À propos de MBAM 2.0

  • Article

Mis à jour: avril 2013

S'applique à: Microsoft BitLocker Administration and Monitoring 2.0

Microsoft BitLocker Administration and Monitoring (MBAM) 2.0 offre une interface d'administration simplifiée pour le chiffrement de lecteur BitLocker. BitLocker offre une protection accrue contre le vol de données ou l'exposition des données en cas de perte ou de vol d'ordinateurs. BitLocker chiffre toutes les données stockées sur le volume du système d'exploitation Windows et les volumes de données configurés.

À propos de MBAM 2.0

BitLocker Administration and Monitoring 2.0 applique les options de la stratégie de chiffrement BitLocker que vous avez configurée pour votre entreprise, analyse la conformité des ordinateurs clients par rapport à ces stratégies et établit un rapport sur l'état de chiffrement de l'entreprise et des ordinateurs individuels. En outre, MBAM offre la possibilité d'accéder aux informations des clés de récupération en cas d'oubli du code confidentiel ou du mot de passe par les utilisateurs, de modification du BIOS ou de l'enregistrement de démarrage de leur ordinateur.

Notes

BitLocker n'est pas abordé en détail dans ce guide. Pour une vue d'ensemble de BitLocker, voir Présentation du chiffrement de lecteur BitLocker.

Les groupes suivants sont susceptibles d'être intéressés par l'utilisation de MBAM pour gérer BitLocker :

  • administrateurs, professionnels de la sécurité informatique et responsables de la conformité chargés de s'assurer que les données confidentielles ne sont pas divulguées sans autorisation ;

  • administrateurs chargés de la sécurité des ordinateurs distants ou installés dans des succursales ;

  • administrateurs responsables des ordinateurs clients qui exécutent Windows.

Nouveautés de MBAM 2.0

MBAM 2.0 fournit les nouveaux composants et fonctionnalités suivants.

Intégration de System Center Configuration Manager avec MBAM

MBAM prend désormais en charge l'intégration avec System Center Configuration Manager. Cette intégration déplace l'infrastructure de conformité de MBAM dans l'environnement natif de Configuration Manager. Les administrateurs informatiques qui utilisent Configuration Manager dans leur entreprise peuvent désormais afficher l'état de conformité de l'entreprise dans Microsoft Management Console et accéder à des rapports relatifs aux ordinateurs individuels.

La compatibilité matérielle est disponible uniquement dans la topologie d'intégration de Configuration Manager

L'intégration de Configuration Manager à MBAM active les composants de Configuration Manager qui autorisent ou interdisent l'utilisation de certains types de matériel avec MBAM, et fournit plus de souplesse que la compatibilité matérielle qui était disponible dans MBAM 1.0. Les administrateurs informatiques peuvent créer leurs propres regroupements pour limiter le matériel et déployer la ligne de base de configuration de MBAM sur ces regroupements. La compatibilité matérielle MBAM qui figurait dans MBAM 1.0 est désormais uniquement disponible dans la topologie Configuration Manager MBAM et administrée via Configuration Manager.

Stratégie flexible des protecteurs

Les ordinateurs déjà chiffrés avec un protecteur (par exemple, module de plateforme sécurisée + code confidentiel ou déverrouillage automatique et mot de passe) et qui reçoivent une stratégie MBAM qui nécessite un sous-ensemble de ce chiffrement (par exemple, module de plateforme sécurisée ou déverrouillage automatique) sont considérés comme étant compatibles. Dans l'exemple ci-dessus, un code confidentiel et un mot de passe ne sont pas supprimés automatiquement, sauf si l'administrateur définit spécifiquement ces composants comme n'étant plus autorisés.

Les ordinateurs qui ne sont pas chiffrés, et qui reçoivent une stratégie MBAM (par exemple, module de plateforme sécurisée ou déverrouillage automatique) sont chiffrés en conséquence. Les utilisateurs qui sont des administrateurs locaux autorisés à utiliser les outils BitLocker (élément Chiffrement de lecteur BitLocker du Panneau de configuration ou Manage-bde) pour ajouter ou modifier les protecteurs existants (par exemple, module de plateforme sécurisée + code confidentiel ou déverrouillage automatique et mot de passe). Ils restent conformes à moins que des stratégies MBAM les définissent plus précisément.

Possibilité de mise à niveau du client MBAM

Le programme Windows Installer du client MBAM 2.0 détecte la version du client existant et effectue les étapes requises pour mettre à niveau les précédentes versions du client MBAM 2.0.

Possibilité de mise à niveau du serveur MBAM à partir de versions précédentes

Effectuez la procédure ci-dessous pour mettre à niveau l'infrastructure serveur de MBAM 2.0 à partir de versions précédentes de MBAM :

Remplacement manuel des serveurs en place : vous devez désinstaller manuellement l'infrastructure serveur de MBAM existante, puis installer l'infrastructure serveur de MBAM 2.0. Vous n'êtes pas obligé de supprimer les bases de données pour effectuer la mise à niveau. Au lieu de cela, vous devez sélectionner les bases de données existantes, créées avec la version précédente du client MBAM. Ensuite, l'installation de la mise à niveau de MBAM 2.0 effectue la migration des bases de données existantes vers MBAM 2.0.

Mise à niveau distribuée des clients : si vous utilisez la topologie autonome de MBAM, vous pouvez mettre à niveau les clients MBAM au fil du temps après l'installation de l'infrastructure de serveur MBAM 2.0. Le serveur MBAM 2.0 détecte la version du client existant et effectue les étapes requises pour mettre à niveau le client 2.0.

Après la mise à niveau de l'infrastructure de serveur MBAM 2.0, les clients MBAM 1.0 continuent à transmettre leur rapport au serveur MBAM 2.0 en déposant les données de récupération. La conformité, quant à elle, sera conforme aux stratégies prises en charge par MBAM 1.0. Vous devez mettre à niveau les clients vers MBAM 2.0 pour que les ordinateurs clients transmettent fidèlement leur rapport de conformité conformément aux stratégies de MBAM 2.0. Vous pouvez mettre à niveau les clients vers le client MBAM 2.0 sans désinstaller le client précédent. Les clients commenceront alors à appliquer les stratégies MBAM 2.0 et à créer des rapports.

Si vous utilisez MBAM avec Configuration Manager, vous devez mettre à niveau les clients MBAM 1.0 vers MBAM 2.0.

Prise en charge par MBAM des scénarios BitLocker en entreprise sur la plateforme Windows 8

MBAM prend en charge le système d'exploitation Windows 8 en tant que plateforme cible pour l'installation du client MBAM. Cette prise en charge permet aux administrateurs informatiques d'installer l'agent MBAM, pour chiffrer les lecteurs de système d'exploitation Windows 8 ou pour créer des rapports sur la conformité des ordinateurs. MBAM tire parti des protecteurs Module de plateforme sécurisée et Module de plateforme sécurisée + code confidentiel pour gérer le système d'exploitation Windows 8 de la même façon que le système d'exploitation Windows 7. MBAM 2.0 prend également en charge le chiffrement des clients Windows To Go.

Ajout du portail libre-service

Les utilisateurs finaux peuvent désormais utiliser le portail libre-service pour récupérer leurs clés de récupération. Le portail libre-service peut être déployé sur un seul serveur avec les autres composants MBAM ou sur un serveur distinct qui permet aux administrateurs informatiques d'exposer le portail libre-service aux utilisateurs, en cas de besoin. Une fois les utilisateurs authentifiés par le portail libre-service, ils doivent entrer uniquement les huit premiers chiffres de l'ID de la clé de récupération pour recevoir leur clé de récupération.

MBAM sécurise également la clé en autorisant les utilisateurs à récupérer des clés uniquement sur les ordinateurs qu'ils utilisent, ce qui réduit les risques d'accès non autorisé d'autres utilisateurs.

Possibilité de reprise automatique de la protection BitLocker à partir d'un état interrompu

MBAM ne permet plus aux administrateurs informatiques de maintenir BitLocker dans un état interrompu et non protégé pendant de longues périodes. Si un administrateur informatique interrompt BitLocker, MBAM le réactive automatiquement lors du redémarrage de l'ordinateur, ce qui réduit le risque d'attaque sur celui-ci.

Les lecteurs de données fixes peuvent être configurés pour un déverrouillage automatique sans mot de passe

Une stratégie de lecteur de données fixes peut désormais être configurée pour autoriser le déverrouillage automatique du lecteur sans mot de passe. Les utilisateurs ne sont pas invités à saisir un mot de passe avant que le lecteur de données fixes soit chiffré, et le lecteur de données fixes sera sécurisé et déverrouillé automatiquement avec le lecteur de système d'exploitation.

Notes de publication de MBAM 2.0

Pour plus d'informations et obtenir des actualités de dernière minute non incluses dans la documentation, voir les Notes de publication de MBAM 2.0.

Voir aussi

Autres ressources

MBAM 2.0 Administrator’s Guide
Mise en route avec MBAM 2.0

-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----