Planejar o gerenciamento do BitLocker
Aplica-se a: Configuration Manager (branch atual)
Use Configuration Manager para gerenciar o BDE (BitLocker Drive Encryption) para clientes locais do Windows, que são unidos ao Active Directory. Ele fornece gerenciamento completo do ciclo de vida do BitLocker que pode substituir o uso do MBAM (Microsoft BitLocker Administration and Monitoring).
Observação
Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.
Para obter mais informações gerais sobre o BitLocker, confira Visão geral do BitLocker. Para obter uma comparação de implantações e requisitos do BitLocker, consulte o gráfico de comparação de implantação do BitLocker.
Dica
Para gerenciar a criptografia em dispositivos Windows 10 ou posteriores cogerenciados usando o serviço de nuvem Microsoft Intune, alterne a carga de trabalho do Endpoint Protection para o Intune. Para obter mais informações sobre como usar o Intune, consulte Criptografia do Windows.
Recursos
Configuration Manager fornece os seguintes recursos de gerenciamento para a Criptografia de Unidade do BitLocker:
Implantação do cliente
Implante o cliente BitLocker em dispositivos Windows gerenciados que executam Windows 8.1, Windows 10 ou Windows 11.
Gerenciar políticas do BitLocker e chaves de recuperação de escrow para clientes locais e baseados na Internet
Gerenciar políticas de criptografia
Por exemplo: escolha a criptografia de unidade e a força da codificação, configure a política de isenção de usuário, as configurações de criptografia de unidade de dados fixas.
Determine os algoritmos com os quais criptografar o dispositivo e os discos destinados à criptografia.
Force os usuários a se adequarem às novas políticas de segurança antes de usar o dispositivo.
Personalize o perfil de segurança da sua organização por dispositivo.
Quando um usuário desbloqueia a unidade do sistema operacional, especifique se deve desbloquear apenas uma unidade do sistema operacional ou todas as unidades anexadas.
Relatórios de conformidade
Relatórios internos para:
- Criptografia status por volume ou por dispositivo
- O usuário principal do dispositivo
- Status de conformidade
- Motivos para não conformidade
Site de administração e monitoramento
Permitir que outras personas em sua organização fora do console Configuration Manager ajudem na recuperação de chaves, incluindo rotação de chaves e outros suportes relacionados ao BitLocker. Por exemplo, os administradores do help desk podem ajudar os usuários com a recuperação de chave.
Dica
A partir da versão 2107, você também pode obter chaves de recuperação do BitLocker para um dispositivo anexado ao locatário do centro de administração Microsoft Intune. Para obter mais informações, consulte Anexação de locatário: chaves de recuperação do BitLocker.
Portal de autoatendimento do usuário
Permitir que os usuários se ajudem com uma chave de uso único para desbloquear um dispositivo criptografado BitLocker. Depois que essa chave é usada, ela gera uma nova chave para o dispositivo.
Pré-requisitos
Pré-requisitos gerais
Para criar uma política de gerenciamento do BitLocker, você precisa da função de Administrador Completo no Configuration Manager.
Para usar os relatórios de gerenciamento do BitLocker, instale a função de sistema de site de ponto dos serviços de relatório. Para obter mais informações, consulte Configurar relatórios.
Observação
Para que o Relatório de Auditoria de Recuperação funcione no site de administração e monitoramento, use apenas um ponto de serviços de relatórios no site primário.
Pré-requisitos para clientes
O dispositivo requer um chip TPM habilitado no BIOS e é redefinido do Windows.
A Microsoft recomenda dispositivos com o TPM versão 2.0 ou posterior. Dispositivos com tpm versão 1.2 podem não dar suporte corretamente a todas as funcionalidades do BitLocker.
O disco rígido do computador requer um BIOS compatível com o TPM e que dá suporte a dispositivos USB durante a inicialização do computador.
Observação
O carregamento do hash de senha do TPM diz respeito principalmente às versões do Windows antes de Windows 10. Windows 10 ou posterior por padrão não salva o hash de senha do TPM, portanto, esses dispositivos normalmente não o carregam. Para obter mais informações, consulte Sobre a senha do proprietário do TPM.
O gerenciamento do BitLocker não dá suporte a todos os tipos de cliente compatíveis com Configuration Manager. Para obter mais informações, consulte Configurações com suporte.
Pré-requisitos para o serviço de recuperação
Na versão 2010 e anterior, o serviço de recuperação do BitLocker requer HTTPS para criptografar as chaves de recuperação em toda a rede desde o Configuration Manager cliente até o ponto de gerenciamento. Use uma das seguintes opções:
O HTTPS habilita o site do IIS no ponto de gerenciamento que hospeda o serviço de recuperação.
Configure o ponto de gerenciamento para HTTPS.
Para obter mais informações, consulte Criptografar dados de recuperação pela rede.
Observação
Quando o site e os clientes estão executando Configuration Manager versão 2103 ou posterior, os clientes enviam suas chaves de recuperação para o ponto de gerenciamento pelo canal de notificação segura do cliente. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação habilitado para HTTPS no ponto de gerenciamento para registrar suas chaves.
A partir da versão 2103, uma vez que os clientes usam o canal de notificação do cliente seguro para armazenar chaves, você pode habilitar o site Configuration Manager para HTTP aprimorado. Essa configuração não afeta a funcionalidade do gerenciamento do BitLocker no Configuration Manager.
Na versão 2010 e anterior, para usar o serviço de recuperação, você precisa de pelo menos um ponto de gerenciamento que não esteja em uma configuração de réplica. Embora o serviço de recuperação do BitLocker seja instalado em um ponto de gerenciamento que usa um banco de dados réplica, os clientes não podem escrow recovery keys. Em seguida, o BitLocker não criptografará a unidade. Desabilite o serviço de recuperação do BitLocker em qualquer ponto de gerenciamento com um banco de dados réplica.
A partir da versão 2103, o serviço de recuperação dá suporte a pontos de gerenciamento que usam um banco de dados réplica.
Pré-requisitos para portais do BitLocker
Para usar o portal de autoatendimento ou o site de administração e monitoramento, você precisa de um servidor Windows executando o IIS. Você pode reutilizar um sistema de site Configuration Manager ou usar um servidor Web autônomo que tenha conectividade com o servidor de banco de dados do site. Use uma versão do sistema operacional com suporte para servidores do sistema de sites.
No servidor Web que hospedará o portal de autoatendimento, instale o microsoft ASP.NET recurso MVC 4.0 e .NET Framework 3.5 antes de encarar o processo de instalação. Outras funções e recursos necessários do servidor Windows serão instalados automaticamente durante o processo de instalação do portal.
Dica
Você não precisa instalar nenhuma versão do Visual Studio com ASP.NET MVC.
A conta de usuário que executa o script do instalador do portal precisa SQL Server direitos de sysadmin no servidor de banco de dados do site. Durante o processo de instalação, o script define os direitos de logon, usuário e SQL Server função para a conta do computador do servidor Web. Você pode remover essa conta de usuário da função sysadmin depois de concluir a instalação do portal de autoatendimento e do site de administração e monitoramento.
Configurações suportadas
O gerenciamento do BitLocker não tem suporte em VMs (máquinas virtuais) ou em edições de servidor. Por exemplo, o gerenciamento do BitLocker não iniciará a criptografia em unidades fixas de máquinas virtuais. Além disso, unidades fixas em máquinas virtuais podem ser mostradas como compatíveis, mesmo que não sejam criptografadas.
Na versão 2010 e anterior, não há suporte Microsoft Entra para clientes ou clientes ingressados em grupos de trabalho em domínios não confiáveis. Nestas versões anteriores do Configuration Manager, o gerenciamento do BitLocker dá suporte apenas a dispositivos que são unidos a Active Directory local incluindo Microsoft Entra dispositivos híbridos ingressados. Essa configuração é para autenticar com o serviço de recuperação para chaves de armazenamento.
A partir da versão 2103, Configuration Manager dá suporte a todos os tipos de junção do cliente para o gerenciamento do BitLocker. No entanto, o componente de interface de usuário do BitLocker do lado do cliente ainda tem suporte apenas em dispositivos ingressados no Active Directory e Microsoft Entra híbridos.
A partir da versão 2010, agora você pode gerenciar políticas do BitLocker e chaves de recuperação de custódia por meio de um CMG (gateway de gerenciamento de nuvem). Essa alteração também fornece suporte para o gerenciamento do BitLocker por meio do IBCM (gerenciamento de cliente baseado na Internet). Não há nenhuma alteração no processo de instalação do gerenciamento do BitLocker. Essa melhoria dá suporte a dispositivos ingressados em domínio e híbridos. Para obter mais informações, consulte Implantar agente de gerenciamento: serviço de recuperação.
- Se você tiver políticas de gerenciamento do BitLocker criadas antes de atualizar para a versão 2010, para disponibilizá-las para clientes baseados na Internet por meio do CMG:
- No console Configuration Manager, abra as propriedades da política existente.
- Alterne para a guia Gerenciamento de Clientes .
- Selecione OK ou Aplicar para salvar a política. Essa ação revisa a política para que ela esteja disponível para clientes por meio do CMG.
- Se você tiver políticas de gerenciamento do BitLocker criadas antes de atualizar para a versão 2010, para disponibilizá-las para clientes baseados na Internet por meio do CMG:
Por padrão, a etapa Habilitar sequência de tarefas do BitLocker criptografa apenas o espaço usado na unidade. O gerenciamento do BitLocker usa criptografia de disco completa . Configure esta etapa de sequência de tarefas para habilitar a opção de Usar criptografia de disco completa.
A partir da versão 2203, você pode configurar essa etapa de sequência de tarefas para escrow as informações de recuperação do BitLocker para o volume do sistema operacional Configuration Manager.
Para obter mais informações, confira Etapas da sequência de tarefas – Habilitar o BitLocker.
Importante
O Invoke-MbamClientDeployment.ps1 script do PowerShell é somente para MBAM autônomo . Ele não deve ser usado com Configuration Manager Gerenciamento do BitLocker.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de