Configuration Manager armazena as informações de recuperação de chaves em texto simples. Para obter mais informações, veja Encriptar dados de recuperação na base de dados.
A partir da versão 2010, pode gerir políticas bitLocker e chaves de recuperação de segurança através de um gateway de gestão da cloud (CMG). Quando os clientes associados a um domínio comunicam através do CMG, não utilizam o serviço de recuperação legado, mas sim o componente do motor de processamento de mensagens do ponto de gestão. Microsoft Entra dispositivos híbridos associados também utilizam o motor de processamento de mensagens.
A partir da versão 2103, todos os clientes suportados utilizam o componente do motor de processamento de mensagens do ponto de gestão como o serviço de recuperação. Esta alteração reduz as dependências dos componentes MBAM legados e permite o suporte para HTTP melhorado.
Observação
Para a versão 2010, o canal do motor de processamento de mensagens apenas lança chaves para o SO e volumes de unidade fixa. Não suporta chaves de recuperação para unidades amovíveis ou o hash de palavras-passe do TPM.
A partir da versão 2103, as políticas de gestão do BitLocker através de um CMG suportam as seguintes capacidades:
- Chaves de recuperação para unidades amovíveis
- Hash de palavra-passe do TPM, também conhecido como autorização do proprietário do TPM
Rodar teclas
Quando recupera uma chave com os portais self-service ou helpdesk, uma vez que é divulgada, Configuration Manager requer que o cliente rode a chave. Rodar a chave significa que o cliente gera uma nova chave para a recuperação do BitLocker. Em seguida, lança a nova chave para o serviço de recuperação.
Observação
Quando migra do MBAM, quando o dispositivo recebe uma política de gestão do BitLocker do Configuration Manager, primeiro roda a chave. Em seguida, envia a nova chave para o serviço de recuperação Configuration Manager.