Pianificare la gestione di BitLocker

Si applica a: Configuration Manager (Current Branch)

Usare Configuration Manager per gestire Crittografia unità BitLocker (BDE) per i client Windows locali, aggiunti ad Active Directory. Offre una gestione completa del ciclo di vita di BitLocker che può sostituire l'uso di Microsoft BitLocker Administration and Monitoring (MBAM).

Nota

Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Enable optional features from updates (Abilitare le funzioni facoltative dagli aggiornamenti).

Per informazioni più generali su BitLocker, vedere Panoramica di BitLocker. Per un confronto tra le distribuzioni e i requisiti di BitLocker, vedere il grafico di confronto delle distribuzioni di BitLocker.

Consiglio

Per gestire la crittografia nei dispositivi Windows 10 co-gestiti o versioni successive usando il servizio cloud Microsoft Intune, passare al carico di lavoro di Endpoint Protection su Intune. Per altre informazioni sull'uso di Intune, vedere Crittografia di Windows.

Funzionalità

Configuration Manager offre le funzionalità di gestione seguenti per Crittografia unità BitLocker:

Distribuzione dei client

  • Distribuire il client BitLocker nei dispositivi Windows gestiti che eseguono Windows 8.1, Windows 10 o Windows 11.

  • Gestire i criteri di BitLocker e le chiavi di ripristino del deposito per i client locali e basati su Internet

Gestire i criteri di crittografia

  • Ad esempio: scegliere crittografia unità e livello di crittografia, configurare i criteri di esenzione utente, impostazioni di crittografia fisse dell'unità dati.

  • Determinare gli algoritmi con cui crittografare il dispositivo e i dischi di destinazione per la crittografia.

  • Forzare gli utenti a essere conformi ai nuovi criteri di sicurezza prima di usare il dispositivo.

  • Personalizzare il profilo di sicurezza dell'organizzazione in base al dispositivo.

  • Quando un utente sblocca l'unità del sistema operativo, specificare se sbloccare solo un'unità del sistema operativo o tutte le unità collegate.

Report di conformità

Report predefiniti per:

  • Stato della crittografia per volume o dispositivo
  • L'utente primario del dispositivo
  • Stato di conformità
  • Motivi della non conformità

Sito Web di amministrazione e monitoraggio

Consentire ad altri utenti dell'organizzazione all'esterno della console di Configuration Manager di contribuire al ripristino delle chiavi, inclusa la rotazione delle chiavi e altro supporto correlato a BitLocker. Ad esempio, gli amministratori dell'help desk possono aiutare gli utenti con il ripristino delle chiavi.

Consiglio

A partire dalla versione 2107, è anche possibile ottenere le chiavi di ripristino di BitLocker per un dispositivo collegato al tenant dall'interfaccia di amministrazione Microsoft Intune. Per altre informazioni, vedere Collegamento tenant: Chiavi di ripristino di BitLocker.

Portale self-service per gli utenti

Consentire agli utenti di usare una chiave monouso per sbloccare un dispositivo crittografato BitLocker. Una volta usata, questa chiave genera una nuova chiave per il dispositivo.

Prerequisiti

Prerequisiti generali

  • Per creare un criterio di gestione di BitLocker, è necessario il ruolo Amministratore completo in Configuration Manager.

  • Per usare i report di gestione di BitLocker, installare il ruolo del sistema del sito del punto di Reporting Services. Per altre informazioni, vedere Configurare la creazione di report.

    Nota

    Affinché il report di controllo del ripristino funzioni dal sito Web di amministrazione e monitoraggio, usare solo un punto di Reporting Services nel sito primario.

Prerequisiti per i client

  • Il dispositivo richiede un chip TPM abilitato nel BIOS e reimpostato da Windows.

    Microsoft consiglia i dispositivi con TPM versione 2.0 o successiva. I dispositivi con TPM versione 1.2 potrebbero non supportare correttamente tutte le funzionalità di BitLocker.

  • Il disco rigido del computer richiede un BIOS compatibile con TPM e che supporti i dispositivi USB durante l'avvio del computer.

Nota

Il caricamento dell'hash delle password TPM riguarda principalmente le versioni di Windows prima Windows 10. Windows 10 o versioni successive per impostazione predefinita non salva l'hash della password TPM, quindi questi dispositivi in genere non lo caricano. Per altre informazioni, vedere Informazioni sulla password del proprietario di TPM.

La gestione di BitLocker non supporta tutti i tipi di client supportati da Configuration Manager. Per altre informazioni, vedere Configurazioni supportate.

Prerequisiti per il servizio di ripristino

  • Nella versione 2010 e versioni precedenti, il servizio di ripristino di BitLocker richiede HTTPS per crittografare le chiavi di ripristino nella rete dal client Configuration Manager al punto di gestione. Usare una delle opzioni seguenti:

    • Abilitare HTTPS il sito Web IIS nel punto di gestione che ospita il servizio di ripristino.

    • Configurare il punto di gestione per HTTPS.

    Per altre informazioni, vedere Crittografare i dati di ripristino in rete.

    Nota

    Quando sia il sito che i client eseguono Configuration Manager versione 2103 o successiva, i client inviano le chiavi di ripristino al punto di gestione tramite il canale di notifica client sicuro. Se i client si trovano nella versione 2010 o precedente, è necessario un servizio di ripristino abilitato per HTTPS nel punto di gestione per il deposito delle chiavi.

    A partire dalla versione 2103, poiché i client usano il canale di notifica client sicuro per il deposito delle chiavi, è possibile abilitare il sito Configuration Manager per http avanzato. Questa configurazione non influisce sulle funzionalità di gestione di BitLocker in Configuration Manager.

  • Nella versione 2010 e versioni precedenti, per usare il servizio di ripristino, è necessario almeno un punto di gestione non in una configurazione di replica. Anche se il servizio di ripristino BitLocker viene installato in un punto di gestione che usa una replica di database, i client non possono deposito delle chiavi di ripristino. BitLocker non crittograferà quindi l'unità. Disabilitare il servizio di ripristino BitLocker in qualsiasi punto di gestione con una replica di database.

    A partire dalla versione 2103, il servizio di ripristino supporta i punti di gestione che usano una replica di database.

Prerequisiti per i portali BitLocker

  • Per usare il portale self-service o il sito Web di amministrazione e monitoraggio, è necessario un server Windows che esegue IIS. È possibile riutilizzare un Configuration Manager sistema del sito o usare un server Web autonomo con connettività al server di database del sito. Usare una versione del sistema operativo supportata per i server del sistema del sito.

  • Nel server Web che ospiterà il portale self-service installare Microsoft ASP.NET funzionalità MVC 4.0 e .NET Framework 3.5 prima di fissare il processo di installazione. Altri ruoli e funzionalità del server Windows necessari verranno installati automaticamente durante il processo di installazione del portale.

    Consiglio

    Non è necessario installare alcuna versione di Visual Studio con ASP.NET MVC.

  • L'account utente che esegue lo script del programma di installazione del portale deve SQL Server diritti sysadmin nel server di database del sito. Durante il processo di installazione, lo script imposta i diritti di accesso, utente e SQL Server ruolo per l'account computer del server Web. È possibile rimuovere questo account utente dal ruolo sysadmin dopo aver completato la configurazione del portale self-service e del sito Web di amministrazione e monitoraggio.

Configurazioni supportate

  • La gestione di BitLocker non è supportata nelle macchine virtuali o nelle edizioni server. Ad esempio, la gestione di BitLocker non avvia la crittografia nelle unità fisse di macchine virtuali. Inoltre, le unità fisse nelle macchine virtuali possono essere visualizzate come conformi anche se non sono crittografate.

  • Nella versione 2010 e versioni precedenti, Microsoft Entra aggiunti, client del gruppo di lavoro o client in domini non attendibili non sono supportati. In queste versioni precedenti di Configuration Manager, la gestione di BitLocker supporta solo i dispositivi aggiunti a Active Directory locale inclusi Microsoft Entra dispositivi aggiunti ibridi. Questa configurazione consiste nell'eseguire l'autenticazione con il servizio di ripristino per il deposito delle chiavi.

    A partire dalla versione 2103, Configuration Manager supporta tutti i tipi di join client per la gestione di BitLocker. Tuttavia, il componente dell'interfaccia utente BitLocker lato client è ancora supportato solo nei dispositivi aggiunti ad Active Directory e Microsoft Entra aggiunti ibridi.

  • A partire dalla versione 2010, è ora possibile gestire i criteri di BitLocker e le chiavi di ripristino del deposito tramite un gateway di gestione cloud (CMG). Questa modifica fornisce anche il supporto per la gestione di BitLocker tramite la gestione client basata su Internet (IBCM). Non sono presenti modifiche al processo di installazione per la gestione di BitLocker. Questo miglioramento supporta i dispositivi aggiunti a un dominio e ibridi aggiunti a un dominio. Per altre informazioni, vedere Distribuire l'agente di gestione: Servizio di ripristino.

    • Se sono presenti criteri di gestione di BitLocker creati prima dell'aggiornamento alla versione 2010, per renderli disponibili ai client basati su Internet tramite CMG:
      1. Nella console Configuration Manager aprire le proprietà dei criteri esistenti.
      2. Passare alla scheda Gestione client .
      3. Selezionare OK o Applica per salvare il criterio. Questa azione modifica i criteri in modo che sia disponibile per i client tramite cmg.
  • Per impostazione predefinita, il passaggio Enable BitLocker task sequence (Abilita BitLocker ) crittografa solo lo spazio usato nell'unità. La gestione di BitLocker usa la crittografia completa del disco . Configurare questo passaggio della sequenza di attività per abilitare l'opzione Usa crittografia disco completa.

    A partire dalla versione 2203, è possibile configurare questo passaggio della sequenza di attività per far sì che le informazioni di ripristino di BitLocker per il volume del sistema operativo Configuration Manager.

    Per altre informazioni, vedere Passaggi della sequenza di attività - Abilitare BitLocker.

Importante

Lo Invoke-MbamClientDeployment.ps1 script di PowerShell è solo per MBAM autonomo . Non deve essere usato con Configuration Manager Gestione BitLocker.

Passaggi successivi

Crittografare i dati di ripristino in rete