Compartilhar via


Migrar do MBAM

Aplica-se a: Gerenciador de Configurações (branch atual)

Se você atualmente usar Microsoft MBAM (Administração e Monitoramento do BitLocker), poderá migrar o gerenciamento para Configuration Manager. Quando você implanta políticas de gerenciamento do BitLocker no Configuration Manager, os clientes giram automaticamente as chaves e as carregam no serviço de recuperação Configuration Manager.

Importante

Ao migrar do MBAM autônomo para Configuration Manager gerenciamento do BitLocker, se você precisar da funcionalidade existente do MBAM autônomo, não reutilize servidores ou componentes autônomos do MBAM com Configuration Manager gerenciamento do BitLocker. Se você reutilizar esses servidores, o MBAM autônomo deixará de funcionar quando Configuration Manager gerenciamento do BitLocker instalar seus componentes nesses servidores. Não execute o script MBAMWebSiteInstaller.ps1 para configurar os portais BitLocker em servidores MBAM autônomos. Ao configurar Configuration Manager gerenciamento do BitLocker, use servidores separados.

Política de grupo

Se existir uma configuração de política de grupo para MBAM autônomo, ela substituirá a configuração equivalente tentada por Configuration Manager. O MBAM autônomo usa a política de grupo de domínio, enquanto Configuration Manager define políticas locais para o gerenciamento do BitLocker. As políticas de domínio substituirão as políticas locais de gerenciamento do BitLocker Configuration Manager. Se a política de grupo de domínio mbam autônoma não corresponder à política de Configuration Manager, Configuration Manager gerenciamento do BitLocker falhará. Por exemplo, se uma política de grupo de domínio definir o servidor MBAM autônomo para serviços de recuperação de chave, Configuration Manager gerenciamento do BitLocker não poderá definir a mesma configuração para seu serviço de recuperação. Esse comportamento faz com que os clientes não reportem suas chaves de recuperação para o serviço de recuperação de gerenciamento do Configuration Manager BitLocker.

Não defina uma política de grupo para uma configuração que Configuration Manager gerenciamento do BitLocker já especifica. Apenas defina políticas de grupo para configurações que não existem atualmente no gerenciamento do BitLocker Configuration Manager. Configuration Manager tem paridade de recursos com MBAM autônomo. Na maioria das instâncias, não deve haver razão para definir políticas de grupo de domínio para configurar políticas do BitLocker. Para evitar conflitos e problemas, evite o uso de políticas de grupo para BitLocker. Configure todas as configurações por meio de Configuration Manager políticas de gerenciamento do BitLocker.

Hash de senha do TPM

  • Os clientes MBAM anteriores não carregam o hash de senha do TPM para Configuration Manager. O cliente carrega apenas o hash de senha do TPM uma vez.

  • Se você precisar migrar essas informações para o serviço de recuperação Configuration Manager, desmarque o TPM no dispositivo. Depois que ele é reiniciado, ele carrega o novo hash de senha do TPM para o serviço de recuperação.

Observação

O carregamento do hash de senha do TPM diz respeito principalmente às versões do Windows antes de Windows 10. Windows 10 ou posterior por padrão não salva o hash de senha do TPM, portanto, esses dispositivos normalmente não o carregam. Para obter mais informações, consulte Sobre a senha do proprietário do TPM.

Reencriptação

Configuration Manager não criptografa novamente unidades que já estão protegidas com a Criptografia de Unidade do BitLocker. Se você implantar uma política de gerenciamento do BitLocker que não corresponda à proteção atual da unidade, ela será reportada como incompatível. A unidade ainda está protegida.

Por exemplo, você usou o MBAM para criptografar a unidade com o algoritmo de criptografia AES-XTS 128, mas a política de Configuration Manager requer o AES-XTS 256. A unidade não está em conformidade com a política, mesmo que a unidade esteja criptografada.

Para contornar esse comportamento, primeiro desabilite o BitLocker no dispositivo. Em seguida, implante uma nova política com as novas configurações.

Próximas etapas

Sobre o serviço de recuperação do BitLocker

Configurar relatórios e portais do BitLocker