分享方式:


BitLocker 管理和監視網站

適用於:Configuration Manager (目前的分支)

BitLocker 管理和監視網站是 BitLocker 磁片磁碟機加密的系統管理介面。 也稱為技術支援中心入口網站。 使用此網站來檢閱報告、復原使用者的磁片磁碟機,以及管理裝置 TPM。

預設的 BitLocker 管理和監視網站。

在您可以使用它之前,請先在網頁伺服器上安裝此元件。 如需詳細資訊, 請參閱設定 BitLocker 報表和入口網站

透過下列 URL 存取管理和監視網站: https://webserver.contoso.com/HelpDesk

注意事項

您可以在管理和監視網站中檢視 復原稽核報告 。 您會將其他 BitLocker 管理報告新增至 Reporting Services 點。 如需詳細資訊,請 參閱檢視 BitLocker 報表

群組

若要存取管理和監視網站的特定區域,您的使用者帳戶必須位於下列其中一個群組中。 使用您想要的任何名稱,在 Active Directory 中建立這些群組。 當您安裝此網站時,您可以指定這些組名。 如需詳細資訊, 請參閱設定 BitLocker 報表和入口網站

群組 描述
BitLocker 技術支援中心系統管理員 提供管理和監視網站所有區域的存取權。 當您協助使用者復原其磁片磁碟機時,您只會輸入修復金鑰,而不是網域和使用者名稱。 如果使用者同時是此群組和 BitLocker 技術支援中心使用者群組的成員,則系統管理員群組許可權會覆寫使用者群組許可權。
BitLocker 技術支援中心使用者 提供管理與監視網站的 [管理 TPM磁片磁碟機復原 ] 區域的存取權。 當您使用任一區域時,您必須填入所有欄位,包括使用者的網域和帳戶名稱。 如果使用者同時是此群組和 BitLocker 技術支援中心系統管理員群組的成員,則系統管理員群組許可權會覆寫使用者群組許可權。
BitLocker 報表使用者 提供管理和監視網站的 [報告 ] 區域的存取權。

管理 TPM

如果使用者輸入不正確的 PIN 太多次,他們可以鎖定 TPM。 在 TPM 鎖定之前,使用者可以輸入不正確 PIN 的次數會因製造商而異。 從管理和監視網站的 [ 管理 TPM ] 區域,存取集中式金鑰復原資料系統。

如需 TPM 擁有權的詳細資訊,請參閱設定 MBAM 以委付 TPM 和存放擁有者Auth 密碼

注意事項

從 Windows 10 1607 版開始,Windows 在布建 TPM 時不會保留 TPM 擁有者密碼。

  1. 移至網頁瀏覽器中的管理和監視網站,例如 https://webserver.contoso.com/HelpDesk

  2. 在左窗格中,選取 [ 管理 TPM] 區域。

    BitLocker 管理和監視網站管理 TPM 頁面。

  3. 輸入電腦的完整功能變數名稱和電腦名稱稱。

  4. 如有必要,請輸入使用者的網域和使用者名稱,以擷取 TPM 擁有者密碼檔案。

  5. 針對 [要求 TPM 擁有者密碼檔案的原因] 選擇下列其中一個選項:

    • 重設 PIN 鎖定
    • 開啟 TPM
    • 關閉 TPM
    • 變更 TPM 密碼
    • 清除 TPM
    • 其他

    提交表單之後,網站會傳回下列其中一個回應:

    • 如果找不到相符的 TPM 擁有者密碼檔案,則會傳回錯誤訊息。

    • 提交的電腦的 TPM 擁有者密碼檔案

    擷取 TPM 擁有者密碼檔案之後,網站會顯示擁有者密碼。

  6. 若要將密碼儲存至檔案,請選取 [ 儲存]

  7. 在 [ 管理 TPM] 區域中,選取 [重設 TPM 鎖定 ] 選項,並提供 TPM 擁有者密碼檔案。

    TPM 鎖定會重設。 BitLocker 會還原使用者對裝置的存取權。

    重要事項

    請勿共用 TPM 雜湊值或 TPM 擁有者密碼檔案。

磁片磁碟機復原

提示

從 2107 版開始,您也可以從 Microsoft Intune 系統管理中心取得租使用者連結裝置的 BitLocker 修復金鑰。 如需詳細資訊,請參閱 租使用者附加:BitLocker 修復金鑰

在復原模式中復原磁片磁碟機

在下列案例中,磁片磁碟機會進入復原模式:

  • 使用者遺失或忘記 PIN 或密碼
  • 受信任的模組平臺 (TPM) 會偵測電腦的 BIOS 或啟動檔案變更

若要取得修復密碼,請使用管理和監視網站的 磁片磁碟機復原 區域。

重要事項

復原密碼會在單一使用之後過期。 在 OS 磁片磁碟機和固定資料磁片磁碟機上,會自動套用單一使用規則。 在卸載式磁片磁碟機上,它會在您移除並重新插入磁片磁碟機時套用。

  1. 移至網頁瀏覽器中的管理和監視網站,例如 https://webserver.contoso.com/HelpDesk

  2. 在左窗格中,選取 [ 磁片磁碟機復原 ] 區域。

    BitLocker 管理和監視網站驅動程式復原頁面。

  3. 如有必要,請輸入使用者的網域和使用者名稱以檢視復原資訊。

  4. 若要查看可能相符的修復金鑰清單,請輸入修復金鑰識別碼的前八位數。 若要取得確切的修復金鑰,請輸入整個修復金鑰識別碼。

  5. 選擇下列其中一個選項作為 磁片磁碟機解除鎖定的原因

    • 作業系統開機順序已變更
    • BIOS 已變更
    • 已修改作業系統檔案
    • 遺失啟動金鑰
    • 遺失 PIN 碼
    • TPM 重設
    • 遺失複雜密碼
    • 遺失智慧卡
    • 其他

    提交表單之後,網站會傳回下列其中一個回應:

    • 如果使用者有多個相符的修復密碼,則會傳回多個可能的相符專案。

    • 已提交使用者的修復密碼和復原套件。

      注意事項

      如果您要復原損毀的磁片磁碟機,復原套件選項會提供 BitLocker 復原磁片磁碟機所需的重要資訊。

    • 如果找不到相符的修復密碼,則會傳回錯誤訊息。

    擷取修復密碼和復原套件之後,網站會顯示修復密碼。

  6. 若要複製密碼,請選取 [複製金鑰]。 若要將修復密碼儲存至檔案,請選取 [ 儲存]

若要解除鎖定磁片磁碟機,請輸入修復密碼或使用復原套件。

復原移動的磁片磁碟機

當您將磁片磁碟機移至新電腦時,因為 TPM 不同,所以 BitLocker 不接受先前的 PIN。 若要復原移動的磁片磁碟機,請取得修復金鑰識別碼以擷取修復密碼。

若要復原移動的磁片磁碟機,請使用管理和監視網站的 磁片磁碟機複 原區域。

  1. 在移動磁片磁碟機的電腦上,以 Windows Recovery Environment (WinRE) 模式啟動電腦。

  2. 在 WinRE 中,BitLocker 會將移動的 OS 磁片磁碟機視為固定資料磁片磁碟機。 BitLocker 會顯示磁片磁碟機的修復密碼識別碼,並提示您輸入修復密碼。

    注意事項

    在某些情況下,在啟動程式期間,如果選項可用 ,請選取 [我忘記 PIN ]。 然後進入復原模式以顯示修復金鑰識別碼。

  3. 使用修復金鑰識別碼,從管理和監視網站取得修復密碼。 如需詳細資訊,請參閱 在復原模式中復原磁片磁碟機

如果您將移動的磁片磁碟機設定為在原始電腦上使用 TPM 晶片,請完成下列步驟。 否則,復原程式會完成。

  1. 解除鎖定磁片磁碟機之後,請以 WinRE 模式啟動電腦。 在 WinRE 中開啟命令提示字元,並使用 manage-bde 命令來解密磁片磁碟機。 此工具是移除 沒有原始 TPM 晶片之 TPM + PIN 保護裝置的唯一方法。 如需此命令的詳細資訊,請參閱 Manage-bde

  2. 完成時,請正常啟動電腦。 Configuration Manager會強制執行 BitLocker 原則,以使用新電腦的 TPM 加上 PIN 來加密磁片磁碟機。

復原損毀的磁片磁碟機

使用修復金鑰識別碼,從管理和監視網站取得修復金鑰套件。 如需詳細資訊,請參閱 在復原模式中復原磁片磁碟機

  1. 修復金鑰套件 儲存在您的電腦上,然後將它複製到磁片磁碟機損毀的電腦。

  2. 以系統管理員身分開啟命令提示字元,然後輸入下列命令:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    取代下列值:

    • <corrupted drive>:損毀磁片磁碟機的磁碟機號,例如 D:
    • <fixed drive>:可用硬碟的磁碟機號,大小類似或大於損毀的磁片磁碟機。 BitLocker 會復原損毀磁片磁碟機上的資料,並將資料移至指定的磁片磁碟機。 此磁片磁碟機上的所有資料都會被覆寫。
    • <key package>:修復金鑰套件的位置
    • <recovery password>:相關聯的修復密碼

    例如:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

如需此命令的詳細資訊,請參閱 Repair-bde

報告

管理和監視網站包含 復原稽核報告。 其他報告可從 Configuration Manager Reporting Services 點取得。 如需詳細資訊,請 參閱檢視 BitLocker 報表

  1. 移至網頁瀏覽器中的管理和監視網站,例如 https://webserver.contoso.com/HelpDesk

  2. 在左窗格中,選取 [ 報表] 區域。

  3. 從頂端功能表列中,選取 [復原稽核報告]

如需此報告的詳細資訊,請參閱 復原稽核報告

提示

若要儲存報表結果,請選取 [表] 功能表列上的 [出]。