共用方式為


從 MBAM 移轉

適用於:Configuration Manager (目前的分支)

如果您目前使用 Microsoft BitLocker Administration and Monitoring (MBAM) ,您可以順暢地將管理移轉至 Configuration Manager。 當您在 Configuration Manager 中部署 BitLocker 管理原則時,用戶端會自動輪替其金鑰,並將其上傳至Configuration Manager復原服務。

重要事項

當您從獨立 MBAM 移轉至 Configuration Manager BitLocker 管理時,如果您需要獨立 MBAM 的現有功能,請勿使用獨立 MBAM 伺服器或元件搭配Configuration Manager BitLocker 管理。 如果您重複使用這些伺服器,當Configuration Manager BitLocker 管理在這些伺服器上安裝其元件時,獨立 MBAM 將會停止運作。 請勿執行MBAMWebSiteInstaller.ps1腳本,以在獨立 MBAM 伺服器上設定 BitLocker 入口網站。 當您設定Configuration Manager BitLocker 管理時,請使用個別的伺服器。

群組原則

如果獨立 MBAM 有群組原則設定存在,它會覆寫Configuration Manager嘗試的對等設定。 獨立 MBAM 會使用網域群組原則,而Configuration Manager設定 BitLocker 管理的本機原則。 網域原則會覆寫本機Configuration Manager BitLocker 管理原則。 如果獨立 MBAM 網域群組原則不符合Configuration Manager原則,Configuration Manager BitLocker 管理將會失敗。 例如,如果網域群組原則設定金鑰復原服務的獨立 MBAM 伺服器,Configuration Manager BitLocker 管理無法為其復原服務設定相同的設定。 此行為會導致用戶端不會向 Configuration Manager BitLocker 管理復原服務報告其修復金鑰。

請勿針對Configuration Manager BitLocker 管理已指定的設定設定設定群組原則。 僅針對目前不存在於 BitLocker 管理中的設定設定群組原則Configuration Manager。 Configuration Manager與獨立 MBAM 的功能同位。 在大部分情況下,不應該設定網域群組原則來設定 BitLocker 原則。 若要避免衝突和問題,請避免使用 BitLocker 的群組原則。 透過Configuration Manager BitLocker 管理原則來設定所有設定。

TPM 密碼雜湊

  • 先前的 MBAM 用戶端不會將 TPM 密碼雜湊上傳至 Configuration Manager。 用戶端只會上傳 TPM 密碼雜湊一次。

  • 如果您需要將此資訊移轉至Configuration Manager復原服務,請清除裝置上的 TPM。 重新開機之後,它會將新的 TPM 密碼雜湊上傳至復原服務。

注意事項

在Windows 10之前,TPM 密碼雜湊的上傳主要與 Windows 版本有關。 Windows 10或更新版本預設不會儲存 TPM 密碼雜湊,因此這些裝置通常不會上傳。 如需詳細資訊,請 參閱關於 TPM 擁有者密碼

重新加密

Configuration Manager不會重新加密已受到 BitLocker 磁片磁碟機加密保護的磁片磁碟機。 如果您部署的 BitLocker 管理原則不符合磁片磁碟機目前的保護,則會回報為不符合規範。 磁片磁碟機仍然受到保護。

例如,您使用 MBAM 以 AES-XTS 128 加密演算法加密磁片磁碟機,但Configuration Manager原則需要 AES-XTS 256。 即使磁片磁碟機已加密,磁片磁碟機仍不符合原則規範。

若要解決此行為,請先停用裝置上的 BitLocker。 然後使用新的設定部署新的原則。

後續步驟

關於 BitLocker 復原服務

設定 BitLocker 報表和入口網站