Informazioni sul servizio di ripristino di BitLocker

Si applica a: Configuration Manager (Current Branch)

Importante

A partire dalla versione 2103, l'implementazione del servizio di ripristino è cambiata. Non usa più componenti MBAM legacy, ma viene ancora definito concettualmente servizio di ripristino. Tutti i client della versione 2103 usano il componente del motore di elaborazione dei messaggi del punto di gestione come servizio di ripristino. Depositano le chiavi di ripristino sul canale di notifica client sicuro. Con questa modifica è possibile abilitare il sito Configuration Manager per http avanzato. Questa configurazione non influisce sulle funzionalità di gestione di BitLocker in Configuration Manager.

Quando sia il sito che i client eseguono Configuration Manager versione 2103 o successiva, i client inviano le chiavi di ripristino al punto di gestione tramite il canale di notifica client sicuro. Se i client si trovano nella versione 2010 o precedente, è necessario un servizio di ripristino abilitato per HTTPS nel punto di gestione per il deposito delle chiavi.

Il servizio di ripristino BitLocker è un componente server che riceve i dati di ripristino di BitLocker dai client Configuration Manager. Il sito distribuisce il servizio di ripristino quando si creano criteri di gestione di BitLocker. Configuration Manager installa automaticamente il servizio di ripristino in ogni punto di gestione con un sito Web abilitato per HTTPS.

Configuration Manager archivia le informazioni di ripristino nel database del sito. Senza un certificato di crittografia di gestione BitLocker, Configuration Manager archivia le informazioni di ripristino delle chiavi in testo normale. Per altre informazioni, vedere Crittografare i dati di ripristino nel database.

A partire dalla versione 2010, è possibile gestire i criteri di BitLocker e le chiavi di ripristino del deposito tramite un gateway di gestione cloud (CMG). Quando i client aggiunti a un dominio comunicano tramite cmg, non usano il servizio di ripristino legacy, ma il componente del motore di elaborazione dei messaggi del punto di gestione. Microsoft Entra dispositivi aggiunti ibridi usano anche il motore di elaborazione dei messaggi.

A partire dalla versione 2103, tutti i client supportati usano il componente del motore di elaborazione dei messaggi del punto di gestione come servizio di ripristino. Questa modifica riduce le dipendenze dai componenti MBAM legacy e consente il supporto per HTTP avanzato.

Nota

Per la versione 2010, il canale del motore di elaborazione messaggi deposita solo le chiavi per i volumi del sistema operativo e delle unità fisse. Non supporta le chiavi di ripristino per le unità rimovibili o l'hash della password TPM.

A partire dalla versione 2103, i criteri di gestione di BitLocker su un cmg supportano le funzionalità seguenti:

  • Chiavi di ripristino per le unità rimovibili
  • Hash della password TPM, noto anche come autorizzazione del proprietario del TPM

Ruotare i tasti

Quando si recupera una chiave con i portali self-service o helpdesk, poiché viene divulgata, Configuration Manager richiede al client di ruotare la chiave. Ruotare la chiave significa che il client genera una nuova chiave per il ripristino di BitLocker. Quindi deposita la nuova chiave nel servizio di ripristino.

Nota

Quando si esegue la migrazione da MBAM, quando il dispositivo riceve un criterio di gestione di BitLocker da Configuration Manager, prima ruota la chiave. Invia quindi la nuova chiave al servizio di ripristino Configuration Manager.

Passaggi successivi

Eseguire la migrazione da MBAM

Configurare i report e i portali di BitLocker