部署 BitLocker 管理

適用於：Configuration Manager (目前的分支)

Configuration Manager中的 BitLocker 管理包含下列元件：

• BitLocker 管理代理程式：當您建立原則並將其部署至集合時，Configuration Manager在裝置上啟用此代理程式。

• 復原服務：從用戶端接收 BitLocker 復原資料的伺服器元件。 如需詳細資訊，請參閱 復原服務。

建立和部署 BitLocker 管理原則之前：

• 檢閱 必要條件

• 如有必要，請加密月臺資料庫中的修復金鑰

建立原則

當您建立並部署此原則時，Configuration Manager用戶端會在裝置上啟用 BitLocker 管理代理程式。

注意事項

若要建立 BitLocker 管理原則，您需要在 Configuration Manager 中具有系統高許可權管理員角色。

1. 在Configuration Manager主控台中，移至 [資產與相容性] 工作區，展開[Endpoint Protection]，然後選取[BitLocker 管理] 節點。

2. 在功能區中，選取 [建立 BitLocker 管理控制原則]。

3. 在 [一 般] 頁面上，指定名稱和選擇性描述。 選取要在具有此原則的用戶端上啟用的元件：

   • 作業系統磁片磁碟機：管理 OS 磁片磁碟機是否已加密

   • 固定磁片磁碟機：管理裝置中其他資料磁片磁碟機的加密

   • 卸載式磁片磁碟機：管理可從裝置移除的磁片磁碟機加密，例如 USB 金鑰

   • 用戶端管理：管理 BitLocker 磁片磁碟機加密復原資訊的金鑰復原服務備份

4. 在 [ 安裝程式 ] 頁面上，為 BitLocker 磁片磁碟機加密設定下列全域設定：

   注意事項

   Configuration Manager在啟用 BitLocker 時套用這些設定。 如果磁片磁碟機已加密或進行中，這些原則設定的任何變更都不會變更裝置上的磁片磁碟機加密。

   如果您停用或未設定這些設定，BitLocker 會使用預設加密方法 (AES 128 位) 。

   • 針對Windows 8.1裝置，請啟用磁片磁碟機加密方法和加密強度的選項。 然後選取加密方法。

   • 針對Windows 10或更新版本的裝置，請啟用磁片磁碟機加密方法和加密強度的選項， (Windows 10或更新版本) 。 然後個別選取 OS 磁片磁碟機、固定資料磁片磁碟機和抽取式資料磁片磁碟機的加密方法。

   如需此頁面上這些設定和其他設定的詳細資訊，請參閱 設定參考 - 安裝程式。

5. 在 [ 作業系統磁片磁碟機 ] 頁面上，指定下列設定：

   • 作業系統磁片磁碟機加密設定：如果您啟用此設定，使用者必須保護 OS 磁片磁碟機，BitLocker 會加密磁片磁碟機。 如果停用，使用者就無法保護磁片磁碟機。

   在具有相容 TPM 的裝置上，兩種驗證方法可以在啟動時用來為加密資料提供額外的保護。 當電腦啟動時，它只能使用 TPM 進行驗證，也可以要求輸入個人識別碼 (PIN) 。 進行下列設定：

   • 選取作業系統磁片磁碟機的保護裝置：將它設定為使用 TPM 和 PIN，或只使用 TPM。

   • 設定啟動的最小 PIN 長度：如果您需要 PIN，此值是使用者可以指定的最短長度。 當電腦開機以解除鎖定磁片磁碟機時，使用者會輸入此 PIN。 根據預設，PIN 長度下限為 4 。

   如需此頁面上這些設定和其他設定的詳細資訊，請參閱 設定參考 - OS 磁片磁碟機。

6. 在 [ 固定磁片磁碟機] 頁面上，指定下列設定：

   • 修正資料磁片磁碟機加密：如果您啟用此設定，BitLocker 會要求使用者將所有固定資料磁片磁碟機置於保護之下。 然後會加密資料磁片磁碟機。 當您啟用此原則時，請啟用自動解除鎖定或 固定資料磁片磁碟機密碼原則的設定。

   • 設定固定資料磁片磁碟機的自動解除鎖定：允許或要求 BitLocker 自動解除鎖定任何加密的資料磁片磁碟機。 若要使用自動解除鎖定，也需要 BitLocker 來加密 OS 磁片磁碟機。

   如需此頁面上這些設定和其他設定的詳細資訊，請參閱 設定參考 - 固定磁片磁碟機。

7. 在 [ 卸載式磁片磁碟機 ] 頁面上，指定下列設定：

   • 卸載式資料磁片磁碟機加密：當您啟用此設定，並允許使用者套用 BitLocker 保護時，Configuration Manager用戶端會將卸載式磁片磁碟機的復原資訊儲存至管理點上的復原服務。 如果使用者忘記或遺失保護裝置 (密碼) ，此行為可讓使用者復原磁片磁碟機。

   • 允許使用者在卸載式資料磁片磁碟機上套用 BitLocker 保護：使用者可以開啟卸載式磁片磁碟機的 BitLocker 保護。

   • 卸載式資料磁片磁碟機密碼原則：使用這些設定來設定密碼的條件約束，以解除鎖定受 BitLocker 保護的卸載式磁片磁碟機。

   如需此頁面上這些設定和其他設定的詳細資訊，請參閱 設定參考 - 卸載式磁片磁碟機。

8. 在 [ 用戶端管理] 頁面上，指定下列設定：

   重要事項

   針對 2103 之前的Configuration Manager版本，如果您沒有具有已啟用 HTTPS 之網站的管理點，請勿設定此設定。 如需詳細資訊，請參閱 復原服務。

   • 設定 BitLocker 管理服務：當您啟用此設定時，Configuration Manager自動且無訊息地備份月臺資料庫中的金鑰修復資訊。 如果您停用或未設定此設定，Configuration Manager不會儲存金鑰修復資訊。

     • 選取要儲存的 BitLocker 修復資訊：將它設定為使用修復密碼和金鑰套件，或只使用修復密碼。

     • 允許以純文字儲存復原資訊：如果沒有 BitLocker 管理加密憑證，Configuration Manager以純文字儲存金鑰修復資訊。 如需詳細資訊，請 參閱加密資料庫中的復原資料。

   如需此頁面上這些設定和其他設定的詳細資訊，請參閱 設定參考 - 用戶端管理。

9. 完成精靈。

若要變更現有原則的設定，請在清單中選擇它，然後選取 [ 屬性]。

當您建立多個原則時，您可以設定其相對優先順序。 如果您將多個原則部署到用戶端，它會使用優先順序值來判斷其設定。

從 2006 版開始，您可以針對這項工作使用 Windows PowerShell Cmdlet。 如需詳細資訊，請參閱 New-CMBlmSetting。

部署原則

1. 選擇 BitLocker 管理 節點中的現有原則。 在功能區中，選取 [ 部署]。

2. 選取裝置集合作為部署的目標。

3. 如果您想要裝置隨時加密或解密其磁片磁碟機，請選取 [ 允許在維護期間外進行補救] 選項。 如果集合有任何維護時段，它仍會補救此 BitLocker 原則。

4. 設定 簡單 或 自訂 排程。 用戶端會根據排程中指定的設定來評估其合規性。

5. 選取 [確定 ] 以部署原則。

您可以建立相同原則的多個部署。 若要檢視每個部署的其他資訊，請在[BitLocker 管理] 節點中選取原則，然後在詳細資料窗格中切換至 [部署] 索引卷標。您也可以針對這項工作使用Windows PowerShell Cmdlet。 如需詳細資訊，請參閱 New-CMSettingDeployment。

重要事項

如果遠端桌面通訊協定 (RDP) 連線為作用中，則 MBAM 用戶端不會啟動 BitLocker 磁片磁碟機加密動作。 關閉所有遠端主控台連線，並使用網域使用者帳戶登入主控台會話。 接著，BitLocker 磁片磁碟機加密就會開始，而用戶端會上傳修復金鑰和套件。 如果您使用本機使用者帳戶登入，BitLocker 磁片磁碟機加密不會啟動。

您可以使用 RDP，透過 交換器從遠端連線到裝置 /admin 的主控台會話。 例如：mstsc.exe /admin /v:<IP address of device>

當您位於電腦的實體主控台時， 主控台會話 是，或是與您位於電腦實體主控台的遠端連線相同。

監視

在 BitLocker 管理 節點的詳細資料窗格中，檢視有關原則部署的基本合規性統計資料：

• 合規性計數
• 失敗計數
• 不符合規範計數

切換至 [ 部署] 索引卷 標，以查看合規性百分比和建議的動作。 選取部署，然後在功能區中選 取 [檢視狀態]。 此動作會將檢視切換至 [ 監視 ] 工作區 [ 部署] 節點 。 類似于部署其他設定原則部署，您可以在此檢視中看到更詳細的合規性狀態。

若要瞭解用戶端為何報告不符合 BitLocker 管理原則，請參閱 不符合規範的程式碼。

如需詳細疑難排解資訊，請參閱 針對 BitLocker 進行疑難排解。

使用下列記錄來監視和疑難排解：

用戶端記錄

• MBAM 事件記錄檔：在 Windows 事件檢視器中，流覽至應用程式和服務>Microsoft>Windows>MBAM。 如需詳細資訊，請 參閱關於 BitLocker 事件記錄 檔和 用戶端事件記錄檔。

• 根據預設，用戶端記錄路徑 %WINDIR%\CCM\Logs 中的BitlockerManagementHandler.log和BitlockerManagement_GroupPolicyHandler.log

復原服務 (管理點記錄)

• 復原服務事件記錄檔：在 Windows 事件檢視器中，流覽至應用程式和服務>Microsoft>Windows>MBAM-Web。 如需詳細資訊，請 參閱關於 BitLocker 事件記錄 檔和 伺服器事件記錄檔。

• 復原服務追蹤記錄： <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

移轉考量

如果您目前使用 Microsoft BitLocker Administration and Monitoring (MBAM) ，您可以順暢地將管理移轉至 Configuration Manager。 當您在 Configuration Manager 中部署 BitLocker 管理原則時，用戶端會自動將修復金鑰和套件上傳至Configuration Manager復原服務。

重要事項

當您從獨立 MBAM 移轉至 Configuration Manager BitLocker 管理時，如果您需要獨立 MBAM 的現有功能，請勿使用獨立 MBAM 伺服器或元件搭配Configuration Manager BitLocker 管理。 如果您重複使用這些伺服器，當Configuration Manager BitLocker 管理在這些伺服器上安裝其元件時，獨立 MBAM 將會停止運作。 請勿執行MBAMWebSiteInstaller.ps1腳本，以在獨立 MBAM 伺服器上設定 BitLocker 入口網站。 當您設定Configuration Manager BitLocker 管理時，請使用個別的伺服器。

群組原則

• BitLocker 管理設定與 MBAM 群組原則設定完全相容。 如果裝置同時收到群組原則設定和Configuration Manager原則，請將它們設定為相符。

  注意事項

  如果獨立 MBAM 有群組原則設定存在，它會覆寫Configuration Manager嘗試的對等設定。 獨立 MBAM 會使用網域群組原則，而Configuration Manager設定 BitLocker 管理的本機原則。 網域原則會覆寫本機Configuration Manager BitLocker 管理原則。 如果獨立 MBAM 網域群組原則不符合Configuration Manager原則，Configuration Manager BitLocker 管理將會失敗。 例如，如果網域群組原則設定金鑰復原服務的獨立 MBAM 伺服器，Configuration Manager BitLocker 管理無法為管理點設定相同的設定。 此行為會導致用戶端不會向管理點上的 Configuration Manager BitLocker 管理金鑰復原服務報告其修復金鑰。

• Configuration Manager不會實作所有 MBAM 群組原則設定。 如果您在群組原則中設定更多設定，則Configuration Manager用戶端上的 BitLocker 管理代理程式會接受這些設定。

  重要事項

  請勿針對Configuration Manager BitLocker 管理已指定的設定設定設定群組原則。 僅針對目前不存在於 BitLocker 管理中的設定設定群組原則Configuration Manager。 Configuration Manager 2002 版具有與獨立 MBAM 的功能同位。 在 Configuration Manager 2002 版和更新版本中，在大部分情況下，不應該設定網域群組原則來設定 BitLocker 原則。 若要避免衝突和問題，請避免使用 BitLocker 的群組原則。 透過Configuration Manager BitLocker 管理原則來設定所有設定。

TPM 密碼雜湊

• 先前的 MBAM 用戶端不會將 TPM 密碼雜湊上傳至 Configuration Manager。 用戶端只會上傳 TPM 密碼雜湊一次。

• 如果您需要將此資訊移轉至Configuration Manager復原服務，請清除裝置上的 TPM。 重新開機之後，它會將新的 TPM 密碼雜湊上傳至復原服務。

注意事項

在Windows 10之前，TPM 密碼雜湊的上傳主要與 Windows 版本有關。 Windows 10或更新版本預設不會儲存 TPM 密碼雜湊，因此這些裝置通常不會上傳。 如需詳細資訊，請 參閱關於 TPM 擁有者密碼。

重新加密

Configuration Manager不會重新加密已受到 BitLocker 磁片磁碟機加密保護的磁片磁碟機。 如果您部署的 BitLocker 管理原則不符合磁片磁碟機目前的保護，則會回報為不符合規範。 磁片磁碟機仍然受到保護。

例如，您使用 MBAM 以 AES-XTS 128 加密演算法加密磁片磁碟機，但Configuration Manager原則需要 AES-XTS 256。 即使磁片磁碟機已加密，磁片磁碟機仍不符合原則規範。

若要解決此行為，請先停用裝置上的 BitLocker。 然後使用新的設定部署新的原則。

共同管理和Intune

BitLocker 的Configuration Manager用戶端處理常式是共同管理感知。 如果裝置是共同管理的，而且您將Endpoint Protection 工作負載切換至 Intune，則Configuration Manager用戶端會忽略其 BitLocker 原則。 裝置會從Intune取得 Windows 加密原則。

注意事項

在維護所需加密演算法的同時切換加密管理授權單位，不需要在用戶端上執行任何其他動作。 不過，如果您切換加密管理授權單位，而且所需的加密演算法也會變更，則必須規劃 重新加密。

如需使用 Intune 管理 BitLocker 的詳細資訊，請參閱下列文章：

• 搭配使用裝置加密與Intune
• 針對 Microsoft Intune 中的 BitLocker 原則進行疑難排解

後續步驟

關於 BitLocker 復原服務

設定 BitLocker 報表和入口網站