Om BitLocker-återställningstjänsten

Gäller för: Configuration Manager (aktuell gren)

Viktigt

Från och med version 2103 ändrades implementeringen av återställningstjänsten. Den använder inte längre äldre MBAM-komponenter, men kallas fortfarande konceptuellt för återställningstjänsten. Alla version 2103-klienter använder komponenten för meddelandebearbetningsmotorn på hanteringsplatsen som återställningstjänst. De deponerar sina återställningsnycklar över den säkra klientmeddelandekanalen. Med den här ändringen kan du aktivera Configuration Manager webbplats för utökad HTTP. Den här konfigurationen påverkar inte funktionerna i BitLocker-hanteringen i Configuration Manager.

När både platsen och klienterna kör Configuration Manager version 2103 eller senare skickar klienterna sina återställningsnycklar till hanteringsplatsen via den säkra klientmeddelandekanalen. Om några klienter har version 2010 eller tidigare behöver de en HTTPS-aktiverad återställningstjänst på hanteringsplatsen för att deponering av nycklar.

BitLocker-återställningstjänsten är en serverkomponent som tar emot BitLocker-återställningsdata från Configuration Manager klienter. Webbplatsen distribuerar återställningstjänsten när du skapar en BitLocker-hanteringsprincip. Configuration Manager installerar automatiskt återställningstjänsten på varje hanteringsplats med en HTTPS-aktiverad webbplats.

Configuration Manager lagrar återställningsinformationen i platsdatabasen. Utan ett krypteringscertifikat för BitLocker-hantering lagrar Configuration Manager nyckelåterställningsinformationen i oformaterad text. Mer information finns i Kryptera återställningsdata i databasen.

Från och med version 2010 kan du hantera BitLocker-principer och depositionsåterställningsnycklar över en molnhanteringsgateway (CMG). När domänanslutna klienter kommunicerar via CMG använder de inte den äldre återställningstjänsten, utan komponenten för meddelandebearbetningsmotorn på hanteringsplatsen. Microsoft Entra hybrid-anslutna enheter använder också meddelandebearbetningsmotorn.

Från och med version 2103 använder alla klienter som stöds komponenten för meddelandebearbetningsmotorn på hanteringsplatsen som återställningstjänst. Den här ändringen minskar beroenden för äldre MBAM-komponenter och möjliggör stöd för förbättrad HTTP.

Obs!

För version 2010 deponerar meddelandebearbetningsmotorkanalen endast nycklar för operativsystem och fasta enhetsvolymer. Det stöder inte återställningsnycklar för flyttbara enheter eller TPM-lösenordshash.

Från och med version 2103 stöder BitLocker-hanteringsprinciper över en CMG följande funktioner:

  • Återställningsnycklar för flyttbara enheter
  • TPM-lösenordshash, även kallat TPM-ägarauktorisering

Rotera nycklar

När du återställer en nyckel med självbetjänings- eller supportportalerna kräver Configuration Manager att klienten roterar nyckeln eftersom den avslöjas. Att rotera nyckeln innebär att klienten genererar en ny nyckel för BitLocker-återställning. Den deponerar sedan den nya nyckeln till återställningstjänsten.

Obs!

När du migrerar från MBAM, när enheten tar emot en BitLocker-hanteringsprincip från Configuration Manager, roterar den först nyckeln. Den skickar sedan den nya nyckeln till Configuration Manager-återställningstjänsten.

Nästa steg

Migrera från MBAM

Konfigurera BitLocker-rapporter och -portaler