規劃 BitLocker 管理

適用於:Configuration Manager (目前的分支)

使用Configuration Manager來管理已加入 Active Directory 之內部部署 Windows 用戶端的 BitLocker 磁片磁碟機加密 (BDE) 。 它提供完整的 BitLocker 生命週期管理,可取代使用 Microsoft BitLocker Administration and Monitoring (MBAM) 。

注意事項

Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

如需 BitLocker 的一般資訊,請參閱 BitLocker 概觀。 如需 BitLocker 部署和需求的比較,請參閱 BitLocker 部署比較圖表

提示

若要使用Microsoft Intune雲端服務管理共同管理Windows 10或更新版本裝置上的加密,請將Endpoint Protection工作負載切換至 Intune。 如需使用 Intune 的詳細資訊,請參閱 Windows 加密

功能

Configuration Manager提供下列 BitLocker 磁片磁碟機加密管理功能:

用戶端部署

  • 將 BitLocker 用戶端部署到執行Windows 8.1、Windows 10或Windows 11的受控 Windows 裝置。

  • 管理內部部署和網際網路型用戶端的 BitLocker 原則和委付修復金鑰

管理加密原則

  • 例如:選擇磁片磁碟機加密和加密強度、設定使用者豁免原則、固定資料磁片磁碟機加密設定。

  • 判斷用來加密裝置的演算法,以及您要加密的目標磁片。

  • 在使用裝置之前,強制使用者符合新的安全性原則。

  • 根據每個裝置自訂貴組織的安全性設定檔。

  • 當使用者解除鎖定 OS 磁片磁碟機時,請指定只解除鎖定 OS 磁片磁碟機或所有連接的磁片磁碟機。

合規性報告

下列專案的內建報表:

  • 每個磁片區或每個裝置的加密狀態
  • 裝置的主要使用者
  • 合規性狀態
  • 不符合規範的原因

系統管理與監視網站

允許組織中的其他角色在Configuration Manager主控台外協助進行金鑰復原,包括金鑰輪替和其他 BitLocker 相關支援。 例如,技術支援中心系統管理員可以協助使用者進行金鑰復原。

提示

從 2107 版開始,您也可以從 Microsoft Intune 系統管理中心取得租使用者連結裝置的 BitLocker 修復金鑰。 如需詳細資訊,請參閱 租使用者附加:BitLocker 修復金鑰

使用者自助入口網站

讓使用者協助自己使用單一使用金鑰來解除鎖定 BitLocker 加密裝置。 使用此金鑰之後,它會為裝置產生新的金鑰。

必要條件

一般必要條件

  • 若要建立 BitLocker 管理原則,您需要在 Configuration Manager 中具有系統高許可權管理員角色。

  • 若要使用 BitLocker 管理報告,請安裝 Reporting Services 點月臺系統角色。 如需詳細資訊, 請參閱設定報告

    注意事項

    若要讓 復原稽核報告 從管理和監視網站運作,請只使用主要月臺上的 Reporting Services 點。

用戶端的必要條件

  • 裝置需要在 BIOS 中啟用且可從 Windows 重設的 TPM 晶片。

    Microsoft 建議使用 TPM 2.0 版或更新版本的裝置。 TPM 1.2 版的裝置可能無法正確支援所有 BitLocker 功能。

  • 電腦的硬碟需要與 TPM 相容且在電腦啟動期間支援 USB 裝置的 BIOS。

注意事項

在Windows 10之前,TPM 密碼雜湊的上傳主要與 Windows 版本有關。 Windows 10或更新版本預設不會儲存 TPM 密碼雜湊,因此這些裝置通常不會上傳。 如需詳細資訊,請 參閱關於 TPM 擁有者密碼

BitLocker 管理不支援Configuration Manager支援的所有用戶端類型。 如需詳細資訊,請參閱 支援的設定

復原服務的必要條件

  • 在 2010 版和更早版本中,BitLocker 復原服務會要求 HTTPS 透過網路將復原金鑰從Configuration Manager用戶端加密到管理點。 使用下列其中一個選項:

    • 在裝載復原服務的管理點上啟用 IIS 網站 HTTPS。

    • 設定 HTTPS 的管理點。

    如需詳細資訊,請參閱透過 網路加密復原資料

    注意事項

    當月臺和用戶端都執行 Configuration Manager 2103 版或更新版本時,用戶端會透過安全的用戶端通知通道,將其修復金鑰傳送至管理點。 如果有任何用戶端位於 2010 版或更早版本,則需要管理點上啟用 HTTPS 的復原服務來委付其金鑰。

    從 2103 版開始,由於用戶端會使用安全的用戶端通知通道來委付金鑰,因此您可以啟用Configuration Manager月臺來增強 HTTP。 此設定不會影響Configuration Manager中 BitLocker 管理的功能。

  • 在 2010 版和更早版本中,若要使用復原服務,您至少需要一個不在複本組態中的管理點。 雖然 BitLocker 復原服務會安裝在使用資料庫複本的管理點上,但用戶端無法委付修復金鑰。 然後 BitLocker 將不會加密磁片磁碟機。 在任何具有資料庫複本的管理點上停用 BitLocker 復原服務。

    從 2103 版開始,復原服務支援使用資料庫複本的管理點。

BitLocker 入口網站的必要條件

  • 若要使用自助入口網站或管理和監視網站,您需要執行 IIS 的 Windows 伺服器。 您可以重複使用Configuration Manager月臺系統,或使用可連線至月臺資料庫伺服器的獨立網頁伺服器。 使用 月臺系統伺服器支援的 OS 版本

  • 在將裝載自助入口網站的 Web 服務器上,先安裝Microsoft ASP.NET MVC 4.0和 .NET Framework 3.5 功能,再啟動安裝程式。 在入口網站安裝程式期間,將會自動安裝其他必要的 Windows 伺服器角色和功能。

    提示

    您不需要使用 ASP.NET MVC 安裝任何版本的 Visual Studio。

  • 執行入口網站安裝程式腳本的使用者帳戶需要SQL Server月臺資料庫伺服器上的系統管理員許可權。 在安裝程式期間,腳本會設定 Web 服務器電腦帳戶的登入、使用者和SQL Server角色許可權。 完成自助入口網站和管理與監視網站的設定之後,您可以從系統管理員角色中移除此使用者帳戶。

支援的設定

  • 虛擬機器 (VM) 或伺服器版本不支援 BitLocker 管理。 例如,BitLocker 管理不會在虛擬機器的固定磁片磁碟機上啟動加密。 此外,虛擬機器中的固定磁片磁碟機可能會顯示為符合規範,即使它們未加密也一樣。

  • 在 2010 版和更早版本中,不支援Microsoft Entra加入、工作組用戶端或不受信任網域中的用戶端。 在這些舊版的Configuration Manager中,BitLocker 管理僅支援已加入內部部署的 Active Directory的裝置,包括Microsoft Entra混合式聯結裝置。 此設定是向復原服務進行驗證,以委付金鑰。

    從 2103 版開始,Configuration Manager支援 BitLocker 管理的所有用戶端聯結類型。 不過,用戶端 BitLocker 使用者介面元件仍然只在已加入 Active Directory 並Microsoft Entra混合式聯結裝置上受到支援。

  • 從 2010 版開始,您現在可以透過雲端管理閘道管理 BitLocker 原則和委付修復金鑰 , (CMG) 。 這項變更也支援透過以網際網路為基礎的用戶端管理 (IBCM) 進行 BitLocker 管理。 BitLocker 管理的設定程式沒有任何變更。 這項改善支援已加入網域和已加入混合式網域的裝置。 如需詳細資訊,請 參閱部署管理代理程式:復原服務

    • 如果您在更新至 2010 版之前已建立 BitLocker 管理原則,請透過 CMG 將它們提供給以網際網路為基礎的用戶端:
      1. 在 Configuration Manager 主控台中,開啟現有原則的屬性。
      2. 切換至 [ 用戶端管理] 索引 標籤。
      3. 選取 [確定][套用 ] 以儲存原則。 此動作會修改原則,使其可透過 CMG 提供給用戶端使用。
  • 根據預設, [啟用 BitLocker] 工作順序步驟只會加密磁片磁碟機上 已使用的空間 。 BitLocker 管理會使用 完整磁片 加密。 設定此工作順序步驟,以啟 用 [使用完整磁片加密] 選項。

    從 2203 版開始,您可以設定此工作順序步驟,將 OS 磁片區的 BitLocker 復原資訊委付給Configuration Manager。

    如需詳細資訊,請 參閱工作順序步驟 - 啟用 BitLocker

重要事項

Invoke-MbamClientDeployment.ps1PowerShell 腳本僅適用于獨立 MBAM。 它不應該與 bitLocker 管理Configuration Manager搭配使用。

後續步驟

透過網路加密復原資料