關於 BitLocker 復原服務
適用於:Configuration Manager (目前的分支)
重要事項
從 2103 版開始,復原服務的實作已變更。 它不再使用舊版 MBAM 元件,但在概念上仍稱為 復原服務。 所有版本 2103 用戶端都會使用管理點的 訊息處理引擎 元件作為其復原服務。 他們會透過安全的用戶端通知通道委付其修復金鑰。 透過這項變更,您可以啟用Configuration Manager月臺來增強 HTTP。 此設定不會影響Configuration Manager中 BitLocker 管理的功能。
當月臺和用戶端都執行 Configuration Manager 2103 版或更新版本時,用戶端會透過安全的用戶端通知通道,將其修復金鑰傳送至管理點。 如果有任何用戶端位於 2010 版或更早版本,則需要管理點上啟用 HTTPS 的復原服務來委付其金鑰。
BitLocker 復原服務是從Configuration Manager用戶端接收 BitLocker 復原資料的伺服器元件。 當您建立 BitLocker 管理原則時,月臺會部署復原服務。 Configuration Manager使用已啟用 HTTPS 的網站,在每個管理點上自動安裝復原服務。
Configuration Manager會將復原資訊儲存在月臺資料庫中。 如果沒有 BitLocker 管理加密憑證,Configuration Manager會以純文字儲存金鑰修復資訊。 如需詳細資訊,請 參閱加密資料庫中的復原資料。
從 2010 版開始,您可以透過雲端管理閘道管理 BitLocker 原則和委付修復金鑰, (CMG) 。 加入網域的用戶端透過 CMG 通訊時,不會使用舊版復原服務,而是使用管理點的訊息處理引擎元件。 Microsoft Entra混合式聯結裝置也會使用訊息處理引擎。
從 2103 版開始,所有支援的用戶端都會使用管理點的訊息處理引擎元件作為復原服務。 這項變更可減少對舊版 MBAM 元件的相依性,並啟用 增強 HTTP 的支援。
注意事項
針對 2010 版,訊息處理引擎通道只會縮寫 OS 和固定磁片磁碟機磁片區的金鑰。 不支援卸載式磁片磁碟機或 TPM 密碼雜湊的修復金鑰。
從 2103 版開始,CMG 的 BitLocker 管理原則支援下列功能:
- 卸載式磁片磁碟機的修復金鑰
- TPM 密碼雜湊,也稱為 TPM 擁有者授權
旋轉金鑰
當您使用自助式或技術服務服務入口網站復原金鑰時,因為金鑰已公開,Configuration Manager需要用戶端輪替金鑰。 輪替金鑰表示用戶端會產生 BitLocker 復原的新金鑰。 然後會將新金鑰縮寫至 復原服務。
注意事項
當您從 MBAM 移轉時,當裝置收到來自 Configuration Manager 的 BitLocker 管理原則時,它會先輪替其金鑰。 然後,它會將新金鑰傳送至Configuration Manager復原服務。
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: