Website für die BitLocker-Verwaltung und -Überwachung
Gilt für: Configuration Manager (Current Branch)
Die BitLocker-Verwaltungs- und Überwachungswebsite ist eine Verwaltungsschnittstelle für die BitLocker-Laufwerkverschlüsselung. Es wird auch als Helpdesk-Portal bezeichnet. Verwenden Sie diese Website, um Berichte zu überprüfen, die Laufwerke von Benutzern wiederherzustellen und Geräte-TPMs zu verwalten.
Bevor Sie sie verwenden können, installieren Sie diese Komponente auf einem Webserver. Weitere Informationen finden Sie unter Einrichten von BitLocker-Berichten und -Portalen.
Greifen Sie über die folgende URL auf die Verwaltungs- und Überwachungswebsite zu: https://webserver.contoso.com/HelpDesk
Hinweis
Sie können den Wiederherstellungsüberwachungsbericht auf der Verwaltungs- und Überwachungswebsite anzeigen. Sie fügen dem Reporting Services-Punkt weitere BitLocker-Verwaltungsberichte hinzu. Weitere Informationen finden Sie unter Anzeigen von BitLocker-Berichten.
Gruppen
Für den Zugriff auf bestimmte Bereiche der Verwaltungs- und Überwachungswebsite muss sich Ihr Benutzerkonto in einer der folgenden Gruppen befinden. Erstellen Sie diese Gruppen in Active Directory mit einem beliebigen Namen. Wenn Sie diese Website installieren, geben Sie diese Gruppennamen an. Weitere Informationen finden Sie unter Einrichten von BitLocker-Berichten und -Portalen.
Gruppe | Beschreibung |
---|---|
BitLocker-Helpdesk-Administratoren | Bietet Zugriff auf alle Bereiche der Verwaltungs- und Überwachungswebsite. Wenn Sie einem Benutzer beim Wiederherstellen seiner Laufwerke helfen, geben Sie nur den Wiederherstellungsschlüssel und nicht die Domäne und den Benutzernamen ein. Wenn ein Benutzer sowohl Mitglied dieser Gruppe als auch der BitLocker-Helpdesk-Benutzergruppe ist, überschreiben die Administratorgruppenberechtigungen die Benutzergruppenberechtigungen. |
BitLocker-Helpdeskbenutzer | Bietet Zugriff auf die Bereiche TPM verwalten und Laufwerkwiederherstellung der Verwaltungs- und Überwachungswebsite. Wenn Sie einen der beiden Bereiche verwenden, müssen Sie alle Felder ausfüllen, einschließlich der Domäne und des Kontonamens des Benutzers. Wenn ein Benutzer sowohl Mitglied dieser Gruppe als auch der BitLocker-Helpdesk-Administratorgruppe ist, setzen die Berechtigungen der Administratorgruppe die Berechtigungen der Benutzergruppe außer Kraft. |
BitLocker-Berichtsbenutzer | Ermöglicht den Zugriff auf den Berichtsbereich der Verwaltungs- und Überwachungswebsite. |
Tpm verwalten
Wenn ein Benutzer die falsche PIN zu oft eingibt, kann er das TPM sperren. Die Häufigkeit, mit der ein Benutzer eine falsche PIN eingeben kann, bevor die TPM-Sperren ausgeführt werden, variiert von Hersteller zu Hersteller. Greifen Sie über den Bereich TPM verwalten der Verwaltungs- und Überwachungswebsite auf das zentralisierte Schlüsselwiederherstellungsdatensystem zu.
Weitere Informationen zum TPM-Besitz finden Sie unter Konfigurieren von MBAM zum Escrow des TPM und Speichern von OwnerAuth-Kennwörtern.
Hinweis
Ab Windows 10 Version 1607 behält Windows das TPM-Besitzerkennwort bei der Bereitstellung des TPM nicht bei.
Wechseln Sie im Webbrowser zur Verwaltungs- und Überwachungswebsite, z. B
https://webserver.contoso.com/HelpDesk
. .Wählen Sie im linken Bereich den Bereich TPM verwalten aus.
Geben Sie den vollqualifizierten Domänennamen für den Computer und den Computernamen ein.
Geben Sie ggf. die Domäne und den Benutzernamen des Benutzers ein, um die Kennwortdatei des TPM-Besitzers abzurufen.
Wählen Sie eine der folgenden Optionen für die Datei Grund für die Anforderung des TPM-Besitzerkennworts aus:
- PIN-Sperrung zurücksetzen
- Aktivieren von TPM
- TPM deaktivieren
- Ändern des TPM-Kennworts
- TPM löschen
- Andere
Nach dem Absenden des Formulars gibt die Website eine der folgenden Antworten zurück:
Wenn keine übereinstimmende TPM-Besitzerkennwortdatei gefunden werden kann, wird eine Fehlermeldung zurückgegeben.
Die TPM-Besitzerkennwortdatei für den übermittelten Computer
Nachdem Sie die Kennwortdatei des TPM-Besitzers abgerufen haben, zeigt die Website das Besitzerkennwort an.
Um das Kennwort in einer Datei zu speichern, wählen Sie Speichern aus.
Wählen Sie im Bereich TPM verwalten die Option TPM-Sperre zurücksetzen aus, und geben Sie die Kennwortdatei des TPM-Besitzers an.
Die TPM-Sperre wird zurückgesetzt. BitLocker stellt den Zugriff des Benutzers auf das Gerät wieder her.
Wichtig
Geben Sie den TPM-Hashwert oder die TPM-Besitzerkennwortdatei nicht weiter.
Laufwerkswiederherstellung
Tipp
Ab Version 2107 können Sie auch BitLocker-Wiederherstellungsschlüssel für ein an einen Mandanten angefügtes Gerät aus dem Microsoft Intune Admin Center abrufen. Weitere Informationen finden Sie unter Mandantenanfügung: BitLocker-Wiederherstellungsschlüssel.
Wiederherstellen eines Laufwerks im Wiederherstellungsmodus
Laufwerke wechseln in den folgenden Szenarien in den Wiederherstellungsmodus:
- Der Benutzer verliert oder vergisst seine PIN oder sein Kennwort.
- Trusted Module Platform (TPM) erkennt Änderungen am BIOS oder den Startdateien des Computers.
Um ein Wiederherstellungskennwort zu erhalten, verwenden Sie den Bereich Laufwerkwiederherstellung der Verwaltungs- und Überwachungswebsite.
Wichtig
Wiederherstellungskennwörter laufen nach einer einmaligen Verwendung ab. Auf Betriebssystemlaufwerken und Festplattenlaufwerken wird die Regel für einmalige Verwendung automatisch angewendet. Auf Wechseldatenträgern gilt dies, wenn Sie das Laufwerk entfernen und erneut einfügen.
Wechseln Sie im Webbrowser zur Verwaltungs- und Überwachungswebsite, z. B
https://webserver.contoso.com/HelpDesk
. .Wählen Sie im linken Bereich den Bereich Laufwerkwiederherstellung aus.
Geben Sie ggf. die Domäne und den Benutzernamen des Benutzers ein, um Wiederherstellungsinformationen anzuzeigen.
Um eine Liste der möglichen übereinstimmenden Wiederherstellungsschlüssel anzuzeigen, geben Sie die ersten acht Ziffern der Wiederherstellungsschlüssel-ID ein. Um den genauen Wiederherstellungsschlüssel abzurufen, geben Sie die gesamte Wiederherstellungsschlüssel-ID ein.
Wählen Sie eine der folgenden Optionen als Grund für die Laufwerkentsperrung aus:
- Startreihenfolge des Betriebssystems geändert
- BIOS geändert
- Betriebssystemdateien geändert
- Startschlüssel verloren
- PIN verloren
- TPM-Zurücksetzung
- Passphrase verloren
- Verlorene Smartcard
- Andere
Nach dem Absenden des Formulars gibt die Website eine der folgenden Antworten zurück:
Wenn der Benutzer über mehrere übereinstimmende Wiederherstellungskennwörter verfügt, werden mehrere mögliche Übereinstimmungen zurückgegeben.
Das Wiederherstellungskennwort und das Wiederherstellungspaket für den übermittelten Benutzer.
Hinweis
Wenn Sie ein beschädigtes Laufwerk wiederherstellen, stellt die Wiederherstellungspaketoption BitLocker wichtige Informationen bereit, die es zum Wiederherstellen des Laufwerks benötigt.
Wenn kein passendes Wiederherstellungskennwort gefunden werden kann, wird eine Fehlermeldung zurückgegeben.
Nachdem Sie das Wiederherstellungskennwort und das Wiederherstellungspaket abgerufen haben, zeigt die Website das Wiederherstellungskennwort an.
Um das Kennwort zu kopieren, wählen Sie Schlüssel kopieren aus. Wählen Sie Speichern aus, um das Wiederherstellungskennwort in einer Datei zu speichern.
Um das Laufwerk zu entsperren, geben Sie das Wiederherstellungskennwort ein, oder verwenden Sie das Wiederherstellungspaket.
Wiederherstellen eines verschobenen Laufwerks
Wenn Sie ein Laufwerk auf einen neuen Computer verschieben, da das TPM anders ist, akzeptiert BitLocker die vorherige PIN nicht. Um das verschobene Laufwerk wiederherzustellen, rufen Sie die Wiederherstellungsschlüssel-ID ab, um das Wiederherstellungskennwort abzurufen.
Verwenden Sie zum Wiederherstellen eines verschobenen Laufwerks den Bereich Laufwerkwiederherstellung der Verwaltungs- und Überwachungswebsite.
Starten Sie den Computer auf dem Computer mit dem verschobenen Laufwerk im Windows-Wiederherstellungsumgebungsmodus (WinRE).
In WinRE behandelt BitLocker das verschobene Betriebssystemlaufwerk als Festplattenlaufwerk. BitLocker zeigt die Wiederherstellungskennwort-ID des Laufwerks an und fordert sie zur Eingabe des Wiederherstellungskennworts auf.
Hinweis
In einigen Situationen während des Startvorgangs wählen Sie Ich habe die PIN vergessen , wenn die Option verfügbar ist. Wechseln Sie dann in den Wiederherstellungsmodus, um die Wiederherstellungsschlüssel-ID anzuzeigen.
Verwenden Sie die Wiederherstellungsschlüssel-ID, um das Wiederherstellungskennwort von der Verwaltungs- und Überwachungswebsite abzurufen. Weitere Informationen finden Sie unter Wiederherstellen eines Laufwerks im Wiederherstellungsmodus.
Wenn Sie das verschobene Laufwerk für die Verwendung eines TPM-Chips auf dem ursprünglichen Computer konfiguriert haben, führen Sie die folgenden Schritte aus. Andernfalls ist der Wiederherstellungsvorgang abgeschlossen.
Nachdem Sie das Laufwerk entsperrt haben, starten Sie den Computer im WinRE-Modus. Öffnen Sie eine Eingabeaufforderung in WinRE, und verwenden Sie den
manage-bde
Befehl, um das Laufwerk zu entschlüsseln. Dieses Tool ist die einzige Möglichkeit, die TPM- und PIN-Schutzvorrichtung ohne den ursprünglichen TPM-Chip zu entfernen. Weitere Informationen zu diesem Befehl finden Sie unter Manage-bde.Starten Sie den Computer nach Abschluss des Vorgangs normal. Configuration Manager erzwingen die BitLocker-Richtlinie, um das Laufwerk mit dem TPM plus PIN des neuen Computers zu verschlüsseln.
Wiederherstellen eines beschädigten Laufwerks
Verwenden Sie die Wiederherstellungsschlüssel-ID, um ein Wiederherstellungsschlüsselpaket von der Verwaltungs- und Überwachungswebsite abzurufen. Weitere Informationen finden Sie unter Wiederherstellen eines Laufwerks im Wiederherstellungsmodus.
Speichern Sie das Wiederherstellungsschlüsselpaket auf Ihrem Computer, und kopieren Sie es dann auf den Computer mit dem beschädigten Laufwerk.
Öffnen Sie eine Eingabeaufforderung als Administrator, und geben Sie den folgenden Befehl ein:
repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>
Ersetzen Sie die folgenden Werte:
-
<corrupted drive>
: Der Laufwerkbuchstabe des beschädigten Laufwerks, z. B.D:
-
<fixed drive>
: Der Laufwerkbuchstabe eines verfügbaren Festplattenlaufwerks mit einer ähnlichen oder größeren Größe als das beschädigte Laufwerk. BitLocker stellt Daten auf dem beschädigten Laufwerk wieder her und verschiebt sie auf das angegebene Laufwerk. Alle Daten auf diesem Laufwerk werden überschrieben. -
<key package>
: Der Speicherort des Wiederherstellungsschlüsselpakets. -
<recovery password>
: Das zugeordnete Wiederherstellungskennwort
Beispiel:
repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888
-
Weitere Informationen zu diesem Befehl finden Sie unter Repair-bde.
Berichte
Die Verwaltungs- und Überwachungswebsite enthält den Wiederherstellungsüberwachungsbericht. Weitere Berichte sind über den Configuration Manager Reporting Services-Punkt verfügbar. Weitere Informationen finden Sie unter Anzeigen von BitLocker-Berichten.
Wechseln Sie im Webbrowser zur Verwaltungs- und Überwachungswebsite, z. B
https://webserver.contoso.com/HelpDesk
. .Wählen Sie im linken Bereich den Bereich Berichte aus.
Wählen Sie in der oberen Menüleiste den Wiederherstellungsüberwachungsbericht aus.
Weitere Informationen zu diesem Bericht finden Sie unter Wiederherstellungsüberwachungsbericht.
Tipp
Wählen Sie zum Speichern von Berichtsergebnissen in der Menüleiste Berichte die Option Exportieren aus.