從 MBAM 移轉
適用於:Configuration Manager (目前的分支)
如果您目前使用 Microsoft BitLocker Administration and Monitoring (MBAM) ,您可以順暢地將管理移轉至 Configuration Manager。 當您在 Configuration Manager 中部署 BitLocker 管理原則時,用戶端會自動輪替其密鑰,並將其上傳至 Configuration Manager 復原服務。
重要事項
當您從獨立 MBAM 移轉至 bitLocker 管理 Configuration Manager 時,如果您需要獨立 MBAM 的現有功能,請勿使用獨立 MBAM 伺服器或元件搭配 Configuration Manager BitLocker 管理。 如果您重複使用這些伺服器,當 Configuration Manager BitLocker 管理在這些伺服器上安裝其元件時,獨立 MBAM 將會停止運作。 請勿執行 MBAMWebSiteInstaller.ps1 腳本,以在獨立 MBAM 伺服器上設定 BitLocker 入口網站。 當您設定 Configuration Manager BitLocker 管理時,請使用個別的伺服器。
群組原則
如果獨立 MBAM 有組策略設定存在,它會覆寫 Configuration Manager 嘗試的對等設定。 獨立 MBAM 使用網域組策略,而 Configuration Manager 設定 BitLocker 管理的本機原則。 網域原則會覆寫本機 Configuration Manager BitLocker 管理原則。 如果獨立 MBAM 網域組策略不符合 Configuration Manager 原則,Configuration Manager BitLocker 管理將會失敗。 例如,如果網域組策略設定密鑰復原服務的獨立 MBAM 伺服器,Configuration Manager BitLocker 管理無法為其復原服務設定相同的設定。 此行為會導致用戶端不會向 Configuration Manager BitLocker 管理復原服務報告其修復密鑰。
請勿針對 Configuration Manager BitLocker 管理已指定的設定設定設定組策略。 僅針對目前不存在於 BitLocker 管理中的設定設定組策略 Configuration Manager。 Configuration Manager 具有與獨立 MBAM 的功能同位。 在大部分情況下,不應該設定網域組策略來設定 BitLocker 原則。 若要避免衝突和問題,請避免使用 BitLocker 的組策略。 透過 Configuration Manager BitLocker 管理原則來設定所有設定。
TPM 密碼哈希
先前的 MBAM 用戶端不會將 TPM 密碼哈希上傳至 Configuration Manager。 用戶端只會上傳 TPM 密碼哈希一次。
如果您需要將此資訊移轉至 Configuration Manager 復原服務,請清除裝置上的 TPM。 重新啟動之後,它會將新的 TPM 密碼哈希上傳至復原服務。
注意事項
在 Windows 10 之前,TPM 密碼哈希的上傳主要與 Windows 版本有關。 Windows 10 或更新版本預設不會儲存 TPM 密碼哈希,因此這些裝置通常不會上傳。 如需詳細資訊,請 參閱關於 TPM 擁有者密碼。
重新加密
Configuration Manager 不會重新加密已使用 BitLocker 磁碟驅動器加密保護的磁碟驅動器。 如果您部署的 BitLocker 管理原則不符合磁碟驅動器目前的保護,則會回報為不符合規範。 磁碟驅動器仍然受到保護。
例如,您使用 MBAM 以 AES-XTS 128 加密演演算法加密磁碟驅動器,但 Configuration Manager 原則需要 AES-XTS 256。 即使磁碟驅動器已加密,磁碟驅動器仍不符合原則規範。
若要解決此行為,請先停用裝置上的 BitLocker。 然後使用新的設定部署新的原則。