Sobre o serviço de recuperação do BitLocker

Aplica-se a: Configuration Manager (branch atual)

Importante

A partir da versão 2103, a implementação do serviço de recuperação foi alterada. Ele não está mais usando componentes herdados do MBAM, mas ainda é conceitualmente conhecido como o serviço de recuperação. Todos os clientes da versão 2103 usam o componente do mecanismo de processamento de mensagens do ponto de gerenciamento como serviço de recuperação. Eles escrow suas chaves de recuperação sobre o canal de notificação do cliente seguro. Com essa alteração, você pode habilitar o site Configuration Manager para HTTP aprimorado. Essa configuração não afeta a funcionalidade do gerenciamento do BitLocker no Configuration Manager.

Quando o site e os clientes estão executando Configuration Manager versão 2103 ou posterior, os clientes enviam suas chaves de recuperação para o ponto de gerenciamento pelo canal de notificação segura do cliente. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação habilitado para HTTPS no ponto de gerenciamento para registrar suas chaves.

O serviço de recuperação do BitLocker é um componente do servidor que recebe dados de recuperação do BitLocker de Configuration Manager clientes. O site implanta o serviço de recuperação ao criar uma política de gerenciamento do BitLocker. Configuration Manager instala automaticamente o serviço de recuperação em cada ponto de gerenciamento com um site habilitado para HTTPS.

Configuration Manager armazena as informações de recuperação no banco de dados do site. Sem um certificado de criptografia de gerenciamento do BitLocker, Configuration Manager armazena as principais informações de recuperação em texto simples. Para obter mais informações, consulte Criptografar dados de recuperação no banco de dados.

A partir da versão 2010, você pode gerenciar políticas do BitLocker e chaves de recuperação de custódia por meio de um CMG (gateway de gerenciamento de nuvem). Quando clientes ingressados no domínio se comunicam por meio do CMG, eles não usam o serviço de recuperação herdado, mas o componente do mecanismo de processamento de mensagens do ponto de gerenciamento. Microsoft Entra dispositivos híbridos ingressados também usam o mecanismo de processamento de mensagens.

A partir da versão 2103, todos os clientes com suporte usam o componente do mecanismo de processamento de mensagens do ponto de gerenciamento como o serviço de recuperação. Essa alteração reduz as dependências dos componentes herdados do MBAM e permite o suporte para HTTP aprimorado.

Observação

Para a versão 2010, o canal do mecanismo de processamento de mensagens apenas testa as chaves para os volumes de sistema operacional e de unidade fixa. Ele não dá suporte a chaves de recuperação para unidades removíveis ou o hash de senha do TPM.

A partir da versão 2103, as políticas de gerenciamento do BitLocker em um CMG dão suporte aos seguintes recursos:

  • Chaves de recuperação para unidades removíveis
  • Hash de senha do TPM, também conhecido como autorização do proprietário do TPM

Girar chaves

Quando você recupera uma chave com os portais de autoatendimento ou helpdesk, já que ela é divulgada, Configuration Manager exige que o cliente gire a chave. Girar a chave significa que o cliente gera uma nova chave para a recuperação do BitLocker. Em seguida, ele lança a nova chave para o serviço de recuperação.

Observação

Quando você migra do MBAM, quando o dispositivo recebe uma política de gerenciamento do BitLocker de Configuration Manager, ele primeiro gira sua chave. Em seguida, ele envia a nova chave para o serviço de recuperação Configuration Manager.

Próximas etapas

Migrar do MBAM

Configurar relatórios e portais do BitLocker