À propos de MBAM 2.5 SP1

  • Article

Mis à jour: août 2015

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1 propose une interface d'administration simplifiée pour le chiffrement de lecteur BitLocker. BitLocker offre une protection accrue contre le vol de données ou l'exposition des données en cas de perte ou de vol d'ordinateurs. BitLocker chiffre toutes les données stockées sur les lecteurs et le système d'exploitation Windows, ainsi que sur les lecteurs de données configurés.

Vue d'ensemble de MBAM

MBAM 2.5 SP1 propose les fonctionnalités suivantes :

  • Permet aux administrateurs d'automatiser le processus de chiffrement de volumes sur les ordinateurs clients de l'entreprise.

  • Permet aux personnes chargées de la sécurité de rapidement déterminer l'état de conformité d'ordinateurs individuels ou de l'entreprise entière.

  • Permet de centraliser la gestion des rapports et du matériel avec Microsoft System Center Configuration Manager.

  • Réduit la charge de travail du support technique pour tout ce qui concerne les demandes de code confidentiel et de clé de récupération BitLocker des utilisateurs finaux.

  • Permet aux utilisateurs finaux de récupérer les appareils chiffrés par eux-mêmes à l'aide du portail libre-service.

  • Permet aux personnes chargées de la sécurité de facilement auditer l'accès afin de récupérer les informations clés.

  • Permet aux utilisateurs de Windows Entreprise de continuer à travailler où qu'ils se trouvent avec l'assurance que leurs données d'entreprise sont protégées.

MBAM applique les options de la stratégie de chiffrement BitLocker que vous avez configurée pour votre entreprise, analyse la conformité des ordinateurs clients par rapport à ces stratégies et établit des rapports sur l'état de chiffrement de l'entreprise et des ordinateurs individuels. En outre, MBAM offre la possibilité d'accéder aux informations des clés de récupération en cas d'oubli du code confidentiel ou du mot de passe par les utilisateurs, de modification du BIOS ou de l'enregistrement de démarrage de leur ordinateur.

Les groupes suivants sont susceptibles d'être intéressés par l'utilisation de MBAM pour gérer BitLocker :

  • administrateurs, professionnels de la sécurité informatique et responsables de la conformité chargés de s'assurer que les données confidentielles ne sont pas divulguées sans autorisation ;

  • administrateurs chargés de la sécurité des ordinateurs distants ou installés dans des succursales ;

  • administrateurs responsables des ordinateurs clients qui exécutent Windows.

Notes

BitLocker n'est pas abordé en détail dans cette documentation axée sur MBAM. Pour plus d'informations, consultez Vue d'ensemble du chiffrement de lecteur BitLocker.

Nouveautés dans MBAM 2.5 SP1

Cette section décrit les nouvelles fonctionnalités de MBAM 2.5 SP1.

Langues nouvellement prises en charge pour le client MBAM 2.5 SP1

Les langues supplémentaires suivantes sont désormais prises en charge dans MBAM  2.5 SP1 pour le client MBAM uniquement, y compris le portail libre-service :

  • Tchèque (République tchèque) cs-CZ

  • Danois (Danemark) da-DK

  • Néerlandais (Pays-Bas) nl-NL

  • Finnois (Finlande) fi-FI

  • Grec (Grèce) el-GR

  • Hongrois (Hongrie) hu-HU

  • Norvégien, Bokmål (Norvège) nb-NO

  • Polonais (Pologne) pl-PL

  • Portugais (Portugal) pt-PT

  • Slovaque (Slovaquie) sk-SK

  • Slovène (Slovénie) sl-SI

  • Suédoise (Suède) sv-SE

  • Turc (Turquie) tr-TR

Pour obtenir une liste de toutes les langues prises en charge pour le client et le serveur dans MBAM 2.5 et MBAM 2.5 SP1, consultez Configurations prises en charge par MBAM 2.5.

Prise en charge de Windows 10

MBAM 2.5 SP1 prend désormais en charge Windows 10, en plus des logiciels déjà pris en charge dans les versions antérieures de MBAM.

Windows 10 est pris en charge dans MBAM 2.5 et MBAM 2.5 SP1.

Prise en charge de Microsoft SQL Server 2014 SP1

MBAM 2.5 SP1 prend désormais en charge Microsoft SQL Server 2014 SP1, en plus des logiciels déjà pris en charge dans les versions antérieures de MBAM.

MBAM n'est plus fourni avec un fichier MSI distinct

À compter de MBAM 2.5 SP1, un fichier MSI distinct n'est plus fourni avec les produits MBAM. Toutefois, vous pouvez extraire le fichier MSI du fichier exécutable (.exe) qui est fourni avec le produit.

MBAM peut déposer des mots de passe d'authentification du propriétaire sans être propriétaire du module de plateforme sécurisée (TPM)

Avant, si MBAM n'était pas propriétaire du module TPM, le mot de passe d'authentification du propriétaire du module TPM ne pouvait pas être déposé dans la base de données MBAM. Pour configurer MBAM pour qu'il soit propriétaire du module TPM et qu'il stocke les mots de passe, vous deviez désactiver l'approvisionnement automatique du module TPM et supprimer celui-ci de l'ordinateur client.

Dans Windows 8 et versions ultérieures, MBAM 2.5 SP1 peut maintenant déposer les mots de passe d'authentification du propriétaire sans être propriétaire du module TPM. Pendant le démarrage du service, MBAM vérifie si le module TPM est déjà détenu et, si c'est le cas, il demande les mots de passe au système d'exploitation. Les mots de passe sont ensuite déposés dans la base de données MBAM. En outre, la stratégie de groupe doit être définie pour empêcher la suppression locale du mot de passe d'authentification du propriétaire.

Dans Windows 7, MBAM doit être propriétaire du module TPM pour déposer automatiquement les informations d'authentification du propriétaire du module TPM dans la base de données MBAM. Si MBAM n'est pas propriétaire du module TPM et que la sauvegarde Active Directory (AD) du module TPM est configurée via la stratégie de groupe, vous devez utiliser les applets de commande d'importation de données Active Directory (AD) MBAM pour copier le mot de passe d'authentification du propriétaire du module TPM à partir d'Active Directory dans la base de données MBAM. Il s'agit de cinq nouvelles applets de commande PowerShell qui préremplissent les bases de données MBAM avec les informations relatives à la récupération de volume et au propriétaire du module TPM stockées dans Active Directory.

Pour plus d'informations, consultez Configure MBAM to escrow the TPM and store OwnerAuth passwords.

MBAM peut déverrouiller automatiquement le module TPM après un verrouillage

Sur les ordinateurs exécutant TPM 1.2, vous pouvez désormais configurer MBAM pour déverrouiller automatiquement le module TPM en cas de verrouillage. Si la fonctionnalité de réinitialisation automatique du verrouillage du module TPM est activée, MBAM peut détecter qu'un utilisateur est verrouillé, puis obtenir le mot de passe d'authentification du propriétaire à partir de la base de données MBAM pour déverrouiller automatiquement le module TPM pour l'utilisateur.

Cette fonctionnalité doit être activée côté serveur et dans la stratégie de groupe côté client. Pour plus d'informations, consultez Configure MBAM to automatically unlock the TPM after a lockout.

Prise en charge des protecteurs de mots de passe numériques BitLocker compatibles FIPS

Dans MBAM 2.5, les clés de récupération BitLocker compatibles FIPS (Federal Information Processing Standard) sont désormais prises en charge sur les appareils exécutant le système d'exploitation Windows 8.1. Toutefois, Windows n'implémentait pas les clés de récupération compatibles FIPS dans Windows 7. Par conséquent, les appareils Windows 7 et Windows 8 avaient toujours besoin d'un protecteur Agent de récupération de données pour la récupération.

L'équipe Windows a appliqué un correctif aux clés de récupération compatibles FIPS et MBAM 2.5 SP1 offre désormais une prise en charge de ces clés.

Notes

Les ordinateurs clients qui exécutent le système d'exploitation Windows 8 ont toujours besoin d'un protecteur Agent de récupération de données, car le correctif n'a pas été implémenté sur ce système d'exploitation. Voir Correctif logiciel 2 pour BitLocker Administration and Monitoring 2.5 pour télécharger et installer le correctif BitLocker pour les ordinateurs Windows 7 et Windows 8. Pour plus d'informations sur les agents de récupération des données, consultez Utilisation d'agents de récupération de données avec BitLocker.

Pour activer la compatibilité FIPS dans votre organisation, vous devez configurer les paramètres de stratégie de groupe FIPS (Federal Information Processing Standard). Pour obtenir des instructions sur la configuration, consultez Paramètres de stratégie de groupe BitLocker.

Personnaliser le message de récupération préalable au démarrage et l'URL avec le nouveau paramètre de stratégie de groupe

Un nouveau paramètre de stratégie de groupe, Configurer le message et l'URL de récupération préalable au démarrage, vous permet de configurer un message de récupération personnalisé ou de spécifier une URL qui s'affiche sur l'écran de récupération BitLocker préalable au démarrage lorsque le lecteur du système d'exploitation est verrouillé. Ce paramètre est uniquement disponible sur les ordinateurs clients exécutant Windows 10.

Si vous activez ce paramètre de stratégie, vous pouvez sélectionner l'une de ces options pour le message de récupération préalable au démarrage :

  • Utiliser un message de récupération personnalisé : sélectionnez cette option pour inclure un message personnalisé dans l'écran de récupération BitLocker préalable au démarrage.

  • Utiliser une URL de récupération personnalisée : sélectionnez cette option pour remplacer l'URL par défaut qui s'affiche dans l'écran de récupération BitLocker préalable au démarrage.

  • Utiliser le message et l'URL de récupération par défaut : sélectionnez cette option pour afficher l'URL et le message de récupération BitLocker par défaut dans l'écran de récupération BitLocker préalable au démarrage. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez rétablir le message par défaut, vous devez activer cette stratégie et sélectionner cette option.

Ce nouveau paramètre de stratégie de groupe est placé dans le nœud GPO suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > MDOP MBAM (Gestion BitLocker) > Lecteur du système d'exploitation. Pour plus d'informations, consultez Planification des exigences en matière de stratégie de groupe MBAM 2.5.

MBAM offre désormais la prise en charge du chiffrement d'espace utilisé

Dans MBAM 2.5 SP1, si vous activez le chiffrement d'espace utilisé via la stratégie de groupe BitLocker, le client MBAM la respecte.

Ce paramètre de stratégie de groupe se nomme Appliquer le type de chiffrement de lecteur aux lecteurs du système d’application et il se trouve dans le nœud de stratégie de groupe suivant : Configuration ordinateur>Modèles d'administration>Composants Windows>Chiffrement de lecteur BitLocker>Lecteurs de système d'exploitation. Si vous activez cette stratégie et sélectionnez le type de chiffrement Chiffrement de l’espace utilisé uniquement, MBAM honore la stratégie et BitLocker chiffre uniquement l'espace disque utilisé sur le volume.

Pour plus d'informations, consultez Planification des exigences en matière de stratégie de groupe MBAM 2.5.

Prise en charge du client MBAM pour les disques durs chiffrés

MBAM prend en charge BitLocker sur les disques durs chiffrés qui répondent aux exigences de la spécification TCG pour Opal et à celles des normes IEEE 1667. Quand BitLocker est activé sur ces périphériques, il génère des clés et exécute des fonctions de gestion sur le lecteur chiffré. Consultez Disque dur chiffré pour plus d'informations.

La configuration de la délégation n'est plus nécessaire lors de l'enregistrement des SPN

La configuration de la délégation contrainte pour les noms de principaux du service que vous enregistrez pour le compte de pool d'applications n'est plus nécessaire dans MBAM 2.5 SP1. Toutefois, elle est toujours nécessaire pour MBAM 2.5.

Activer BitLocker à l'aide de MBAM dans le cadre d'un déploiement de Windows

Dans MBAM 2.5 SP1, vous pouvez utiliser un script PowerShell pour configurer le chiffrement de lecteur BitLocker et déposer des clés de récupération sur le serveur MBAM.

Pour plus d'informations, voir Activation de BitLocker à l'aide de MBAM dans le cadre d'un déploiement de Windows.

Le portail libre-service peut être personnalisé à l'aide de PowerShell ou de l'Assistant Personnalisation du portail libre-service

À compter de MBAM 2.5 SP1, vous pouvez configurer le portail libre-service à l'aide de l'Assistant Personnalisation et à l'aide de PowerShell. Consultez Comment configurer les applications Web MBAM 2.5.

Le navigateur web ne s'exécute plus involontairement en tant qu'administrateur

Un problème dans MBAM 2.5 faisait en sorte que les liens d'aide dans l'outil Configuration du serveur provoquent l'ouverture des fenêtres du navigateur avec des droits d'administrateur. Ce problème est résolu dans MBAM 2.5 SP1.

Vous n'avez plus besoin de télécharger les fichiers JavaScript pour configurer le portail libre-service lorsque le CDN est inaccessible

Dans MBAM 2.5 et versions antérieures, les fichiers jQuery utilisés pour la configuration du portail libre-service devaient être téléchargés au préalable à partir du CDN si les clients accédant au portail libre-service ne disposaient pas d'un accès à internet. Dans MBAM 2.5 SP1, tous les fichiers JavaScript sont inclus dans le produit. Vous n'avez donc pas besoin de les télécharger.

Les rapports peuvent être ouverts dans le Générateur de rapports version 3.0

Dans MBAM 2.5 SP1, les rapports ont été mis à jour vers le schéma de langage de définition de rapports le plus récent, ce qui permet aux utilisateurs d'ouvrir et de personnaliser les rapports dans le Générateur de rapports version 3.0 et de les enregistrer immédiatement sans endommager le fichier de rapport.

Nouvelles applets de commande PowerShell

De nouvelles applets de commande PowerShell pour MBAM 2.5 SP1 vous permettent de configurer et de gérer différentes fonctionnalités de MBAM, y compris les bases de données, les rapports et les applications web. Chaque composant est associé à une applet de commande PowerShell que vous pouvez utiliser pour activer ou désactiver des fonctionnalités ou pour obtenir des informations sur une fonctionnalité.

Les applets de commande suivantes ont été implémentées pour MBAM 2.5 SP1 :

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

Les paramètres suivants ont été implémentés dans les applets de commande Enable-MbamWebApplication et Test-MbamWebApplication pour MBAM 2.5 SP1 :

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Pour plus d'informations sur les applets de commande, consultez Considérations relatives à la sécurité pour MBAM 2.5 et Aide sur les applets de commande de Microsoft Bitlocker Administration and Monitoring.

L'agent MBAM détecte le mode de présentation

L'agent MBAM peut détecter lorsque l'ordinateur est en mode de présentation et éviter d'appeler l'interface utilisateur de MBAM à ce moment-là.

Le service de l'agent MBAM est maintenant configuré pour utiliser le démarrage retardé

Après l'installation, le service configure maintenant le service de l'agent MBAM pour utiliser le démarrage retardé, ce qui réduit la durée nécessaire au démarrage de Windows.

Les volumes de données fixes verrouillés sont maintenant signalés comme étant conformes

La logique de calcul de la conformité pour les volumes de « données fixes verrouillés » a été modifiée pour signaler les volumes comme « Conforme », mais avec un état de protecteur et un état de chiffrement « Inconnu » et un détail d'état de conformité « Volume verrouillé ». Auparavant, les volumes verrouillés étaient signalés comme « Non conforme », avec un état de protecteur « Chiffré », un état de chiffrement « Inconnu » et un détail d'état de conformité « Erreur inconnue ».

Comment obtenir les technologies MDOP

MBAM fait partie de MDOP (Microsoft Desktop Optimization Pack). MDOP fait partie du programme Microsoft Software Assurance. Pour plus d'informations sur le programme Microsoft Software Assurance et comment acquérir MDOP, consultez Comment obtenir MDOP ?.

Notes de version de MBAM 2.5 SP1

Pour obtenir d'autres informations et connaître les dernières nouveautés non incluses dans cette documentation, consultez Notes de publication de MBAM 2.5 SP1.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Concepts

Microsoft BitLocker Administration and Monitoring 2.5

Autres ressources

Mise en route de MBAM 2,5