关于 BitLocker 恢复服务
适用于: Configuration Manager(current branch)
重要
从版本 2103 开始,恢复服务的实现已更改。 它不再使用旧 MBAM 组件,但在概念上仍称为 恢复服务。 所有版本 2103 客户端都使用管理点 的消息处理引擎 组件作为其恢复服务。 他们通过安全客户端通知通道托管其恢复密钥。 通过此更改,可以为Configuration Manager站点启用增强的 HTTP。 此配置不会影响 Configuration Manager 中的 BitLocker 管理功能。
当站点和客户端都运行Configuration Manager版本 2103 或更高版本时,客户端会通过安全客户端通知通道将其恢复密钥发送到管理点。 如果任何客户端位于版本 2010 或更早版本上,则需要在管理点上启用 HTTPS 的恢复服务来托管其密钥。
BitLocker 恢复服务是从Configuration Manager客户端接收 BitLocker 恢复数据的服务器组件。 创建 BitLocker 管理策略时,站点将部署恢复服务。 Configuration Manager使用启用了 HTTPS 的网站在每个管理点上自动安装恢复服务。
Configuration Manager将恢复信息存储在站点数据库中。 如果没有 BitLocker 管理加密证书,Configuration Manager会以纯文本形式存储密钥恢复信息。 有关详细信息,请参阅 加密数据库中的恢复数据。
从版本 2010 开始,可以通过云管理网关管理 BitLocker 策略和托管恢复密钥, (CMG) 。 当已加入域的客户端通过 CMG 进行通信时,它们不使用旧版恢复服务,而是使用管理点的消息处理引擎组件。 Microsoft Entra混合联接设备也使用消息处理引擎。
从版本 2103 开始,所有受支持的客户端都使用管理点的消息处理引擎组件作为恢复服务。 此更改减少了对旧 MBAM 组件的依赖关系,并启用对 增强型 HTTP 的支持。
注意
对于版本 2010,消息处理引擎通道仅托管 OS 和固定驱动器卷的密钥。 它不支持可移动驱动器或 TPM 密码哈希的恢复密钥。
从版本 2103 开始,基于 CMG 的 BitLocker 管理策略支持以下功能:
- 可移动驱动器的恢复密钥
- TPM 密码哈希,也称为 TPM 所有者授权
轮换密钥
使用自助服务或支持门户恢复密钥时,由于已披露,Configuration Manager要求客户端轮换密钥。 轮换密钥意味着客户端会生成用于 BitLocker 恢复的新密钥。 然后,它将新密钥托管到 恢复服务。
注意
从 MBAM 迁移时,当设备从 Configuration Manager 收到 BitLocker 管理策略时,它会首先轮换其密钥。 然后,它将新密钥发送到Configuration Manager恢复服务。