Поделиться через


Сведения о службе восстановления BitLocker

Относится к Configuration Manager (Current Branch)

Важно!

Начиная с версии 2103 реализация службы восстановления изменилась. Он больше не использует устаревшие компоненты MBAM, но по-прежнему концептуально называется службой восстановления. Все клиенты версии 2103 используют компонент обработчика обработки сообщений точки управления в качестве службы восстановления. Они передают ключи восстановления по безопасному каналу уведомлений клиента. С помощью этого изменения вы можете включить Configuration Manager сайт для расширенного http. Эта конфигурация не влияет на функциональность управления BitLocker в Configuration Manager.

Когда сайт и клиенты работают Configuration Manager версии 2103 или более поздней, клиенты отправляют ключи восстановления в точку управления через защищенный канал уведомлений клиента. Если какие-либо клиенты работают в версии 2010 или более ранней, им требуется служба восстановления с поддержкой HTTPS в точке управления для депонирования ключей.

Служба восстановления BitLocker — это серверный компонент, который получает данные восстановления BitLocker от Configuration Manager клиентов. Сайт развертывает службу восстановления при создании политики управления BitLocker. Configuration Manager автоматически устанавливает службу восстановления на каждой точке управления с веб-сайтом с поддержкой HTTPS.

Configuration Manager хранит сведения о восстановлении в базе данных сайта. Без сертификата шифрования управления BitLocker Configuration Manager сохраняет сведения о восстановлении ключа в виде обычного текста. Дополнительные сведения см. в разделе Шифрование данных восстановления в базе данных.

Начиная с версии 2010, вы можете управлять политиками BitLocker и ключами восстановления депонирования через шлюз управления облаком (CMG). Когда присоединенные к домену клиенты обмениваются данными через шлюз управления облачными клиентами, они используют не устаревшую службу восстановления, а компонент подсистемы обработки сообщений точки управления. Microsoft Entra устройствах с гибридным присоединением также используется обработчик обработки сообщений.

Начиная с версии 2103 все поддерживаемые клиенты используют компонент обработчика обработки сообщений точки управления в качестве службы восстановления. Это изменение уменьшает зависимости от устаревших компонентов MBAM и обеспечивает поддержку расширенного протокола HTTP.

Примечание.

В версии 2010 канал обработчика сообщений использует только ключи депонирования для томов ОС и фиксированных дисков. Он не поддерживает ключи восстановления для съемных дисков или хэш паролей доверенного платформенного модуля.

Начиная с версии 2103 политики управления BitLocker в CMG поддерживают следующие возможности:

  • Ключи восстановления для съемных дисков
  • Хэш паролей доверенного платформенного модуля, иначе известный как авторизация владельца доверенного платформенного модуля

Смена ключей

Когда вы восстанавливаете ключ с помощью портала самообслуживания или службы поддержки, так как он раскрыт, Configuration Manager требует, чтобы клиент сменил ключ. Смена ключа означает, что клиент создает новый ключ для восстановления BitLocker. Затем он переназначает новый ключ в службу восстановления.

Примечание.

При миграции из MBAM, когда устройство получает политику управления BitLocker от Configuration Manager, оно сначала меняет ключ. Затем он отправляет новый ключ в службу восстановления Configuration Manager.

Дальнейшие действия

Миграция с MBAM

Настройка отчетов и порталов BitLocker