Migrera från MBAM
Gäller för: Konfigurationshanteraren (current branch)
Om du för närvarande använder Microsoft BitLocker Administration and Monitoring (MBAM) kan du sömlöst migrera hantering till Configuration Manager. När du distribuerar BitLocker-hanteringsprinciper i Configuration Manager roterar klienterna automatiskt sina nycklar och laddar upp dem till Configuration Manager-återställningstjänsten.
Viktigt
När du migrerar från fristående MBAM till Configuration Manager BitLocker-hantering ska du inte återanvända fristående MBAM-servrar eller komponenter med Configuration Manager BitLocker-hantering om du behöver befintliga funktioner i fristående MBAM. Om du återanvänder dessa servrar slutar fristående MBAM att fungera när Configuration Manager BitLocker-hantering installerar dess komponenter på dessa servrar. Kör inte MBAMWebSiteInstaller.ps1 skriptet för att konfigurera BitLocker-portalerna på fristående MBAM-servrar. När du konfigurerar Configuration Manager BitLocker-hantering använder du separata servrar.
Grupprincip
Om det finns en grupprincipinställning för fristående MBAM åsidosätter den motsvarande inställning som Configuration Manager. Fristående MBAM använder en domängruppsprincip, medan Configuration Manager anger lokala principer för BitLocker-hantering. Domänprinciper åsidosätter de lokala Configuration Manager BitLocker-hanteringsprinciperna. Om den fristående MBAM-domängruppsprincipen inte matchar Configuration Manager princip misslyckas Configuration Manager BitLocker-hanteringen. Om en domängruppsprincip till exempel anger den fristående MBAM-servern för nyckelåterställningstjänster kan Configuration Manager BitLocker-hantering inte ange samma inställning för återställningstjänsten. Detta gör att klienter inte rapporterar sina återställningsnycklar till Configuration Manager BitLocker-hanteringsåterställningstjänsten.
Ange inte en grupprincip för en inställning som Configuration Manager BitLocker-hantering redan anger. Ange endast grupprinciper för inställningar som för närvarande inte finns i Configuration Manager BitLocker-hantering. Configuration Manager har funktionsparitet med fristående MBAM. I de flesta fall bör det inte finnas någon anledning att ange domängruppsprinciper för att konfigurera BitLocker-principer. Undvik att använda grupprinciper för BitLocker för att förhindra konflikter och problem. Konfigurera alla inställningar via Configuration Manager BitLocker-hanteringsprinciper.
Hash för TPM-lösenord
Tidigare MBAM-klienter laddar inte upp TPM-lösenordshash till Configuration Manager. Klienten laddar bara upp TPM-lösenordshash en gång.
Om du behöver migrera den här informationen till Configuration Manager-återställningstjänsten rensar du TPM på enheten. När den har startats om laddar den upp den nya TPM-lösenordshashen till återställningstjänsten.
Obs!
Uppladdning av TPM-lösenordshash gäller främst versioner av Windows innan Windows 10. Windows 10 eller senare som standard sparar inte TPM-lösenordshash, så dessa enheter laddar normalt inte upp det. Mer information finns i Om TPM-ägarlösenordet.
Omkryptering
Configuration Manager krypterar inte om enheter som redan är skyddade med BitLocker-diskkryptering. Om du distribuerar en BitLocker-hanteringsprincip som inte matchar enhetens aktuella skydd, rapporterar den som icke-kompatibel. Enheten är fortfarande skyddad.
Du använde till exempel MBAM för att kryptera enheten med krypteringsalgoritmen AES-XTS 128, men Configuration Manager principen kräver AES-XTS 256. Enheten är inte kompatibel med principen, även om enheten är krypterad.
Du kan kringgå det här beteendet genom att först inaktivera BitLocker på enheten. Distribuera sedan en ny princip med de nya inställningarna.