共用方式為


規劃 BitLocker 管理

適用於:Configuration Manager (目前的分支)

使用 Configuration Manager 來管理已加入 Active Directory 之內部部署 Windows 用戶端的 BitLocker 磁碟驅動器加密 (BDE) 。 它提供完整的 BitLocker 生命週期管理,可取代使用 Microsoft BitLocker Administration and Monitoring (MBAM) 。

注意事項

Configuration Manager 預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

如需 BitLocker 的一般資訊,請參閱 BitLocker 概觀。 如需 BitLocker 部署和需求的比較,請參閱 BitLocker 部署比較圖表

提示

若要使用 Microsoft Intune 雲端服務管理共同管理 Windows 10 或更新版本裝置上的加密,請將 Endpoint Protection 工作負載切換至 Intune。 如需使用 Intune 的詳細資訊,請參閱 Windows 加密

功能

Configuration Manager 提供下列 BitLocker 磁碟驅動器加密管理功能:

用戶端部署

  • 將 BitLocker 用戶端部署至執行 Windows 8.1、Windows 10 或 Windows 11 的受控 Windows 裝置。

  • 管理內部部署和因特網型用戶端的 BitLocker 原則和委付修復密鑰

管理加密原則

  • 例如:選擇磁碟驅動器加密和加密強度、設定使用者豁免原則、固定數據磁碟驅動器加密設定。

  • 判斷用來加密裝置的演算法,以及您要加密的目標磁碟。

  • 在使用裝置之前,強制使用者符合新的安全策略。

  • 根據每個裝置自定義貴組織的安全性配置檔。

  • 當使用者解除鎖定 OS 磁碟驅動器時,請指定只解除鎖定 OS 磁碟驅動器或所有連接的磁碟驅動器。

合規性報告

下列項目的內建報表:

  • 每個磁碟區或每個裝置的加密狀態
  • 裝置的主要使用者
  • 合規性狀態
  • 不符合規範的原因

系統管理與監視網站

允許組織中的其他角色在 Configuration Manager 主控台外協助進行金鑰復原,包括密鑰輪替和其他 BitLocker 相關支援。 例如,技術支援中心系統管理員可以協助用戶進行密鑰復原。

提示

從 2107 版開始,您也可以從 Microsoft Intune 系統管理中心取得租用戶連結裝置的 BitLocker 修復金鑰。 如需詳細資訊,請參閱 租使用者附加:BitLocker 修復密鑰

使用者自助入口網站

讓使用者協助自己使用單一使用密鑰來解除鎖定 BitLocker 加密裝置。 使用此金鑰之後,它會為裝置產生新的金鑰。

必要條件

一般必要條件

  • 若要建立 BitLocker 管理原則,您需要在 Configuration Manager 中具有系統高許可權管理員角色。

  • 若要使用 BitLocker 管理報告,請安裝 Reporting Services 點站台系統角色。 如需詳細資訊, 請參閱設定報告

    注意事項

    若要讓 復原稽核報告 從管理和監視網站運作,請只使用主要站臺上的 Reporting Services 點。

用戶端的必要條件

  • 裝置需要在 BIOS 中啟用且可從 Windows 重設的 TPM 晶片。

    Microsoft建議使用 TPM 2.0 版或更新版本的裝置。 TPM 1.2 版的裝置可能無法正確支援所有 BitLocker 功能。

  • 計算機的硬碟需要與 TPM 相容且在電腦啟動期間支援 USB 裝置的 BIOS。

注意事項

在 Windows 10 之前,TPM 密碼哈希的上傳主要與 Windows 版本有關。 Windows 10 或更新版本預設不會儲存 TPM 密碼哈希,因此這些裝置通常不會上傳。 如需詳細資訊,請 參閱關於 TPM 擁有者密碼

BitLocker 管理不支援 Configuration Manager 支援的所有客戶端類型。 如需詳細資訊,請參閱 支援的設定

復原服務的必要條件

  • 在 2010 版和更早版本中,BitLocker 復原服務會要求 HTTPS 透過網路將復原密鑰從 Configuration Manager 用戶端加密到管理點。 使用下列其中一個選項:

    • 在裝載復原服務的管理點上啟用 IIS 網站 HTTPS。

    • 設定 HTTPS 的管理點。

    如需詳細資訊,請參閱透過 網路加密復原數據

    注意事項

    當月臺和用戶端都執行 Configuration Manager 2103 版或更新版本時,用戶端會透過安全的用戶端通知通道,將其修復密鑰傳送至管理點。 如果有任何用戶端位於 2010 版或更早版本,則需要管理點上啟用 HTTPS 的復原服務來委付其密鑰。

    從 2103 版開始,由於用戶端會使用安全的用戶端通知通道來委付密鑰,因此您可以啟用 Configuration Manager 月臺來增強 HTTP。 此設定不會影響 Configuration Manager 中 BitLocker 管理的功能。

  • 在 2010 版和更早版本中,若要使用復原服務,您至少需要一個不在複本組態中的管理點。 雖然 BitLocker 復原服務會安裝在使用資料庫複本的管理點上,但客戶端無法委付修復密鑰。 然後 BitLocker 將不會加密磁碟驅動器。 在任何具有資料庫複本的管理點上停用 BitLocker 復原服務。

    從2103版開始,復原服務支援使用資料庫複本的管理點。

BitLocker 入口網站的必要條件

  • 若要使用自助入口網站或管理和監視網站,您需要執行 IIS 的 Windows 伺服器。 您可以重複使用 Configuration Manager 月台系統,或使用可連線至月台資料庫伺服器的獨立網頁伺服器。 使用 站台系統伺服器支援的OS版本

  • 在將裝載自助入口網站的 Web 伺服器上,先安裝 Microsoft ASP.NET MVC 4.0 和 .NET Framework 3.5 功能,再啟動安裝程式。 在入口網站安裝程序期間,將會自動安裝其他必要的 Windows 伺服器角色和功能。

    提示

    您不需要使用 ASP.NET MVC 安裝任何版本的 Visual Studio。

  • 執行入口網站安裝程式腳本的用戶帳戶需要 SQL Server 月臺資料庫伺服器上的系統管理員許可權。 在安裝程式期間,腳本會設定 Web 伺服器電腦帳戶的登入、使用者和 SQL Server 角色許可權。 完成自助入口網站和管理與監視網站的設定之後,您可以從系統管理員角色中移除此用戶帳戶。

支援的設定

  • 虛擬機 (VM) 或伺服器版本不支援 BitLocker 管理。 例如,BitLocker 管理不會在虛擬機的固定磁碟驅動器上啟動加密。 此外,虛擬機中的固定磁碟驅動器可能會顯示為符合規範,即使它們未加密也一樣。

  • 從 2409 版開始,Configuration Manager 現在支援 ARM 裝置的 BitLocker 工作順序步驟。 在 BitLocker 管理中,包含具有 TPM 保護裝置的 OS 磁碟驅動器加密和使用自動解除鎖定選項進行固定磁碟驅動器加密的原則,現在與 ARM 裝置相容。

  • 在 2010 版和更早版本中,不支援 Microsoft Entra 加入、工作組用戶端或不受信任網域中的用戶端。 在這些舊版的 Configuration Manager 中,BitLocker 管理僅支援已加入 內部部署的 Active Directory 的裝置,包括 Microsoft Entra 混合式聯結裝置。 此設定是向復原服務進行驗證,以委付金鑰。

    從 2103 版開始,Configuration Manager 支援 BitLocker 管理的所有用戶端聯結類型。 不過,用戶端 BitLocker 使用者介面元件仍然只在已加入 Active Directory 並 Microsoft Entra 混合式聯結裝置上受到支援。

  • 從 2010 版開始,您現在可以透過雲端管理閘道管理 BitLocker 原則和委付修復密鑰 , (CMG) 。 這項變更也支援透過以因特網為基礎的用戶端管理 (IBCM) 進行 BitLocker 管理。 BitLocker 管理的設定程序沒有任何變更。 這項改善支援已加入網域和已加入混合式網域的裝置。 如需詳細資訊,請 參閱部署管理代理程序:復原服務

    • 如果您在更新至 2010 版之前已建立 BitLocker 管理原則,請透過 CMG 將它們提供給以因特網為基礎的用戶端:
      1. 在 Configuration Manager 控制台中,開啟現有原則的屬性。
      2. 切換至 [ 用戶端管理] 索引 標籤。
      3. 選取 [確定][套用 ] 以儲存原則。 此動作會修改原則,使其可透過CMG提供給用戶端使用。
  • 根據預設, [啟用 BitLocker] 工作順序步驟只會加密磁碟驅動器上 已使用的空間 。 BitLocker 管理會使用 完整磁碟 加密。 設定此工作順序步驟,以啟 用 [使用完整磁碟加密] 選項。

    從 2203 版開始,您可以設定此工作順序步驟,將 OS 磁碟區的 BitLocker 復原資訊委付為 Configuration Manager。

    如需詳細資訊,請 參閱工作順序步驟 - 啟用 BitLocker

重要事項

Invoke-MbamClientDeployment.ps1 PowerShell 腳本僅適用於獨立 MBAM。 它不應該與 bitLocker 管理 Configuration Manager 搭配使用。

後續步驟

透過網路加密復原資料