部署 BitLocker 管理

适用于: Configuration Manager(current branch)

Configuration Manager 中的 BitLocker 管理包括以下组件:

  • BitLocker 管理代理创建策略 并将其 部署到集合时,Configuration Manager 会在设备上启用此代理。

  • 恢复服务:从客户端接收 BitLocker 恢复数据的服务器组件。 有关详细信息,请参阅 恢复服务

在创建和部署 BitLocker 管理策略之前:

创建策略

创建和部署此策略时,Configuration Manager 客户端会在设备上启用 BitLocker 管理代理。

注意

若要创建 BitLocker 管理策略,需要在 Configuration Manager 中 拥有“完全管理员” 角色。

  1. 在 Configuration Manager 控制台中,转到 “资产和符合性 ”工作区,展开 “终结点保护”,然后选择“ BitLocker 管理 ”节点。

  2. 在功能区中,选择“ 创建 BitLocker 管理控制策略”。

  3. 在“ 常规 ”页上,指定名称和可选说明。 选择要在此策略的客户端上启用的组件:

    • 操作系统驱动器:管理 OS 驱动器是否已加密

    • 固定驱动器:管理设备中其他数据驱动器的加密

    • 可移动驱动器:管理可从设备中删除的驱动器(如 U 盘)的加密

    • 客户端管理:管理 BitLocker 驱动器加密恢复信息的密钥恢复服务备份

  4. “设置” 页上,为 BitLocker 驱动器加密配置以下全局设置:

    注意

    启用 BitLocker 时,Configuration Manager 会应用这些设置。 如果驱动器已加密或正在进行中,则对这些策略设置的任何更改都不会更改设备上的驱动器加密。

    如果禁用或不配置这些设置,BitLocker 将使用默认加密方法 (AES 128 位) 。

    • 对于 Windows 8.1 设备,请启用 驱动器加密方法和密码强度选项。 然后选择加密方法。

    • 对于 Windows 10 或更高版本的设备, (Windows 10 或更高版本启用驱动器加密方法和密码强度选项,) 。 然后单独选择 OS 驱动器、固定数据驱动器和可移动数据驱动器的加密方法。

    有关此页上的这些设置和其他设置的详细信息,请参阅 设置参考 - 设置

  5. “操作系统驱动器 ”页上,指定以下设置:

    • 操作系统驱动器加密设置:如果启用此设置,用户必须保护 OS 驱动器,BitLocker 将加密驱动器。 如果禁用它,则用户无法保护驱动器。

    在具有兼容 TPM 的设备上,启动时可以使用两种类型的身份验证方法,为加密数据提供额外的保护。 计算机启动时,它只能使用 TPM 进行身份验证,也可以要求输入个人标识号 (PIN) 。 配置以下设置:

    • 为操作系统驱动器选择保护程序:将其配置为使用 TPM 和 PIN,或者仅使用 TPM。

    • 为启动配置最小 PIN 长度:如果需要 PIN,此值是用户可以指定的最短长度。 当计算机启动以解锁驱动器时,用户输入此 PIN。 默认情况下,最小 PIN 长度为 4

    有关此页上的这些设置和其他设置的详细信息,请参阅 设置参考 - OS 驱动器

  6. 在“ 固定驱动器 ”页上,指定以下设置:

    • 固定数据驱动器加密:如果启用此设置,BitLocker 要求用户将所有固定数据驱动器置于保护之下。 然后,它会加密数据驱动器。 启用此策略时,请启用自动解锁或 固定数据驱动器密码策略的设置。

    • 为固定数据驱动器配置自动解锁:允许或要求 BitLocker 自动解锁任何加密的数据驱动器。 若要使用自动解锁,还需要 BitLocker 来加密 OS 驱动器。

    有关此页上的这些设置和其他设置的详细信息,请参阅 设置参考 - 固定驱动器

  7. “可移动驱动器 ”页上,指定以下设置:

    • 可移动数据驱动器加密:启用此设置并允许用户应用 BitLocker 保护时,Configuration Manager 客户端会将有关可移动驱动器的恢复信息保存到管理点上的恢复服务。 此行为允许用户在忘记或丢失保护程序 (密码) 时恢复驱动器。

    • 允许用户对可移动数据驱动器应用 BitLocker 保护:用户可以为可移动驱动器启用 BitLocker 保护。

    • 可移动数据驱动器密码策略:使用这些设置设置密码的约束,以解锁受 BitLocker 保护的可移动驱动器。

    有关此页上的这些设置和其他设置的详细信息,请参阅 设置参考 - 可移动驱动器

  8. 在“ 客户端管理 ”页上,指定以下设置:

    重要

    对于 2103 之前的 Configuration Manager 版本,如果没有具有已启用 HTTPS 的网站的管理点,请不要配置此设置。 有关详细信息,请参阅 恢复服务

    • 配置 BitLocker 管理服务:启用此设置后,Configuration Manager 会自动且无提示地备份站点数据库中的密钥恢复信息。 如果禁用或未配置此设置,则 Configuration Manager 不会保存密钥恢复信息。

      • 选择要存储的 BitLocker 恢复信息:将其配置为使用恢复密码和密钥包,或者仅使用恢复密码。

      • 允许以纯文本形式存储恢复信息:如果没有 BitLocker 管理加密证书,Configuration Manager 会将密钥恢复信息以纯文本形式存储。 有关详细信息,请参阅 加密数据库中的恢复数据

    有关此页上的这些设置和其他设置的详细信息,请参阅 设置参考 - 客户端管理

  9. 完成该向导。

若要更改现有策略的设置,请在列表中选择它,然后选择 “属性”。

创建多个策略时,可以配置其相对优先级。 如果将多个策略部署到客户端,它将使用优先级值来确定其设置。

从版本 2006 开始,可以使用 Windows PowerShell cmdlet 执行此任务。 有关详细信息,请参阅 New-CMBlmSetting

部署策略

  1. BitLocker 管理 节点中选择现有策略。 在功能区中,选择“ 部署”。

  2. 选择设备集合作为部署目标。

  3. 如果希望设备随时可能加密或解密其驱动器,请选择“ 允许在维护时段外修正”选项。 如果集合具有任何维护时段,它仍会修正此 BitLocker 策略。

  4. 配置 简单自定义 计划。 客户端根据计划中指定的设置评估其符合性。

  5. 选择“ 确定” 以部署策略。

可以创建同一策略的多个部署。 若要查看有关每个部署的其他信息,请在 BitLocker 管理 节点中选择策略,然后在详细信息窗格中切换到“ 部署 ”选项卡。还可以为此任务使用 Windows PowerShell cmdlet。 有关详细信息,请参阅 New-CMSettingDeployment

重要

如果远程桌面协议 (RDP) 连接处于活动状态,则 MBAM 客户端不会启动 BitLocker 驱动器加密操作。 关闭所有远程控制台连接,并使用域用户帐户登录到控制台会话。 然后,BitLocker 驱动器加密开始,客户端上传恢复密钥和包。 如果使用本地用户帐户登录,则 BitLocker 驱动器加密不会启动。

可以使用 RDP 通过 /admin 交换机远程连接到设备的控制台会话。 例如:mstsc.exe /admin /v:<IP address of device>

当位于计算机的物理主机上时,控制台 会话 或远程连接与计算机的物理控制台相同。

监视

BitLocker 管理 节点的详细信息窗格中查看有关策略部署的基本符合性统计信息:

  • 符合性计数
  • 失败计数
  • 不符合计数

切换到“ 部署 ”选项卡,查看合规性百分比和建议的操作。 选择部署,然后在功能区中选择“ 查看状态”。 此操作会将视图切换到 “监视 ”工作区 “”部署“ 节点。 与其他配置策略部署的部署类似,可以在此视图中查看更详细的符合性状态。

若要了解客户端报告不符合 BitLocker 管理策略的原因,请参阅 不符合性代码

有关故障排除的详细信息,请参阅 BitLocker 疑难解答

使用以下日志进行监视和故障排除:

客户端日志

  • MBAM 事件日志:在 Windows 事件查看器中,浏览到 “应用程序和服务>”Microsoft>Windows>MBAM。 有关详细信息,请参阅 关于 BitLocker 事件日志客户端事件日志

  • 默认情况下客户端日志路径%WINDIR%\CCM\Logs中的BitlockerManagementHandler.log和BitlockerManagement_GroupPolicyHandler.log

管理点日志 (恢复服务)

  • 恢复服务事件日志:在 Windows 事件查看器中,浏览到 “应用程序和服务>”Microsoft>Windows>MBAM-Web。 有关详细信息,请参阅 关于 BitLocker 事件日志服务器事件日志

  • 恢复服务跟踪日志: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

迁移注意事项

如果当前使用 Microsoft BitLocker 管理和监视 (MBAM) ,则可以将管理无缝迁移到 Configuration Manager。 在 Configuration Manager 中部署 BitLocker 管理策略时,客户端会自动将恢复密钥和包上传到 Configuration Manager 恢复服务。

重要

从独立 MBAM 迁移到 Configuration Manager BitLocker 管理时,如果需要独立 MBAM 的现有功能,请不要使用 Configuration Manager BitLocker 管理重用独立的 MBAM 服务器或组件。 如果重复使用这些服务器,当 Configuration Manager BitLocker 管理在这些服务器上安装其组件时,独立 MBAM 将停止工作。 不要运行 MBAMWebSiteInstaller.ps1 脚本来在独立 MBAM 服务器上设置 BitLocker 门户。 设置 Configuration Manager BitLocker 管理时,请使用单独的服务器。

组策略

  • BitLocker 管理设置与 MBAM 组策略设置完全兼容。 如果设备同时收到组策略设置和 Configuration Manager 策略,请将其配置为匹配。

    注意

    如果独立 MBAM 存在组策略设置,它将替代 Configuration Manager 尝试的等效设置。 独立 MBAM 使用域组策略,而 Configuration Manager 为 BitLocker 管理设置本地策略。 域策略将覆盖本地 Configuration Manager BitLocker 管理策略。 如果独立 MBAM 域组策略与 Configuration Manager 策略不匹配,则 Configuration Manager BitLocker 管理将失败。 例如,如果域组策略为密钥恢复服务设置独立的 MBAM 服务器,则 Configuration Manager BitLocker 管理无法为管理点设置相同的设置。 此行为导致客户端不将其恢复密钥报告给管理点上的 Configuration Manager BitLocker 管理密钥恢复服务。

  • Configuration Manager 不会实现所有 MBAM 组策略设置。 如果在组策略中配置更多设置,则 Configuration Manager 客户端上的 BitLocker 管理代理将遵循这些设置。

    重要

    不要为 Configuration Manager BitLocker 管理已指定的设置设置设置组策略。 仅为 Configuration Manager BitLocker 管理中当前不存在的设置设置组策略。 Configuration Manager 版本 2002 具有与独立 MBAM 的功能奇偶一性。 对于 Configuration Manager 版本 2002 及更高版本,在大多数情况下,应该没有理由设置域组策略来配置 BitLocker 策略。 若要防止冲突和问题,请避免对 BitLocker 使用组策略。 通过 Configuration Manager BitLocker 管理策略配置所有设置。

TPM 密码哈希

  • 以前的 MBAM 客户端不会将 TPM 密码哈希上传到 Configuration Manager。 客户端只上传一次 TPM 密码哈希。

  • 如果需要将此信息迁移到 Configuration Manager 恢复服务,请清除设备上的 TPM。 重启后,它会将新的 TPM 密码哈希上传到恢复服务。

注意

上传 TPM 密码哈希主要涉及 Windows 10 之前的 Windows 版本。 默认情况下,Windows 10 或更高版本不会保存 TPM 密码哈希,因此这些设备通常不会上传它。 有关详细信息,请参阅 关于 TPM 所有者密码

重新加密

Configuration Manager 不会重新加密已受 BitLocker 驱动器加密保护的驱动器。 如果部署的 BitLocker 管理策略与驱动器的当前保护不匹配,则会报告为不符合。 驱动器仍受保护。

例如,你使用 MBAM 使用 AES-XTS 128 加密算法加密驱动器,但 Configuration Manager 策略需要 AES-XTS 256。 即使驱动器已加密,驱动器也不符合策略。

若要解决此问题,请先在设备上禁用 BitLocker。 然后,使用新设置部署新策略。

共同管理和 Intune

BitLocker 的 Configuration Manager 客户端处理程序是共同管理感知的。 如果设备是共同管理的,并且将 Endpoint Protection 工作负载 切换到 Intune,则 Configuration Manager 客户端将忽略其 BitLocker 策略。 设备从 Intune 获取 Windows 加密策略。

注意

在维护所需加密算法的同时切换加密管理机构不需要在客户端上执行任何其他操作。 但是,如果切换了加密管理机构,并且所需的加密算法也发生了更改,则需要规划 重新加密

有关使用 Intune 管理 BitLocker 的详细信息,请参阅以下文章:

后续步骤

关于 BitLocker 恢复服务

设置 BitLocker 报表和门户