规划 BitLocker 管理

适用于: Configuration Manager(current branch)

使用 Configuration Manager 管理已加入 Active Directory 的本地 Windows 客户端的 BitLocker 驱动器加密 (BDE) 。 它提供完整的 BitLocker 生命周期管理,可以取代使用 Microsoft BitLocker 管理和监视 (MBAM) 。

注意

默认情况下,Configuration Manager不启用此可选功能。 在使用此功能之前,必须启用此功能。 有关详细信息,请参阅启用更新中的可选功能

有关 BitLocker 的更多常规信息,请参阅 BitLocker 概述。 有关 BitLocker 部署和要求的比较,请参阅 BitLocker 部署比较图表

提示

若要使用 Microsoft Intune 云服务管理共同管理的Windows 10或更高版本设备上的加密,请将 Endpoint Protection 工作负载切换到Intune。 有关使用Intune的详细信息,请参阅 Windows 加密

功能

Configuration Manager为 BitLocker 驱动器加密提供以下管理功能:

客户端部署

  • 将 BitLocker 客户端部署到运行Windows 8.1、Windows 10或Windows 11的托管 Windows 设备。

  • 管理本地客户端和基于 Internet 的客户端的 BitLocker 策略和托管恢复密钥

管理加密策略

  • 例如:选择驱动器加密和密码强度,配置用户豁免策略,固定数据驱动器加密设置。

  • 确定用于加密设备的算法,以及要加密的磁盘。

  • 强制用户在使用设备之前符合新的安全策略。

  • 基于每个设备自定义组织的安全配置文件。

  • 当用户解锁 OS 驱动器时,请指定是仅解锁 OS 驱动器还是解锁所有附加的驱动器。

合规性报告

适用于以下项的内置报表:

  • 每个卷或每个设备的加密状态
  • 设备的主要用户
  • 符合性状态
  • 不符合的原因

管理和监视网站

允许组织Configuration Manager控制台之外的其他角色帮助进行密钥恢复,包括密钥轮换和其他与 BitLocker 相关的支持。 例如,技术支持管理员可以帮助用户恢复密钥。

提示

从版本 2107 开始,还可以从 Microsoft Intune 管理中心获取租户附加设备的 BitLocker 恢复密钥。 有关详细信息,请参阅 租户附加:BitLocker 恢复密钥

用户自助服务门户

让用户通过一次性密钥帮助自己解锁 BitLocker 加密设备。 使用此密钥后,它将为设备生成新密钥。

先决条件

一般先决条件

  • 若要创建 BitLocker 管理策略,需要在 Configuration Manager 中具有“完全管理员”角色。

  • 若要使用 BitLocker 管理报表,请安装 Reporting Services 点站点系统角色。 有关详细信息,请参阅 配置报告

    注意

    若要从管理和监视网站运行 恢复审核报告 ,请仅使用主站点上的报表服务点。

客户端的先决条件

  • 设备需要一个在 BIOS 中启用且可从 Windows 重置的 TPM 芯片。

    Microsoft建议使用 TPM 版本 2.0 或更高版本的设备。 使用 TPM 版本 1.2 的设备可能无法正确支持所有 BitLocker 功能。

  • 计算机的硬盘需要与 TPM 兼容的 BIOS,并在计算机启动期间支持 USB 设备。

注意

上传 TPM 密码哈希主要涉及Windows 10之前的 Windows 版本。 默认情况下,Windows 10或更高版本不会保存 TPM 密码哈希,因此这些设备通常不会上传密码哈希。 有关详细信息,请参阅 关于 TPM 所有者密码

BitLocker 管理不支持Configuration Manager支持的所有客户端类型。 有关详细信息,请参阅 支持的配置

恢复服务的先决条件

  • 在版本 2010 及更早版本中,BitLocker 恢复服务要求 HTTPS 通过网络加密从 Configuration Manager 客户端到管理点的恢复密钥。 使用以下选项之一:

    • 在托管恢复服务的管理点上启用 HTTPS-启用 IIS 网站。

    • 配置 HTTPS 的管理点。

    有关详细信息,请参阅 通过网络加密恢复数据

    注意

    当站点和客户端都运行Configuration Manager版本 2103 或更高版本时,客户端会通过安全客户端通知通道将其恢复密钥发送到管理点。 如果任何客户端位于版本 2010 或更早版本上,则需要在管理点上启用 HTTPS 的恢复服务来托管其密钥。

    从版本 2103 开始,由于客户端使用安全客户端通知通道来托管密钥,因此你可以启用 Configuration Manager 站点以增强 HTTP。 此配置不会影响 Configuration Manager 中的 BitLocker 管理功能。

  • 在版本 2010 及更早版本中,若要使用恢复服务,至少需要一个不在副本 (replica) 配置中的管理点。 尽管 BitLocker 恢复服务安装在使用数据库副本 (replica) 的管理点上,但客户端无法托管恢复密钥。 然后 BitLocker 不会加密驱动器。 在具有数据库副本 (replica) 的任何管理点上禁用 BitLocker 恢复服务。

    从版本 2103 开始,恢复服务支持使用数据库副本 (replica) 的管理点。

BitLocker 门户的先决条件

  • 若要使用自助服务门户或管理和监视网站,需要运行 IIS 的 Windows 服务器。 可以重复使用Configuration Manager站点系统,或使用与站点数据库服务器建立连接的独立 Web 服务器。 对站点系统服务器使用受支持的 OS 版本

  • 在将托管自助服务门户的 Web 服务器上,安装 Microsoft ASP.NET MVC 4.0 和 .NET Framework 3.5 功能,然后注视安装过程。 在门户安装过程中,将自动安装其他必需的 Windows 服务器角色和功能。

    提示

    无需使用 ASP.NET MVC 安装任何版本的 Visual Studio。

  • 运行门户安装程序脚本的用户帐户需要在站点数据库服务器上SQL Server sysadmin 权限。 在安装过程中,脚本会设置 Web 服务器计算机帐户的登录名、用户和SQL Server角色权限。 完成自助服务门户以及管理和监视网站的设置后,可以从 sysadmin 角色中删除此用户帐户。

支持的配置

  • ) 虚拟机 (VM 或服务器版本上不支持 BitLocker 管理。 例如,BitLocker 管理不会在虚拟机的固定驱动器上启动加密。 此外,虚拟机中的固定驱动器可能显示为合规,即使它们未加密。

  • 从版本 2409 开始,Configuration Manager现在支持 ARM 设备的 BitLocker 任务序列步骤。 在 BitLocker 管理中,包括使用 TPM 保护程序进行 OS 驱动器加密和使用自动解锁选项的固定驱动器加密的策略现在与 ARM 设备兼容。

  • 在版本 2010 及更早版本中,不支持Microsoft Entra加入、工作组客户端或不受信任的域中的客户端。 在这些早期版本的Configuration Manager中,BitLocker 管理仅支持已加入本地 Active Directory包括Microsoft Entra混合联接的设备。 此配置是使用恢复服务进行身份验证以托管密钥。

    从版本 2103 开始,Configuration Manager支持 BitLocker 管理的所有客户端联接类型。 但是,客户端 BitLocker 用户界面组件仍仅在已加入 Active Directory 且Microsoft Entra混合联接设备上受支持。

  • 从版本 2010 开始,现在可以通过 云管理网关 (CMG) 来管理 BitLocker 策略和托管恢复密钥。 此更改还支持通过基于 Internet 的客户端管理 (IBCM) 进行 BitLocker 管理。 BitLocker 管理的设置过程没有变化。 此改进支持已加入域和已加入混合域的设备。 有关详细信息,请参阅 部署管理代理:恢复服务

    • 如果你有在更新到版本 2010 之前创建的 BitLocker 管理策略,请通过 CMG 将其提供给基于 Internet 的客户端:
      1. 在Configuration Manager控制台中,打开现有策略的属性。
      2. 切换到“ 客户端管理 ”选项卡。
      3. 选择 “确定” 或“ 应用” 以保存策略。 此操作会修改策略,以便客户端可通过 CMG 使用该策略。
  • 默认情况下, “启用 BitLocker ”任务序列步骤仅加密驱动器上的 已用空间 。 BitLocker 管理使用 完整磁盘 加密。 配置此任务序列步骤以启用 “使用完整磁盘加密”选项。

    从版本 2203 开始,可以将此任务序列步骤配置为托管 OS 卷的 BitLocker 恢复信息,以Configuration Manager。

    有关详细信息,请参阅 任务序列步骤 - 启用 BitLocker

重要

Invoke-MbamClientDeployment.ps1 PowerShell 脚本仅适用于独立 MBAM。 它不应与 Configuration Manager BitLocker Management 一起使用。

后续步骤

通过网络加密恢复数据