Migrace z MBAM
Platí pro: Configuration Manager (Current Branch)
Pokud v současné době používáte Microsoft nástroji BitLocker Administration and Monitoring (MBAM), můžete bez problémů migrovat správu do Configuration Manager. Když nasadíte zásady správy nástroje BitLocker v Configuration Manager, klienti automaticky obměňují své klíče a nahrávají je do služby Configuration Manager Recovery Service.
Důležité
Pokud při migraci ze samostatného MBAM na Configuration Manager správu Nástroje BitLocker vyžadujete existující funkce samostatného MBAM, nepoužívejte samostatné servery NEBO komponenty MBAM s Configuration Manager správou nástroje BitLocker. Pokud tyto servery znovu použijete, přestane samostatný MBAM fungovat, když Configuration Manager správa Nástroje BitLocker na tyto servery nainstaluje jeho součásti. Nepoužívejte skript MBAMWebSiteInstaller.ps1 k nastavení portálů BitLockeru na samostatných serverech MBAM. Při nastavování správy nástroje BitLocker Configuration Manager používejte samostatné servery.
Zásady skupiny
Pokud pro samostatnou aplikaci MBAM existuje nastavení zásad skupiny, přepíše se ekvivalentní nastavení, které Configuration Manager pokusil. Samostatný MBAM používá zásady skupiny domény, zatímco Configuration Manager nastavuje místní zásady pro správu BitLockeru. Zásady domény přepíšou zásady správy místního Configuration Manager BitLockeru. Pokud zásady skupiny samostatné domény MBAM neodpovídají zásadám Configuration Manager, Configuration Manager správa nástroje BitLocker selže. Pokud například zásady skupiny domény nastaví samostatný server MBAM pro služby obnovení klíčů, Configuration Manager správa Nástroje BitLocker nemůže nastavit stejné nastavení pro svou službu obnovení. Toto chování způsobí, že klienti nebudou hlásit své obnovovací klíče službě Configuration Manager obnovení pro správu nástroje BitLocker.
Nenastavujte zásady skupiny pro nastavení, které Configuration Manager správa Nástroje BitLocker už určuje. Nastavte zásady skupiny jenom pro nastavení, která v současné době neexistují ve správě nástroje Configuration Manager BitLocker. Configuration Manager má paritu funkcí se samostatným MBAM. Ve většině případů by neměl být důvod k nastavení zásad skupiny domény pro konfiguraci zásad nástroje BitLocker. Pokud chcete zabránit konfliktům a problémům, nepoužívejte zásady skupiny pro Nástroj BitLocker. Nakonfigurujte všechna nastavení prostřednictvím zásad správy nástroje Configuration Manager bitlockeru.
Hodnota hash hesla TPM
Předchozí klienti MBAM nenahrají hodnotu hash hesla TPM do Configuration Manager. Klient nahraje hodnotu hash hesla TPM jenom jednou.
Pokud potřebujete tyto informace migrovat do služby Configuration Manager Recovery Service, vymažte na zařízení čip TPM. Po restartování nahraje novou hodnotu hash hesla TPM do služby Recovery Service.
Poznámka
Nahrání hodnoty hash hesel TPM se týká hlavně verzí Windows před Windows 10. Windows 10 nebo novější ve výchozím nastavení neuloží hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu Informace o hesle vlastníka čipu TPM.
Opětovné šifrování
Configuration Manager znovu nešifruje jednotky, které jsou už chráněné nástrojem BitLocker Drive Encryption. Pokud nasadíte zásadu správy nástroje BitLocker, která neodpovídá aktuální ochraně jednotky, hlásí se jako nevyhovující. Jednotka je stále chráněná.
Například jste použili MBAM k šifrování jednotky pomocí šifrovacího algoritmu AES-XTS 128, ale zásady Configuration Manager vyžadují AES-XTS 256. Jednotka nevyhovuje zásadám, i když je zašifrovaná.
Pokud chcete toto chování obejít, nejprve na zařízení zakažte Nástroj BitLocker. Pak nasaďte novou zásadu s novým nastavením.