Distribuera BitLocker-hantering

Gäller för: Configuration Manager (aktuell gren)

BitLocker-hantering i Configuration Manager innehåller följande komponenter:

• BitLocker-hanteringsagent: Configuration Manager aktiverar den här agenten på en enhet när du skapar en princip och distribuerar den till en samling.

• Återställningstjänst: Serverkomponenten som tar emot BitLocker-återställningsdata från klienter. Mer information finns i Återställningstjänst.

Innan du skapar och distribuerar BitLocker-hanteringsprinciper:

• Granska förutsättningarna

• Kryptera återställningsnycklar i platsdatabasen om det behövs

Skapa en princip

När du skapar och distribuerar den här principen aktiverar Configuration Manager-klienten BitLocker-hanteringsagenten på enheten.

Obs!

Om du vill skapa en BitLocker-hanteringsprincip behöver du rollen Fullständig administratör i Configuration Manager.

1. I Configuration Manager-konsolen går du till arbetsytan Tillgångar och efterlevnad, expanderar Endpoint Protection och väljer noden BitLocker-hantering.

2. I menyfliksområdet väljer du Skapa Princip för BitLocker-hanteringskontroll.

3. På sidan Allmänt anger du ett namn och en valfri beskrivning. Välj de komponenter som ska aktiveras på klienter med den här principen:

   • Operativsystemenhet: Hantera om OS-enheten är krypterad

   • Fast enhet: Hantera kryptering för andra dataenheter på en enhet

   • Flyttbar enhet: Hantera kryptering för enheter som du kan ta bort från en enhet, till exempel en USB-nyckel

   • Klienthantering: Hantera nyckelåterställningstjänstens säkerhetskopiering av återställningsinformation för BitLocker-diskkryptering

4. På sidan Installation konfigurerar du följande globala inställningar för BitLocker-diskkryptering:

   Obs!

   Configuration Manager tillämpar dessa inställningar när du aktiverar BitLocker. Om enheten redan är krypterad eller pågår ändras inte enhetens enhetskryptering vid eventuella ändringar av dessa principinställningar.

   Om du inaktiverar eller inte konfigurerar de här inställningarna använder BitLocker standardkrypteringsmetoden (AES 128-bitars).

   • För Windows 8.1-enheter aktiverar du alternativet för enhetskrypteringsmetod och chifferstyrka. Välj sedan krypteringsmetoden.

   • För Windows 10 eller senare enheter aktiverar du alternativet för enhetskrypteringsmetod och chifferstyrka (Windows 10 eller senare). Välj sedan krypteringsmetoden för OS-enheter, fasta dataenheter och flyttbara dataenheter.

   Mer information om dessa och andra inställningar på den här sidan finns i Inställningsreferens – Installation.

5. Ange följande inställningar på sidan Operativsystemenhet :

   • Inställningar för operativsystemenhetskryptering: Om du aktiverar den här inställningen måste användaren skydda OS-enheten och BitLocker krypterar enheten. Om du inaktiverar den kan användaren inte skydda enheten.

   På enheter med en kompatibel TPM kan två typer av autentiseringsmetoder användas vid start för att ge extra skydd för krypterade data. När datorn startar kan den bara använda TPM för autentisering, eller också kan det kräva att ett personligt ID-nummer (PIN) anges. Konfigurera följande inställningar:

   • Välj skydd för operativsystemenhet: Konfigurera den så att den använder en TPM och PIN-kod, eller bara TPM.

   • Konfigurera minsta PIN-kodslängd för start: Om du behöver en PIN-kod är det här värdet den kortaste längd som användaren kan ange. Användaren anger den här PIN-koden när datorn startar för att låsa upp enheten. Som standard är 4den minsta PIN-kodens längd .

   Mer information om dessa och andra inställningar på den här sidan finns i Inställningsreferens – OPERATIVSYSTEMenhet.

6. Ange följande inställningar på sidan Fast enhet :

   • Kryptering av dataenheter har åtgärdats: Om du aktiverar den här inställningen kräver BitLocker att användarna skyddar alla fasta dataenheter. Den krypterar sedan dataenheterna. När du aktiverar den här principen aktiverar du antingen automatisk upplåsning eller inställningarna för Lösenordsprincip för fast dataenhet.

   • Konfigurera automatisk upplåsning för fast dataenhet: Tillåt eller kräv att BitLocker automatiskt låser upp krypterade datadiskar. Om du vill använda automatisk upplåsning kräver du även att BitLocker krypterar OS-enheten.

   Mer information om dessa och andra inställningar på den här sidan finns i Inställningsreferens – fast enhet.

7. Ange följande inställningar på sidan Flyttbar enhet :

   • Kryptering av flyttbara dataenheter: När du aktiverar den här inställningen och tillåter användare att använda BitLocker-skydd sparar Configuration Manager-klienten återställningsinformation om flyttbara enheter till återställningstjänsten på hanteringsplatsen. Med det här beteendet kan användarna återställa enheten om de glömmer eller förlorar skyddet (lösenord).

   • Tillåt användare att använda BitLocker-skydd på flyttbara dataenheter: Användare kan aktivera BitLocker-skydd för en flyttbar enhet.

   • Lösenordsprincip för flyttbara dataenheter: Använd de här inställningarna för att ange begränsningar för lösenord för att låsa upp BitLocker-skyddade flyttbara enheter.

   Mer information om dessa och andra inställningar på den här sidan finns i Inställningsreferens – flyttbar enhet.

8. Ange följande inställningar på sidan Klienthantering :

   Viktigt

   För versioner av Configuration Manager före 2103 ska du inte konfigurera den här inställningen om du inte har en hanteringsplats med en HTTPS-aktiverad webbplats. Mer information finns i Återställningstjänst.

   • Konfigurera BitLocker Management Services: När du aktiverar den här inställningen Configuration Manager automatiskt och tyst säkerhetskopierar viktig återställningsinformation i platsdatabasen. Om du inaktiverar eller inte konfigurerar den här inställningen sparar Configuration Manager inte nyckelåterställningsinformation.

     • Välj BitLocker-återställningsinformation som ska lagras: Konfigurera den så att den använder ett återställningslösenord och nyckelpaket, eller bara ett återställningslösenord.

     • Tillåt att återställningsinformation lagras i oformaterad text: Utan ett krypteringscertifikat för BitLocker-hantering lagrar Configuration Manager nyckelåterställningsinformationen i oformaterad text. Mer information finns i Kryptera återställningsdata i databasen.

   Mer information om dessa och andra inställningar på den här sidan finns i Inställningsreferens – Klienthantering.

9. Slutför guiden.

Om du vill ändra inställningarna för en befintlig princip väljer du den i listan och väljer Egenskaper.

När du skapar fler än en princip kan du konfigurera deras relativa prioritet. Om du distribuerar flera principer till en klient används prioritetsvärdet för att fastställa dess inställningar.

Från och med version 2006 kan du använda Windows PowerShell cmdletar för den här uppgiften. Mer information finns i New-CMBlmSetting.

Distribuera en princip

1. Välj en befintlig princip i BitLocker-hanteringsnoden . I menyfliksområdet väljer du Distribuera.

2. Välj en enhetssamling som mål för distributionen.

3. Om du vill att enheten ska kunna kryptera eller dekryptera sina enheter när som helst väljer du alternativet Tillåt reparation utanför underhållsperioden. Om samlingen har några underhållsperioder reparerar den fortfarande den här BitLocker-principen.

4. Konfigurera ett enkelt eller anpassat schema. Klienten utvärderar sin kompatibilitet baserat på de inställningar som anges i schemat.

5. Välj OK för att distribuera principen.

Du kan skapa flera distributioner av samma princip. Om du vill visa ytterligare information om varje distribution väljer du principen i noden BitLocker-hantering och växlar sedan till fliken Distributioner i informationsfönstret. Du kan också använda Windows PowerShell cmdletar för den här uppgiften. Mer information finns i New-CMSettingDeployment.

Viktigt

Om en RDP-anslutning (Remote Desktop Protocol) är aktiv startar inte MBAM-klienten åtgärder för BitLocker-diskkryptering. Stäng alla fjärrkonsolanslutningar och logga in på en konsolsession med ett domänanvändarkonto. Sedan börjar BitLocker-diskkryptering och klienten laddar upp återställningsnycklar och paket. Om du loggar in med ett lokalt användarkonto startar inte BitLocker-diskkryptering.

Du kan använda RDP för att fjärransluta till enhetens konsolsession med växeln /admin . Till exempel: mstsc.exe /admin /v:<IP address of device>

En konsolsession är antingen när du är i datorns fysiska konsol eller en fjärranslutning som är densamma som om du befinner dig i datorns fysiska konsol.

Övervaka

Visa grundläggande efterlevnadsstatistik om principdistributionen i informationsfönstret på noden BitLocker-hantering :

• Antal efterlevnadar
• Antal fel
• Antal inkompatibiliteter

Växla till fliken Distributioner för att se efterlevnadsprocent och rekommenderad åtgärd. Välj distributionen och välj sedan Visa status i menyfliksområdet. Den här åtgärden växlar vyn till arbetsytan Övervakning , noden Distributioner . I likhet med distributionen av andra distributioner av konfigurationsprinciper kan du se mer detaljerad efterlevnadsstatus i den här vyn.

Information om varför klienter rapporterar att de inte är kompatibla med BitLocker-hanteringsprincipen finns i Koder för inkompatibilitet.

Mer felsökningsinformation finns i Felsöka BitLocker.

Använd följande loggar för att övervaka och felsöka:

Klientloggar

• MBAM-händelselogg: I Windows Loggboken bläddrar du till Program och tjänster>Microsoft>Windows>MBAM. Mer information finns i Om BitLocker-händelseloggar och klienthändelseloggar.

• BitlockerManagementHandler.log och BitlockerManagement_GroupPolicyHandler.log i klientloggsökvägen, %WINDIR%\CCM\Logs som standard

Hanteringsplatsloggar (återställningstjänst)

• Händelselogg för återställningstjänsten: I Windows-Loggboken bläddrar du till Program och tjänster>Microsoft>Windows>MBAM-Web. Mer information finns i Om BitLocker-händelseloggar och serverhändelseloggar.

• Spårningsloggar för återställningstjänsten: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Migreringsöverväganden

Om du för närvarande använder Microsoft BitLocker Administration and Monitoring (MBAM) kan du sömlöst migrera hantering till Configuration Manager. När du distribuerar BitLocker-hanteringsprinciper i Configuration Manager laddar klienter automatiskt upp återställningsnycklar och paket till Configuration Manager-återställningstjänsten.

Viktigt

När du migrerar från fristående MBAM till Configuration Manager BitLocker-hantering ska du inte återanvända fristående MBAM-servrar eller komponenter med Configuration Manager BitLocker-hantering om du behöver befintliga funktioner i fristående MBAM. Om du återanvänder dessa servrar slutar fristående MBAM att fungera när Configuration Manager BitLocker-hantering installerar dess komponenter på dessa servrar. Kör inte MBAMWebSiteInstaller.ps1 skriptet för att konfigurera BitLocker-portalerna på fristående MBAM-servrar. När du konfigurerar Configuration Manager BitLocker-hantering använder du separata servrar.

Grupprincip

• BitLocker-hanteringsinställningarna är helt kompatibla med MBAM-grupprincipinställningar. Om enheterna får både grupprincipinställningar och Configuration Manager principer konfigurerar du dem så att de matchar.

  Obs!

  Om det finns en grupprincipinställning för fristående MBAM åsidosätter den motsvarande inställning som Configuration Manager. Fristående MBAM använder en domängruppsprincip, medan Configuration Manager anger lokala principer för BitLocker-hantering. Domänprinciper åsidosätter de lokala Configuration Manager BitLocker-hanteringsprinciperna. Om den fristående MBAM-domängruppen inte matchar Configuration Manager princip misslyckas Configuration Manager BitLocker-hanteringen. Om en domängruppsprincip till exempel anger den fristående MBAM-servern för nyckelåterställningstjänster kan Configuration Manager BitLocker-hantering inte ange samma inställning för hanteringsplatsen. Det här gör att klienter inte rapporterar sina återställningsnycklar till Configuration Manager Återställningstjänsten för BitLocker-hanteringsnyckeln på hanteringsplatsen.

• Configuration Manager implementerar inte alla MBAM-grupprincipinställningar. Om du konfigurerar fler inställningar i grupprincipen följer BitLocker-hanteringsagenten på Configuration Manager klienter dessa inställningar.

  Viktigt

  Ange inte en grupprincip för en inställning som Configuration Manager BitLocker-hantering redan anger. Ange endast grupprinciper för inställningar som för närvarande inte finns i Configuration Manager BitLocker-hantering. Configuration Manager version 2002 har funktionsparitet med fristående MBAM. Med Configuration Manager version 2002 och senare bör det i de flesta fall inte finnas någon anledning att ange domängruppsprinciper för att konfigurera BitLocker-principer. Undvik att använda grupprinciper för BitLocker för att förhindra konflikter och problem. Konfigurera alla inställningar via Configuration Manager BitLocker-hanteringsprinciper.

Hash för TPM-lösenord

• Tidigare MBAM-klienter laddar inte upp TPM-lösenordshash till Configuration Manager. Klienten laddar bara upp TPM-lösenordshash en gång.

• Om du behöver migrera den här informationen till Configuration Manager-återställningstjänsten rensar du TPM på enheten. När den har startats om laddar den upp den nya TPM-lösenordshashen till återställningstjänsten.

Obs!

Uppladdning av TPM-lösenordshash gäller främst versioner av Windows innan Windows 10. Windows 10 eller senare som standard sparar inte TPM-lösenordshashen, så dessa enheter laddar normalt inte upp den. Mer information finns i Om TPM-ägarlösenordet.

Omkryptering

Configuration Manager krypterar inte om enheter som redan är skyddade med BitLocker-diskkryptering. Om du distribuerar en BitLocker-hanteringsprincip som inte matchar enhetens aktuella skydd, rapporterar den som icke-kompatibel. Enheten är fortfarande skyddad.

Du använde till exempel MBAM för att kryptera enheten med krypteringsalgoritmen AES-XTS 128, men Configuration Manager principen kräver AES-XTS 256. Enheten är inte kompatibel med principen, även om enheten är krypterad.

Du kan kringgå det här beteendet genom att först inaktivera BitLocker på enheten. Distribuera sedan en ny princip med de nya inställningarna.

Samhantering och Intune

Den Configuration Manager klienthanteraren för BitLocker är medveten om samhantering. Om enheten är samhanterad och du växlar arbetsbelastningen Endpoint Protection till Intune ignorerar Configuration Manager-klienten sin BitLocker-princip. Enheten hämtar Windows-krypteringsprincipen från Intune.

Obs!

Att växla krypteringshanteringsmyndigheter samtidigt som den önskade krypteringsalgoritmen bibehålls kräver inga ytterligare åtgärder på klienten. Men om du växlar krypteringshanteringsmyndigheter och den önskade krypteringsalgoritmen också ändras måste du planera för omkryptering.

Mer information om hur du hanterar BitLocker med Intune finns i följande artiklar:

• Använda enhetskryptering med Intune
• Felsöka BitLocker-principer i Microsoft Intune

Nästa steg

Om BitLocker-återställningstjänsten

Konfigurera BitLocker-rapporter och -portaler