共用方式為

如何使用 MBAM 作為 Windows 部署的一部分來啟用 BitLocker

  • 發行項

重要

這些指示不適用於 Configuration Manager BitLocker 管理。 Invoke-MbamClientDeployment.ps1 PowerShell 腳本不支援與 Configuration Manager 中的 BitLocker 管理搭配使用。 這包括在 Configuration Manager 工作順序期間縮寫 BitLocker 修復密鑰。

從 Configuration Manager 版本 2103 開始,Configuration Manager BitLocker 管理不再使用 MBAM 密鑰復原服務月臺來委付密鑰。 嘗試搭配 Configuration Manager 版本 2103 或更新版本使用 Invoke-MbamClientDeployment.ps1 PowerShell 腳本,可能會導致 Configuration Manager 月台發生嚴重問題。 已知問題包括建立以所有裝置為目標的大量原則,這可能會導致原則暴增。 此行為會導致 Configuration Manager 中的效能嚴重降低,主要是在 SQL 和管理點中。 如需詳細資訊,請參閱 使用 MBAM 代理程式委付 BitLocker 修復密鑰在 Configuration Manager 版本 2103 中產生過多的原則

從 Configuration Manager 開始,BitLocker 管理版本 2203 原生支援在工作順序期間使用 [啟用 BitLocker ] 工作順序工作,透過 [ 自動將修復密鑰儲存在:>Configuration Manager 資料庫] 選項來縮寫 BitLocker 密鑰。 如需詳細資訊,請 參閱工作順序期間月臺的委付 BitLocker 修復密碼

只有透過 Configuration Manager 版本 1902 才支持獨立 MBAM 與 Configuration Manager 整合。 由於 Configuration Manager 版本 1902 已不受支援,因此不再支援使用獨立 MBAM 和 Invoke-MbamClientDeployment.ps1 PowerShell 腳本搭配目前支援的 Configuration Manager 版本。 如需詳細資訊,請參閱 MBAM 支援的 Configuration Manager 版本。 使用獨立 MBAM 與 Configuration Manager 的客戶應該 移轉至 Configuration Manager BitLocker 管理

本文說明如何使用 Microsoft BitLocker Administration and Monitoring (MBAM) 作為 Windows 映射處理和部署程式的一部分,在用戶計算機上啟用 BitLocker。

注意

如果您在安裝階段結束時看到重新啟動時出現黑色畫面,指出磁碟驅動器無法解除鎖定,請參閱如果預先布建 BitLocker 與 Windows 10 版本 1511 搭配使用,則舊版 Windows 不會在「安裝 Windows 和 Configuration Manager」步驟之後啟動

必要條件

  • 現有的 Windows 映射部署程式 - Microsoft部署工具組 (MDT) 、Microsoft System Center Configuration Manager 或其他映像處理工具或程式 - 必須就緒

  • TPM 必須在 BIOS 中啟用,操作系統才能看見

  • MBAM 伺服器基礎結構必須就緒且可存取

  • 必須建立 BitLocker 所需的系統分割區

  • 在 MBAM 完全啟用 BitLocker 之前,計算機必須在映像處理期間加入網域

使用 MBAM 2.5 SP1 作為 Windows 部署的一部分來啟用 BitLocker

使用 PowerShell 腳本在 Windows 部署期間啟用 Invoke-MbamClientDeployment.ps1 BitLocker

在 MBAM 2.5 SP1 中,在 Windows 部署期間啟用 BitLocker 的建議方法是使用 Invoke-MbamClientDeployment.ps1 PowerShell 腳本。

  • Invoke-MbamClientDeployment.ps1 本會在映像處理期間制定 BitLocker。 當 BitLocker 原則需要時,當網域使用者在映像處理后第一次登入時,MBAM 代理程式會立即提示網域使用者建立 PIN 或密碼。

  • 輕鬆搭配 MDT、System Center Configuration Manager 或獨立映射處理程式使用

  • 與 PowerShell 2.0 或更新版本相容

  • 使用 TPM 金鑰保護裝置加密 OS 磁碟區

  • 完全支援 BitLocker 預先布建

  • 選擇性地加密 FDD

  • 委付 TPM 擁有者Auth

    • 針對 Windows 7,MBAM 必須擁有 TPM 才能進行委付。
    • 針對 windows 10 RTM 和 Windows 10 版本 1511 Windows 8.1,支援 TPM OwnerAuth 的委付。
    • 針對 Windows 10 版本 1607 或更新版本,只有 Windows 可以取得 TPM 的擁有權。 布建 TPM 時,Windows 不會保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼

  • 委付修復金鑰和修復金鑰套件

  • 立即報告加密狀態

  • 新的 WMI 提供者

  • 詳細記錄

  • 強固的錯誤處理

您可以從 MBAM 用戶端部署文稿下載Invoke-MbamClientDeployment.ps1文稿。 此下載是部署系統呼叫的主要腳本,用來設定 BitLocker 磁碟驅動器加密,並使用 MBAM 伺服器記錄修復密鑰。

MBAM 的 WMI 部署方法

為了支援使用 PowerShell 腳本啟用 Invoke-MbamClientDeployment.ps1 BitLocker,MBAM 2.5 SP1 包含下列 WMI 方法:

MBAM_Machine WMI 類別

  • PrepareTpmAndEscrowOwnerAuth:讀取 TPM OwnerAuth,並使用 MBAM 復原服務將它傳送至 MBAM 復原資料庫。 如果 TPM 未擁有且未開啟自動布建,則會產生 TPM 擁有者Auth 並取得擁有權。 如果失敗,則會傳回錯誤碼以進行疑難解答。

    注意

    針對 Windows 10 版本 1607 或更新版本,只有 Windows 可以取得 TPM 的擁有權。 此外,布建 TPM 時,Windows 將不會保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼

    參數 描述
    RecoveryServiceEndPoint 指定 MBAM 復原服務端點的字串。

    以下是常見的錯誤訊息清單:

    一般傳回值 錯誤訊息
    S_OK
    0 (0x0)     		方法成功。
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)     		TPM 不存在於計算機中,或已在 BIOS 組態中停用。
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)     		TPM 的狀態不正確, (啟用、啟用,以及允許) 的擁有者安裝。
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)     		MBAM 無法取得 TPM 的擁有權,因為自動布建擱置中。 自動布建完成後再試一次。
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)     		MBAM 無法讀取 TPM 擁有者授權值。 此值可能會在成功委付之後移除。 在 Windows 7 上,如果其他人擁有 TPM,則 MBAM 無法讀取值。
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)     		計算機必須重新啟動,才能將 TPM 設定為正確的狀態。 您可能需要手動重新啟動電腦。
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)     		計算機必須關閉並重新開啟,才能將 TPM 設定為正確的狀態。 您可能需要手動重新啟動電腦。
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)     		遠端端點拒絕存取。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)     		遠端端點不存在或找不到。
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)     		遠端端點無法處理要求。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)     		無法連線到遠端端端點。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)     		從遠端端點收到包含錯誤的訊息。 請確定您連線到正確的服務端點。
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) 端點位址 URL 無效。 URL 的開頭必須是 httphttps

  • ReportStatus:讀取磁碟區的合規性狀態,並使用 MBAM 狀態報告服務將它傳送至 MBAM 合規性狀態資料庫。 狀態包括加密強度、保護裝置類型、保護裝置狀態和加密狀態。 如果失敗,則會傳回錯誤碼以進行疑難解答。

    參數 描述
    ReportingServiceEndPoint 指定 MBAM 狀態報告服務端點的字串。

    以下是常見的錯誤訊息清單:

    一般傳回值 錯誤訊息
    S_OK
    0 (0x0)     		方法成功
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)     		遠端端點拒絕存取。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)     		遠端端點不存在或找不到。
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)     		遠端端點無法處理要求。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)     		無法連線到遠端端端點。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)     		從遠端端點收到包含錯誤的訊息。 請確定您連線到正確的服務端點。
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)     		端點位址 URL 無效。 URL 的開頭必須是 httphttps

MBAM_Volume WMI 類別

  • EscrowRecoveryKey:讀取磁碟區的復原數值密碼和密鑰封裝,並使用 MBAM 復原服務將它們傳送至 MBAM 復原資料庫。 如果失敗,則會傳回錯誤碼以進行疑難解答。

    參數 描述
    RecoveryServiceEndPoint 指定 MBAM 復原服務端點的字串。

    以下是常見的錯誤訊息清單:

    一般傳回值 錯誤訊息
    S_OK
    0 (0x0)     		方法成功
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)     		磁碟區已鎖定。
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)     		找不到磁碟區的數值密碼保護裝置。
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)     		遠端端點拒絕存取。
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)     		遠端端點不存在或找不到。
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)     		遠端端點無法處理要求。
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)     		無法連線到遠端端端點。
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)     		從遠端端點收到包含錯誤的訊息。 請確定您連線到正確的服務端點。
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)     		端點位址 URL 無效。 URL 的開頭必須是 httphttps

使用 Microsoft Deployment Toolkit (MDT) 和 PowerShell 部署 MBAM

  1. 在 MDT 中,建立新的部署共用或開啟現有的部署共用。

    注意

    您可以使用 Invoke-MbamClientDeployment.ps1 PowerShell 腳本搭配任何映像處理程式或工具。 本節說明如何使用 MDT 進行整合,但步驟類似於將它與任何其他程式或工具整合。

    注意

    如果您在 Windows PE 中使用 BitLocker 預先布建,並想要維護 TPM 擁有者授權值,則必須在安裝重新啟動到完整 OS 之前,立即在 Windows PE 中新增 SaveWinPETpmOwnerAuth.wsf 腳本。 如果您未使用此文稿,您將會在重新啟動時遺失 TPM 擁有者授權值。

  2. 複製 Invoke-MbamClientDeployment.ps1<DeploymentShare>\Scripts。 如果您使用預先布建,請將SaveWinPETpmOwnerAuth.wsf檔案複製到 。<DeploymentShare>\Scripts

  3. 將 MBAM 2.5 SP1 用戶端應用程式新增至部署共用中的應用程式節點。

    1. 在 [ 應用程式] 節點下,選取 [ 新增應用程式]
    2. 取 [具有來源檔案的應用程式]。 選取 [下一步]
    3. 在 [ 應用程式名稱] 中,輸入 “MBAM 2.5 SP1 Client”。 選取 [下一步]
    4. 瀏覽至包含 MBAMClientSetup-<Version>.msi的目錄。 選取 [下一步]
    5. 輸入 「MBAM 2.5 SP1 Client」 作為要建立的目錄。 選取 [下一步]
    6. msiexec /i MBAMClientSetup-<Version>.msi /quiet 命令列輸入 。 選取 [下一步]
    7. 接受其餘預設值,以完成 [新增應用程式精靈]。

  4. 在 MDT 中,以滑鼠右鍵按兩下部署共用的名稱,然後選取 [ 屬性]。 選取 [ 規則] 索引 標籤。新增下列幾行:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    選取 [確定] 以關閉視窗。

  5. 在 [工作順序] 節點下,編輯用於 Windows 部署的現有工作順序。 如有需要,您可以以滑鼠右鍵按兩下 [ 工作順序 ] 節點,選取 [新增工作 順序],然後完成精靈,以建立新的工作順序。

    在所選工作順序的 [ 工作順序 ] 索引標籤上,執行下列步驟:

    1. 如果您想要在 WinPE 中啟用 BitLocker,請啟用 [啟用 BitLocker (脫機) ] 選擇性工作,該工作只會加密已使用的空間。

    2. 若要在使用預先布建時保存 TPM OwnerAuth,讓 MBAM 稍後可以委付它,請執行下列動作:

      1. 尋找 安裝作業系統 步驟

      2. 在之後新增執行 命令行 步驟

      3. 將步驟命名 為Persist TPM OwnerAuth

      4. 將命令行設定為 cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        注意

        針對 Windows 10 版本 1607 或更新版本,只有 Windows 可以取得 TPM 的擁有權。 布建 TPM 時,Windows 不會保留 TPM 擁有者密碼。 如需詳細資訊,請參閱 TPM 擁有者密碼

    3. 在 [ 狀態還原] 資料夾中,刪除 [啟用 BitLocker] 工作。

    4. 在 [自定義工作] 下的 [狀態還原] 資料夾中,建立新的 [安裝應用程式] 工作,並將它命名為 [安裝 MBAM 代理程式]。 選取 [ 安裝單一應用程式] 單選按鈕,然後流覽至稍早建立的 MBAM 2.5 SP1 用戶端應用程式。

    5. 在 [自定義工作] 下的 [狀態還原] 資料夾中,使用下列設定) MBAM 2.5 SP1 用戶端應用程式步驟之後, (建立新的執行 PowerShell 腳本工作, (針對您的環境更新參數) :

      • 名稱:設定 MBAM 的 BitLocker

      • PowerShell 腳本: Invoke-MbamClientDeployment.ps1

      • 參數:

        參數 需求 描述
        -RecoveryServiceEndpoint 必要 MBAM 復原服務端點。
        -StatusReportingServiceEndpoint 選用 MBAM 狀態報告服務端點。
        -EncryptionMethod 選用 加密方法 (預設值:AES 128) 。
        -EncryptAndEscrowDataVolume 切換 指定 加密數據磁碟區和委付數據磁碟區修復金鑰。
        -WaitForEncryptionToComplete 切換 指定等候加密完成。
        -DoNotResumeSuspendedEncryption 切換 指定部署文稿不會繼續暫停加密。
        -IgnoreEscrowOwnerAuthFailure 切換 指定 忽略 TPM 擁有者驗證委付失敗。 它應該用於 MBAM 無法讀取 TPM 擁有者驗證的案例。例如,如果已啟用 TPM 自動布建。
        -IgnoreEscrowRecoveryKeyFailure 切換 指定 忽略磁碟區修復金鑰委付失敗。
        -IgnoreReportStatusFailure 切換 指定 忽略狀態報告失敗。

在 Windows 部署中使用 MBAM 2.5 或更早版本啟用 BitLocker

  1. 安裝 MBAM 用戶端。 如需指示,請 參閱如何使用命令行部署 MBAM 用戶端

  2. 將計算機加入網域 (建議的) 。

    • 如果計算機未加入網域,則修復密碼不會儲存在 MBAM Key Recovery 服務中。 根據預設,除非可以儲存修復密鑰,否則 MBAM 不允許加密。

    • 如果計算機在修復金鑰儲存在 MBAM 伺服器之前以恢復模式啟動,則沒有可用的復原方法,而且必須重新製作電腦的映像。

  3. 以系統管理員身分開啟命令提示字元,並停止 MBAM 服務。

  4. 輸入下列命令,將服務設定為 [手動 ] 或 [ 隨選 ]:

    net stop mbamagent

    sc config mbamagent start= demand

  5. 設定登錄值,讓MBAM用戶端忽略組策略設定,並改為設定加密以開始將Windows部署至該用戶端電腦的時間。

    注意

    此步驟描述如何修改 Windows 登錄。 不正確地使用註冊表編輯器可能會造成嚴重問題,而您可能需要重新安裝 Windows。 我們無法保證無法解決不正確使用註冊表編輯器所造成的問題。 請自行承擔註冊表編輯器的風險。

    1. 設定 僅限操作系統的 TPM 加密、執行 Regedit.exe,然後從 C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg匯入登錄機碼範本。

    2. 在 Regedit.exe 中,移至 HKLM\SOFTWARE\Microsoft\MBAM,然後設定下表所列的設定。

      注意

      您可以在這裏設定與 MBAM 相關的組策略設定或登入值。 這些設定會覆寫先前設定的值。

      登錄專案 組態設定
      DeploymentTime 0 = 關閉
      1 = 使用部署時間原則設定 (預設) - 使用此設定可在 Windows 部署至用戶端電腦時啟用加密。
      UseKeyRecoveryService 0 = 不要使用金鑰委付。 在此情況下,不需要接下來兩個登錄專案。
      1 = 在金鑰復原系統中使用金鑰委付 (預設)
      建議使用此設定,讓MBAM能夠儲存修復金鑰。 計算機必須能夠與 MBAM 金鑰復原服務通訊。 請先確認計算機可以與服務通訊,再繼續進行。
      KeyRecoveryOptions 0 = 僅上傳修復金鑰
      1 = 上傳修復金鑰和金鑰復原套件 (預設)
      KeyRecoveryServiceEndPoint 將此值設定為執行 Key Recovery 服務之伺服器的 URL , 例如 。 https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc

  6. MBAM 用戶端會在 MBAM 用戶端部署期間重新啟動系統。 當您準備好重新啟動時,請以系統管理員身分在命令提示字元中執行下列命令:

    net start mbamagent

  7. 當計算機重新啟動,且 BIOS 提示您時,接受 TPM 變更。

  8. 在 Windows 用戶端作業系統映射處理期間,當您準備好開始加密時,請以系統管理員身分開啟命令提示字元,然後輸入下列命令將啟動設定為 [自動 ],然後重新啟動 MBAM 用戶端代理程式:

    sc config mbamagent start= auto

    net start mbamagent

  9. 若要刪除略過登錄值,請執行 Regedit.exe,然後移至 HKLM\SOFTWARE\Microsoft 登錄專案。 以滑鼠右鍵按下 MBAM 節點,然後選取 [ 刪除]

部署 MBAM 2.5 用戶端

規劃 MBAM 2.5 用戶端部署