Distribuire la gestione di BitLocker
Si applica a: Configuration Manager (Current Branch)
La gestione di BitLocker in Configuration Manager include i componenti seguenti:
Agente di gestione BitLocker: Configuration Manager abilita questo agente in un dispositivo quando si crea un criterio e lo si distribuisce in una raccolta.
Servizio di ripristino: componente server che riceve i dati di ripristino di BitLocker dai client. Per altre informazioni, vedere Servizio di ripristino.
Prima di creare e distribuire i criteri di gestione di BitLocker:
Esaminare i prerequisiti
Se necessario, crittografare le chiavi di ripristino nel database del sito
Creare un criterio
Quando si crea e si distribuisce questo criterio, il client di Configuration Manager abilita l'agente di gestione BitLocker nel dispositivo.
Nota
Per creare un criterio di gestione di BitLocker, è necessario il ruolo Amministratore completo in Configuration Manager.
Nella console di Configuration Manager passare all'area di lavoro Asset e conformità , espandere Endpoint Protection e selezionare il nodo Gestione BitLocker .
Nella barra multifunzione selezionare Crea criteri di controllo di gestione BitLocker.
Nella pagina Generale specificare un nome e una descrizione facoltativa. Selezionare i componenti da abilitare nei client con questo criterio:
Unità del sistema operativo: gestire se l'unità del sistema operativo è crittografata
Unità fissa: gestire la crittografia per altre unità dati in un dispositivo
Unità rimovibile: gestire la crittografia per le unità che è possibile rimuovere da un dispositivo, ad esempio una chiave USB
Gestione client: gestire il backup del servizio di ripristino delle chiavi delle informazioni di ripristino di Crittografia unità BitLocker
Nella pagina Configurazione configurare le impostazioni globali seguenti per Crittografia unità BitLocker:
Nota
Configuration Manager applica queste impostazioni quando si abilita BitLocker. Se l'unità è già crittografata o è in corso, qualsiasi modifica a queste impostazioni dei criteri non modifica la crittografia dell'unità nel dispositivo.
Se si disabilitano o non si configurano queste impostazioni, BitLocker usa il metodo di crittografia predefinito (AES a 128 bit).
Per i dispositivi Windows 8.1, abilitare l'opzione per il metodo di crittografia dell'unità e il livello di crittografia. Selezionare quindi il metodo di crittografia.
Per i dispositivi Windows 10 o versioni successive, abilitare l'opzione per il metodo di crittografia dell'unità e il livello di crittografia (Windows 10 o versione successiva). Selezionare quindi singolarmente il metodo di crittografia per le unità del sistema operativo, le unità dati fisse e le unità dati rimovibili.
Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Installazione.
Nella pagina Unità del sistema operativo specificare le impostazioni seguenti:
- Impostazioni di crittografia unità del sistema operativo: se si abilita questa impostazione, l'utente deve proteggere l'unità del sistema operativo e BitLocker crittografa l'unità. Se lo disabiliti, l'utente non può proteggere l'unità.
Nei dispositivi con un TPM compatibile, è possibile usare due tipi di metodi di autenticazione all'avvio per fornire una protezione aggiuntiva per i dati crittografati. All'avvio del computer, può usare solo il TPM per l'autenticazione oppure può anche richiedere l'immissione di un PIN (Personal Identification Number). Configurare le seguenti impostazioni:
Selezionare la protezione per l'unità del sistema operativo: configurarla per usare un TPM e un PIN o solo il TPM.
Configurare la lunghezza minima del PIN per l'avvio: se è necessario un PIN, questo valore è la lunghezza più breve che l'utente può specificare. L'utente immette questo PIN all'avvio del computer per sbloccare l'unità. Per impostazione predefinita, la lunghezza minima del PIN è
4
.
Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità del sistema operativo.
Nella pagina Unità fissa specificare le impostazioni seguenti:
Correzione della crittografia dell'unità dati: se si abilita questa impostazione, BitLocker richiede agli utenti di mettere tutte le unità dati fisse sotto protezione. Crittografa quindi le unità dati. Quando si abilita questo criterio, abilitare lo sblocco automatico o le impostazioni per i criteri di password dell'unità dati fissa.
Configurare lo sblocco automatico per l'unità dati fissa: consentire o richiedere a BitLocker di sbloccare automaticamente qualsiasi unità dati crittografata. Per usare lo sblocco automatico, è anche necessario che BitLocker crittografi l'unità del sistema operativo.
Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità fissa.
Nella pagina Unità rimovibile specificare le impostazioni seguenti:
Crittografia unità dati rimovibile: quando si abilita questa impostazione e si consente agli utenti di applicare la protezione BitLocker, il client di Configuration Manager salva le informazioni di ripristino sulle unità rimovibili nel servizio di ripristino nel punto di gestione. Questo comportamento consente agli utenti di ripristinare l'unità se dimenticano o perdono la protezione (password).
Consenti agli utenti di applicare la protezione BitLocker alle unità dati rimovibili: gli utenti possono attivare la protezione BitLocker per un'unità rimovibile.
Criteri password unità dati rimovibile: usare queste impostazioni per impostare i vincoli per le password per sbloccare le unità rimovibili protette da BitLocker.
Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Unità rimovibile.
Nella pagina Gestione client specificare le impostazioni seguenti:
Importante
Per le versioni di Configuration Manager precedenti alla 2103, se non si dispone di un punto di gestione con un sito Web abilitato per HTTPS, non configurare questa impostazione. Per altre informazioni, vedere Servizio di ripristino.
Configurare BitLocker Management Services: quando si abilita questa impostazione, Configuration Manager esegue automaticamente e automaticamente il backup delle informazioni di ripristino delle chiavi nel database del sito. Se si disabilita o non si configura questa impostazione, Configuration Manager non salva le informazioni di ripristino delle chiavi.
Selezionare Le informazioni di ripristino di BitLocker da archiviare: configurarla per l'uso di una password di ripristino e di un pacchetto di chiavi o solo di una password di ripristino.
Consenti l'archiviazione delle informazioni di ripristino in testo normale: senza un certificato di crittografia di gestione BitLocker, Configuration Manager archivia le informazioni di ripristino delle chiavi in testo normale. Per altre informazioni, vedere Crittografare i dati di ripristino nel database.
Per altre informazioni su queste e altre impostazioni in questa pagina, vedere Informazioni di riferimento sulle impostazioni - Gestione client.
Completare la procedura guidata.
Per modificare le impostazioni di un criterio esistente, selezionarlo nell'elenco e selezionare Proprietà.
Quando si creano più criteri, è possibile configurare la relativa priorità. Se si distribuiscono più criteri in un client, viene usato il valore di priorità per determinarne le impostazioni.
A partire dalla versione 2006, è possibile usare i cmdlet di Windows PowerShell per questa attività. Per altre informazioni, vedere New-CMBlmSetting.
Distribuire un criterio
Scegliere un criterio esistente nel nodo Gestione BitLocker . Nella barra multifunzione selezionare Distribuisci.
Selezionare una raccolta di dispositivi come destinazione della distribuzione.
Se si vuole che il dispositivo crittografi o decrittografi le unità in qualsiasi momento, selezionare l'opzione Consenti correzione all'esterno della finestra di manutenzione. Se la raccolta ha finestre di manutenzione, corregge comunque questo criterio BitLocker.
Configurare una pianificazione semplice o personalizzata . Il client valuta la conformità in base alle impostazioni specificate nella pianificazione.
Selezionare OK per distribuire i criteri.
È possibile creare più distribuzioni dello stesso criterio. Per visualizzare informazioni aggiuntive su ogni distribuzione, selezionare il criterio nel nodo Gestione BitLocker e quindi nel riquadro dei dettagli passare alla scheda Distribuzioni . È anche possibile usare i cmdlet di Windows PowerShell per questa attività. Per altre informazioni, vedere New-CMSettingDeployment.
Importante
Se è attiva una connessione RDP (Remote Desktop Protocol), il client MBAM non avvia azioni di crittografia unità BitLocker. Chiudere tutte le connessioni console remote e accedere a una sessione console con un account utente di dominio. Inizia quindi Crittografia unità BitLocker e il client carica le chiavi e i pacchetti di ripristino. Se si accede con un account utente locale, Crittografia unità BitLocker non viene avviato.
È possibile usare RDP per connettersi in remoto alla sessione della console del dispositivo con il /admin
commutatore. Ad esempio: mstsc.exe /admin /v:<IP address of device>
Una sessione della console si verifica quando ci si trova nella console fisica del computer o in una connessione remota che è la stessa di quando ci si trova nella console fisica del computer.
Monitoraggio
Visualizzare le statistiche di conformità di base sulla distribuzione dei criteri nel riquadro dei dettagli del nodo Gestione BitLocker :
- Conteggio conformità
- Numero di errori
- Numero di non conformità
Passare alla scheda Distribuzioni per visualizzare la percentuale di conformità e l'azione consigliata. Selezionare la distribuzione, quindi nella barra multifunzione selezionare Visualizza stato. Questa azione consente di passare alla visualizzazione del nodo Distribuzioni dell'area di lavoro Monitoraggio. Analogamente alla distribuzione di altre distribuzioni di criteri di configurazione, è possibile visualizzare lo stato di conformità più dettagliato in questa visualizzazione.
Per comprendere il motivo per cui i client segnalano non conformi ai criteri di gestione di BitLocker, vedere Codici di non conformità.
Per altre informazioni sulla risoluzione dei problemi, vedere Risolvere i problemi di BitLocker.
Usare i log seguenti per monitorare e risolvere i problemi:
Registri dei client
Registro eventi di MBAM: nel Visualizzatore eventi di Windows passare a Applicazioni e servizi>Microsoft>Windows>MBAM. Per altre informazioni, vedere Informazioni sui log eventi di BitLocker e i log eventi client.
BitlockerManagementHandler.log e BitlockerManagement_GroupPolicyHandler.log nel percorso dei log client,
%WINDIR%\CCM\Logs
per impostazione predefinita
Log dei punti di gestione (servizio di ripristino)
Registro eventi del servizio di ripristino: nel Visualizzatore eventi di Windows passare ad Applicazioni e servizi>Microsoft>Windows>MBAM-Web. Per altre informazioni, vedere Informazioni sui log eventi di BitLocker e i log eventi del server.
Log di traccia del servizio di ripristino:
<Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl
Considerazioni sulla migrazione
Se attualmente si usa l'amministrazione e il monitoraggio di Microsoft BitLocker (MBAM), è possibile eseguire facilmente la migrazione della gestione a Configuration Manager. Quando si distribuiscono i criteri di gestione di BitLocker in Configuration Manager, i client caricano automaticamente chiavi e pacchetti di ripristino nel servizio di ripristino di Configuration Manager.
Importante
Quando si esegue la migrazione da MBAM autonomo alla gestione BitLocker di Configuration Manager, se è necessaria la funzionalità esistente di MBAM autonomo, non riutilizzare i server o i componenti MBAM autonomi con la gestione di BitLocker di Configuration Manager. Se si riutilizzano questi server, MBAM autonomo smetterà di funzionare quando la gestione di BitLocker di Configuration Manager installa i relativi componenti in tali server. Non eseguire lo script MBAMWebSiteInstaller.ps1 per configurare i portali BitLocker nei server MBAM autonomi. Quando si configura la gestione bitlocker di Configuration Manager, usare server separati.
Criteri di gruppo
Le impostazioni di gestione di BitLocker sono completamente compatibili con le impostazioni dei criteri di gruppo di MBAM. Se i dispositivi ricevono sia le impostazioni dei criteri di gruppo che i criteri di Configuration Manager, configurarli in modo che corrispondano.
Nota
Se esiste un'impostazione di Criteri di gruppo per MBAM autonomo, sostituirà l'impostazione equivalente tentata da Configuration Manager. MBAM autonomo usa criteri di gruppo di dominio, mentre Configuration Manager imposta i criteri locali per la gestione di BitLocker. I criteri di dominio sostituiscono i criteri di gestione BitLocker di Configuration Manager locali. Se i criteri di gruppo di dominio MBAM autonomi non corrispondono ai criteri di Configuration Manager, la gestione di BitLocker di Configuration Manager avrà esito negativo. Ad esempio, se un criterio di gruppo di dominio imposta il server MBAM autonomo per i servizi di ripristino delle chiavi, la gestione di BitLocker di Configuration Manager non può impostare la stessa impostazione per il punto di gestione. Questo comportamento fa sì che i client non riportino le chiavi di ripristino al servizio di ripristino delle chiavi di gestione bitLocker di Configuration Manager nel punto di gestione.
Configuration Manager non implementa tutte le impostazioni dei criteri di gruppo di MBAM. Se si configurano altre impostazioni nei criteri di gruppo, l'agente di gestione BitLocker nei client di Configuration Manager rispetta queste impostazioni.
Importante
Non impostare criteri di gruppo per un'impostazione già specificata dalla gestione BitLocker di Configuration Manager. Impostare solo i criteri di gruppo per le impostazioni che attualmente non esistono nella gestione di BitLocker di Configuration Manager. Configuration Manager versione 2002 ha parità di funzionalità con MBAM autonomo. Con Configuration Manager versione 2002 e successive, nella maggior parte dei casi non dovrebbe essere necessario impostare criteri di gruppo di dominio per configurare i criteri di BitLocker. Per evitare conflitti e problemi, evitare l'uso di criteri di gruppo per BitLocker. Configurare tutte le impostazioni tramite i criteri di gestione di BitLocker di Configuration Manager.
Hash delle password TPM
I client MBAM precedenti non caricano l'hash della password TPM in Configuration Manager. Il client carica l'hash della password TPM una sola volta.
Se è necessario eseguire la migrazione di queste informazioni al servizio di ripristino di Configuration Manager, deselezionare il TPM nel dispositivo. Dopo il riavvio, carica il nuovo hash della password TPM nel servizio di ripristino.
Nota
Il caricamento dell'hash della password TPM riguarda principalmente le versioni di Windows precedenti a Windows 10. Windows 10 o versioni successive per impostazione predefinita non salva l'hash della password TPM, quindi questi dispositivi normalmente non lo caricano. Per altre informazioni, vedere Informazioni sulla password del proprietario di TPM.
Rieseguire la crittografia
Configuration Manager non crittografa nuovamente le unità già protette con Crittografia unità BitLocker. Se si distribuisce un criterio di gestione di BitLocker che non corrisponde alla protezione corrente dell'unità, viene segnalato come non conforme. L'unità è ancora protetta.
Ad esempio, è stato usato MBAM per crittografare l'unità con l'algoritmo di crittografia AES-XTS 128, ma i criteri di Configuration Manager richiedono AES-XTS 256. L'unità non è conforme ai criteri, anche se l'unità è crittografata.
Per risolvere questo comportamento, disabilitare prima BitLocker nel dispositivo. Distribuire quindi un nuovo criterio con le nuove impostazioni.
Co-gestione e Intune
Il gestore client di Configuration Manager per BitLocker è compatibile con la co-gestione. Se il dispositivo è co-gestito e si passa il carico di lavoro di Endpoint Protection a Intune, il client di Configuration Manager ignora i criteri di BitLocker. Il dispositivo ottiene i criteri di crittografia di Windows da Intune.
Nota
Il cambio delle autorità di gestione della crittografia mantenendo l'algoritmo di crittografia desiderato non richiede azioni aggiuntive nel client. Tuttavia, se si modificano anche le autorità di gestione della crittografia e l'algoritmo di crittografia desiderato, è necessario pianificare la crittografia di nuovo.
Per altre informazioni sulla gestione di BitLocker con Intune, vedere gli articoli seguenti:
- Usare la crittografia dei dispositivi con Intune
- Risolvere i problemi relativi ai criteri di BitLocker in Microsoft Intune