从 MBAM 迁移
适用于: Configuration Manager(current branch)
如果当前使用 Microsoft BitLocker 管理和监视 (MBAM) ,则可以无缝地将管理迁移到Configuration Manager。 在 Configuration Manager 中部署 BitLocker 管理策略时,客户端会自动轮换其密钥并将其上传到 Configuration Manager 恢复服务。
重要
从独立 MBAM 迁移到 Configuration Manager BitLocker 管理时,如果需要独立 MBAM 的现有功能,请不要重复使用具有 Configuration Manager BitLocker 管理的独立 MBAM 服务器或组件。 如果重复使用这些服务器,当Configuration Manager BitLocker 管理在这些服务器上安装其组件时,独立 MBAM 将停止工作。 不要运行 MBAMWebSiteInstaller.ps1 脚本来在独立 MBAM 服务器上设置 BitLocker 门户。 设置 Configuration Manager BitLocker 管理时,请使用单独的服务器。
组策略
如果独立 MBAM 存在组策略设置,它将替代 Configuration Manager 尝试的等效设置。 独立 MBAM 使用域组策略,而Configuration Manager设置 BitLocker 管理的本地策略。 域策略将覆盖本地 Configuration Manager BitLocker 管理策略。 如果独立 MBAM 域组策略与Configuration Manager策略不匹配,Configuration Manager BitLocker 管理将失败。 例如,如果域组策略为密钥恢复服务设置独立的 MBAM 服务器,Configuration Manager BitLocker 管理无法为其恢复服务设置相同的设置。 此行为会导致客户端不将其恢复密钥报告给 Configuration Manager BitLocker 管理恢复服务。
不要为 BitLocker 管理Configuration Manager已指定的设置设置设置组策略。 仅为 BitLocker 管理中当前不存在 Configuration Manager的设置设置组策略。 Configuration Manager具有与独立 MBAM 的功能奇偶一性。 在大多数情况下,应该没有理由设置域组策略来配置 BitLocker 策略。 若要防止冲突和问题,请避免对 BitLocker 使用组策略。 通过Configuration Manager BitLocker 管理策略配置所有设置。
TPM 密码哈希
以前的 MBAM 客户端不会将 TPM 密码哈希上传到Configuration Manager。 客户端只上传一次 TPM 密码哈希。
如果需要将此信息迁移到Configuration Manager恢复服务,请清除设备上的 TPM。 重启后,它会将新的 TPM 密码哈希上传到恢复服务。
注意
上传 TPM 密码哈希主要涉及Windows 10之前的 Windows 版本。 默认情况下,Windows 10 或更高版本不会保存 TPM 密码哈希,因此这些设备通常不会上传密码哈希。 有关详细信息,请参阅 关于 TPM 所有者密码。
重新加密
Configuration Manager不会重新加密已受 BitLocker 驱动器加密保护的驱动器。 如果部署的 BitLocker 管理策略与驱动器的当前保护不匹配,则会报告为不符合。 驱动器仍受保护。
例如,你使用 MBAM 使用 AES-XTS 128 加密算法加密驱动器,但Configuration Manager策略需要 AES-XTS 256。 即使驱动器已加密,驱动器也不符合策略。
若要解决此问题,请先在设备上禁用 BitLocker。 然后,使用新设置部署新策略。