Sdílet prostřednictvím

Plánování správy nástrojem BitLocker

  • Článek

Platí pro: Configuration Manager (Current Branch)

Pomocí Configuration Manager můžete spravovat nástroj BitLocker Drive Encryption (BDE) pro místní klienty Windows, kteří jsou připojení ke službě Active Directory. Poskytuje úplnou správu životního cyklu nástroje BitLocker, která může nahradit používání nástroje Microsoft BitLocker Administration and Monitoring (MBAM).

Poznámka

Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

Další obecné informace o nástroji BitLocker najdete v tématu Přehled nástroje BitLocker. Porovnání nasazení nástroje BitLocker a požadavků najdete v grafu porovnání nasazení nástroje BitLocker.

Tip

Pokud chcete spravovat šifrování na společně spravovaných Windows 10 nebo novějších zařízeních pomocí cloudové služby Microsoft Intune, přepněte úlohu Endpoint Protection na Intune. Další informace o používání Intune najdete v tématu Šifrování Windows.

Vlastnosti

Configuration Manager poskytuje následující možnosti správy nástroje BitLocker Drive Encryption:

Nasazení klienta

  • Nasaďte klienta Nástroje BitLocker na spravovaná zařízení s Windows se systémem Windows 8.1, Windows 10 nebo Windows 11.

  • Správa zásad nástroje BitLocker a obnovovacích klíčů pro úschovu pro místní a internetové klienty

Správa zásad šifrování

  • Například: zvolte šifrování jednotky a sílu šifry, nakonfigurujte zásady výjimek uživatelů a nastavení šifrování pevných datových jednotek.

  • Určete algoritmy, pomocí kterých se má zařízení zašifrovat, a disky, jejichž cílem je šifrování.

  • Vynuťte, aby uživatelé před použitím zařízení dodržovali nové zásady zabezpečení.

  • Přizpůsobte si profil zabezpečení vaší organizace na základě jednotlivých zařízení.

  • Když uživatel odemkne jednotku operačního systému, určete, jestli se má odemknout jenom jednotka operačního systému, nebo všechny připojené jednotky.

Sestavy dodržování předpisů

Integrované sestavy pro:

  • Stav šifrování podle svazku nebo zařízení
  • Primární uživatel zařízení
  • Stav dodržování předpisů
  • Důvody pro nedodržování předpisů

Web pro správu a monitorování

Umožnit jiným osobám ve vaší organizaci mimo konzolu Configuration Manager pomoct s obnovením klíčů, včetně obměny klíčů a další podpory související s nástrojem BitLocker. Například správci helpdesku můžou uživatelům pomoct s obnovením klíče.

Tip

Od verze 2107 můžete také získat obnovovací klíče nástroje BitLocker pro zařízení připojené k tenantovi z Centra pro správu Microsoft Intune. Další informace najdete v tématu Připojení tenanta: Obnovovací klíče nástroje BitLocker.

Samoobslužný portál uživatele

Umožněte uživatelům pomoct si pomocí klíče na jedno použití pro odemknutí šifrovaného zařízení nástrojem BitLocker. Jakmile se tento klíč použije, vygeneruje nový klíč pro zařízení.

Požadavky

Obecné požadavky

  • Pokud chcete vytvořit zásady správy nástroje BitLocker, potřebujete v Configuration Manager roli Úplný správce.

  • Pokud chcete používat sestavy správy nástroje BitLocker, nainstalujte roli systému lokality bodu služby Reporting Services. Další informace najdete v tématu Konfigurace vytváření sestav.

    Poznámka

    Aby sestava auditu obnovení fungovala z webu pro správu a monitorování, použijte pouze bod služby Reporting Services v primární lokalitě.

Požadavky pro klienty

  • Zařízení vyžaduje čip TPM, který je povolený v systému BIOS a je možné ho resetovat z Windows.

    Microsoft doporučuje zařízení s čipem TPM verze 2.0 nebo novější. Zařízení s čipem TPM verze 1.2 nemusí správně podporovat všechny funkce nástroje BitLocker.

  • Pevný disk počítače vyžaduje systém BIOS, který je kompatibilní s čipem TPM a který podporuje zařízení USB během spouštění počítače.

Poznámka

Nahrání hodnoty hash hesel TPM se týká hlavně verzí Windows před Windows 10. Windows 10 nebo novějším ve výchozím nastavení neukládá hodnotu hash hesla TPM, takže tato zařízení ji obvykle nenahrají. Další informace najdete v tématu Informace o hesle vlastníka čipu TPM.

Správa BitLockeru nepodporuje všechny typy klientů podporované Configuration Manager. Další informace najdete v tématu Podporované konfigurace.

Požadavky na službu Recovery Service

  • Ve verzi 2010 a starších vyžaduje služba obnovení nástroje BitLocker protokol HTTPS k šifrování obnovovacích klíčů v síti od klienta Configuration Manager do bodu správy. Použijte jednu z následujících možností:

    • HTTPS – povolte web služby IIS v bodě správy, který je hostitelem služby Recovery Service.

    • Nakonfigurujte bod správy pro HTTPS.

    Další informace najdete v tématu Šifrování dat obnovení přes síť.

    Poznámka

    Pokud lokalita i klienti používají Configuration Manager verze 2103 nebo novější, klienti odesílají své obnovovací klíče do bodu správy přes kanál oznámení zabezpečeného klienta. Pokud mají klienti verzi 2010 nebo starší, potřebují v bodě správy službu obnovení s podporou protokolu HTTPS, aby mohli své klíče uschovat.

    Od verze 2103, protože klienti používají zabezpečený kanál oznámení klienta pro klíče pro úschovu, můžete povolit Configuration Manager lokalitu pro rozšířený protokol HTTP. Tato konfigurace nemá vliv na funkce správy nástrojem BitLocker v Configuration Manager.

  • Ve verzi 2010 a starších potřebujete k použití služby Recovery Service alespoň jeden bod správy, který není v konfiguraci repliky. Přestože se služba obnovení bitlockeru nainstaluje na bod správy, který používá repliku databáze, klienti nemůžou obnovovací klíče vy escovat. BitLocker pak jednotku nezašifruje. Zakažte službu obnovení nástroje BitLocker v jakémkoli bodě správy s replikou databáze.

    Od verze 2103 podporuje služba recovery service body správy, které používají repliku databáze.

Požadavky na portály BitLockeru

  • Pokud chcete používat samoobslužný portál nebo web pro správu a monitorování, potřebujete windows server se službou IIS. Můžete znovu použít Configuration Manager systému lokality nebo použít samostatný webový server, který má připojení k serveru databáze lokality. Pro servery systému lokality použijte podporovanou verzi operačního systému.

  • Na webovém serveru, který bude hostitelem samoobslužného portálu, nainstalujte microsoft ASP.NET MVC 4.0 a funkci rozhraní .NET Framework 3.5 a teprve potom zíráte proces instalace. Další požadované role a funkce windows serveru se nainstalují automaticky během procesu instalace portálu.

    Tip

    S ASP.NET MVC nemusíte instalovat žádnou verzi sady Visual Studio.

  • Uživatelský účet, který spouští instalační skript portálu, musí SQL Server oprávnění správce systému na serveru databáze lokality. Během procesu instalace skript nastaví oprávnění k přihlášení, uživateli a SQL Server role pro účet počítače s webovým serverem. Tento uživatelský účet můžete odebrat z role správce systému po dokončení nastavení samoobslužného portálu a webu pro správu a monitorování.

Podporované konfigurace

  • Správa nástroje BitLocker se nepodporuje na virtuálních počítačích ani v serverových edicích. Například správa nástroje BitLocker nespustí šifrování na pevných jednotkách virtuálních počítačů. Pevné jednotky ve virtuálních počítačích se navíc můžou zobrazovat jako vyhovující, i když nejsou šifrované.

  • Od verze 2409 teď Configuration Manager podporuje kroky pořadí úkolů nástroje BitLocker pro zařízení ARM. Ve správě BitLockeru jsou teď zásady, které zahrnují šifrování jednotky s operačním systémem s ochranou TPM a šifrování pevných jednotek s možností automatického odemknutí, kompatibilní se zařízeními ARM.

  • Ve verzi 2010 a starších verzích se nepodporují klienti Microsoft Entra připojení, klienti pracovní skupiny nebo klienti v nedůvěryhodných doménách. V těchto starších verzích Configuration Manager podporuje správa BitLockeru jenom zařízení, která jsou připojená k místní Active Directory včetně Microsoft Entra hybridních zařízení. Tato konfigurace slouží k ověření ve službě Recovery Service pro klíče úschovy.

    Od verze 2103 Configuration Manager podporuje všechny typy připojení klientů pro správu nástroje BitLocker. Komponenta uživatelského rozhraní nástroje BitLocker na straně klienta je však stále podporována pouze na zařízeních připojených službou Active Directory a Microsoft Entra zařízeních připojených k hybridním připojením.

  • Od verze 2010 teď můžete spravovat zásady nástroje BitLocker a ukládaní obnovovacích klíčů přes bránu pro správu cloudu (CMG). Tato změna také poskytuje podporu pro správu bitlockeru prostřednictvím internetové správy klientů (IBCM). Proces nastavení pro správu BitLockeru se nijak nemění. Toto vylepšení podporuje zařízení připojená k doméně a hybridní zařízení připojená k doméně. Další informace najdete v tématu Nasazení agenta pro správu: Recovery Service.

    • Pokud máte zásady správy nástroje BitLocker, které jste vytvořili před aktualizací na verzi 2010, chcete je zpřístupnit internetovým klientům prostřednictvím CMG:
      1. V konzole Configuration Manager otevřete vlastnosti existující zásady.
      2. Přepněte na kartu Správa klientů .
      3. Výběrem OK nebo Použít zásadu uložte. Tato akce upraví zásady tak, aby byly dostupné klientům přes CMG.

  • Krok pořadí úkolů Povolit nástroj BitLocker ve výchozím nastavení šifruje pouze využité místo na jednotce. Správa Nástroje BitLocker používá úplné šifrování disku . Nakonfigurujte tento krok pořadí úkolů tak, aby povolte možnost Použít úplné šifrování disku.

    Od verze 2203 můžete tento krok pořadí úkolů nakonfigurovat tak, aby ukládaly informace nástroje BitLocker pro obnovení svazku operačního systému Configuration Manager.

    Další informace najdete v tématu Kroky pořadí úkolů – povolení Nástroje BitLocker.

Důležité

Skript PowerShellu Invoke-MbamClientDeployment.ps1 je určený jenom pro samostatné MBAM . Neměl by se používat se správou nástroje BitLocker Configuration Manager.

Další kroky

Šifrování dat obnovení přes síť