分享方式:


部署 BitLocker 管理

適用於:Configuration Manager (目前的分支)

Configuration Manager 中的 BitLocker 管理包含下列元件:

  • BitLocker 管理代理程式:當您 建立 原則並 將其部署至集合時,Configuration Manager 會在裝置上啟用此代理程式。

  • 復原服務:從用戶端接收 BitLocker 復原數據的伺服器元件。 如需詳細資訊,請參閱 復原服務

建立和部署 BitLocker 管理原則之前:

建立原則

當您建立並部署此原則時,Configuration Manager 用戶端會在裝置上啟用 BitLocker 管理代理程式。

注意事項

若要建立 BitLocker 管理原則,您需要 Configuration Manager 中的 系統高許可權管理員 角色。

  1. 在 Configuration Manager 控制台中,移至 [ 資產與相容性 ] 工作區,展開 [Endpoint Protection],然後選取 [BitLocker 管理] 節點。

  2. 在功能區中,選取 [建立 BitLocker 管理控制原則]

  3. 在 [一 般] 頁面上,指定名稱和選擇性描述。 選取要在具有此原則的用戶端上啟用的元件:

    • 操作系統磁碟驅動器:管理 OS 磁碟驅動器是否已加密

    • 固定磁碟驅動器:管理裝置中其他數據磁碟驅動器的加密

    • 卸載式磁碟驅動器:管理可從裝置移除的磁碟驅動器加密,例如USB金鑰

    • 用戶端管理:管理 BitLocker 磁碟驅動器加密復原資訊的密鑰復原服務備份

  4. 在 [ 安裝程式 ] 頁面上,為 BitLocker 磁碟驅動器加密設定下列全域設定:

    注意事項

    當您啟用 BitLocker 時,Configuration Manager 會套用這些設定。 如果磁碟驅動器已加密或進行中,這些原則設定的任何變更都不會變更裝置上的磁碟驅動器加密。

    如果您停用或未設定這些設定,BitLocker 會使用預設加密方法 (AES 128 位) 。

    • 針對 Windows 8.1 裝置,請啟用 磁碟驅動器加密方法和加密強度的選項。 然後選取加密方法。

    • 針對 Windows 10 或更新版本的裝置,請啟用磁 碟驅動器加密方法和加密強度的選項, (Windows 10 或更新版本) 。 然後個別選取 OS 磁碟驅動器、固定數據磁碟驅動器和抽取式數據磁碟驅動器的加密方法。

    如需此頁面上這些設定和其他設定的詳細資訊,請參閱 設定參考 - 安裝程式

  5. 在 [ 操作系統磁碟驅動器 ] 頁面上,指定下列設定:

    • 操作系統磁碟驅動器加密設定:如果您啟用此設定,用戶必須保護OS磁碟驅動器,BitLocker 會加密磁碟驅動器。 如果停用,用戶就無法保護磁碟驅動器。

    在具有相容 TPM 的裝置上,兩種驗證方法可以在啟動時用來為加密數據提供額外的保護。 當計算機啟動時,它只能使用 TPM 進行驗證,也可以要求輸入個人識別碼 (PIN) 。 進行下列設定:

    • 選取操作系統磁碟驅動器的保護裝置:將它設定為使用 TPM 和 PIN,或只使用 TPM。

    • 設定啟動的最小 PIN 長度:如果您需要 PIN,此值是使用者可以指定的最短長度。 當電腦開機以解除鎖定磁碟驅動器時,用戶會輸入此 PIN。 根據預設,PIN 長度下限為 4

    如需此頁面上這些設定和其他設定的詳細資訊,請參閱 設定參考 - OS 磁碟驅動器

  6. 在 [ 固定磁碟驅動器] 頁面上,指定下列設定:

    • 修正數據磁碟驅動器加密:如果您啟用此設定,BitLocker 會要求使用者將所有固定數據磁碟驅動器置於保護之下。 然後會加密數據磁碟驅動器。 當您啟用此原則時,請啟用自動解除鎖定或 固定資料磁碟驅動器密碼原則的設定

    • 設定固定數據磁碟驅動器的自動解除鎖定:允許或要求 BitLocker 自動解除鎖定任何加密的數據磁碟驅動器。 若要使用自動解除鎖定,也需要 BitLocker 來加密 OS 磁碟驅動器。

    如需此頁面上這些設定和其他設定的詳細資訊,請參閱 設定參考 - 固定磁碟驅動器

  7. 在 [ 卸除式磁碟驅動器 ] 頁面上,指定下列設定:

    • 卸除式數據磁碟驅動器加密:當您啟用此設定,並允許使用者套用 BitLocker 保護時,Configuration Manager 用戶端會將卸除式磁碟驅動器的復原資訊儲存至管理點上的復原服務。 如果使用者忘記或遺失保護裝置 (密碼) ,此行為可讓用戶復原磁碟驅動器。

    • 允許使用者在卸除式數據磁碟驅動器上套用 BitLocker 保護:用戶可以開啟卸載式磁碟驅動器的 BitLocker 保護。

    • 卸除式數據磁碟驅動器密碼原則:使用這些設定來設定密碼的條件約束,以解除鎖定受 BitLocker 保護的卸除式磁碟驅動器。

    如需此頁面上這些設定和其他設定的詳細資訊,請參閱 設定參考 - 卸除式磁碟驅動器

  8. 在 [ 用戶端管理] 頁面上,指定下列設定:

    重要事項

    針對 2103 之前的 Configuration Manager 版本,如果您沒有具有已啟用 HTTPS 之網站的管理點,請勿設定此設定。 如需詳細資訊,請參閱 復原服務

    • 設定 BitLocker 管理服務:當您啟用此設定時,Configuration Manager 會自動以無訊息方式備份月臺資料庫中的密鑰復原資訊。 如果您停用或未設定此設定,Configuration Manager 不會儲存密鑰修復資訊。

      • 選取要儲存的 BitLocker 修復資訊:將它設定為使用修復密碼和密鑰套件,或只使用修復密碼。

      • 允許以純文本儲存復原資訊:如果沒有 BitLocker 管理加密憑證,Configuration Manager 會以純文本儲存密鑰修復資訊。 如需詳細資訊,請 參閱加密資料庫中的復原數據

    如需此頁面上這些設定和其他設定的詳細資訊,請參閱 設定參考 - 用戶端管理

  9. 完成精靈。

若要變更現有原則的設定,請在清單中選擇它,然後選取 [ 屬性]

當您建立多個原則時,您可以設定其相對優先順序。 如果您將多個原則部署到用戶端,它會使用優先順序值來判斷其設定。

從 2006 版開始,您可以針對這項工作使用 Windows PowerShell Cmdlet。 如需詳細資訊,請參閱 New-CMBlmSetting

部署原則

  1. 選擇 BitLocker 管理 節點中的現有原則。 在功能區中,選取 [ 部署]

  2. 選取裝置集合作為部署的目標。

  3. 如果您想要裝置隨時加密或解密其磁碟驅動器,請選取 [ 允許在維護期間外進行補救] 選項。 如果集合有任何維護時段,它仍會補救此 BitLocker 原則。

  4. 設定 簡單自定義 排程。 用戶端會根據排程中指定的設定來評估其合規性。

  5. 選取 [確定 ] 以部署原則。

您可以建立相同原則的多個部署。 若要檢視每個部署的其他資訊,請在 [BitLocker 管理 ] 節點中選取原則,然後在詳細數據窗格中切換至 [ 部署] 索引卷 標。您也可以針對這項工作使用 Windows PowerShell Cmdlet。 如需詳細資訊,請參閱 New-CMSettingDeployment

重要事項

如果遠端桌面通訊協定 (RDP) 連線為作用中,則 MBAM 用戶端不會啟動 BitLocker 磁碟驅動器加密動作。 關閉所有遠端主控台連線,並使用網域用戶帳戶登入主控台工作階段。 接著,BitLocker 磁碟驅動器加密就會開始,而用戶端會上傳修復密鑰和套件。 如果您使用本機用戶帳戶登入,BitLocker 磁碟驅動器加密不會啟動。

您可以使用 RDP,透過交換器從遠端連線到裝置 /admin 的主控台工作階段。 例如:mstsc.exe /admin /v:<IP address of device>

當您位於計算機的實體控制台時, 控制台會話 是,或是與您位於計算機實體控制台的遠端連線相同。

監視

BitLocker 管理 節點的詳細資料窗格中,檢視有關原則部署的基本合規性統計數據:

  • 合規性計數
  • 失敗計數
  • 不符合規範計數

切換至 [ 部署] 索引標籤 ,以查看合規性百分比和建議的動作。 選取部署,然後在功能區中選 取 [檢視狀態]。 此動作會將檢視切換至 [ 監視 ] 工作區 [ 部署] 節點 。 類似於部署其他設定原則部署,您可以在此檢視中看到更詳細的合規性狀態。

若要瞭解客戶端為何報告不符合 BitLocker 管理原則,請參閱 不符合規範的程式代碼

如需詳細疑難解答資訊,請參閱 針對 BitLocker 進行疑難解答

使用下列記錄來監視和疑難解答:

用戶端記錄

  • MBAM 事件記錄檔:在 Windows 事件查看器中,流覽至Windows>MBAMMicrosoft>應用程式和服務>。 如需詳細資訊,請 參閱關於 BitLocker 事件記錄 檔和 用戶端事件記錄檔

  • 預設會在客戶端記錄路徑%WINDIR%\CCM\LogsBitlockerManagementHandler.log和BitlockerManagement_GroupPolicyHandler.log

復原服務 (管理點記錄)

  • 復原服務事件記錄檔:在 Windows 事件查看器中,流覽至Windows>MBAM-WebMicrosoft>應用程式和服務>。 如需詳細資訊,請 參閱關於 BitLocker 事件記錄 檔和 伺服器事件記錄檔

  • 復原服務追蹤記錄: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

移轉考量

如果您目前使用 Microsoft BitLocker Administration and Monitoring (MBAM) ,您可以順暢地將管理移轉至 Configuration Manager。 當您在 Configuration Manager 中部署 BitLocker 管理原則時,用戶端會自動將修復密鑰和套件上傳至 Configuration Manager 復原服務。

重要事項

當您從獨立 MBAM 移轉至 Configuration Manager BitLocker 管理時,如果您需要獨立 MBAM 的現有功能,請勿使用獨立 MBAM 伺服器或元件搭配 Configuration Manager BitLocker 管理。 如果您重複使用這些伺服器,當 Configuration Manager BitLocker 管理在這些伺服器上安裝其元件時,獨立 MBAM 將會停止運作。 請勿執行 MBAMWebSiteInstaller.ps1 腳本,以在獨立 MBAM 伺服器上設定 BitLocker 入口網站。 當您設定 Configuration Manager BitLocker 管理時,請使用個別的伺服器。

群組原則

  • BitLocker 管理設定與 MBAM 組策略設定完全相容。 如果裝置同時收到組策略設定和 Configuration Manager 原則,請將它們設定為相符。

    注意事項

    如果獨立 MBAM 有組策略設定存在,則會覆寫 Configuration Manager 嘗試的對等設定。 獨立 MBAM 會使用網域組策略,而 Configuration Manager 則會設定 BitLocker 管理的本機原則。 網域原則會覆寫本機 Configuration Manager BitLocker 管理原則。 如果獨立 MBAM 網域組策略不符合 Configuration Manager 原則,Configuration Manager BitLocker 管理將會失敗。 例如,如果網域組策略設定密鑰復原服務的獨立 MBAM 伺服器,Configuration Manager BitLocker 管理就無法為管理點設定相同的設定。 此行為會導致用戶端不會向管理點上的 Configuration Manager BitLocker 管理密鑰復原服務報告其修復密鑰。

  • Configuration Manager 不會實作所有 MBAM 組策略設定。 如果您在組策略中設定更多設定,Configuration Manager 用戶端上的 BitLocker 管理代理程式會接受這些設定。

    重要事項

    請勿為 Configuration Manager BitLocker 管理已指定的設定設定設定組策略。 僅針對 Configuration Manager BitLocker 管理中目前不存在的設定設定組策略。 Configuration Manager 2002 版具有與獨立 MBAM 的功能同位。 在 Configuration Manager 2002 版和更新版本中,在大部分情況下,不應該設定網域組策略來設定 BitLocker 原則。 若要避免衝突和問題,請避免使用 BitLocker 的組策略。 透過 Configuration Manager BitLocker 管理原則設定所有設定。

TPM 密碼哈希

  • 先前的 MBAM 用戶端不會將 TPM 密碼哈希上傳至 Configuration Manager。 用戶端只會上傳 TPM 密碼哈希一次。

  • 如果您需要將此資訊移轉至 Configuration Manager 復原服務,請清除裝置上的 TPM。 重新啟動之後,它會將新的 TPM 密碼哈希上傳至復原服務。

注意事項

TPM 密碼哈希的上傳主要與 Windows 10 之前的 Windows 版本有關。 Windows 10 或更新版本預設不會儲存 TPM 密碼哈希,因此這些裝置通常不會上傳。 如需詳細資訊,請 參閱關於 TPM 擁有者密碼

重新加密

Configuration Manager 不會重新加密已使用 BitLocker 磁碟驅動器加密保護的磁碟驅動器。 如果您部署的 BitLocker 管理原則不符合磁碟驅動器目前的保護,則會回報為不符合規範。 磁碟驅動器仍然受到保護。

例如,您使用 MBAM 以 AES-XTS 128 加密演算法加密磁碟驅動器,但 Configuration Manager 原則需要 AES-XTS 256。 即使磁碟驅動器已加密,磁碟驅動器仍不符合原則規範。

若要解決此行為,請先停用裝置上的 BitLocker。 然後使用新的設定部署新的原則。

共同管理和 Intune

BitLocker 的 Configuration Manager 用戶端處理程式是共同管理感知。 如果裝置是共同管理的,而且您將 Endpoint Protection 工作 負載切換至 Intune,則 Configuration Manager 用戶端會忽略其 BitLocker 原則。 裝置會從 Intune 取得 Windows 加密原則。

注意事項

在維護所需加密演算法的同時切換加密管理授權單位,不需要在用戶端上執行任何其他動作。 不過,如果您切換加密管理授權單位,而且所需的加密演算法也會變更,則必須規劃 重新加密

如需使用 Intune 管理 BitLocker 的詳細資訊,請參閱下列文章:

後續步驟

關於 BitLocker 復原服務

設定 BitLocker 報表和入口網站