Planejar o gerenciamento do BitLocker

Aplica-se a: Configuration Manager (branch atual)

Utilize Configuration Manager para gerir a Encriptação de Unidade BitLocker (BDE) para clientes Windows no local, que estão associados ao Active Directory. Fornece uma gestão completa do ciclo de vida do BitLocker que pode substituir a utilização da Administração e Monitorização do Microsoft BitLocker (MBAM).

Observação

Configuration Manager não ativa esta funcionalidade opcional por predefinição. Tem de ativar esta funcionalidade antes de a utilizar. Para obter mais informações, consulte Habilitar recursos opcionais das atualizações.

Para obter informações mais gerais sobre o BitLocker, consulte Descrição geral do BitLocker. Para obter uma comparação entre as implementações e os requisitos do BitLocker, veja o gráfico de comparação de implementações do BitLocker.

Dica

Para gerir a encriptação em dispositivos Windows 10 cogeridos ou posteriores com o serviço cloud Microsoft Intune, mude a carga de trabalho do Endpoint Protection para Intune. Para obter mais informações sobre como utilizar Intune, consulte Encriptação do Windows.

Recursos

Configuration Manager fornece as seguintes capacidades de gestão para a Encriptação de Unidade BitLocker:

Implantação do cliente

  • Implemente o cliente BitLocker em dispositivos Windows geridos com Windows 8.1, Windows 10 ou Windows 11.

  • Gerir políticas bitLocker e chaves de recuperação de caução para clientes no local e baseados na Internet

Gerir políticas de encriptação

  • Por exemplo: escolha a encriptação de unidades e a força da cifra, configure a política de isenção de utilizador, definições de encriptação de unidades de dados fixas.

  • Determine os algoritmos com os quais encriptar o dispositivo e os discos visados para encriptação.

  • Force os utilizadores a cumprirem as novas políticas de segurança antes de utilizarem o dispositivo.

  • Personalize o perfil de segurança da sua organização por dispositivo.

  • Quando um utilizador desbloqueia a unidade do SO, especifique se pretende desbloquear apenas uma unidade de SO ou todas as unidades anexadas.

Relatórios de conformidade

Relatórios incorporados para:

  • Encriptação status por volume ou por dispositivo
  • O utilizador principal do dispositivo
  • Status de conformidade
  • Motivos para não conformidade

Site de administração e monitoramento

Permita que outras pessoas na sua organização fora da consola do Configuration Manager ajudem na recuperação de chaves, incluindo a rotação de chaves e outro suporte relacionado com o BitLocker. Por exemplo, os administradores do suporte técnico podem ajudar os utilizadores com a recuperação de chaves.

Dica

A partir da versão 2107, também pode obter chaves de recuperação BitLocker para um dispositivo ligado ao inquilino a partir do centro de administração do Microsoft Intune. Para obter mais informações, veja Anexação do inquilino: Chaves de recuperação BitLocker.

Portal self-service do utilizador

Permitir que os utilizadores se ajudem com uma chave de utilização única para desbloquear um dispositivo encriptado BitLocker. Assim que esta chave for utilizada, gera uma nova chave para o dispositivo.

Pré-requisitos

Pré-requisitos gerais

  • Para criar uma política de gestão do BitLocker, precisa da função Administrador Completo no Configuration Manager.

  • Para utilizar os relatórios de gestão do BitLocker, instale a função do sistema de sites do ponto do Reporting Services. Para obter mais informações, veja Configurar relatórios.

    Observação

    Para que o Relatório de Auditoria de Recuperação funcione a partir do site de administração e monitorização, utilize apenas um ponto do Reporting Services no site primário.

Pré-requisitos para clientes

  • O dispositivo necessita de um chip TPM que esteja ativado no BIOS e seja reposto a partir do Windows.

    A Microsoft recomenda dispositivos com o TPM versão 2.0 ou posterior. Os dispositivos com a versão TPM 1.2 podem não suportar corretamente todas as funcionalidades do BitLocker.

  • O disco rígido do computador requer um BIOS compatível com o TPM e que suporte dispositivos USB durante o arranque do computador.

Observação

O carregamento do hash de palavras-passe do TPM diz principalmente respeito a versões do Windows antes de Windows 10. Windows 10 ou posterior por predefinição não guarda o hash de palavra-passe do TPM, pelo que estes dispositivos normalmente não o carregam. Para obter mais informações, veja Acerca da palavra-passe do proprietário do TPM.

A gestão do BitLocker não suporta todos os tipos de cliente suportados pelo Configuration Manager. Para obter mais informações, veja Configurações suportadas.

Pré-requisitos do serviço de recuperação

  • Na versão 2010 e anterior, o serviço de recuperação BitLocker requer HTTPS para encriptar as chaves de recuperação na rede do cliente Configuration Manager para o ponto de gestão. Utilize uma das seguintes opções:

    • Ative HTTPS o site do IIS no ponto de gestão que aloja o serviço de recuperação.

    • Configure o ponto de gestão para HTTPS.

    Para obter mais informações, veja Encriptar dados de recuperação através da rede.

    Observação

    Quando o site e os clientes estão a executar Configuration Manager versão 2103 ou posterior, os clientes enviam as respetivas chaves de recuperação para o ponto de gestão através do canal de notificação de cliente seguro. Se algum cliente estiver na versão 2010 ou anterior, precisará de um serviço de recuperação compatível com HTTPS no ponto de gestão para escrow as chaves.

    A partir da versão 2103, uma vez que os clientes utilizam o canal de notificação de cliente seguro para escrow keys, pode ativar o site Configuration Manager para HTTP melhorado. Esta configuração não afeta a funcionalidade da gestão do BitLocker no Configuration Manager.

  • Na versão 2010 e anterior, para utilizar o serviço de recuperação, precisa de pelo menos um ponto de gestão que não esteja numa configuração réplica. Embora o serviço de recuperação BitLocker seja instalado num ponto de gestão que utiliza uma base de dados réplica, os clientes não podem escrow chaves de recuperação. Em seguida, o BitLocker não encripta a unidade. Desative o serviço de recuperação BitLocker em qualquer ponto de gestão com uma base de dados réplica.

    A partir da versão 2103, o serviço de recuperação suporta pontos de gestão que utilizam uma base de dados réplica.

Pré-requisitos para portais BitLocker

  • Para utilizar o portal self-service ou o site de administração e monitorização, precisa de um servidor Windows com o IIS. Pode reutilizar um Configuration Manager sistema de sites ou utilizar um servidor Web autónomo que tenha conectividade ao servidor da base de dados do site. Utilize uma versão do SO suportada para servidores do sistema de sites.

  • No servidor Web que irá alojar o portal self-service, instale a funcionalidade Microsoft ASP.NET MVC 4.0 e .NET Framework 3.5 antes de encarar o processo de instalação. Outras funcionalidades e funções de servidor do Windows necessárias serão instaladas automaticamente durante o processo de instalação do portal.

    Dica

    Não precisa de instalar nenhuma versão do Visual Studio com ASP.NET MVC.

  • A conta de utilizador que executa o script do instalador do portal precisa de SQL Server direitos sysadmin no servidor da base de dados do site. Durante o processo de configuração, o script define os direitos de início de sessão, utilizador e SQL Server função da conta do computador do servidor Web. Pode remover esta conta de utilizador da função sysadmin depois de concluir a configuração do portal self-service e do site de administração e monitorização.

Configurações suportadas

  • A gestão do BitLocker não é suportada em máquinas virtuais (VMs) nem em edições de servidor. Por exemplo, a gestão do BitLocker não inicia a encriptação em unidades fixas de máquinas virtuais. Além disso, as unidades fixas em máquinas virtuais podem ser apresentadas como conformes, mesmo que não estejam encriptadas.

  • Na versão 2010 e anterior, Microsoft Entra associados, clientes de grupo de trabalho ou clientes em domínios não fidedignos não são suportados. Nestas versões anteriores do Configuration Manager, a gestão do BitLocker só suporta dispositivos associados a Active Directory local incluindo Microsoft Entra dispositivos associados híbridos. Esta configuração consiste em autenticar com o serviço de recuperação para escrow keys.

    A partir da versão 2103, Configuration Manager suporta todos os tipos de associação de cliente para a gestão do BitLocker. No entanto, o componente de interface de utilizador bitLocker do lado do cliente ainda é suportado apenas em dispositivos associados ao Active Directory e Microsoft Entra dispositivos associados híbridos.

  • A partir da versão 2010, pode agora gerir políticas bitLocker e chaves de recuperação de segurança através de um gateway de gestão da cloud (CMG). Esta alteração também fornece suporte para a gestão do BitLocker através da gestão de clientes baseada na Internet (IBCM). Não existe nenhuma alteração ao processo de configuração da gestão do BitLocker. Esta melhoria suporta dispositivos associados a um domínio e associados a um domínio híbrido. Para obter mais informações, veja Implementar o agente de gestão: Serviço de recuperação.

    • Se tiver políticas de gestão do BitLocker que criou antes de atualizar para a versão 2010, para as disponibilizar aos clientes baseados na Internet através do CMG:
      1. Na consola do Configuration Manager, abra as propriedades da política existente.
      2. Mude para o separador Gestão de Clientes .
      3. Selecione OK ou Aplicar para guardar a política. Esta ação revê a política para que esteja disponível para clientes através do CMG.
  • Por predefinição, o passo de sequência de tarefas Ativar BitLocker encripta apenas o espaço utilizado na unidade. A gestão do BitLocker utiliza a encriptação de disco completa . Configure este passo de sequência de tarefas para ativar a opção Utilizar encriptação de disco completa.

    A partir da versão 2203, pode configurar este passo de sequência de tarefas para aumentar as informações de recuperação do BitLocker do volume do SO para Configuration Manager.

    Para obter mais informações, veja Passos de sequência de tarefas – Ativar o BitLocker.

Importante

O Invoke-MbamClientDeployment.ps1 script do PowerShell destina-se apenas a MBAM autónomo . Não deve ser utilizado com Configuration Manager Gestão do BitLocker.

Próximas etapas

Criptografar dados de recuperação pela rede