Sito Web di amministrazione e monitoraggio di BitLocker

Si applica a: Configuration Manager (Current Branch)

Il sito Web di amministrazione e monitoraggio di BitLocker è un'interfaccia amministrativa per Crittografia unità BitLocker. Viene anche definito portale dell'help desk. Usare questo sito Web per esaminare i report, ripristinare le unità degli utenti e gestire i TPM dei dispositivi.

Sito Web di amministrazione e monitoraggio di BitLocker predefinito.

Prima di usarlo, installare questo componente in un server Web. Per altre informazioni, vedere Configurare i report e i portali di BitLocker.

Accedere al sito Web di amministrazione e monitoraggio tramite l'URL seguente: https://webserver.contoso.com/HelpDesk

Nota

È possibile visualizzare il report di controllo del ripristino nel sito Web di amministrazione e monitoraggio. È possibile aggiungere altri report di gestione di BitLocker al punto di Reporting Services. Per altre informazioni, vedere Visualizzare i report di BitLocker.

Gruppi

Per accedere ad aree specifiche del sito Web di amministrazione e monitoraggio, l'account utente deve trovarsi in uno dei gruppi seguenti. Creare questi gruppi in Active Directory usando qualsiasi nome desiderato. Quando si installa questo sito Web, si specificano questi nomi di gruppo. Per altre informazioni, vedere Configurare i report e i portali di BitLocker.

Gruppo Descrizione
Amministratori dell'help desk di BitLocker Fornisce l'accesso a tutte le aree del sito Web di amministrazione e monitoraggio. Quando si aiuta un utente a ripristinare le unità, si immette solo la chiave di ripristino e non il nome utente e il dominio. Se un utente è membro sia di questo gruppo che del gruppo di utenti dell'help desk BitLocker, le autorizzazioni del gruppo di amministratori sostituiscono le autorizzazioni del gruppo di utenti.
Utenti dell'help desk di BitLocker Fornisce l'accesso alle aree Gestisci TPM e Ripristino unità del sito Web di amministrazione e monitoraggio. Quando si usa una delle due aree, è necessario compilare tutti i campi, inclusi il dominio e il nome dell'account dell'utente. Se un utente è membro sia di questo gruppo che del gruppo di amministratori dell'help desk di BitLocker, le autorizzazioni del gruppo di amministratori sostituiscono le autorizzazioni del gruppo di utenti.
Utenti del report di BitLocker Fornisce l'accesso all'area Report del sito Web di amministrazione e monitoraggio.

Gestire TPM

Se un utente immette il PIN errato troppe volte, può bloccare il TPM. Il numero di volte in cui un utente può immettere un PIN non corretto prima del blocco TPM varia da produttore a produttore. Dall'area Gestisci TPM del sito Web di amministrazione e monitoraggio accedere al sistema di dati di recupero chiavi centralizzato.

Per altre informazioni sulla proprietà di TPM, vedere Configurare MBAM per il deposito del TPM e l'archiviazione delle password OwnerAuth.

Nota

A partire da Windows 10 versione 1607, Windows non mantiene la password del proprietario del TPM durante il provisioning del TPM.

  1. Passare al sito Web di amministrazione e monitoraggio nel Web browser, ad esempio https://webserver.contoso.com/HelpDesk.

  2. Nel riquadro sinistro selezionare l'area Gestisci TPM .

    Pagina Gestisci TPM del sito Web di amministrazione e monitoraggio di BitLocker.

  3. Immettere il nome di dominio completo per il computer e il nome del computer.

  4. Se necessario, immettere il dominio e il nome utente dell'utente per recuperare il file della password del proprietario del TPM.

  5. Scegliere una delle opzioni seguenti per Il motivo della richiesta del file della password del proprietario di TPM:

    • Reimposta blocco PIN
    • Attivare TPM
    • Disattiva TPM
    • Modificare la password TPM
    • Cancella TPM
    • Altro

    Dopo aver inviato il modulo, il sito Web restituisce una delle risposte seguenti:

    • Se non riesce a trovare un file di password del proprietario del TPM corrispondente, restituisce un messaggio di errore.

    • File della password del proprietario del TPM per il computer inviato

    Dopo aver recuperato il file della password del proprietario del TPM, il sito Web visualizza la password del proprietario.

  6. Per salvare la password in un file, selezionare Salva.

  7. Nell'area Gestisci TPM selezionare l'opzione Reimposta blocco TPM e specificare il file della password del proprietario del TPM.

    Il blocco TPM viene reimpostato. BitLocker ripristina l'accesso dell'utente al dispositivo.

    Importante

    Non condividere il valore hash TPM o il file della password del proprietario del TPM.

Ripristino dell'unità

Consiglio

A partire dalla versione 2107, è anche possibile ottenere le chiavi di ripristino di BitLocker per un dispositivo collegato al tenant dall'interfaccia di amministrazione Microsoft Intune. Per altre informazioni, vedere Collegamento tenant: Chiavi di ripristino di BitLocker.

Ripristinare un'unità in modalità di ripristino

Le unità entrano in modalità di ripristino negli scenari seguenti:

  • L'utente perde o dimentica il PIN o la password
  • La piattaforma TPM (Trusted Module Platform) rileva le modifiche apportate al BIOS o ai file di avvio del computer

Per ottenere una password di ripristino, usare l'area Ripristino unità del sito Web di amministrazione e monitoraggio.

Importante

Le password di ripristino scadono dopo un singolo utilizzo. Nelle unità del sistema operativo e nelle unità dati fisse viene applicata automaticamente la regola a uso singolo. Nelle unità rimovibili, si applica quando si rimuove e si reinseriscono l'unità.

  1. Passare al sito Web di amministrazione e monitoraggio nel Web browser, ad esempio https://webserver.contoso.com/HelpDesk.

  2. Nel riquadro sinistro selezionare l'area Ripristino unità .

    Pagina Relativa all'amministrazione e al monitoraggio del sito Web di BitLocker Driver Recovery.

  3. Se necessario, immettere il dominio e il nome utente dell'utente per visualizzare le informazioni di ripristino.

  4. Per visualizzare un elenco di possibili chiavi di ripristino corrispondenti, immettere le prime otto cifre dell'ID chiave di ripristino. Per ottenere la chiave di ripristino esatta, immettere l'intero ID della chiave di ripristino.

  5. Scegliere una delle opzioni seguenti come motivo dello sblocco dell'unità:

    • Ordine di avvio del sistema operativo modificato
    • BIOS modificato
    • File del sistema operativo modificati
    • Chiave di avvio persa
    • PIN perso
    • Reimpostazione TPM
    • Passphrase persa
    • Smart card persa
    • Altro

    Dopo aver inviato il modulo, il sito Web restituisce una delle risposte seguenti:

    • Se l'utente dispone di più password di ripristino corrispondenti, restituisce più corrispondenze possibili.

    • Password di ripristino e pacchetto di ripristino per l'utente inviato.

      Nota

      Se si sta ripristinando un'unità danneggiata, l'opzione del pacchetto di ripristino fornisce a BitLocker informazioni critiche necessarie per ripristinare l'unità.

    • Se non riesce a trovare una password di ripristino corrispondente, restituisce un messaggio di errore.

    Dopo aver recuperato la password di ripristino e il pacchetto di ripristino, il sito Web visualizza la password di ripristino.

  6. Per copiare la password, selezionare Copia chiave. Per salvare la password di ripristino in un file, selezionare Salva.

Per sbloccare l'unità, immettere la password di ripristino o usare il pacchetto di ripristino.

Ripristinare un'unità spostata

Quando si sposta un'unità in un nuovo computer, poiché il TPM è diverso, BitLocker non accetta il PIN precedente. Per ripristinare l'unità spostata, ottenere l'ID della chiave di ripristino per recuperare la password di ripristino.

Per ripristinare un'unità spostata, usare l'area Ripristino unità del sito Web di amministrazione e monitoraggio.

  1. Nel computer con l'unità spostata avviare il computer in modalità Ambiente ripristino Windows (WinRE).

  2. In WinRE BitLocker considera l'unità del sistema operativo spostata come un'unità dati fissa. BitLocker visualizza l'ID password di ripristino dell'unità e richiede la password di ripristino.

    Nota

    In alcune situazioni, durante il processo di avvio selezionare Ho dimenticato il PIN se l'opzione è disponibile. Immettere quindi la modalità di ripristino per visualizzare l'ID della chiave di ripristino.

  3. Usare l'ID chiave di ripristino per ottenere la password di ripristino dal sito Web di amministrazione e monitoraggio. Per altre informazioni, vedere Ripristinare un'unità in modalità di ripristino.

Se l'unità spostata è stata configurata per l'uso di un chip TPM nel computer originale, completare la procedura seguente. In caso contrario, il processo di ripristino è completato.

  1. Dopo aver sbloccato l'unità, avviare il computer in modalità WinRE. Aprire un prompt dei comandi in WinRE e usare il manage-bde comando per decrittografare l'unità. Questo strumento è l'unico modo per rimuovere la protezione TPM + PIN senza il chip TPM originale. Per altre informazioni su questo comando, vedere Manage-bde.

  2. Al termine, avviare il computer normalmente. Configuration Manager applica il criterio BitLocker per crittografare l'unità con il TPM del nuovo computer più il PIN.

Ripristinare un'unità danneggiata

Usare l'ID della chiave di ripristino per ottenere un pacchetto di chiavi di ripristino dal sito Web di amministrazione e monitoraggio. Per altre informazioni, vedere Ripristinare un'unità in modalità di ripristino.

  1. Salvare il pacchetto della chiave di ripristino nel computer, quindi copiarlo nel computer con l'unità danneggiata.

  2. Aprire un prompt dei comandi come amministratore e digitare il comando seguente:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Sostituire i valori seguenti:

    • <corrupted drive>: lettera di unità dell'unità danneggiata, ad esempio D:
    • <fixed drive>: lettera di unità di un'unità disco rigido disponibile di dimensioni simili o maggiori rispetto all'unità danneggiata. BitLocker recupera e sposta i dati sull'unità danneggiata nell'unità specificata. Tutti i dati in questa unità vengono sovrascritti.
    • <key package>: percorso del pacchetto della chiave di ripristino
    • <recovery password>: password di ripristino associata

    Ad esempio:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Per altre informazioni su questo comando, vedere Repair-bde.

Report

Il sito Web di amministrazione e monitoraggio include il report di controllo del ripristino. Altri report sono disponibili dal punto Configuration Manager Reporting Services. Per altre informazioni, vedere Visualizzare i report di BitLocker.

  1. Passare al sito Web di amministrazione e monitoraggio nel Web browser, ad esempio https://webserver.contoso.com/HelpDesk.

  2. Nel riquadro sinistro selezionare l'area Report .

  3. Nella barra dei menu in alto selezionare il report di controllo del ripristino.

Per altre informazioni su questo report, vedere Report di controllo del ripristino

Consiglio

Per salvare i risultati del report, selezionare Esporta sulla barra dei menu Report .