Планирование развертывания клиента MBAM 1.0

Обновлено: Ноябрь 2012 г.

Назначение: Microsoft BitLocker Administration and Monitoring 1.0

В зависимости от того, когда выполняется развертывание клиента Администрирование и мониторинг Microsoft BitLocker (MBAM), вы можете включить шифрование BitLocker на компьютере в организации либо перед тем как конечный пользователь получит компьютер, либо уже после этого. Чтобы включить шифрование BitLocker после получения пользователем компьютера, настройте групповую политику. Чтобы включить шифрование BitLocker перед получением компьютера пользователем, выполните развертывание программного обеспечения клиента MBAM, используя корпоративную систему развертывания программного обеспечения.

В вашей организации можно использовать один из этих методов или оба метода сразу. Если используются оба метода, можно улучшить соответствие требованиям, систему отчетов, а также поддержку восстановления ключей.

noteПримечание
Чтобы просмотреть системные требования клиента MBAM, см. Поддерживаемые конфигурации MBAM 1.0.

Развертывание клиента MBAM для включения шифрования BitLocker после передачи компьютеров конечным пользователям

После настройки групповой политики можно задействовать продукт, предназначенный для развертывания программного обеспечения на предприятии, например Microsoft System Center Configuration Manager 2012 или доменные службы Active Directory, чтобы выполнить развертывание файлов установки клиента MBAM на конечные компьютеры. Для установки клиента MBAM используются два файла установщика Windows: MBAMClient-64bit.msi и MBAMClient-32bit.msi. Они предоставляются с программным обеспечением MBAM. Дополнительные сведения о развертывании объектов групповой политики MBAM см. в Развертывание объектов групповой политики MBAM 1.0.

При развертывании клиента MBAM, после предоставления компьютеров конечным пользователям им предлагается включить шифрование своих компьютеров. Это позволяет MBAM осуществить сбор данных, задать PIN-код и пароль и начать процесс шифрования.

noteПримечание
При использовании этого подхода пользователям предлагается активировать и инициализировать микросхему доверенного платформенного модуля (TPM), если она не была активирована ранее.

Использование клиента MBAM для включения шифрования BitLocker после передачи компьютеров конечным пользователям

В организациях, где получение и настройка компьютеров осуществляются централизованно, можно установить клиент MBAM для управления шифрованием BitLocker на каждом компьютере перед тем как на компьютеры будут записаны какие-либо данные. Преимущество этого процесса заключается в том, что все компьютеры поддерживают шифрование BitLocker. Этот метод не зависит от действий пользователей, так как администратор заблаговременно включает шифрование компьютеров. Ключевым предположением для данного сценария является то, что политика компании подразумевает установку корпоративного образа Windows перед передачей компьютера пользователю.

Если в организации требуется использовать (TPM) для шифрования компьютеров, администратор должен выполнить шифрование тома с операционной системой на компьютере с предохранителем TPM. Если в организации требуется использовать микросхему TPM и предохранитель с PIN-кодом, администратор должен зашифровать системный том с предохранителем TPM, после чего пользователям следует выбрать PIN-код при первом входе в систему. Если в вашей организации принято решение использовать только предохранитель с PIN-кодом, администратору можно не выполнять предварительное шифрование тома. При входе пользователя в систему компьютера MBAM запрашивает PIN-код или PIN-код и пароль, которые будут использоваться после перезагрузки компьютера.

noteПримечание
Для использования предохранителя TPM необходимо, чтобы администратор принял запрос BIOS об активации и инициализации TPM перед передачей компьютера пользователю.

См. также

-----
Дополнительные сведения о MDOP см. в библиотеке TechNet, сведения об устранении неполадок — на вики-сайте TechNet или следите за нами на таких ресурсах, как Facebook или Twitter.
-----
Показ: