Planera för BitLocker-hantering
Gäller för: Configuration Manager (aktuell gren)
Använd Configuration Manager för att hantera BitLocker-diskkryptering (BDE) för lokala Windows-klienter som är anslutna till Active Directory. Den tillhandahåller fullständig livscykelhantering för BitLocker som kan ersätta användningen av Microsoft BitLocker Administration and Monitoring (MBAM).
Obs!
Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i avsnittet Enable optional features from updates.
Mer allmän information om BitLocker finns i BitLocker-översikt. En jämförelse av BitLocker-distributioner och krav finns i jämförelsediagrammet för BitLocker-distribution.
Tips
Om du vill hantera kryptering på samhanterade Windows 10 eller senare enheter med hjälp av Microsoft Intune molntjänst växlar du Endpoint Protection-arbetsbelastningen till Intune. Mer information om hur du använder Intune finns i Windows-kryptering.
Funktioner
Configuration Manager tillhandahåller följande hanteringsfunktioner för BitLocker-diskkryptering:
Klientdistribution
Distribuera BitLocker-klienten till hanterade Windows-enheter som kör Windows 8.1, Windows 10 eller Windows 11.
Hantera BitLocker-principer och återställningsnycklar för deposition för lokala och Internetbaserade klienter
Hantera krypteringsprinciper
Till exempel: välj enhetskryptering och chifferstyrka, konfigurera användarundantagsprincip, krypteringsinställningar för fast dataenhet.
Fastställ de algoritmer som enheten ska krypteras med och de diskar som du riktar in dig på för kryptering.
Tvinga användarna att följa nya säkerhetsprinciper innan de använder enheten.
Anpassa organisationens säkerhetsprofil per enhet.
När en användare låser upp OS-enheten anger du om endast en OS-enhet eller alla anslutna enheter ska låsas upp.
Efterlevnadsrapporter
Inbyggda rapporter för:
- Krypteringsstatus per volym eller per enhet
- Enhetens primära användare
- Efterlevnadsstatus
- Orsaker till bristande efterlevnad
Administrations- och övervakningswebbplats
Tillåt andra personer i din organisation utanför Configuration Manager-konsolen att hjälpa till med nyckelåterställning, inklusive nyckelrotation och annan BitLocker-relaterad support. Supportadministratörer kan till exempel hjälpa användare med nyckelåterställning.
Tips
Från och med version 2107 kan du också hämta BitLocker-återställningsnycklar för en klientansluten enhet från Microsoft Intune administrationscenter. Mer information finns i Klientkoppling: BitLocker-återställningsnycklar.
Självbetjäningsportal för användare
Låt användarna hjälpa sig själva med en engångsnyckel för att låsa upp en BitLocker-krypterad enhet. När den här nyckeln används genererar den en ny nyckel för enheten.
Förhandskrav
Allmänna krav
Om du vill skapa en BitLocker-hanteringsprincip behöver du rollen Fullständig administratör i Configuration Manager.
Om du vill använda BitLocker-hanteringsrapporterna installerar du platssystemrollen reporting services-plats. Mer information finns i Konfigurera rapportering.
Obs!
För att återställningsgranskningsrapporten ska fungera från administrations- och övervakningswebbplatsen använder du bara en Reporting Services-plats på den primära platsen.
Krav för klienter
Enheten kräver ett TPM-chip som är aktiverat i BIOS och som kan återställas från Windows.
Microsoft rekommenderar enheter med TPM version 2.0 eller senare. Enheter med TPM version 1.2 kanske inte stöder alla BitLocker-funktioner korrekt.
Datorns hårddisk kräver en BIOS som är kompatibel med TPM och som stöder USB-enheter under datorns start.
Obs!
Uppladdning av TPM-lösenordshash gäller främst versioner av Windows innan Windows 10. Windows 10 eller senare som standard sparar inte TPM-lösenordshashen, så dessa enheter laddar normalt inte upp den. Mer information finns i Om TPM-ägarlösenordet.
BitLocker-hantering stöder inte alla klienttyper som stöds av Configuration Manager. Mer information finns i Konfigurationer som stöds.
Krav för återställningstjänsten
I version 2010 och tidigare kräver BitLocker-återställningstjänsten HTTPS för att kryptera återställningsnycklarna i nätverket från Configuration Manager-klienten till hanteringsplatsen. Använd något av följande alternativ:
HTTPS-aktivera IIS-webbplatsen på hanteringsplatsen som är värd för återställningstjänsten.
Konfigurera hanteringsplatsen för HTTPS.
Mer information finns i Kryptera återställningsdata över nätverket.
Obs!
När både platsen och klienterna kör Configuration Manager version 2103 eller senare skickar klienterna sina återställningsnycklar till hanteringsplatsen via den säkra klientmeddelandekanalen. Om några klienter har version 2010 eller tidigare behöver de en HTTPS-aktiverad återställningstjänst på hanteringsplatsen för att deponering av nycklar.
Från och med version 2103 kan du aktivera Configuration Manager plats för utökad HTTP eftersom klienter använder den säkra klientmeddelandekanalen för att deponera nycklar. Den här konfigurationen påverkar inte funktionerna i BitLocker-hanteringen i Configuration Manager.
För att kunna använda återställningstjänsten i version 2010 och tidigare behöver du minst en hanteringsplats som inte finns i en replikkonfiguration. Även om BitLocker-återställningstjänsten installeras på en hanteringsplats som använder en databasreplik kan klienterna inte depositionsåterställningsnycklar. BitLocker krypterar inte enheten. Inaktivera BitLocker-återställningstjänsten på en hanteringsplats med en databasreplik.
Från och med version 2103 stöder återställningstjänsten hanteringsplatser som använder en databasreplik.
Krav för BitLocker-portaler
Om du vill använda självbetjäningsportalen eller administrations- och övervakningswebbplatsen behöver du en Windows-server som kör IIS. Du kan återanvända ett Configuration Manager platssystem eller använda en fristående webbserver som har anslutning till platsdatabasservern. Använd en operativsystemversion som stöds för platssystemservrar.
Installera Microsoft ASP.NET MVC 4.0 och .NET Framework 3.5 innan du stirrar på installationsprocessen på den webbserver som ska vara värd för självbetjäningsportalen. Andra nödvändiga Windows-serverroller och -funktioner installeras automatiskt under portalinstallationsprocessen.
Tips
Du behöver inte installera någon version av Visual Studio med ASP.NET MVC.
Det användarkonto som kör portalinstallationsskriptet behöver SQL Server sysadmin-rättigheter på platsdatabasservern. Under installationsprocessen anger skriptet inloggnings-, användar- och SQL Server rollrättigheter för webbserverdatorkontot. Du kan ta bort det här användarkontot från sysadmin-rollen när du har slutfört installationen av självbetjäningsportalen och administrations- och övervakningswebbplatsen.
Konfigurationer som stöds
BitLocker-hantering stöds inte på virtuella datorer (VM) eller på serverversioner. BitLocker-hanteringen startar till exempel inte krypteringen på fasta enheter på virtuella datorer. Dessutom kan fasta enheter på virtuella datorer visas som kompatibla även om de inte är krypterade.
I version 2010 och tidigare stöds inte Microsoft Entra anslutna, arbetsgruppsklienter eller klienter i ej betrodda domäner. I dessa tidigare versioner av Configuration Manager stöder BitLocker-hantering endast enheter som är anslutna till lokal Active Directory inklusive Microsoft Entra hybrid-anslutna enheter. Den här konfigurationen är att autentisera med återställningstjänsten för att deponera nycklar.
Från och med version 2103 stöder Configuration Manager alla klientanslutningstyper för BitLocker-hantering. BitLocker-användargränssnittskomponenten på klientsidan stöds dock fortfarande bara på Active Directory-anslutna och Microsoft Entra hybridanslutna enheter.
Från och med version 2010 kan du nu hantera BitLocker-principer och depositionsåterställningsnycklar över en molnhanteringsgateway (CMG). Den här ändringen ger också stöd för BitLocker-hantering via Internetbaserad klienthantering (IBCM). Konfigurationsprocessen för BitLocker-hantering ändras inte. Den här förbättringen stöder domänanslutna och hybriddomänanslutna enheter. Mer information finns i Distribuera hanteringsagent: Återställningstjänst.
- Om du har BitLocker-hanteringsprinciper som du skapade innan du uppdaterade till version 2010 gör du dem tillgängliga för Internetbaserade klienter via CMG:
- Öppna egenskaperna för den befintliga principen i Configuration Manager-konsolen.
- Växla till fliken Klienthantering .
- Välj OK eller Använd för att spara principen. Den här åtgärden ändrar principen så att den är tillgänglig för klienter via CMG.
- Om du har BitLocker-hanteringsprinciper som du skapade innan du uppdaterade till version 2010 gör du dem tillgängliga för Internetbaserade klienter via CMG:
Som standard krypterar aktivitetssekvenssteget Aktivera BitLocker endast använt utrymme på enheten. BitLocker-hantering använder fullständig diskkryptering . Konfigurera det här aktivitetssekvenssteget för att aktivera alternativet Använd fullständig diskkryptering.
Från och med version 2203 kan du konfigurera det här aktivitetssekvenssteget så att BitLocker-återställningsinformationen för OS-volymen deponeras så att den Configuration Manager.
Mer information finns i Aktivitetssekvenssteg – Aktivera BitLocker.
Viktigt
Invoke-MbamClientDeployment.ps1
PowerShell-skriptet är endast för fristående MBAM. Den bör inte användas med Configuration Manager BitLocker-hantering.