Site de administração e monitoramento do BitLocker

Aplica-se a: Gerenciador de Configurações (branch atual)

O site de administração e monitoramento do BitLocker é uma interface administrativa para a Criptografia de Unidade do BitLocker. Ele também é conhecido como o portal do help desk. Use este site para revisar relatórios, recuperar unidades dos usuários e gerenciar TPMs de dispositivo.

O site padrão de administração e monitoramento do BitLocker.

Antes de usá-lo, instale esse componente em um servidor Web. Para obter mais informações, consulte Configurar relatórios e portais do BitLocker.

Acesse o site de administração e monitoramento por meio da seguinte URL: https://webserver.contoso.com/HelpDesk

Observação

Você pode exibir o Relatório de Auditoria de Recuperação no site de administração e monitoramento. Você adiciona outros relatórios de gerenciamento do BitLocker ao ponto de serviços de relatório. Para obter mais informações, confira Exibir relatórios do BitLocker.

Grupos

Para acessar áreas específicas do site de administração e monitoramento, sua conta de usuário precisa estar em um dos grupos a seguir. Crie esses grupos no Active Directory usando qualquer nome desejado. Ao instalar este site, você especifica esses nomes de grupo. Para obter mais informações, consulte Configurar relatórios e portais do BitLocker.

Group Descrição
Administradores de mesa de ajuda do BitLocker Fornece acesso a todas as áreas do site de administração e monitoramento. Quando você ajuda um usuário a recuperar suas unidades, insira apenas a chave de recuperação e não o domínio e o nome de usuário. Se um usuário for membro desse grupo e do grupo de usuários de ajuda do BitLocker, as permissões do grupo de administradores substituirão as permissões do grupo de usuários.
Usuários de mesa de ajuda do BitLocker Fornece acesso às áreas Gerenciar TPM e Recuperação de Unidade do site de administração e monitoramento. Ao usar qualquer área, você precisa preencher todos os campos, incluindo o domínio e o nome da conta do usuário. Se um usuário for membro desse grupo e do grupo de administradores de mesa de ajuda do BitLocker, as permissões do grupo de administradores substituirão as permissões do grupo de usuários.
Usuários de relatório do BitLocker Fornece acesso à área Relatórios do site de administração e monitoramento.

Gerenciar o TPM

Se um usuário inserir o PIN incorreto muitas vezes, ele poderá bloquear o TPM. O número de vezes que um usuário pode inserir um PIN incorreto antes que os bloqueios TPM variem de fabricante para fabricante. Na área Gerenciar TPM do site de administração e monitoramento, acesse o sistema centralizado de dados de recuperação de chaves.

Para obter mais informações sobre a propriedade do TPM, consulte Configurar o MBAM para escrow as senhas TPM e store OwnerAuth.

Observação

Começando com Windows 10, versão 1607, o Windows não mantém a senha do proprietário do TPM ao provisionar o TPM.

  1. Acesse o site de administração e monitoramento no navegador da Web, por exemplo https://webserver.contoso.com/HelpDesk.

  2. No painel esquerdo, selecione a área Gerenciar TPM .

    Página Gerenciar TPM no site de administração e monitoramento do BitLocker.

  3. Insira o nome de domínio totalmente qualificado para o computador e o nome do computador.

  4. Se necessário, insira o domínio e o nome de usuário do usuário para recuperar o arquivo de senha do proprietário do TPM.

  5. Escolha uma das seguintes opções para o arquivo de senha do proprietário do TPM:

    • Redefinir o bloqueio pin
    • Ativar o TPM
    • Desativar o TPM
    • Alterar senha do TPM
    • Limpar o TPM
    • Outros

    Depois de enviar o formulário, o site retorna uma das seguintes respostas:

    • Se ele não conseguir encontrar um arquivo de senha do proprietário do TPM correspondente, ele retornará uma mensagem de erro.

    • O arquivo de senha do proprietário do TPM para o computador enviado

    Depois de recuperar o arquivo de senha do proprietário do TPM, o site exibe a senha do proprietário.

  6. Para salvar a senha em um arquivo, selecione Salvar.

  7. Na área Gerenciar TPM , selecione a opção Redefinir bloqueio TPM e forneça o arquivo de senha do proprietário do TPM.

    O bloqueio do TPM é redefinido. O BitLocker restaura o acesso do usuário ao dispositivo.

    Importante

    Não compartilhe o valor de hash do TPM ou o arquivo de senha do proprietário do TPM.

Recuperação de unidade

Dica

A partir da versão 2107, você também pode obter chaves de recuperação do BitLocker para um dispositivo anexado ao locatário do centro de administração Microsoft Intune. Para obter mais informações, consulte Anexação de locatário: chaves de recuperação do BitLocker.

Recuperar uma unidade no modo de recuperação

As unidades entram no modo de recuperação nos seguintes cenários:

  • O usuário perde ou esquece seu PIN ou senha
  • O TPM (Trusted Module Platform) detecta alterações no BIOS ou nos arquivos de inicialização do computador

Para obter uma senha de recuperação, use a área de recuperação do Drive do site de administração e monitoramento.

Importante

As senhas de recuperação expiram após um único uso. Em unidades de sistema operacional e unidades de dados fixas, a regra de uso único se aplica automaticamente. Em unidades removíveis, ela se aplica quando você remove e reinsere a unidade.

  1. Acesse o site de administração e monitoramento no navegador da Web, por exemplo https://webserver.contoso.com/HelpDesk.

  2. No painel esquerdo, selecione a área Recuperação de Unidade .

    Página recuperação de driver do site de administração e monitoramento do BitLocker.

  3. Se necessário, insira o domínio e o nome de usuário do usuário para exibir as informações de recuperação.

  4. Para ver uma lista de possíveis chaves de recuperação correspondentes, insira os primeiros oito dígitos da ID da chave de recuperação. Para obter a chave de recuperação exata, insira toda a ID da chave de recuperação.

  5. Escolha uma das seguintes opções como o Motivo do Desbloqueio de Unidade:

    • Ordem de inicialização do sistema operacional alterada
    • BIOS alterado
    • Arquivos do sistema operacional modificados
    • Chave de inicialização perdida
    • PIN perdido
    • Redefinição do TPM
    • Senha perdida
    • Smartcard perdido
    • Outros

    Depois de enviar o formulário, o site retorna uma das seguintes respostas:

    • Se o usuário tiver várias senhas de recuperação correspondentes, ele retornará várias correspondências possíveis.

    • A senha de recuperação e o pacote de recuperação para o usuário enviado.

      Observação

      Se você estiver recuperando uma unidade danificada, a opção de pacote de recuperação fornecerá ao BitLocker informações críticas de que ele precisa para recuperar a unidade.

    • Se não conseguir encontrar uma senha de recuperação correspondente, ela retornará uma mensagem de erro.

    Depois de recuperar a senha de recuperação e o pacote de recuperação, o site exibe a senha de recuperação.

  6. Para copiar a senha, selecione Copiar Chave. Para salvar a senha de recuperação em um arquivo, selecione Salvar.

Para desbloquear a unidade, insira a senha de recuperação ou use o pacote de recuperação.

Recuperar uma unidade movida

Quando você move uma unidade para um novo computador, como o TPM é diferente, o BitLocker não aceita o PIN anterior. Para recuperar a unidade movida, obtenha a ID da chave de recuperação para recuperar a senha de recuperação.

Para recuperar uma unidade movida, use a área de recuperação do Drive do site de administração e monitoramento.

  1. No computador com a unidade movida, inicie o computador no modo WinRE (Ambiente de Recuperação do Windows).

  2. No WinRE, o BitLocker trata a unidade de sistema operacional movida como uma unidade de dados fixa. O BitLocker exibe a ID da senha de recuperação da unidade e solicita a senha de recuperação.

    Observação

    Em algumas situações, durante o processo de inicialização, selecione Esqueci o PIN se a opção estiver disponível. Em seguida, insira o modo de recuperação para exibir a ID da chave de recuperação.

  3. Use a ID da chave de recuperação para obter a senha de recuperação do site de administração e monitoramento. Para obter mais informações, consulte Recuperar uma unidade no modo de recuperação.

Se você configurou a unidade movida para usar um chip TPM no computador original, conclua as etapas a seguir. Caso contrário, o processo de recuperação será concluído.

  1. Depois de desbloquear a unidade, inicie o computador no modo WinRE. Abra um prompt de comando no WinRE e use o manage-bde comando para descriptografar a unidade. Essa ferramenta é a única maneira de remover o protetor TPM + PIN sem o chip TPM original. Para obter mais informações sobre esse comando, consulte Gerenciar-bde.

  2. Quando estiver concluído, inicie o computador normalmente. Configuration Manager imporá a política BitLocker para criptografar a unidade com o TPM mais PIN do novo computador.

Recuperar uma unidade corrompida

Use a ID da chave de recuperação para obter um pacote de chave de recuperação do site de administração e monitoramento. Para obter mais informações, consulte Recuperar uma unidade no modo de recuperação.

  1. Salve o Pacote de Chaves de Recuperação no computador e copie-o para o computador com a unidade corrompida.

  2. Abra um prompt de comando como administrador e digite o seguinte comando:

    repair-bde <corrupted drive> <fixed drive> -kp <key package> -rp <recovery password>

    Substitua os seguintes valores:

    • <corrupted drive>: a letra de unidade da unidade corrompida, por exemplo D:
    • <fixed drive>: a letra de unidade de uma unidade de disco rígido disponível de tamanho semelhante ou maior que a unidade corrompida. O BitLocker recupera e move dados na unidade corrompida para a unidade especificada. Todos os dados desta unidade são substituídos.
    • <key package>: o local do pacote de chave de recuperação
    • <recovery password>: a senha de recuperação associada

    Por exemplo:

    repair-bde C: D: -kp F:\RecoveryKeyPackage -rp 111111-222222-333333-444444-555555-666666-777777-888888

Para obter mais informações sobre esse comando, consulte Repair-bde.

Relatórios

O site de administração e monitoramento inclui o Relatório de Auditoria de Recuperação. Outros relatórios estão disponíveis no ponto Configuration Manager serviços de relatório. Para obter mais informações, confira Exibir relatórios do BitLocker.

  1. Acesse o site de administração e monitoramento no navegador da Web, por exemplo https://webserver.contoso.com/HelpDesk.

  2. No painel esquerdo, selecione a área Relatórios .

  3. Na barra de menus superior, selecione o Relatório de Auditoria de Recuperação.

Para obter mais informações sobre este relatório, consulte Relatório de Auditoria de Recuperação

Dica

Para salvar os resultados do relatório, selecione Exportar na barra de menus Relatórios .