Planen der Clientbereitstellung für MBAM 2.5

  • Artikel

Je nachdem, wann Sie die Microsoft BitLocker Administration and Monitoring (MBAM)-Clientsoftware bereitstellen, können Sie die BitLocker-Laufwerkverschlüsselung auf einem Computer in Ihrer Organisation aktivieren, bevor der Endbenutzer den Computer erhält oder danach. Für die Topologien MBAM Stand-alone und System Center Configuration Manager Integration müssen Sie Gruppenrichtlinie Einstellungen für MBAM konfigurieren.

Wenn Sie die eigenständige MBAM-Topologie verwenden, empfehlen wir, dass Sie ein Enterprise-Softwarebereitstellungssystem verwenden, um die MBAM-Clientsoftware auf Endbenutzercomputern bereitzustellen.

Wenn Sie MBAM mit der Configuration Manager Integrationstopologie bereitstellen, können Sie Configuration Manager verwenden, um die MBAM-Clientsoftware auf Endbenutzercomputern bereitzustellen. In Configuration Manager erstellt die MBAM-Installation eine Sammlung von Computern, die MBAM verwalten kann. Diese Sammlung umfasst Arbeitsstationen und Geräte, die nicht über ein Trusted Platform Module (TPM) verfügen, aber Windows 8, Windows 8.1 oder Windows 10 ausführen.

Hinweis Windows To Go wird für die Topologieinstallation Configuration Manager Integration nicht unterstützt, wenn Sie Configuration Manager 2007 verwenden.

Bereitstellen des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung nach der Computerverteilung an Endbenutzer

Nachdem Sie Gruppenrichtlinie konfiguriert haben, können Sie ein Enterprise-Softwarebereitstellungssystemprodukt wie Microsoft System Center Configuration Manager oder Active Directory Domain Services (AD DS) verwenden, um die Windows Installer-Dateien der MBAM-Clientinstallation für Zielcomputer. Zum Bereitstellen des MBAM-Clients können Sie entweder die 32-Bit- oder 64-Bit-MbamClientSetup.exe-Dateien oder MBAMClient.msi-Dateien verwenden, die mit der MBAM-Clientsoftware bereitgestellt werden.

Hinweis Ab MBAM 2.5 SP1 ist ein separates MSI nicht mehr im MBAM-Produkt enthalten. Sie können die MSI-Datei jedoch aus der ausführbaren Datei (.exe) extrahieren, die im Lieferumfang des Produkts enthalten ist.

Wenn Sie den MBAM-Client bereitstellen, nachdem Sie Computer auf Clientcomputer verteilt haben, werden Endbenutzer aufgefordert, ihren Computer zu verschlüsseln. Mit dieser Aktion kann MBAM die Daten sammeln, die die PIN und das Kennwort enthalten (sofern dies von der Richtlinie erforderlich ist), und dann den Verschlüsselungsprozess starten.

Hinweis Bei diesem Ansatz werden Endbenutzer, die Computer mit einem TPM-Chip haben, aufgefordert, den TPM-Chip zu aktivieren und zu initialisieren, wenn der Chip noch nicht aktiviert wurde.

Verwenden des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung vor der Computerverteilung an Endbenutzer

In Organisationen, in denen Computer zentral empfangen und konfiguriert werden und Computer über einen kompatiblen TPM-Chip verfügen, können Sie den MBAM-Client verwenden, um die BitLocker-Laufwerkverschlüsselung auf jedem Computer zu verwalten, bevor Benutzerdaten in den Computer geschrieben werden. Der Vorteil dieses Prozesses besteht darin, dass jeder Computer dann konform ist. Diese Methode ist nicht auf die Endbenutzeraktion angewiesen, da der Administrator den Computer bereits verschlüsselt hat. Eine wichtige Annahme für dieses Szenario ist, dass die Richtlinie der Organisation ein Windows-Image des Unternehmens installiert, bevor der Computer an den Endbenutzer übermittelt wird.

Wenn Ihre Organisation den TPM-Chip zum Verschlüsseln von Computern verwenden möchte, fügt der Administrator die TPM-Schutzkomponente hinzu, um das Betriebssystemvolume des Computers zu verschlüsseln. Wenn Ihre Organisation den TPM-Chip und eine PIN-Schutzkomponente verwenden möchte, verschlüsselt der Administrator das Betriebssystemvolume mit der TPM-Schutzkomponente, und endbenutzer wählen dann eine PIN aus, wenn sie sich zum ersten Mal anmelden. Wenn Ihre Organisation nur die PIN-Schutzkomponente verwendet, muss der Administrator das Volume nicht zuerst verschlüsseln. Wenn sich Endbenutzer anmelden, werden sie von der Microsoft BitLocker-Verwaltung und -Überwachung aufgefordert, eine PIN oder eine PIN und ein Kennwort anzugeben, die bei einem späteren Neustart des Computers verwendet werden sollen.

Hinweis Die TPM-Schutzoption erfordert, dass der Administrator die BIOS-Aufforderung zum Aktivieren und Initialisieren des TPM akzeptiert, bevor der Computer an den Endbenutzer übermittelt wird.

MBAM-Clientunterstützung für verschlüsselte Festplatten

MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die die TCG-Spezifikationsanforderungen für Opal sowie IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter "Verschlüsselte Festplatte" .

Planen der Bereitstellung von MBAM 2.5

Bereitstellen des MBAM 2.5-Clients

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.