Планирование развертывания клиента MBAM 2.5
Назначение: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
В зависимости от того, когда выполняется развертывание программного обеспечения клиента Администрирование и мониторинг Microsoft BitLocker (MBAM), вы можете включить шифрование дисков BitLocker на компьютере в организации либо перед тем как конечный пользователь получит компьютер, либо уже после этого. Как для изолированной топологии MBAM, так и для топологии с интеграцией System Center Configuration Manager, следует настроить параметры групповой политики MBAM.
Если используется изолированная топология MBAM, рекомендуется использовать корпоративную систему развертывания программного обеспечения для развертывания программного обеспечения клиента MBAM на клиентских компьютерах.
Если MBAM развернута в топологии с интеграцией Configuration Manager, программное обеспечение клиента Configuration Manager можно развертывать на компьютерах пользователей с помощью MBAM. В Configuration Manager при установке MBAM создается коллекция компьютеров, которыми может управлять MBAM. Эта коллекция содержит рабочие станции и устройства, не имеющие доверенного платформенного модуля (TPM), но на которых работает Windows 8, Windows 8.1 или Windows 10.
Примечание
Windows To Go не поддерживается при установке в топологии интеграции Configuration Manager, если используется Configuration Manager 2007.
Развертывание клиента MBAM для включения шифрования дисков BitLocker после передачи компьютеров конечным пользователям
После настройки групповой политики для развертывания файлов установщика Windows клиента Configuration Manager можно использовать корпоративный продукт системы развертывания программного обеспечения, такой как Microsoft System Center MBAM или доменные службы Active Directory (AD DS). При развертывании клиента MBAM можно использовать 32-разрядные или 64-разрядные файлы MbamClientSetup.exe или MBAMClient.msi, предоставляемые в наборе программного обеспечения клиента MBAM.
Примечание
Начиная с версии MBAM 2.5 с пакетом обновления 1 (SP1) в продукт MBAM больше не включаются отдельные MSI. Тем не менее MSI можно извлечь из исполняемого файла (EXE), входящего в состав продукта.
При развертывании клиента MBAM, после предоставления компьютеров-клиентов, пользователям предлагается включить шифрование своих компьютеров. Это действие позволяет MBAM осуществить сбор данных, задать PIN-код и пароль (если этого требует политика) и начать процесс шифрования.
Примечание
При использовании этого подхода конечные пользователи с компьютерами, оборудованными микросхемой TPM, получают запрос на активацию и инициализацию микросхемы TPM, если она не была активирована ранее.
Использование клиента MBAM для включения шифрования дисков BitLocker перед передачей компьютеров конечным пользователям
В организациях, где получение и настройка компьютеров осуществляются централизованно, и где компьютеры оборудованы соответствующей микросхемой TPM, клиент MBAM для управления шифрованием дисков BitLocker можно использовать на каждом компьютере до того, как на него будут записаны какие-либо пользовательские данные. Преимущество этого процесса заключается в том, что все компьютеры будут являться совместимыми. Этот метод не зависит от действий пользователей, так как администратор заблаговременно включает шифрование компьютеров. Ключевым предположением для данного сценария является то, что политика компании подразумевает установку корпоративного образа Windows перед передачей компьютера пользователю.
Если в организации требуется использовать микросхему TPM для шифрования компьютеров, администратор добавляет защиту TPM для шифрования тома операционной системы компьютера. Если в организации требуется использовать микросхему TPM и предохранитель с PIN-кодом, администратор шифрует системный том с предохранителем TPM, после чего пользователи выбирают ПИН-код при первом входе в систему. Если в вашей организации принято решение использовать только предохранитель с PIN-кодом, администратору можно не выполнять предварительное шифрование тома. При входе пользователей в систему Администрирование и мониторинг Microsoft BitLocker запрашивает у них ПИН-код либо ПИН-код и пароль, которые будут вводиться при последующем включении компьютера.
Примечание
Для использования предохранителя TPM необходимо, чтобы администратор принял запрос BIOS об активации и инициализации TPM перед передачей компьютера пользователю.
Поддержка зашифрованных жестких дисков клиентом MBAM
MBAM поддерживает технологию BitLocker для зашифрованных жестких дисков, соответствующих требованиям спецификации TCG для Opal, а также стандартов IEEE 1667. Применение технологии BitLocker на таких устройствах обеспечивает формирование ключей и выполнение функций управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск.
Есть предложение для MBAM?
Выдвигайте предложения и голосуйте за них здесь. Ответы на вопросы, возникающие при работе с MBAM, можно найти на форуме TechNet по MBAM.
См. также
Другие ресурсы
Планирование развертывания MBAM 2.5
Развертывание клиента MBAM 2.5