Nasazení správy Nástroje BitLocker

Platí pro: Configuration Manager (Current Branch)

Správa nástroje BitLocker v nástroji Configuration Manager zahrnuje následující součásti:

• Agent pro správu BitLockeru: Configuration Manager povolí tohoto agenta na zařízení, když vytvoříte zásadu a nasadíte ji do kolekce.

• Recovery Service: Serverová komponenta, která přijímá data bitlockeru pro obnovení od klientů. Další informace najdete v tématu Recovery Service.

Než vytvoříte a nasadíte zásady správy nástroje BitLocker:

• Projděte si požadavky.

• V případě potřeby zašifrujte obnovovací klíče v databázi lokality.

Vytvoření zásady

Když vytvoříte a nasadíte tuto zásadu, klient Nástroje Configuration Manager povolí na zařízení agenta pro správu nástroje BitLocker.

Poznámka

K vytvoření zásad správy nástroje BitLocker potřebujete roli Úplný správce v Nástroji Configuration Manager.

1. V konzole nástroje Configuration Manager přejděte do pracovního prostoru Prostředky a kompatibilita , rozbalte položku Endpoint Protection a vyberte uzel Správa nástroje BitLocker .

2. Na pásu karet vyberte Vytvořit zásadu řízení správy nástroje BitLocker.

3. Na stránce Obecné zadejte název a volitelný popis. Vyberte komponenty, které chcete povolit na klientech s touto zásadou:

   • Jednotka operačního systému: Umožňuje určit, jestli je jednotka s operačním systémem šifrovaná.

   • Pevná jednotka: Správa šifrování jiných datových jednotek v zařízení

   • Vyměnitelná jednotka: Správa šifrování jednotek, které můžete odebrat ze zařízení, jako je usb klíč

   • Správa klientů: Správa informací o obnovení služby Obnovení klíčů nástroje BitLocker Drive Encryption

4. Na stránce Instalace nakonfigurujte následující globální nastavení nástroje BitLocker Drive Encryption:

   Poznámka

   Configuration Manager použije tato nastavení při povolení nástroje BitLocker. Pokud je jednotka už zašifrovaná nebo probíhá, při jakékoli změně nastavení těchto zásad se šifrování jednotky v zařízení nezmění.

   Pokud tato nastavení zakážete nebo nenakonfigurujete, BitLocker použije výchozí metodu šifrování (128bitová verze AES).

   • U zařízení s Windows 8.1 povolte možnost Metoda šifrování disku a síla šifry. Pak vyberte metodu šifrování.

   • U zařízení s Windows 10 nebo novějším povolte možnost Metoda šifrování jednotky a síla šifry (Windows 10 nebo novější). Pak jednotlivě vyberte metodu šifrování pro jednotky s operačním systémem, pevné datové jednotky a vyměnitelné datové jednotky.

   Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – nastavení.

5. Na stránce Jednotka operačního systému zadejte následující nastavení:

   • Nastavení šifrování jednotky operačního systému: Pokud toto nastavení povolíte, musí uživatel chránit jednotku operačního systému a BitLocker jednotku zašifruje. Pokud ho zakážete, uživatel nemůže jednotku chránit.

   Na zařízeních s kompatibilním čipem TPM je možné při spuštění použít dva typy metod ověřování k zajištění další ochrany šifrovaných dat. Když se počítač spustí, může k ověření použít jenom čip TPM nebo může vyžadovat zadání osobního identifikačního čísla (PIN). Nakonfigurujte následující nastavení:

   • Vyberte ochranu pro jednotku s operačním systémem: Nakonfigurujte ji tak, aby používala čip TPM a PIN kód nebo jenom čip TPM.

   • Konfigurace minimální délky KÓDU PIN pro spuštění: Pokud potřebujete PIN kód, jedná se o nejkratší délku, kterou může uživatel zadat. Uživatel zadá tento PIN kód, když se počítač spustí a jednotku odemkne. Ve výchozím nastavení je 4minimální délka PIN kódu .

   Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – jednotka s operačním systémem.

6. Na stránce Pevná jednotka zadejte následující nastavení:

   • Oprava šifrování datové jednotky: Pokud toto nastavení povolíte, BitLocker vyžaduje, aby uživatelé umístili všechny pevné datové jednotky pod ochranu. Pak zašifruje datové jednotky. Když tuto zásadu povolíte, povolte buď automatické odemykání, nebo nastavení pro zásady hesel pevných datových jednotek.

   • Konfigurace automatického odemykání pevné datové jednotky: Povolí nebo vyžaduje, aby Nástroj BitLocker automaticky odemyká všechny šifrované datové jednotky. Pokud chcete použít automatické odemykání, musíte také šifrovat jednotku s operačním systémem pomocí nástroje BitLocker.

   Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – pevná jednotka.

7. Na stránce Vyměnitelná jednotka zadejte následující nastavení:

   • Šifrování vyměnitelné datové jednotky: Když povolíte toto nastavení a povolíte uživatelům použít ochranu nástrojem BitLocker, klient nástroje Configuration Manager uloží informace o obnovení o vyměnitelných jednotkách do služby obnovení v bodě správy. Toto chování umožňuje uživatelům obnovit jednotku, pokud zapomenou nebo ztratí ochranu (heslo).

   • Povolit uživatelům používat ochranu nástrojem BitLocker na vyměnitelné datové jednotky: Uživatelé můžou zapnout ochranu nástrojem BitLocker pro vyměnitelnou jednotku.

   • Zásady hesel pro vyměnitelnou datovou jednotku: Pomocí těchto nastavení můžete nastavit omezení hesel k odemknutí vyměnitelných jednotek chráněných bitlockerem.

   Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k Nastavení – Vyměnitelná jednotka.

8. Na stránce Správa klientů zadejte následující nastavení:

   Důležité

   Pokud nemáte bod správy s webem s povoleným protokolem HTTPS ve verzích nástroje Configuration Manager starších než 2103, toto nastavení nekonfigurujte. Další informace najdete v tématu Recovery Service.

   • Konfigurace služeb pro správu nástroje BitLocker: Když toto nastavení povolíte, Configuration Manager automaticky a bezobslužně zálohuje informace o obnovení klíčů v databázi lokality. Pokud toto nastavení zakážete nebo nenakonfigurujete, Configuration Manager neuloží informace o obnovení klíče.

     • Vyberte BitLocker pro uložení informací o obnovení: Nakonfigurujte ho tak, aby používal heslo pro obnovení a balíček klíčů nebo jenom heslo pro obnovení.

     • Povolit ukládání informací o obnovení ve formátu prostého textu: Bez šifrovacího certifikátu pro správu nástroje BitLocker ukládá Configuration Manager informace o obnovení klíče ve formátu prostého textu. Další informace najdete v tématu Šifrování dat obnovení v databázi.

   Další informace o těchto a dalších nastaveních na této stránce najdete v tématu Referenční informace k nastavení – správa klientů.

9. Dokončete průvodce.

Pokud chcete změnit nastavení existující zásady, zvolte ji v seznamu a vyberte Vlastnosti.

Když vytvoříte více než jednu zásadu, můžete nakonfigurovat jejich relativní prioritu. Pokud do klienta nasadíte více zásad, použije k určení nastavení hodnotu priority.

Od verze 2006 můžete pro tuto úlohu použít rutiny Prostředí Windows PowerShell. Další informace najdete v tématu New-CMBlmSetting.

Nasazení zásady

1. V uzlu správa nástroje BitLocker zvolte existující zásadu. Na pásu karet vyberte Nasadit.

2. Jako cíl nasazení vyberte kolekci zařízení.

3. Pokud chcete, aby zařízení mohlo své jednotky kdykoli zašifrovat nebo dešifrovat, vyberte možnost Povolit nápravu mimo časové období údržby. Pokud má kolekce nějaká časová období údržby, přesto tuto zásadu nástroje BitLocker opraví.

4. Nakonfigurujte jednoduchý nebo vlastní plán. Klient vyhodnocuje dodržování předpisů na základě nastavení zadaných v plánu.

5. Vyberte OK a nasaďte zásadu.

Můžete vytvořit několik nasazení stejné zásady. Pokud chcete zobrazit další informace o každém nasazení, vyberte zásadu v uzlu Správa nástroje BitLocker a pak v podokně podrobností přepněte na kartu Nasazení. Pro tuto úlohu můžete také použít rutiny Prostředí Windows PowerShell. Další informace najdete v tématu New-CMSettingDeployment.

Důležité

Pokud je aktivní připojení protokolu RDP (Remote Desktop Protocol), klient MBAM nespustí akce nástroje BitLocker Drive Encryption. Zavřete všechna vzdálená připojení konzoly a přihlaste se k relaci konzoly pomocí uživatelského účtu domény. Pak se spustí nástroj BitLocker Drive Encryption a klient nahraje obnovovací klíče a balíčky. Pokud se přihlásíte pomocí místního uživatelského účtu, nástroj BitLocker Drive Encryption se nespustí.

Pomocí protokolu RDP se můžete pomocí přepínače vzdáleně připojit k relaci konzoly zařízení /admin . Například: mstsc.exe /admin /v:<IP address of device>

Relace konzoly je buď ve fyzické konzole počítače, nebo vzdálené připojení, které je stejné, jako když jste ve fyzické konzole počítače.

Sledování

Podívejte se na základní statistiky dodržování předpisů o nasazení zásad v podokně podrobností uzlu pro správu nástroje BitLocker :

• Počet dodržování předpisů
• Počet selhání
• Počet nedodržování předpisů

Přepněte na kartu Nasazení , kde se zobrazí procento dodržování předpisů a doporučená akce. Vyberte nasazení a pak na pásu karet vyberte Zobrazit stav. Tato akce přepne zobrazení do uzlu Pracovní prostor Monitorování , Nasazení . Podobně jako u nasazení jiných nasazení zásad konfigurace můžete v tomto zobrazení zobrazit podrobnější stav dodržování předpisů.

Informace o tom, proč klienti hlásí, že nedodržují zásady správy nástroje BitLocker, najdete v tématu Kódy nekompatibilních předpisů.

Další informace o řešení potíží najdete v tématu Řešení potíží s nástrojem BitLocker.

K monitorování a řešení potíží použijte následující protokoly:

Protokoly klientů

• Protokol událostí MBAM: V Prohlížeči událostí systému Windows přejděte na Aplikace a služby>Microsoft>Windows>MBAM. Další informace najdete v tématech Protokoly událostí nástroje BitLocker a Protokoly událostí klienta.

• BitlockerManagementHandler.log a BitlockerManagement_GroupPolicyHandler.log v cestě %WINDIR%\CCM\Logs k protokolům klienta ve výchozím nastavení

Protokoly bodů správy (recovery service)

• Protokol událostí služby Recovery Service: V Prohlížeči událostí systému Windows přejděte na aplikace a služby>Microsoft>Windows>MBAM-Web. Další informace najdete v tématech Protokoly událostí nástroje BitLocker a Protokoly událostí serveru.

• Protokoly trasování služby Recovery Service: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Aspekty migrace

Pokud v současné době používáte nástroj Microsoft BitLocker Administration and Monitoring (MBAM), můžete bez problémů migrovat správu do nástroje Configuration Manager. Když nasadíte zásady správy nástroje BitLocker v nástroji Configuration Manager, klienti automaticky nahrají obnovovací klíče a balíčky do služby obnovení nástroje Configuration Manager.

Důležité

Pokud při migraci ze samostatného MBAM na správu BitLockeru nástroje Configuration Manager potřebujete existující funkce samostatného MBAM, nepoužívejte samostatné servery MBAM nebo komponenty opakovaně se správou Nástroje BitLocker nástroje Configuration Manager. Pokud tyto servery znovu použijete, přestane samostatný MBAM fungovat, když správa Nástroje BitLocker configuration Manager na tyto servery nainstaluje jeho součásti. Nepoužívejte skript MBAMWebSiteInstaller.ps1 k nastavení portálů BitLockeru na samostatných serverech MBAM. Při nastavování správy nástroje BitLocker nástroje Configuration Manager používejte samostatné servery.

Zásady skupiny

• Nastavení správy nástroje BitLocker jsou plně kompatibilní s nastavením zásad skupiny MBAM. Pokud zařízení obdrží nastavení zásad skupiny i zásady Configuration Manageru, nakonfigurujte je tak, aby odpovídaly.

  Poznámka

  Pokud pro samostatnou správu MBAM existuje nastavení zásad skupiny, přepíše se odpovídající nastavení, o které se pokusil Configuration Manager. Samostatný MBAM používá zásady skupiny domény, zatímco Configuration Manager nastavuje místní zásady pro správu bitlockeru. Zásady domény přepíší místní zásady správy nástroje BitLocker nástroje Configuration Manager. Pokud zásady skupiny samostatné domény MBAM neodpovídají zásadám Configuration Manageru, správa BitLockeru nástroje Configuration Manager selže. Pokud například zásady skupiny domény nastaví samostatný server MBAM pro služby obnovení klíčů, správa Nástroje BitLocker nástroje Configuration Manager nemůže nastavit stejné nastavení pro bod správy. Toto chování způsobí, že klienti nebudou hlásit své obnovovací klíče službě obnovení klíčů pro správu nástroje BitLocker nástroje Configuration Manager v bodě správy.

• Configuration Manager neimplementuje všechna nastavení zásad skupiny MBAM. Pokud v zásadách skupiny nakonfigurujete další nastavení, agent pro správu BitLockeru na klientech Nástroje Configuration Manager tato nastavení respektuje.

  Důležité

  Nenastavujte zásady skupiny pro nastavení, které už zadává správa Nástroje BitLocker nástroje Configuration Manager. Nastavte zásady skupiny jenom pro nastavení, která aktuálně neexistují ve správě nástroje BitLocker nástroje Configuration Manager. Configuration Manager verze 2002 má paritu funkcí se samostatným MBAM. S Configuration Managerem verze 2002 a novějšími by ve většině instancí neměl být důvod k nastavení zásad skupiny domény pro konfiguraci zásad nástroje BitLocker. Pokud chcete zabránit konfliktům a problémům, nepoužívejte zásady skupiny pro Nástroj BitLocker. Nakonfigurujte všechna nastavení prostřednictvím zásad správy nástroje BitLocker nástroje Configuration Manager.

Hodnota hash hesla TPM

• Předchozí klienti MBAM nenahrají hodnotu hash hesla TPM do Configuration Manageru. Klient nahraje hodnotu hash hesla TPM jenom jednou.

• Pokud potřebujete migrovat tyto informace do služby obnovení nástroje Configuration Manager, vymažte na zařízení čip TPM. Po restartování nahraje novou hodnotu hash hesla TPM do služby Recovery Service.

Poznámka

Nahrání hodnoty hash hesel TPM se týká hlavně verzí Windows před Windows 10. Systém Windows 10 nebo novější ve výchozím nastavení neukládá hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu Informace o hesle vlastníka čipu TPM.

Opětovné šifrování

Configuration Manager nepřešifruje jednotky, které už jsou chráněné nástrojem BitLocker Drive Encryption. Pokud nasadíte zásadu správy nástroje BitLocker, která neodpovídá aktuální ochraně jednotky, hlásí se jako nevyhovující. Jednotka je stále chráněná.

Například jste použili MBAM k šifrování jednotky pomocí šifrovacího algoritmu AES-XTS 128, ale zásady Configuration Manageru vyžadují AES-XTS 256. Jednotka nevyhovuje zásadám, i když je zašifrovaná.

Pokud chcete toto chování obejít, nejprve na zařízení zakažte Nástroj BitLocker. Pak nasaďte novou zásadu s novým nastavením.

Spoluspráva a Intune

Obslužná rutina klienta nástroje Configuration Manager pro Nástroj BitLocker využívá spolusprávu. Pokud je zařízení spoluspravované a vy přepnete úlohu Endpoint Protection na Intune, pak klient Configuration Manageru ignoruje své zásady bitlockeru. Zařízení získá zásady šifrování Windows z Intune.

Poznámka

Přepnutí autorit pro správu šifrování při zachování požadovaného šifrovacího algoritmu nevyžaduje u klienta žádné další akce. Pokud ale přepnete autority pro správu šifrování a změní se také požadovaný šifrovací algoritmus, budete muset naplánovat opětovné šifrování.

Další informace o správě nástroje BitLocker pomocí Intune najdete v následujících článcích:

• Použití šifrování zařízení s Intune
• Řešení potíží se zásadami nástroje BitLocker v Microsoft Intune

Další kroky

Informace o službě obnovení nástroje BitLocker

Nastavení sestav a portálů Nástroje BitLocker