Déploiement du client MBAM dans le cadre d'un déploiement de Windows
Mis à jour: avril 2013
S'applique à: Microsoft BitLocker Administration and Monitoring 2.0
Le client Microsoft BitLocker Administration and Monitoring (MBAM) permet aux administrateurs d'appliquer et de surveiller le chiffrement de lecteur BitLocker sur des ordinateurs de l'entreprise. Si les ordinateurs possèdent une puce de module de plateforme sécurisée, le client BitLocker peut être intégré à une organisation en activant la gestion et le chiffrement BitLocker sur les ordinateurs clients lors du processus de création d'images et de déploiement de Windows.
Notes
Pour vérifier la configuration système requise du client Microsoft BitLocker Administration and Monitoring, voir Configurations prises en charge pour MBAM 2.0.
Le chiffrement des ordinateurs clients avec BitLocker pendant la phase initiale de la création d'images d'un déploiement de Windows peut réduire les coûts d'administration nécessaires à l'implémentation de MBAM dans une organisation. Il permet également de s'assurer que chaque ordinateur qui est déployé exécute déjà BitLocker et qu'il est configuré correctement.
Notes
La procédure décrite dans cette rubrique décrit la modification du Registre Windows. L'utilisation incorrecte de l'éditeur du Registre peut provoquer des problèmes sérieux pouvant vous obliger à réinstaller Windows. Microsoft ne peut pas garantir que les problèmes résultant d'une utilisation incorrecte de l'éditeur du Registre puissent être résolus. Utilisez l'éditeur du Registre à vos propres risques.
Pour chiffrer un ordinateur dans le cadre du déploiement de Windows
Si votre organisation envisage d'utiliser le protecteur Module de plateforme sécurisée ou les options de protecteur Module de plateforme sécurisée + code confidentiel dans BitLocker, vous devez activer la puce TPM avant le déploiement initial de MBAM. Lorsque vous activez la puce TPM, vous évitez un redémarrage ultérieur dans le processus et vous vous assurez que les puces TPM sont configurées conformément aux exigences de votre organisation. Vous devez activer la puce TPM manuellement dans le BIOS de l'ordinateur.
Notes
Certains fournisseurs proposent des outils pour activer la puce TPM dans le BIOS à partir du système d'exploitation. Reportez-vous à la documentation du fabricant pour plus d'informations sur la configuration de la puce TPM.
Installez l'agent du client Microsoft BitLocker Administration and Monitoring.
Joignez l'ordinateur à un domaine (recommandé).
Si l'ordinateur n'est pas joint au domaine, le mot de passe de récupération n'est pas stocké dans le service de récupération de clé MBAM. Par défaut, MBAM ne permet pas l'exécution du chiffrement sauf si la clé de récupération peut être stockée.
Si un ordinateur démarre en mode de récupération avant que la clé de récupération ne soit stockée sur le serveur MBAM, l'ordinateur doit être reconfiguré. Aucune méthode de récupération n'est disponible.
Exécutez l'invite de commandes en tant qu'administrateur, arrêtez le service MBAM, puis définissez le service sur manuel ou à la demande, puis commencez à entrer les commandes suivantes :
net stop mbamagent
sc config mbamagent start= demand
Définissez les paramètres du Registre de l'agent MBAM afin que celui-ci ignore la stratégie de groupe et exécutez le module de plateforme sécurisée pour un chiffrement uniquement du système d'exploitation. Pour y parvenir, exécutez Regedit, puis importez le modèle de clé de registre à partir de l'emplacement suivant : C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
Dans regedit, accédez à HKLM\SOFTWARE\Microsoft\MBAM et configurez les paramètres répertoriés dans le tableau suivant.
Entrée de Registre Paramètres de configuration DeploymentTime
0 = DÉSACTIVÉ
1 = Utiliser les paramètres de stratégie de temps du déploiement (par défaut)
UseKeyRecoveryService
0 = Ne pas utiliser le dépôt de clé (les deux entrées de Registre suivantes ne sont pas requises dans ce cas)
1 = Utiliser le dépôt de clé dans le système de récupération de clé (par défaut)
Recommandé : l'ordinateur doit être en mesure de communiquer avec le service de récupération de clé. Vérifiez que l'ordinateur peut communiquer avec ce service avant de continuer.
KeyRecoveryOptions
0 = Télécharge uniquement la clé de récupération
1 = Télécharge la clé de récupération et le package de récupération de clé (par défaut)
KeyRecoveryServiceEndPoint
Donnez cette valeur à l'URL du serveur Web de récupération de clé, par exemple, http://<nom de l'ordinateur>/MBAMRecoveryAndHardwareService/CoreService.svc.
Notes
Les valeurs de stratégie ou de Registre MBAM peuvent être définies ici pour remplacer les valeurs précédemment définies.
L'agent MBAM redémarre le système pendant le déploiement du client MBAM. Lorsque vous êtes prêt pour ce redémarrage, exécutez la commande suivante dans une invite de commandes en tant qu'administrateur :
net start mbamagent
Lorsque l'ordinateur redémarre et que le BIOS vous invite à accepter une modification du module de plateforme sécurisée, acceptez cette modification.
Au cours du processus de création d'images du système d'exploitation client Windows, redémarrez le service de l'agent MBAM lorsque vous êtes prêt à lancer le chiffrement. Ensuite, pour définir le démarrage sur automatique, ouvrez une invite de commandes en tant qu'administrateur et exécutez les commandes suivantes :
sc config mbamagent start= auto
net start mbamagent
Supprimez les valeurs de Registre de dérivation en exécutant Regedit et en accédant à l'entrée de Registre HKLM\SOFTWARE\Microsoft. Pour supprimer le nœud MBAM, cliquez avec le bouton droit sur le nœud, puis sur Supprimer.
Voir aussi
Autres ressources
Déploiement du client MBAM 2.0
-----
Vous pouvez obtenir davantage d'informations sur MDOP dans la Librairie TechNet, rechercher des solutions de dépannage dans le TechNet Wiki ou nous suivre sur Facebook ou Twitter.
-----