BitLocker 管理和監視網站
適用於:Configuration Manager (目前的分支)
BitLocker 管理和監視網站是 BitLocker 磁片磁碟機加密的系統管理介面。 也稱為技術支援中心入口網站。 使用此網站來檢閱報告、復原使用者的磁片磁碟機,以及管理裝置 TPM。
在您可以使用它之前,請先在網頁伺服器上安裝此元件。 如需詳細資訊, 請參閱設定 BitLocker 報表和入口網站。
透過下列 URL 存取管理和監視網站: https://webserver.contoso.com/HelpDesk
注意事項
您可以在管理和監視網站中檢視 復原稽核報告 。 您會將其他 BitLocker 管理報告新增至 Reporting Services 點。 如需詳細資訊,請 參閱檢視 BitLocker 報表。
群組
若要存取管理和監視網站的特定區域,您的使用者帳戶必須位於下列其中一個群組中。 使用您想要的任何名稱,在 Active Directory 中建立這些群組。 當您安裝此網站時,您可以指定這些組名。 如需詳細資訊, 請參閱設定 BitLocker 報表和入口網站。
| 群組 | 描述 |
|---|---|
| BitLocker 技術支援中心系統管理員 | 提供管理和監視網站所有區域的存取權。 當您協助使用者復原其磁片磁碟機時,您只會輸入修復金鑰,而不是網域和使用者名稱。 如果使用者同時是此群組和 BitLocker 技術支援中心使用者群組的成員,則系統管理員群組許可權會覆寫使用者群組許可權。 |
| BitLocker 技術支援中心使用者 | 提供管理與監視網站的 [管理 TPM 和 磁片磁碟機復原 ] 區域的存取權。 當您使用任一區域時,您必須填入所有欄位,包括使用者的網域和帳戶名稱。 如果使用者同時是此群組和 BitLocker 技術支援中心系統管理員群組的成員,則系統管理員群組許可權會覆寫使用者群組許可權。 |
| BitLocker 報表使用者 | 提供管理和監視網站的 [報告 ] 區域的存取權。 |
管理 TPM
如果使用者輸入不正確的 PIN 太多次,他們可以鎖定 TPM。 在 TPM 鎖定之前,使用者可以輸入不正確 PIN 的次數會因製造商而異。 從管理和監視網站的 [ 管理 TPM ] 區域,存取集中式金鑰復原資料系統。
如需 TPM 擁有權的詳細資訊,請參閱設定 MBAM 以委付 TPM 和存放擁有者Auth 密碼。
注意事項
從 Windows 10 1607 版開始,Windows 在布建 TPM 時不會保留 TPM 擁有者密碼。
移至網頁瀏覽器中的管理和監視網站,例如
https://webserver.contoso.com/HelpDesk。在左窗格中,選取 [ 管理 TPM] 區域。
輸入電腦的完整功能變數名稱和電腦名稱稱。
如有必要,請輸入使用者的網域和使用者名稱,以擷取 TPM 擁有者密碼檔案。
針對 [要求 TPM 擁有者密碼檔案的原因] 選擇下列其中一個選項:
- 重設 PIN 鎖定
- 開啟 TPM
- 關閉 TPM
- 變更 TPM 密碼
- 清除 TPM
- 其他
提交表單之後,網站會傳回下列其中一個回應:
如果找不到相符的 TPM 擁有者密碼檔案,則會傳回錯誤訊息。
提交的電腦的 TPM 擁有者密碼檔案
擷取 TPM 擁有者密碼檔案之後,網站會顯示擁有者密碼。
若要將密碼儲存至檔案,請選取 [ 儲存]。
在 [ 管理 TPM] 區域中,選取 [重設 TPM 鎖定 ] 選項,並提供 TPM 擁有者密碼檔案。
TPM 鎖定會重設。 BitLocker 會還原使用者對裝置的存取權。
重要事項
請勿共用 TPM 雜湊值或 TPM 擁有者密碼檔案。
磁片磁碟機復原
提示
從 2107 版開始,您也可以從 Microsoft Intune 系統管理中心取得租使用者連結裝置的 BitLocker 修復金鑰。 如需詳細資訊,請參閱 租使用者附加:BitLocker 修復金鑰。
在復原模式中復原磁片磁碟機
在下列案例中,磁片磁碟機會進入復原模式:
- 使用者遺失或忘記 PIN 或密碼
- 受信任的模組平臺 (TPM) 會偵測電腦的 BIOS 或啟動檔案變更
若要取得修復密碼,請使用管理和監視網站的 磁片磁碟機復原 區域。
重要事項
復原密碼會在單一使用之後過期。 在 OS 磁片磁碟機和固定資料磁片磁碟機上,會自動套用單一使用規則。 在卸載式磁片磁碟機上,它會在您移除並重新插入磁片磁碟機時套用。
移至網頁瀏覽器中的管理和監視網站,例如
https://webserver.contoso.com/HelpDesk。在左窗格中,選取 [ 磁片磁碟機復原 ] 區域。
如有必要,請輸入使用者的網域和使用者名稱以檢視復原資訊。
若要查看可能相符的修復金鑰清單,請輸入修復金鑰識別碼的前八位數。 若要取得確切的修復金鑰,請輸入整個修復金鑰識別碼。
選擇下列其中一個選項作為 磁片磁碟機解除鎖定的原因:
- 作業系統開機順序已變更
- BIOS 已變更
- 已修改作業系統檔案
- 遺失啟動金鑰
- 遺失 PIN 碼
- TPM 重設
- 遺失複雜密碼
- 遺失智慧卡
- 其他
提交表單之後,網站會傳回下列其中一個回應:
如果使用者有多個相符的修復密碼,則會傳回多個可能的相符專案。
已提交使用者的修復密碼和復原套件。
注意事項
如果您要復原損毀的磁片磁碟機,復原套件選項會提供 BitLocker 復原磁片磁碟機所需的重要資訊。
如果找不到相符的修復密碼,則會傳回錯誤訊息。
擷取修復密碼和復原套件之後,網站會顯示修復密碼。
若要複製密碼,請選取 [複製金鑰]。 若要將修復密碼儲存至檔案,請選取 [ 儲存]。
若要解除鎖定磁片磁碟機,請輸入修復密碼或使用復原套件。
復原移動的磁片磁碟機
當您將磁片磁碟機移至新電腦時,因為 TPM 不同,所以 BitLocker 不接受先前的 PIN。 若要復原移動的磁片磁碟機,請取得修復金鑰識別碼以擷取修復密碼。
若要復原移動的磁片磁碟機,請使用管理和監視網站的 磁片磁碟機複 原區域。
在移動磁片磁碟機的電腦上,以 Windows Recovery Environment (WinRE) 模式啟動電腦。
在 WinRE 中,BitLocker 會將移動的 OS 磁片磁碟機視為固定資料磁片磁碟機。 BitLocker 會顯示磁片磁碟機的修復密碼識別碼,並提示您輸入修復密碼。
注意事項
在某些情況下,在啟動程式期間,如果選項可用 ,請選取 [我忘記 PIN ]。 然後進入復原模式以顯示修復金鑰識別碼。
使用修復金鑰識別碼,從管理和監視網站取得修復密碼。 如需詳細資訊,請參閱 在復原模式中復原磁片磁碟機。
如果您將移動的磁片磁碟機設定為在原始電腦上使用 TPM 晶片,請完成下列步驟。 否則,復原程式會完成。
解除鎖定磁片磁碟機之後,請以 WinRE 模式啟動電腦。 在 WinRE 中開啟命令提示字元,並使用
manage-bde命令來解密磁片磁碟機。 此工具是移除 沒有原始 TPM 晶片之 TPM + PIN 保護裝置的唯一方法。 如需此命令的詳細資訊,請參閱 Manage-bde。完成時,請正常啟動電腦。 Configuration Manager會強制執行 BitLocker 原則,以使用新電腦的 TPM 加上 PIN 來加密磁片磁碟機。
復原損毀的磁片磁碟機
使用修復金鑰識別碼,從管理和監視網站取得修復金鑰套件。 如需詳細資訊,請參閱 在復原模式中復原磁片磁碟機。
將 修復金鑰套件 儲存在您的電腦上,然後將它複製到磁片磁碟機損毀的電腦。
以系統管理員身分開啟命令提示字元,然後輸入下列命令:
repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>取代下列值:
-
<corrupted drive>:損毀磁片磁碟機的磁碟機號,例如D: -
<fixed drive>:可用硬碟的磁碟機號,大小類似或大於損毀的磁片磁碟機。 BitLocker 會復原損毀磁片磁碟機上的資料,並將資料移至指定的磁片磁碟機。 此磁片磁碟機上的所有資料都會被覆寫。 -
<key package>:修復金鑰套件的位置 -
<recovery password>:相關聯的修復密碼
例如:
repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888-
如需此命令的詳細資訊,請參閱 Repair-bde。
報告
管理和監視網站包含 復原稽核報告。 其他報告可從 Configuration Manager Reporting Services 點取得。 如需詳細資訊,請 參閱檢視 BitLocker 報表。
移至網頁瀏覽器中的管理和監視網站,例如
https://webserver.contoso.com/HelpDesk。在左窗格中,選取 [ 報表] 區域。
從頂端功能表列中,選取 [復原稽核報告]。
如需此報告的詳細資訊,請參閱 復原稽核報告
提示
若要儲存報表結果,請選取 [報表] 功能表列上的 [導出]。