Planen der Clientbereitstellung für MBAM 2.5
Letzte Aktualisierung: Februar 2015
Betrifft: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
Abhängig vom Zeitpunkt der Bereitstellung der Microsoft BitLocker Administration and Monitoring (MBAM)-Clientsoftware können Sie die BitLocker-Laufwerkverschlüsselung auf einem Computer in Ihrer Organisation aktivieren, bevor oder nachdem der Endbenutzer den Computer erhält. Sowohl für die eigenständige MBAM-Installation als auch für die System Center Configuration Manager-Integrationstopologie müssen Sie Gruppenrichtlinieneinstellungen für MBAM konfigurieren.
Wenn Sie die eigenständige MBAM-Topologie verwenden, empfehlen wir die Verwendung eines Softwarebereitstellungssystems für Unternehmen, um die MBAM-Clientsoftware für Endbenutzercomputer bereitzustellen.
Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, können Sie Configuration Manager für die Bereitstellung der MBAM-Clientsoftware für Endbenutzercomputer verwenden. In Configuration Manager erstellt die MBAM-Installation eine Sammlung von Computern, die mit MBAM verwaltet werden können. Diese Sammlung umfasst Arbeitsstationen und Geräte, die nicht über ein Trusted Platform Module (TPM) verfügen, auf denen aber Windows 8, Windows 8.1 oder Windows 10 ausgeführt wird.
Hinweis
Wenn Sie Configuration Manager verwenden, wird Windows To Go für die Installation der Configuration Manager 2007-Integrationstopologie nicht unterstützt.
Bereitstellen des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung nach der Computerbereitstellung für Endbenutzer
Nach dem Konfigurieren der Gruppenrichtlinie können Sie mithilfe eines Softwarebereitstellungssystems für Unternehmen wie Microsoft System Center Configuration Manager oder Active Directory-Domänendienste (AD DS) die Windows Installer-Dateien für die MBAM-Clientinstallation auf den Zielcomputern bereitstellen. Sie können den MBAM-Client entweder mit den 32-Bit- oder den 64-Bit-MbamClientSetup.exe-Dateien oder aber mit den MBAMClient.msi-Dateien bereitstellen, die in der MBAM-Clientsoftware bereitgestellt werden.
Hinweis
Seit MBAM 2,5 SP1 ist keine gesonderte MSI-Datei mehr im MBAM-Produkt enthalten. Allerdings können Sie die MSI-Datei aus der ausführbaren Datei (.exe) extrahieren, die im Produkt enthalten ist.
Wenn Sie den MBAM-Client bereitstellen, nachdem Clientcomputer die Computer erhalten, werden Endbenutzer zum Verschlüsseln ihrer Computer aufgefordert. Diese Aktion ermöglicht MBAM das Sammeln der Daten, wozu auch die PIN und das Kennwort (falls per Richtlinie erforderlich) gehören, und das anschließende Starten des Verschlüsselungsvorgangs.
Hinweis
Bei dieser Herangehensweise werden Benutzer, die Computer mit einem TPM-Chip besitzen, aufgefordert, den TPM-Chip zu aktivieren und zu installieren, wenn dieser nicht bereits aktiviert wurde.
Verwenden des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung vor der Computerbereitstellung für Endbenutzer
In Organisationen, in denen Computer an einem zentralen Ort empfangen und konfiguriert werden und Computer über einen richtlinienkonformen TPM-Chip verfügen, können Sie auf allen Computern den MBAM-Client verwenden, um die BitLocker-Laufwerkverschlüsselung zu verwalten, bevor Benutzerdaten auf den Computern gespeichert werden. Dies hat den Vorteil, dass dann alle Computer konform sind. Die Methode ist unabhängig von Endbenutzeraktionen, da der Computer bereits vom Administrator verschlüsselt wurde. Eine wesentliche Annahme für dieses Szenario ist, dass nach der Richtlinie der Organisation ein Unternehmens-Windows-Image installiert wird, bevor der Computer an den Endbenutzer ausgeliefert wird.
Falls Ihre Organisation den TPM-Chip zur Verschlüsselung von Computern verwenden möchte, fügt der Administrator die TPM-Schutzvorrichtung zur Verschlüsselung des Betriebssystemlaufwerks des Computers hinzu. Wenn in Ihrer Organisation der TPM-Chip und eine Schutzvorrichtung mit PIN verwendet werden sollen, muss der Administrator das Betriebssystemvolume mit der TPM-Schutzvorrichtung verschlüsseln, und die Endenutzer müssen bei der ersten Anmeldung eine PIN wählen. Wenn in Ihrer Organisation nur die Schutzvorrichtung mit PIN verwendet werden soll, muss der Administrator das Volume nicht zunächst verschlüsseln. Wenn sich Endbenutzer anmelden, werden sie von Microsoft BitLocker Administration and Monitoring aufgefordert, eine PIN oder eine PIN und ein Kennwort anzugeben, die sie bei einem späteren Neustart des Computers verwenden werden.
Hinweis
Für die Option mit TPM-Schutzvorrichtung muss der Administrator die BIOS-Aufforderung annehmen und TPM aktivieren und initialisieren, bevor der Computer an den Benutzer ausgeliefert wird.
MBAM-Client-Unterstützung für verschlüsselte Festplatten
MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die TCG-Spezifikationsanforderungen für Opal sowie IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter Verschlüsselte Festplatte.
Haben Sie einen Vorschlag für MBAM?
Fügen Sie hier Vorschläge hinzu, oder stimmen Sie über Vorschläge ab. Verwenden Sie bei Problemen mit MBAM das MBAM-TechNet-Forum.
Siehe auch
Weitere Ressourcen
Planen der Bereitstellung von MBAM 2.5
Bereitstellen des Clients von MBAM 2.5