Informazioni su MBAM 2.5 SP1

  • Articolo

Aggiornamento: agosto 2015

Si applica a: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1 fornisce un'interfaccia di amministrazione semplificata per Crittografia unità BitLocker. BitLocker offre protezione avanzata contro il furto o la divulgazione dei dati nel caso di computer smarriti o rubati. BitLocker crittografa tutti i dati archiviati nelle unità del sistema operativo Windows e nelle unità dati configurate.

Panoramica di MBAM

MBAM 2.5 SP1 include le funzionalità seguenti:

  • Consente agli amministratori di automatizzare il processo di crittografia dei volumi nei computer client dell'organizzazione.

  • Consente ai responsabili della sicurezza di determinare rapidamente lo stato di conformità dei singoli computer o persino della stessa organizzazione.

  • Fornisce la gestione centralizzata di report e hardware con Microsoft System Center Configuration Manager.

  • Riduce il carico di lavoro del supporto tecnico nelle operazioni di assistenza agli utenti finali con le richieste di PIN e di chiavi di ripristino di BitLocker.

  • Consente agli utenti finali di ripristinare autonomamente i dispositivi crittografati usando il portale self-service.

  • Consente ai responsabili della sicurezza di controllare facilmente l'accesso per il ripristino delle informazioni importanti.

  • Permette agli utenti aziendali di Windows di continuare a lavorare ovunque, con la massima protezione dei dati aziendali.

MBAM consente di applicare le opzioni relative ai criteri di crittografia di BitLocker impostate per l'organizzazione, monitorare la conformità dei computer client a tali criteri e generare dei report sullo stato di crittografia sia dei computer aziendali che di quelli singoli. Inoltre, MBAM consente di accedere alle informazioni sulla chiave di ripristino quando viene dimenticato il PIN o la password oppure quando viene modificato il BIOS o i record di avvio.

I seguenti gruppi potrebbero essere interessati a usare MBAM per gestire BitLocker:

  • Amministratori, professionisti della sicurezza IT e responsabili della conformità il cui compito è garantire che i dati riservati non vengano divulgati senza autorizzazione

  • Amministratori responsabili della protezione dei computer in succursali o uffici remoti

  • Amministratori responsabili dei computer client che eseguono Windows

Nota

La presente guida di MBAM non include una descrizione esaustiva di BitLocker. Per altre informazioni, vedere Informazioni generali su Crittografia unità BitLocker.

Novità di MBAM 2.5 SP1

Questa sezione descrive le nuove funzionalità di MBAM 2.5 SP1.

Nuove lingue supportate per il client MBAM 2.5 SP1

Le lingue aggiuntive seguenti sono ora supportate in MBAM 2.5 SP1 solo per il client MBAM, incluso il portale self-service:

  • Ceco (Repubblica ceca), Cs-CZ

  • Danese (Danimarca), da-DK

  • Olandese (Olanda), nl-NL

  • Finlandese (Finlandia), fi-FI

  • Greco (Grecia), el-GR

  • Ungherese (Ungheria), hu-HU

  • Norvegese, Bokmål (Norvegia) nb-NO

  • Polacco (Polonia), pl-PL

  • Portoghese (Portogallo), pt-PT

  • Slovacco (Slovacchia), sk-SK

  • Sloveno (Slovenia), sl-SL

  • Svedese (Svezia), sv-SE

  • Turco (Turchia), tr-TR

Per un elenco di tutte le lingue supportate per client e server in MBAM 2.5 e MBAM 2.5 SP1, vedere Configurazioni supportate di MBAM 2.5.

Supporto per Windows 10

Oltre al software già supportato nelle versioni precedenti di MBAM, in MBAM 2.5 SP1 è stato aggiunto il supporto per Windows 10.

Windows 10 è supportato sia in MBAM 2.5 che in MBAM 2.5 SP1.

Supporto per Microsoft SQL Server 2014 SP1

Oltre al software già supportato nelle versioni precedenti di MBAM, in MBAM 2.5 SP1 è stato aggiunto il supporto per Microsoft SQL Server 2014 SP1.

MBAM non viene più fornito con un file MSI separato

A partire da MBAM 2.5 SP1 non viene più incluso un file MSI separato con il prodotto MBAM. Tuttavia, è possibile estrarre il file con estensione msi dal file eseguibile (con estensione exe) incluso nel prodotto.

MBAM può depositare password OwnerAuth senza essere proprietario del TPM

Nelle versioni precedenti se MBAM non è proprietario del TPM, non è possibile depositare le password OwnerAuth del TPM nel database di MBAM. Per configurare MBAM in modo che sia proprietario del TPM e archivi le password, è necessario disabilitare il provisioning automatico del TPM e cancellare il TPM dal computer client.

In Windows 8 e versioni successive MBAM 2.5 SP1 può ora depositare le password OwnerAuth senza essere proprietario del TPM. Durante l'avvio del servizio, MBAM esegue query per verificare se il TPM è già di proprietà e in tal caso richiede le password al sistema operativo. Le password vengono quindi depositate nel database di MBAM. È anche necessario impostare Criteri di gruppo per evitare che OwnerAuth venga eliminato localmente.

In Windows 7 è necessario che MBAM sia proprietario del TPM per poter depositare automaticamente le informazioni OwnerAuth del TPM nel database di MBAM. Se MBAM non è proprietario del TPM e il backup Active Directory del TPM è configurato tramite Criteri di gruppo, è necessario usare i cmdlet di importazione dati Active Directory di MBAM per copiare OwnerAuth del TPM da Active Directory nel database di MBAM. Questi sono i cinque nuovi cmdlet di PowerShell che prepopolano i database di MBAM con le informazioni di ripristino del volume e del proprietario del TPM archiviate in Active Directory.

Per altre informazioni, vedere Configure MBAM to escrow the TPM and store OwnerAuth passwords.

MBAM può sbloccare automaticamente il TPM dopo un blocco

Nei computer con TPM 1.2 è possibile ora configurare MBAM per sbloccare automaticamente il TPM in caso di blocco. Se è abilitata la funzionalità di ripristino automatico dal blocco del TPM, MBAM può rilevare che un utente è bloccato e quindi ottenere la password OwnerAuth dal database di MBAM per sbloccare automaticamente il TPM per l'utente.

Questa funzionalità deve essere abilitata sia sul lato server che in Criteri di gruppo sul lato client. Per altre informazioni, vedere Configure MBAM to automatically unlock the TPM after a lockout.

Supporto per la protezione con password numerica di BitLocker compatibile con FIPS

In MBAM 2.5 è stato aggiunto il supporto per le chiavi di ripristino BitLocker conformi con FIPS (Federal Information Processing Standard) nei dispositivi che eseguono il sistema operativo Windows 8.1. Le chiavi di ripristino conformi con FIPS non sono state tuttavia implementate in Windows 7. Di conseguenza, i dispositivi Windows 7 e Windows 8 necessitano ancora di una protezione Agente recupero dati (DRA) per il ripristino.

Il team di Windows ha implementato le chiavi di ripristino compatibili con FIPS con un hotfix e in MBAM 2.5 SP1 è stato aggiunto il supporto anche per tali chiavi.

Nota

I computer client che eseguono il sistema operativo Windows 8 richiedono ancora una protezione Agente recupero dati (DRA) poiché l'hotfix non è stato implementato in questo sistema operativo. Vedere la pagina relativa al pacchetto hotfix 2 per BitLocker Administration and Monitoring 2.5 per scaricare e installare l'hotfix di BitLocker per computer Windows 7 e Windows 8. Per informazioni su DRA, vedere Utilizzo degli Agente recupero dati con BitLocker.

Per abilitare la conformità FIPS nell'organizzazione, è necessario configurare le impostazioni di Criteri di gruppo FIPS (Federal Information Processing Standard). Per le istruzioni sulla configurazione, vedere Impostazioni di Criteri di gruppo di BitLocker.

Personalizzare il messaggio e l'URL di recupero prima dell'avvio con la nuova impostazione di Criteri di gruppo

Una nuova impostazione di Criteri di gruppo, Configura il messaggio e l'URL di recupero prima dell'avvio, consente di configurare un messaggio di recupero personalizzato o di specificare un URL che viene quindi visualizzato nella schermata di recupero BitLocker prima dell'avvio quando l'unità del sistema operativo è bloccata. Questa impostazione è disponibile solo nei computer client che eseguono Windows 10.

Se si abilita questa impostazione, è possibile selezionare una delle seguenti opzioni per il messaggio di recupero prima dell'avvio:

  • Usa il messaggio di recupero personalizzato: selezionare questa opzione per includere un messaggio personalizzato nella schermata di recupero BitLocker prima dell'avvio.

  • Usa l'URL di recupero personalizzato: selezionare questa opzione per sostituire l'URL predefinito visualizzato nella schermata di recupero BitLocker prima dell'avvio.

  • Usa il messaggio e l'URL di recupero predefiniti: selezionare questa opzione per visualizzare il messaggio e l'URL di recupero BitLocker predefiniti nella schermata di recupero BitLocker prima dell'avvio. Se in precedenza è stato configurato un messaggio o un URL di recupero personalizzato e si desidera ripristinare il messaggio predefinito, è necessario abilitare questo criterio e selezionare questa opzione.

La nuova impostazione di Criteri di gruppo si trova nel seguente nodo oggetto Criteri di gruppo: Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > MDOP MBAM (Gestione BitLocker) > Unità sistema operativo. Per altre informazioni, vedere Pianificazione dei requisiti di Criteri di gruppo per MBAM 2.5.

In MBAM è stato aggiunto il supporto per la crittografia dello spazio usato

Se in MBAM 2.5 SP1 si abilita la crittografia dello spazio usato tramite Criteri di gruppo di BitLocker, il client MBAM supporta tale funzionalità.

Questa impostazione di Criteri di gruppo è denominata Imponi tipo di crittografia unità sulle unità del sistema operativo e si trova nel nodo oggetto Criteri di gruppo seguente: Configurazione computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker > Unità del sistema operativo. Se si abilita questo criterio e si seleziona il tipo di crittografia Crittografia del solo spazio utilizzato, MBAM applicherà tale impostazione e BitLocker crittograferà solo lo spazio su disco usato nel volume.

Per altre informazioni, vedere Pianificazione dei requisiti di Criteri di gruppo per MBAM 2.5.

Supporto d dischi rigidi crittografati in MBAM

MBAM supporta BitLocker in dischi rigidi crittografati che soddisfano i requisiti della specifica TCG per Opal e gli standard IEEE 1667. Quando BitLocker è abilitato in questi dispositivi, genera le chiavi ed esegue funzioni di gestione sull'unità crittografata. Per altre informazioni, vedere l'argomento relativo ai dischi rigidi crittografati.

Configurazione della delega non più necessaria durante la registrazione dei nomi SPN

La configurazione della delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni non è più necessaria in MBAM 2.5 SP1. Tuttavia, è ancora un requisito per MBAM 2.5.

Abilitare BitLocker usando MBAM come parte di una distribuzione di Windows

In MBAM 2.5 SP1 è possibile usare uno script di PowerShell per configurare la crittografia unità BitLocker e depositare le chiavi di ripristino nel server MBAM.

Per altre informazioni, vedere Come abilitare BitLocker usando MBAM come parte di una distribuzione di Windows.

Il portale self-service può essere personalizzato tramite PowerShell o la personalizzazione guidata

A partire da MBAM 2.5 SP1, il portale self-service può essere configurato usando la personalizzazione guidata, nonché tramite PowerShell. Vedere Come configurare le applicazioni Web di MBAM 2.5.

Il Web browser non viene più eseguito accidentalmente come amministratore

A causa di un problema in MBAM 2.5, i collegamenti alla Guida nello strumento di configurazione del server determinano l'apertura delle finestre del browser con diritti di amministratore. Questo problema è risolto in MBAM 2.5 SP1.

Non è più necessario scaricare i file JavaScript per configurare il portale self-service quando la rete CDN non è accessibile

In MBAM 2.5 e versioni precedenti i file jQuery usati per la configurazione del portale self-service devono essere scaricati dalla rete CDN in anticipo se i client che accedono al portale self-service non dispongono dell'accesso a Internet. In MBAM 2.5 SP1 tutti i file JavaScript sono inclusi nel prodotto, quindi non è necessario scaricarli.

È possibile aprire report in Generatore report 3.0

In MBAM 2.5 SP1 i report sono stati aggiornati all'ultimo schema del linguaggio RDL, consentendo agli utenti di aprire e personalizzare i report in Generatore report 3.0 e salvarli immediatamente senza danneggiare il file di report.

Nuovi cmdlet di PowerShell

Nuovi cmdlet di PowerShell per MBAM 2.5 SP1 consentono di configurare e gestire diverse funzionalità di MBAM, tra cui database, report e applicazioni Web. A ogni funzionalità corrisponde un cmdlet di PowerShell che è possibile usare per abilitare o disabilitare le funzionalità o per richiedere informazioni su di esse.

I cmdlet seguenti sono stati implementati per MBAM 2.5 SP1:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

I parametri seguenti sono stati implementati nei cmdlet Enable-MbamWebApplication e Test-MbamWebApplication per MBAM 2.5 SP1:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Per informazioni sui cmdlet, vedere Considerazioni sulla sicurezza per MBAM 2.5 e l'articolo relativo alla guida ai cmdlet di Microsoft BitLocker Administration and Monitoring.

L'agente MBAM rileva la modalità di presentazione

L'agente MBAM può rilevare quando il computer è in modalità di presentazione ed evitare di richiamare l'interfaccia utente di MBAM.

Il servizio dell'agente MBAM è ora configurato per usare l'avvio ritardato

Dopo l'installazione, il servizio imposta ora il servizio dell'agente MBAM in modo da usare l'avvio ritardato, riducendo la quantità di tempo necessaria per avviare Windows.

I volumi con dati fissi bloccati ora vengono segnalati come conformi

La logica di calcolo della conformità per i volumi con dati fissi bloccati è stata modificata per segnalare i volumi come conformi, ma con uno stato di protezione e crittografia sconosciuto e con uno stato di conformità che indica che il volume è bloccato. Nelle versioni precedenti i volumi bloccati sono segnalati come non conformi, lo stato di protezione è segnalato come crittografato, lo stato di crittografia è segnalato come sconosciuto e lo stato di conformità indica un errore sconosciuto.

Come ottenere le tecnologie MDOP

MBAM è un componente di Microsoft Desktop Optimization Pack (MDOP). MDOP fa parte del programma Microsoft Software Assurance. Per altre informazioni sul programma Microsoft Software Assurance e su MDOP, vedere la pagina relativa a come ottenere MDOP.

Note sulla versione di MBAM 2.5 SP1

Per altre informazioni e le ultime novità non incluse nella documentazione, vedere Note sulla versione di MBAM 2.5 SP1.

Come inviare suggerimenti per MBAM?

Aggiungere o votare i suggerimenti qui. Per problemi relativi a MBAM, usare il forum di TechNet su MBAM.

Vedere anche

Concetti

Microsoft BitLocker Administration and Monitoring 2.5

Altre risorse

Introduzione a MBAM 2.5