À propos de MBAM 2.5 SP1
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 fournit une interface d’administration simplifiée pour le chiffrement de lecteur BitLocker. BitLocker offre une protection renforcée contre le vol de données ou l’exposition des données pour les ordinateurs perdus ou volés. BitLocker chiffre toutes les données stockées sur le système d’exploitation Windows et les lecteurs et lecteurs de données configurés.
Vue d’ensemble de MBAM
MBAM 2.5 SP1 offre les fonctionnalités suivantes :
Permet aux administrateurs d’automatiser le processus de chiffrement des volumes sur les ordinateurs clients de l’entreprise.
Permet aux responsables de la sécurité de déterminer rapidement l’état de conformité des ordinateurs individuels ou même de l’entreprise elle-même.
Fournit des rapports centralisés et une gestion du matériel avec Microsoft System Center Configuration Manager.
Réduit la charge de travail sur le support technique pour aider les utilisateurs finaux avec les demandes de code confidentiel BitLocker et de clé de récupération.
Permet aux utilisateurs finaux de récupérer des appareils chiffrés indépendamment à l’aide du portail Self-Service.
Permet aux agents de sécurité d’auditer facilement l’accès pour récupérer les informations clés.
Permet aux utilisateurs de Windows Entreprise de continuer à travailler n’importe où avec l’assurance que leurs données d’entreprise sont protégées.
MBAM applique les options de stratégie de chiffrement BitLocker que vous définissez pour votre entreprise, surveille la conformité des ordinateurs clients avec ces stratégies et signale l’état de chiffrement des ordinateurs de l’entreprise et des ordinateurs individuels. En outre, MBAM vous permet d’accéder aux informations de la clé de récupération lorsque les utilisateurs oublient leur code confidentiel ou leur mot de passe, ou lorsque leurs enregistrements DE BIOS ou de démarrage changent.
Les groupes suivants peuvent être intéressés par l’utilisation de MBAM pour gérer BitLocker :
Administrateurs, professionnels de la sécurité informatique et responsables de la conformité chargés de veiller à ce que les données confidentielles ne soient pas divulguées sans autorisation
Administrateurs responsables de la sécurité informatique dans les filiales ou les bureaux distants
Administrateurs responsables des ordinateurs clients exécutant Windows
Remarque
BitLocker n’est pas expliqué en détail dans cette documentation MBAM. Pour plus d’informations, consultez Vue d’ensemble du chiffrement de lecteur BitLocker.
Nouveautés de MBAM 2.5 SP1
Cette section décrit les nouvelles fonctionnalités de MBAM 2.5 SP1.
Nouvelles langues prises en charge pour le client MBAM 2.5 SP1
Les langues suivantes sont désormais prises en charge dans MBAM 2.5 SP1 uniquement pour le client MBAM, y compris le portail Self-Service :
Tchèque (République tchèque) cs-CZ
Danois (Danemark) da-DK
Néerlandais (Pays-Bas) nl-NL
Finnois (Finlande) fi-FI
Grec (Grèce) el-GR
Hongrois (Hongrie) hu-HU
Norvégien, Bokmål (Norvège) nb-NO
Polonais (Pologne) pl-PL
Portugais (Portugal) pt-PT
Slovaque (Slovaquie) sk-SK
Slovène (Slovénie) sl-SI
Suédois (Suède) sv-SE
Turc (Türkiye) tr-TR
Pour obtenir la liste de toutes les langues prises en charge pour le client et le serveur dans MBAM 2.5 et MBAM 2.5 SP1, consultez Configurations prises en charge par MBAM 2.5.
Prise en charge de Windows 10
MBAM 2.5 SP1 ajoute la prise en charge de Windows 11, Windows 10 et Windows Server 2016, en plus des logiciels pris en charge dans les versions antérieures de MBAM.
Windows 10 est pris en charge dans MBAM 2.5 et MBAM 2.5 SP1.
Prise en charge de Microsoft SQL Server 2014 SP1
MBAM 2.5 SP1 ajoute la prise en charge de Microsoft SQL Server 2014 SP1, en plus des logiciels pris en charge dans les versions antérieures de MBAM.
MBAM n’est plus fourni avec msi distinct
À compter de MBAM 2.5 SP1, un msi distinct n’est plus inclus dans le produit MBAM. Toutefois, vous pouvez extraire le MSI du fichier exécutable (.exe) inclus dans le produit.
MBAM peut séquestrer les mots de passe OwnerAuth sans posséder le module de plateforme sécurisée
Auparavant, si MBAM ne possédait pas le TPM, l’objet OwnerAuth du module de plateforme sécurisée ne pouvait pas être mis sous séquestre dans la base de données MBAM. Pour configurer MBAM pour qu’il soit propriétaire du module de plateforme sécurisée et pour stocker les mots de passe, vous devez désactiver l’approvisionnement automatique du module de plateforme sécurisée et effacer le module de plateforme sécurisée sur l’ordinateur client.
Dans Windows 8 et versions ultérieures, MBAM 2.5 SP1 peut désormais séquestrer les mots de passe OwnerAuth sans posséder le TPM. Lors du démarrage du service, MBAM interroge pour voir si le module TPM est déjà détenu et, le cas échéant, il demande les mots de passe du système d’exploitation. Les mots de passe sont ensuite mis sous séquestre dans la base de données MBAM. En outre, la stratégie de groupe doit être définie pour empêcher la suppression locale de OwnerAuth.
Dans Windows 7, MBAM doit être propriétaire du module de plateforme sécurisée (TPM) pour supprimer automatiquement les informations Propriétaire du module de plateforme sécurisée (TPM) dans la base de données MBAM. Si MBAM n’est pas propriétaire du module TPM et que la sauvegarde Active Directory (AD) du module de plateforme sécurisée est configurée via la stratégie de groupe, vous devez utiliser les applets de commande d’importation de données MBAM Active Directory (AD) pour copier TPM OwnerAuth d’AD dans la base de données MBAM. Il s’agit de cinq nouvelles applets de commande PowerShell qui préremplir les bases de données MBAM avec les informations de récupération de volume et de propriétaire TPM stockées dans Active Directory.
Pour plus d’informations, consultez Considérations relatives à la sécurité mbam 2.5.
MBAM peut déverrouiller automatiquement le module de plateforme sécurisée après un verrouillage
Sur les ordinateurs exécutant TPM 1.2, vous pouvez désormais configurer MBAM pour déverrouiller automatiquement le module de plateforme sécurisée s’il est verrouillé. Si la fonctionnalité de réinitialisation automatique du verrouillage TPM est activée, MBAM peut détecter qu’un utilisateur est verrouillé, puis obtenir le mot de passe OwnerAuth à partir de la base de données MBAM pour déverrouiller automatiquement le module de plateforme sécurisée pour l’utilisateur.
Cette fonctionnalité doit être activée côté serveur et dans la stratégie de groupe côté client. Pour plus d’informations, consultez Considérations relatives à la sécurité mbam 2.5.
Prise en charge des protecteurs de mot de passe numériques BitLocker conformes à FIPS
Dans MBAM 2.5, la prise en charge des clés de récupération BitLocker compatibles FIPS (Federal Information Processing Standard) a été ajoutée sur les appareils exécutant le système d’exploitation Windows 8.1. Toutefois, Windows n’a pas implémenté de clés de récupération compatibles FIPS dans Windows 7. Par conséquent, les appareils Windows 7 et Windows 8 ont toujours besoin d’un protecteur d’agent de récupération de données (DRA) pour la récupération.
L’équipe Windows a rétroporté des clés de récupération compatibles FIPS avec un correctif logiciel, et MBAM 2.5 SP1 a également ajouté la prise en charge de ces clés.
Remarque
Les ordinateurs clients qui exécutent Windows 8 nécessitent toujours un protecteur DRA, car le correctif logiciel n’a pas été rétroporté sur ce système d’exploitation. Consultez package de correctif logiciel 2 pour l’administration et la surveillance BitLocker 2.5 pour télécharger et installer le correctif logiciel BitLocker pour les ordinateurs Windows 7 et Windows 8. Pour plus d’informations sur DRA, consultez Utilisation d’agents de récupération de données avec BitLocker.
Pour activer la conformité FIPS dans votre organisation, vous devez configurer les paramètres de stratégie de groupe FIPS (Federal Information Processing Standard). Pour obtenir des instructions de configuration, consultez Paramètres de stratégie de groupe BitLocker.
Personnaliser le message et l’URL de récupération de prédémarrage avec le nouveau paramètre de stratégie de groupe
Un nouveau paramètre de stratégie de groupe, Configurer le message et l’URL de récupération de prédémarrage, vous permet de configurer un message de récupération personnalisé ou de spécifier une URL qui s’affiche ensuite sur l’écran de récupération BitLocker de prédémarrage lorsque le lecteur du système d’exploitation est verrouillé. Ce paramètre est disponible uniquement sur les ordinateurs clients exécutant Windows 11 et Windows 10.
Si vous activez ce paramètre de stratégie, vous pouvez sélectionner l’une des options suivantes pour le message de récupération de prédémarrage :
Utiliser un message de récupération personnalisé : sélectionnez cette option pour inclure un message personnalisé dans l’écran de récupération BitLocker de prédémarrage.
Utiliser une URL de récupération personnalisée : sélectionnez cette option pour remplacer l’URL par défaut affichée dans l’écran de récupération BitLocker de prédémarrage.
Utiliser le message et l’URL de récupération par défaut : sélectionnez cette option pour afficher le message et l’URL de récupération BitLocker par défaut dans l’écran de récupération BitLocker de prédémarrage. Si vous avez précédemment configuré un message ou une URL de récupération personnalisé et que vous souhaitez revenir au message par défaut, vous devez activer cette stratégie et sélectionner cette option.
Le nouveau paramètre de stratégie de groupe se trouve dans le nœud GPO suivant : Stratégies de configuration>> ordinateurModèles> d’administrationComposants> WindowsMDOP MBAM (Gestion BitLocker)>Lecteur du système d’exploitation. Pour plus d’informations, consultez Planification des exigences de stratégie de groupe MBAM 2.5.
MBAM a ajouté la prise en charge du chiffrement de l’espace utilisé
Dans MBAM 2.5 SP1, si vous activez le chiffrement de l’espace utilisé via la stratégie de groupe BitLocker, le client MBAM l’honore.
Ce paramètre de stratégie de groupe est appelé Appliquer le type de chiffrement de lecteur sur les lecteurs de système d’exploitation et se trouve dans le nœud de l’objet de stratégie de groupe suivant : Configuration> ordinateurModèles d’administration>Composants Windows Lecteurs>du système d’exploitationchiffrement> de lecteur BitLocker. Si vous activez cette stratégie et sélectionnez le type de chiffrement Chiffrement de l’espace utilisé uniquement, MBAM respecte la stratégie et BitLocker chiffre uniquement l’espace disque utilisé sur le volume.
Pour plus d’informations, consultez Planification des exigences de stratégie de groupe MBAM 2.5.
Prise en charge du client MBAM pour les disques durs chiffrés
MBAM prend en charge BitLocker sur les disques durs chiffrés qui répondent aux exigences de spécification TCG pour les normes Opal et IEEE 1667. Lorsque BitLocker est activé sur ces appareils, il génère des clés et exécute des fonctions de gestion sur le lecteur chiffré. Pour plus d’informations, consultez Disque dur chiffré .
La configuration de la délégation n’est plus nécessaire lors de l’inscription des noms de service
La configuration requise de la délégation contrainte pour les SPN que vous inscrivez pour le compte du pool d’applications n’est plus nécessaire dans MBAM 2.5 SP1. Toutefois, cela reste obligatoire pour MBAM 2.5.
Activer BitLocker à l’aide de MBAM dans le cadre d’un déploiement Windows
Dans MBAM 2.5 SP1, vous pouvez utiliser un script PowerShell pour configurer le chiffrement de lecteur BitLocker et les clés de récupération d’entiercement sur le serveur MBAM.
Pour plus d’informations, consultez Comment activer BitLocker à l’aide de MBAM dans le cadre d’un déploiement Windows.
Self-Service portail peut être personnalisé à l’aide de PowerShell ou de l’Assistant Personnalisation du fournisseur de services partagés
Depuis MBAM 2.5 SP1, le portail Self-Service peut être configuré à l’aide de l’Assistant Personnalisation et de PowerShell. Consultez Comment configurer les applications web MBAM 2.5.
Le navigateur web ne s’exécute plus involontairement en tant qu’administrateur
Un problème dans MBAM 2.5 a provoqué l’ouverture des fenêtres de navigateur avec des droits d’administrateur dans l’outil d’aide dans l’outil de configuration du serveur. Ce problème est résolu dans MBAM 2.5 SP1.
Plus besoin de télécharger les fichiers JavaScript pour configurer le portail Self-Service lorsque le CDN est inaccessible
Dans MBAM 2.5 et les versions antérieures, les fichiers jQuery utilisés pour la configuration du portail Self-Service devaient être téléchargés à l’avance à partir du CDN si les clients accédant au portail Self-Service n’avaient pas accès à Internet. Dans MBAM 2.5 SP1, tous les fichiers JavaScript étant inclus dans le produit, leur téléchargement n’est pas nécessaire.
Les rapports peuvent être ouverts dans le Générateur de rapports 3.0
Dans MBAM 2.5 SP1, les rapports sont mis à jour vers le dernier schéma de langage de définition de rapport, ce qui permet aux utilisateurs d’ouvrir et de personnaliser les rapports dans le Générateur de rapports 3.0 et de les enregistrer immédiatement sans endommager le fichier de rapport.
Nouvelles applets de commande PowerShell
Les nouvelles applets de commande PowerShell pour MBAM 2.5 SP1 vous permettent de configurer et de gérer différentes fonctionnalités MBAM, notamment les bases de données, les rapports et les applications web. Chaque fonctionnalité a une applet de commande PowerShell correspondante que vous pouvez utiliser pour activer ou désactiver des fonctionnalités, ou pour obtenir des informations sur la fonctionnalité.
Les applets de commande suivantes sont implémentées pour MBAM 2.5 SP1 :
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
Les paramètres suivants sont implémentés dans les applets de commande Enable-MbamWebApplication et Test-MbamWebApplication pour MBAM 2.5 SP1 :
DataMigrationAccessGroup
TpmAutoUnlock
Pour plus d’informations sur les applets de commande, consultez Considérations relatives à la sécurité MBAM 2.5 et Aide sur l’applet de commande d’administration et de surveillance Microsoft BitLocker.
L’agent MBAM détecte le mode de présentation
L’agent MBAM peut détecter quand l’ordinateur est en mode présentation et éviter d’appeler l’interface utilisateur MBAM à ce moment-là.
Service de l’agent MBAM maintenant configuré pour utiliser un démarrage différé
Après l’installation, le service définit désormais le service de l’agent MBAM pour qu’il utilise le démarrage différé, ce qui réduit le temps nécessaire au démarrage de Windows.
Les volumes de données fixes verrouillés sont désormais indiqués comme conformes
La logique de calcul de conformité pour les volumes « Données fixes verrouillées » a été modifiée pour signaler les volumes comme étant « Conformes », mais avec un état protecteur et un état de chiffrement « Inconnu » et avec le détail de l’état de conformité « Le volume est verrouillé ». Auparavant, les volumes verrouillés étaient signalés comme « non conformes », un état de protection « Chiffré », un état de chiffrement « Inconnu » et un état de conformité « Une erreur inconnue ».
Notes de publication de MBAM 2.5 SP1
Pour plus d’informations et des informations de dernière heure qui ne sont pas incluses dans cette documentation, consultez Notes de publication pour MBAM 2.5 SP1.