BitLocker yönetimini planlama
Uygulama hedefi: Configuration Manager (güncel dalı)
Active Directory'ye katılmış şirket içi Windows istemcileri için BitLocker Sürücü Şifrelemesi'ni (BDE) yönetmek için Configuration Manager kullanın. Microsoft BitLocker Yönetimi ve İzlemesi'nin (MBAM) kullanımını değiştirebilen tam BitLocker yaşam döngüsü yönetimi sağlar.
Not
Configuration Manager bu isteğe bağlı özelliği varsayılan olarak etkinleştirmez. Bu özelliği kullanmadan önce etkinleştirmeniz gerekir. Daha fazla bilgi için, bkz. Güncelleştirmelerin isteğe bağlı özelliklerini etkinleştirme.
BitLocker hakkında daha fazla genel bilgi için bkz. BitLocker'a genel bakış. BitLocker dağıtımlarının ve gereksinimlerinin karşılaştırması için bkz. BitLocker dağıtım karşılaştırma grafiği.
İpucu
Microsoft Intune bulut hizmetini kullanarak ortak yönetilen Windows 10 veya sonraki cihazlarda şifrelemeyi yönetmek için Endpoint Protection iş yükünü Intune'a geçin. Intune'un kullanımı hakkında daha fazla bilgi için bkz. Windows Şifrelemesi.
Özellikler
Configuration Manager, BitLocker Sürücü Şifrelemesi için aşağıdaki yönetim özelliklerini sağlar:
İstemci dağıtımı
BitLocker istemcisini Windows 8.1, Windows 10 veya Windows 11 çalıştıran yönetilen Windows cihazlarına dağıtın.
Şirket içi ve internet tabanlı istemciler için BitLocker ilkelerini ve emanet kurtarma anahtarlarını yönetme
Şifreleme ilkelerini yönetme
Örneğin: Sürücü şifrelemesi ve şifreleme gücünü seçin, kullanıcı muafiyeti ilkesini yapılandırın, sabit veri sürücüsü şifreleme ayarları.
Cihazın şifrelendiği algoritmaları ve şifreleme için hedeflediğiniz diskleri belirleyin.
Cihazı kullanmadan önce kullanıcıları yeni güvenlik ilkeleriyle uyumlu yapmaya zorlar.
Kuruluşunuzun güvenlik profilini cihaz başına özelleştirin.
Bir kullanıcı işletim sistemi sürücüsünün kilidini açarken, yalnızca bir işletim sistemi sürücüsünün veya tüm bağlı sürücülerin kilidinin açılıp açılmayacağını belirtin.
Uyumluluk raporları
Yerleşik raporlar:
- Birim veya cihaz başına şifreleme durumu
- Cihazın birincil kullanıcısı
- Uyumluluk durumu
- Uyumsuzluk nedenleri
Yönetim ve izleme web sitesi
Configuration Manager konsolu dışındaki kuruluşunuzdaki diğer kişilerin anahtar döndürme ve BitLocker ile ilgili diğer destek de dahil olmak üzere anahtar kurtarma konusunda yardımcı olması için izin verin. Örneğin, yardım masası yöneticileri kullanıcılara anahtar kurtarma konusunda yardımcı olabilir.
İpucu
Sürüm 2107'den başlayarak, Microsoft Intune yönetim merkezinden kiracıya bağlı bir cihazın BitLocker kurtarma anahtarlarını da alabilirsiniz. Daha fazla bilgi için bkz . Kiracı ekleme: BitLocker kurtarma anahtarları.
Kullanıcı self servis portalı
Kullanıcıların, BitLocker şifreli bir cihazın kilidini açmak için tek kullanımlık bir anahtarla kendilerine yardımcı olmasına izin verin. Bu anahtar kullanıldıktan sonra cihaz için yeni bir anahtar oluşturur.
Önkoşullar
Genel önkoşullar
BitLocker yönetim ilkesi oluşturmak için Configuration Manager'da Tam Yönetici rolüne sahip olmanız gerekir.
BitLocker yönetim raporlarını kullanmak için raporlama hizmetleri noktası site sistemi rolünü yükleyin. Daha fazla bilgi için bkz. Raporlamayı yapılandırma.
Not
Kurtarma Denetim Raporunun yönetim ve izleme web sitesinden çalışması için yalnızca birincil sitedeki bir raporlama hizmetleri noktasını kullanın.
İstemciler için önkoşullar
Cihaz, BIOS'ta etkinleştirilmiş ve Windows'tan sıfırlanabilir bir TPM yongası gerektirir.
Microsoft, TPM sürüm 2.0 veya üzeri olan cihazları önerir. TPM sürüm 1.2'ye sahip cihazlar tüm BitLocker işlevlerini düzgün desteklemeyebilir.
Bilgisayarın sabit diski, TPM ile uyumlu ve bilgisayar başlatma sırasında USB cihazlarını destekleyen bir BIOS gerektirir.
Not
TPM parola karması yükleme işlemi, Windows 10 önce çoğunlukla Windows sürümlerine yöneliktir. Windows 10 veya üzeri varsayılan olarak TPM parola karması kaydetmez, bu nedenle bu cihazlar normalde karşıya yüklemez. Daha fazla bilgi için bkz . TPM sahip parolası hakkında.
BitLocker yönetimi, Configuration Manager tarafından desteklenen tüm istemci türlerini desteklemez. Daha fazla bilgi için bkz . Desteklenen yapılandırmalar.
Kurtarma hizmeti için önkoşullar
2010 ve önceki sürümlerde BitLocker kurtarma hizmeti, ağ genelinde kurtarma anahtarlarını Configuration Manager istemciden yönetim noktasına şifrelemek için HTTPS gerektirir. Aşağıdaki seçeneklerden birini kullanın:
HTTPS-kurtarma hizmetini barındıran yönetim noktasında IIS web sitesini etkinleştirin.
HTTPS için yönetim noktasını yapılandırın.
Daha fazla bilgi için bkz. Ağ üzerinden kurtarma verilerini şifreleme.
Not
Hem site hem de istemciler Configuration Manager sürüm 2103 veya üzerini çalıştırıyorsa, istemciler kurtarma anahtarlarını güvenli istemci bildirim kanalı üzerinden yönetim noktasına gönderir. Herhangi bir istemci 2010 veya daha önceki bir sürümdeyse, anahtarlarını emanet etmek için yönetim noktasında HTTPS özellikli bir kurtarma hizmetine ihtiyaç duyar.
Sürüm 2103'ten başlayarak, istemciler anahtarları emanet etmek için güvenli istemci bildirim kanalını kullandığından, gelişmiş HTTP için Configuration Manager sitesini etkinleştirebilirsiniz. Bu yapılandırma, Configuration Manager BitLocker yönetiminin işlevselliğini etkilemez.
2010 ve önceki sürümlerde kurtarma hizmetini kullanmak için çoğaltma yapılandırmasında olmayan en az bir yönetim noktasına ihtiyacınız vardır. BitLocker kurtarma hizmeti veritabanı çoğaltması kullanan bir yönetim noktasına yüklense de, istemciler kurtarma anahtarlarını emanet etmez. Ardından BitLocker sürücüyü şifrelemez. Veritabanı çoğaltması olan herhangi bir yönetim noktasında BitLocker kurtarma hizmetini devre dışı bırakın.
2103 sürümünden itibaren kurtarma hizmeti, veritabanı çoğaltması kullanan yönetim noktalarını destekler.
BitLocker portalları için önkoşullar
Self servis portalını veya yönetim ve izleme web sitesini kullanmak için IIS çalıştıran bir Windows sunucusuna ihtiyacınız vardır. bir Configuration Manager site sistemini yeniden kullanabilir veya site veritabanı sunucusuna bağlantısı olan tek başına bir web sunucusu kullanabilirsiniz. Site sistem sunucuları için desteklenen bir işletim sistemi sürümü kullanın.
Self servis portalı barındıracak web sunucusunda, yükleme işlemine bakmadan önce Microsoft ASP.NET MVC 4.0 ve .NET Framework 3.5 özelliğini yükleyin. Portal yükleme işlemi sırasında diğer gerekli Windows sunucusu rolleri ve özellikleri otomatik olarak yüklenir.
İpucu
ASP.NET MVC ile Visual Studio'nun herhangi bir sürümünü yüklemeniz gerekmez.
Portal yükleyici betiğini çalıştıran kullanıcı hesabının site veritabanı sunucusunda SQL Server sysadmin haklarına sahip olması gerekir. Kurulum işlemi sırasında betik, web sunucusu makine hesabı için oturum açma, kullanıcı ve SQL Server rol haklarını ayarlar. Self servis portalının ve yönetim ve izleme web sitesinin kurulumunu tamamladıktan sonra bu kullanıcı hesabını sysadmin rolünden kaldırabilirsiniz.
Desteklenen yapılandırmalar
BitLocker yönetimi sanal makinelerde (VM) veya sunucu sürümlerinde desteklenmez. Örneğin, BitLocker yönetimi sanal makinelerin sabit sürücülerinde şifrelemeyi başlatmaz. Ayrıca, sanal makinelerdeki sabit sürücüler şifrelenmemiş olsalar bile uyumlu olarak görünebilir.
Sürüm 2010 ve önceki sürümlerde, Microsoft Entra katılmış, çalışma grubu istemcileri veya güvenilmeyen etki alanlarındaki istemciler desteklenmez. Configuration Manager'in bu önceki sürümlerinde BitLocker yönetimi yalnızca karma birleştirilmiş Microsoft Entra cihazlar da dahil olmak üzere şirket içi Active Directory katılmış cihazları destekler. Bu yapılandırma, emanet anahtarları için kurtarma hizmetiyle kimlik doğrulaması yapmaktır.
Sürüm 2103'den başlayarak, Configuration Manager BitLocker yönetimi için tüm istemci birleştirme türlerini destekler. Ancak istemci tarafı BitLocker kullanıcı arabirimi bileşeni hala yalnızca Active Directory'ye katılmış ve karma birleştirilmiş Microsoft Entra cihazlarda desteklenmektedir.
Sürüm 2010'dan başlayarak, artık BitLocker ilkelerini ve emanet kurtarma anahtarlarını bir bulut yönetimi ağ geçidi (CMG) üzerinden yönetebilirsiniz. Bu değişiklik, İnternet tabanlı istemci yönetimi (IBCM) aracılığıyla BitLocker yönetimi için de destek sağlar. BitLocker yönetimi için kurulum işleminde bir değişiklik yoktur. Bu geliştirme, etki alanına katılmış ve karma etki alanına katılmış cihazları destekler. Daha fazla bilgi için bkz . Yönetim aracısını dağıtma: Kurtarma hizmeti.
- Sürüm 2010'a güncelleştirmeden önce oluşturduğunuz BitLocker yönetim ilkeleriniz varsa, cmg aracılığıyla internet tabanlı istemcilerin kullanımına sunulmasını sağlayın:
- Configuration Manager konsolunda mevcut ilkenin özelliklerini açın.
- İstemci Yönetimi sekmesine geçin.
- İlkeyi kaydetmek için Tamam'ı veya Uygula'yı seçin. Bu eylem ilkeyi, CMG üzerinden istemcilerin kullanımına sunulacak şekilde düzeltir.
- Sürüm 2010'a güncelleştirmeden önce oluşturduğunuz BitLocker yönetim ilkeleriniz varsa, cmg aracılığıyla internet tabanlı istemcilerin kullanımına sunulmasını sağlayın:
Varsayılan olarak, BitLocker'ı etkinleştir görev dizisi adımı yalnızca sürücüde kullanılan alanı şifreler. BitLocker yönetimi tam disk şifrelemesi kullanır. Tam disk şifrelemesi kullan seçeneğini etkinleştirmek için bu görev dizisi adımını yapılandırın.
Sürüm 2203'den başlayarak, işletim sistemi biriminin BitLocker kurtarma bilgilerini Configuration Manager için emanet etmek üzere bu görev dizisi adımını yapılandırabilirsiniz.
Daha fazla bilgi için bkz . Görev dizisi adımları - BitLocker'ı etkinleştirme.
Önemli
Invoke-MbamClientDeployment.ps1 PowerShell betiği yalnızca tek başına MBAM içindir. Configuration Manager BitLocker Yönetimi ile kullanılmamalıdır.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin