Migrer à partir de MBAM
S’applique à : Gestionnaire de Configuration (branche actuelle)
Si vous utilisez actuellement Microsoft MBAM (BitLocker Administration and Monitoring), vous pouvez migrer en toute transparence la gestion vers Configuration Manager. Lorsque vous déployez des stratégies de gestion BitLocker dans Configuration Manager, les clients font pivoter automatiquement leurs clés et les chargent sur le service de récupération Configuration Manager.
Importante
Lorsque vous migrez de MBAM autonome vers Configuration Manager gestion BitLocker, si vous avez besoin de fonctionnalités existantes de MBAM autonome, ne réutilisez pas les serveurs ou composants MBAM autonomes avec Configuration Manager gestion BitLocker. Si vous réutilisez ces serveurs, MBAM autonome cessera de fonctionner quand Configuration Manager gestion BitLocker installera ses composants sur ces serveurs. N’exécutez pas le script MBAMWebSiteInstaller.ps1 pour configurer les portails BitLocker sur des serveurs MBAM autonomes. Lorsque vous configurez Configuration Manager gestion BitLocker, utilisez des serveurs distincts.
Stratégie de groupe
S’il existe un paramètre de stratégie de groupe pour MBAM autonome, il remplace le paramètre équivalent tenté par Configuration Manager. MBAM autonome utilise une stratégie de groupe de domaine, tandis que Configuration Manager définit des stratégies locales pour la gestion BitLocker. Les stratégies de domaine remplacent les stratégies de gestion BitLocker Configuration Manager locales. Si la stratégie de groupe de domaine MBAM autonome ne correspond pas à la stratégie de Configuration Manager, Configuration Manager gestion BitLocker échoue. Par exemple, si une stratégie de groupe de domaine définit le serveur MBAM autonome pour les services de récupération de clés, Configuration Manager gestion BitLocker ne peut pas définir le même paramètre pour son service de récupération. Ce comportement empêche les clients de signaler leurs clés de récupération au service de récupération de gestion Configuration Manager BitLocker.
Ne définissez pas de stratégie de groupe pour un paramètre que Configuration Manager gestion BitLocker spécifie déjà. Définissez uniquement des stratégies de groupe pour les paramètres qui n’existent pas actuellement dans Configuration Manager gestion BitLocker. Configuration Manager a une parité de fonctionnalités avec MBAM autonome. Dans la plupart des cas, il ne doit pas y avoir de raison de définir des stratégies de groupe de domaine pour configurer des stratégies BitLocker. Pour éviter les conflits et les problèmes, évitez d’utiliser des stratégies de groupe pour BitLocker. Configurez tous les paramètres via Configuration Manager stratégies de gestion BitLocker.
Hachage de mot de passe TPM
Les clients MBAM précédents ne chargent pas le hachage de mot de passe du module de plateforme sécurisée sur Configuration Manager. Le client ne charge le hachage de mot de passe TPM qu’une seule fois.
Si vous devez migrer ces informations vers le service de récupération Configuration Manager, effacez le module de plateforme sécurisée sur l’appareil. Après son redémarrage, il charge le nouveau hachage de mot de passe TPM sur le service de récupération.
Remarque
Le chargement du hachage de mot de passe TPM concerne principalement les versions de Windows avant Windows 10. Windows 10 ou version ultérieure par défaut n’enregistre pas le hachage de mot de passe du module de plateforme sécurisée, de sorte que ces appareils ne le chargent pas normalement. Pour plus d’informations, consultez À propos du mot de passe du propriétaire du module de plateforme sécurisée.
Rechiffrement
Configuration Manager ne rechiffre pas les lecteurs qui sont déjà protégés par le chiffrement de lecteur BitLocker. Si vous déployez une stratégie de gestion BitLocker qui ne correspond pas à la protection actuelle du lecteur, elle est signalé comme non conforme. Le lecteur est toujours protégé.
Par exemple, vous avez utilisé MBAM pour chiffrer le lecteur avec l’algorithme de chiffrement AES-XTS 128, mais la stratégie de Configuration Manager nécessite AES-XTS 256. Le lecteur n’est pas conforme à la stratégie, même si le lecteur est chiffré.
Pour contourner ce comportement, commencez par désactiver BitLocker sur l’appareil. Déployez ensuite une nouvelle stratégie avec les nouveaux paramètres.