Planification du déploiement de clients MBAM 2.5
Mis à jour: février 2015
S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
En fonction du moment auquel vous déployez le logiciel client Microsoft BitLocker Administration and Monitoring (MBAM), vous pouvez activer le chiffrement de lecteur BitLocker sur un ordinateur de votre organisation avant ou après la réception de l'ordinateur par l'utilisateur final. Que ce soit pour la topologie autonome de MBAM ou pour la topologie Intégration System Center Configuration Manager, vous devez configurer les paramètres de stratégie de groupe de MBAM.
Si vous utilisez la topologie autonome de MBAM, nous vous recommandons d'utiliser un système de déploiement de logiciels pour entreprise pour déployer le logiciel client MBAM sur les ordinateurs des utilisateurs finaux.
Si vous déployez MBAM avec la topologie Intégration Configuration Manager, vous pouvez utiliser Configuration Manager pour déployer le logiciel client MBAM sur les ordinateurs des utilisateurs finaux. Dans Configuration Manager, l'installation de MBAM crée un regroupement d'ordinateurs que MBAM peut gérer. Ce regroupement inclut les stations de travail et les périphériques ne possédant pas de module de plateforme sécurisée (TPM) mais exécutant Windows 8, Windows 8.1 ou Windows 10.
Notes
Windows To Go n'est pas pris en charge dans la topologie Intégration Configuration Manager lorsque vous utilisez Configuration Manager 2007.
Déploiement du client MBAM en vue d'activer le chiffrement de lecteur BitLocker après distribution des ordinateurs aux utilisateurs finaux
Après avoir configuré les paramètres de stratégie de groupe, vous pouvez utiliser un produit système de déploiement de logiciels pour entreprise, tels que Microsoft System Center Configuration Manager ou les services de domaine Active Directory, pour déployer les fichiers Windows Installer de l'installation du client MBAM sur les ordinateurs cibles. Pour déployer le client MBAM, vous pouvez utiliser les fichiers MbamClientSetup.exe ou MBAMClient.msi 32 ou 64 bits fournis avec le logiciel client MBAM.
Notes
À compter de MBAM 2.5 SP1, un MSI séparé n'est plus fourni avec les produits MBAM. Toutefois, vous pouvez extraire le fichier MSI du fichier exécutable (.exe) qui est fourni avec le produit.
Lorsque vous déployez le client MBAM après avoir distribué les ordinateurs aux utilisateurs finaux, ces derniers sont invités à chiffrer leur ordinateur. Cette action permet à MBAM de collecter les données, notamment le code confidentiel et le mot de passe (si la stratégie l'impose), puis de commencer le processus de chiffrement.
Notes
Dans cette approche, les utilisateurs finaux ayant des ordinateurs dotés d'une puce TPM sont invités à activer et à initialiser la puce TPM si cela n'a pas encore été fait.
Utilisation du client MBAM pour activer le chiffrement de lecteur BitLocker avant distribution des ordinateurs aux utilisateurs finaux
Dans les organisations où les ordinateurs sont reçus et configurés de manière centralisée, et où ces ordinateurs sont dotés d'une puce TPM compatible, vous pouvez installer le client MBAM pour gérer le chiffrement de lecteur BitLocker sur chaque ordinateur avant que des données utilisateur n'y soient écrites. L'avantage de ce processus est que chaque ordinateur est alors compatible. Cette méthode ne repose pas sur l'action de l'utilisateur final, car l'administrateur a déjà chiffré l'ordinateur. Une hypothèse clé pour ce scénario consiste à faire en sorte que la stratégie de l'organisation installe une image système Windows de l'entreprise avant que l'ordinateur ne soit remis à l'utilisateur final.
Si votre organisation souhaite utiliser la puce TPM pour chiffrer les ordinateurs, l'administrateur ajoute le protecteur TPM pour chiffrer le volume de système d'exploitation de l'ordinateur. Si votre organisation souhaite utiliser la puce TPM et un protecteur de code confidentiel, l'administrateur chiffre le volume de système d'exploitation à l'aide du protecteur TPM, puis les utilisateurs finaux sélectionnent un code confidentiel lors de leur première connexion. Si votre organisation décide d'utiliser uniquement le protecteur de code confidentiel, l'administrateur n'aura pas de chiffrer le volume au préalable. Lorsque les utilisateurs finaux se connectent, Microsoft BitLocker Administration and Monitoring leur demande de fournir un code confidentiel ou un code confidentiel et un mot de passe à utiliser lors des prochains redémarrages de l'ordinateur.
Notes
L'option de protecteur TPM nécessite que l'administrateur accepte l'invite du BIOS à activer et initialiser le TPM avant de livrer l'ordinateur à l'utilisateur final.
Prise en charge du client MBAM pour les disques durs chiffrés
MBAM prend en charge BitLocker sur les disques durs chiffrés qui répondent aux exigences de la spécification TCG pour Opal et à celles des normes IEEE 1667. Quand BitLocker est activé sur ces périphériques, il génère des clés et exécute des fonctions de gestion sur le lecteur chiffré. Consultez Disque dur chiffré pour plus d'informations.
Vous avez une suggestion pour MBAM ?
Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.
Voir aussi
Autres ressources
Planification du déploiement de MBAM 2.5
Déploiement du client MBAM 2.5