Informazioni su MBAM 2.5 SP1
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 fornisce un'interfaccia amministrativa semplificata per Crittografia unità BitLocker. BitLocker offre una protezione avanzata contro il furto o l'esposizione dei dati per i computer che vengono smarriti o rubati. BitLocker crittografa tutti i dati archiviati nel sistema operativo Windows e nelle unità e nelle unità dati configurate.
Panoramica di MBAM
MBAM 2.5 SP1 ha le funzionalità seguenti:
Consente agli amministratori di automatizzare il processo di crittografia dei volumi nei computer client dell'organizzazione.
Consente ai responsabili della sicurezza di determinare rapidamente lo stato di conformità dei singoli computer o anche dell'azienda stessa.
Fornisce report centralizzati e gestione hardware con Microsoft System Center Configuration Manager.
Riduce il carico di lavoro nell'Help Desk per assistere gli utenti finali con pin BitLocker e richieste di chiavi di ripristino.
Consente agli utenti finali di ripristinare i dispositivi crittografati in modo indipendente tramite il portale di Self-Service.
Consente ai responsabili della sicurezza di controllare facilmente l'accesso per recuperare le informazioni chiave.
Consente agli utenti di Windows Enterprise di continuare a lavorare ovunque con la garanzia che i dati aziendali siano protetti.
MBAM applica le opzioni dei criteri di crittografia BitLocker impostate per l'organizzazione, monitora la conformità dei computer client con tali criteri e segnala lo stato di crittografia dei computer dell'organizzazione e dei singoli. MBAM consente inoltre di accedere alle informazioni sulla chiave di ripristino quando gli utenti dimenticano il PIN o la password o quando cambiano il BIOS o i record di avvio.
I gruppi seguenti potrebbero essere interessati a usare MBAM per gestire BitLocker:
Amministratori, professionisti della sicurezza IT e responsabili della conformità responsabili di garantire che i dati riservati non vengano divulgati senza autorizzazione
Amministratori responsabili della sicurezza dei computer in sedi remote o succursali
Amministratori responsabili dei computer client che eseguono Windows
Nota
BitLocker non viene spiegato in dettaglio in questa documentazione di MBAM. Per altre informazioni, vedere Panoramica della crittografia delle unità BitLocker.
Novità di MBAM 2.5 SP1
Questa sezione descrive le nuove funzionalità di MBAM 2.5 SP1.
Lingue appena supportate per il client MBAM 2.5 SP1
Le lingue seguenti sono ora supportate in MBAM 2.5 SP1 solo per il client MBAM, incluso il portale di Self-Service:
Ceco (Repubblica Ceca) cs-CZ
Danese (Danimarca) da-DK
Olandese (Paesi Bassi) nl-NL
Fi-FI finlandese (Finlandia)
Greco (Grecia) el-GR
Hu-HU ungherese (Ungheria)
Norvegese, Bokmål (Norvegia) nb-NO
Polacco (Polonia) pl-PL
Portoghese (Portogallo) pt-PT
Sk-SK slovacco (Slovacchia)
Sloveno (Slovenia) sl-SI
Svedese (Svezia) sv-SE
Turco (Türkiye) tr-TR
Per un elenco di tutte le lingue supportate per client e server in MBAM 2.5 e MBAM 2.5 SP1, vedere Configurazioni supportate di MBAM 2.5.
Supporto per Windows 10
MBAM 2.5 SP1 aggiunge il supporto per Windows 11, Windows 10 e Windows Server 2016, oltre allo stesso software supportato nelle versioni precedenti di MBAM.
Windows 10 è supportato sia in MBAM 2.5 che in MBAM 2.5 SP1.
Supporto per Microsoft SQL Server 2014 SP1
MBAM 2.5 SP1 aggiunge il supporto per Microsoft SQL Server 2014 SP1, oltre allo stesso software supportato nelle versioni precedenti di MBAM.
MBAM non viene più fornito con identità del servizio gestito separata
A partire da MBAM 2.5 SP1, un'identità del servizio gestito separata non è più inclusa nel prodotto MBAM. È tuttavia possibile estrarre l'identità del servizio gestito dal file eseguibile (.exe) incluso nel prodotto.
MBAM può depositare le password OwnerAuth senza possedere il TPM
In precedenza, se MBAM non era proprietario del TPM, non è stato possibile eseguire il deposito del TPM OwnerAuth nel database MBAM. Per configurare MBAM per il proprietario del TPM e per archiviare le password, è stato necessario disabilitare il provisioning automatico di TPM e cancellare il TPM nel computer client.
In Windows 8 e versioni successive, MBAM 2.5 SP1 può ora depositare le password OwnerAuth senza possedere il TPM. Durante l'avvio del servizio, MBAM esegue query per verificare se il TPM è già di proprietà e, in caso affermativo, richiede le password al sistema operativo. Le password vengono quindi depositate nel database MBAM. È inoltre necessario impostare Criteri di gruppo per impedire l'eliminazione locale di OwnerAuth.
In Windows 7 MBAM deve essere il proprietario del TPM per depositare automaticamente le informazioni di TPM OwnerAuth nel database MBAM. Se MBAM non è proprietario del TPM e il backup di Active Directory (AD) del TPM è configurato tramite Criteri di gruppo, è necessario usare i cmdlet di importazione dati di MBAM Active Directory (AD) per copiare TPM OwnerAuth da AD nel database MBAM. Si tratta di cinque nuovi cmdlet di PowerShell che precompilano i database MBAM con le informazioni sul ripristino del volume e sul proprietario del TPM archiviate in Active Directory.
Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5.
MBAM può sbloccare automaticamente il TPM dopo un blocco
Nei computer che eseguono TPM 1.2, è ora possibile configurare MBAM per sbloccare automaticamente il TPM se è bloccato. Se la funzionalità di reimpostazione automatica del blocco TPM è abilitata, MBAM può rilevare che un utente è bloccato e quindi ottenere la password OwnerAuth dal database MBAM per sbloccare automaticamente il TPM per l'utente.
Questa funzionalità deve essere abilitata sia sul lato server che su Criteri di gruppo sul lato client. Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Supporto per le protezioni per password numeriche BitLocker conformi a FIPS
In MBAM 2.5 è stato aggiunto il supporto per le chiavi di ripristino BitLocker conformi a FIPS (Federal Information Processing Standard) nei dispositivi che eseguono il sistema operativo Windows 8.1. Tuttavia, Windows non ha implementato chiavi di ripristino conformi a FIPS in Windows 7. Pertanto, i dispositivi Windows 7 e Windows 8 richiedevano ancora una protezione dell'agente di ripristino dati (DRA) per il ripristino.
Il team di Windows ha eseguito il backporting delle chiavi di ripristino conformi a FIPS con un hotfix e MBAM 2.5 SP1 ha aggiunto anche il supporto.
Nota
I computer client che eseguono Windows 8 richiedono ancora una protezione DRA poiché l'hotfix non è stato eseguito il backporting in tale sistema operativo. Vedere Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 to download and install the BitLocker hotfix for Windows 7 and Windows 8 computers ( Pacchetto hotfix 2 per l'amministrazione e il monitoraggio di BitLocker 2.5 ) per scaricare e installare l'hotfix bitLocker per computer Windows 7 e Windows 8. Per informazioni sulla drammia, vedere Uso degli agenti di recupero dati con BitLocker.
Per abilitare la conformità FIPS nell'organizzazione, è necessario configurare le impostazioni di Criteri di gruppo FIPS (Federal Information Processing Standard). Per istruzioni di configurazione, vedere Impostazioni dei criteri di gruppo bitLocker.
Personalizzare il messaggio e l'URL di ripristino di preavavzzi con la nuova impostazione di Criteri di gruppo
Una nuova impostazione di Criteri di gruppo, Configurare il messaggio e l'URL di ripristino prima dell'avvio, consente di configurare un messaggio di ripristino personalizzato o di specificare un URL che viene quindi visualizzato nella schermata di ripristino di BitLocker preavvio quando l'unità del sistema operativo è bloccata. Questa impostazione è disponibile solo nei computer client che eseguono Windows 11 e Windows 10.
Se si abilita questa impostazione di criterio, è possibile selezionare una di queste opzioni per il messaggio di ripristino di preavvio:
Usa messaggio di ripristino personalizzato: selezionare questa opzione per includere un messaggio personalizzato nella schermata di ripristino di BitLocker preavvata.
Usa URL di ripristino personalizzato: selezionare questa opzione per sostituire l'URL predefinito visualizzato nella schermata di ripristino di BitLocker precedente all'avvio.
Usa URL e messaggio di ripristino predefiniti: selezionare questa opzione per visualizzare il messaggio di ripristino e l'URL di BitLocker predefiniti nella schermata di ripristino di BitLocker preavvata. Se in precedenza è stato configurato un url o un messaggio di ripristino personalizzato e si vuole ripristinare il messaggio predefinito, è necessario abilitare questo criterio e selezionare questa opzione.
La nuova impostazione di Criteri di gruppo si trova nel nodo Oggetto Criteri di gruppo seguente:Criteri>di configurazione> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Unità del sistema operativo. Per altre informazioni, vedere Pianificazione dei requisiti dei criteri di gruppo di MBAM 2.5.
MBAM ha aggiunto il supporto per la crittografia dello spazio usato
In MBAM 2.5 SP1, se si abilita Crittografia spazio usato tramite Criteri di gruppo BitLocker, il client MBAM lo rispetta.
Questa impostazione di Criteri di gruppo è denominata Imponi tipo di crittografia unità nelle unità del sistema operativo e si trova nel nodo oggetto Criteri di gruppo seguente: Configurazione> computerModelli amministrativi Componenti>>di WindowsUnità BitLocker Crittografia>unità Unità unità Unità unità. Se si abilita questo criterio e si seleziona il tipo di crittografia come Crittografia solo spazio usato, MBAM rispetta i criteri e BitLocker crittografa solo lo spazio su disco usato nel volume.
Per altre informazioni, vedere Pianificazione dei requisiti dei criteri di gruppo di MBAM 2.5.
Supporto del client MBAM per i dischi rigidi crittografati
MBAM supporta BitLocker su dischi rigidi crittografati che soddisfano i requisiti di specifica TCG per gli standard Opal e IEEE 1667. Quando BitLocker è abilitato in questi dispositivi, genera chiavi ed esegue funzioni di gestione nell'unità crittografata. Per altre informazioni, vedere Disco rigido crittografato .
La configurazione della delega non è più necessaria durante la registrazione dei nomi SPN
Il requisito per configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni non è più necessario in MBAM 2.5 SP1. Tuttavia, è ancora un requisito per MBAM 2.5.
Abilitare BitLocker usando MBAM come parte di una distribuzione di Windows
In MBAM 2.5 SP1 è possibile usare uno script di PowerShell per configurare la crittografia dell'unità BitLocker e le chiavi di ripristino del deposito nel server MBAM.
Per altre informazioni, vedere Come abilitare BitLocker usando MBAM come parte di una distribuzione di Windows.
Self-Service Portale può essere personalizzato usando PowerShell o il programma di personalizzazione del provider di servizi condivisi
A partire da MBAM 2.5 SP1, il portale di Self-Service può essere configurato usando il programma di personalizzazione e PowerShell. Vedere Come configurare le applicazioni Web MBAM 2.5.
Il Web browser non viene più eseguito inavvertitamente come amministratore
Un problema in MBAM 2.5 ha causato l'apertura delle finestre del browser con diritti di amministratore per i collegamenti della Guida nello strumento Configurazione server. Questo problema è stato risolto in MBAM 2.5 SP1.
Non è più necessario scaricare i file JavaScript per configurare il portale di Self-Service quando la rete CDN è inaccessibile
In MBAM 2.5 e versioni precedenti, i file jQuery usati per la configurazione del portale di Self-Service dovevano essere scaricati in anticipo dalla rete CDN se i client che accedono al portale Self-Service non avevano accesso a Internet. In MBAM 2.5 SP1 tutti i file JavaScript sono inclusi nel prodotto, quindi il download non è necessario.
I report possono essere aperti in Generatore report 3.0
In MBAM 2.5 SP1 i report vengono aggiornati allo schema del linguaggio di definizione del report più recente, consentendo agli utenti di aprire e personalizzare i report in Generatore report 3.0 e salvarli immediatamente senza danneggiare il file di report.
Nuovi cmdlet di PowerShell
I nuovi cmdlet di PowerShell per MBAM 2.5 SP1 consentono di configurare e gestire diverse funzionalità di MBAM, inclusi database, report e applicazioni Web. Ogni funzionalità ha un cmdlet di PowerShell corrispondente che è possibile usare per abilitare o disabilitare le funzionalità o per ottenere informazioni sulla funzionalità.
Per MBAM 2.5 SP1 vengono implementati i cmdlet seguenti:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
I parametri seguenti vengono implementati nei cmdlet Enable-MbamWebApplication e Test-MbamWebApplication per MBAM 2.5 SP1:
DataMigrationAccessGroup
TpmAutoUnlock
Per informazioni sui cmdlet, vedere Considerazioni sulla sicurezza di MBAM 2.5 e Guida del cmdlet amministrazione e monitoraggio di Microsoft BitLocker.
L'agente di MBAM rileva la modalità di presentazione
L'agente MBAM può rilevare quando il computer è in modalità presentazione ed evitare di richiamare l'interfaccia utente di MBAM in quel momento.
Servizio agente MBAM ora configurato per l'uso dell'avvio ritardato
Dopo l'installazione, il servizio imposterà ora il servizio agente MBAM per l'uso dell'avvio ritardato, riducendo la quantità di tempo necessaria per avviare Windows.
I volumi di dati fissi bloccati ora vengono report come conformi
La logica di calcolo della conformità per i volumi "Dati fissi bloccati" è stata modificata per segnalare i volumi come "Conformi", ma con stato di protezione e stato di crittografia "Sconosciuto" e con un dettaglio dello stato di conformità "Volume bloccato". In precedenza, i volumi bloccati venivano segnalati come "non conformi", uno stato di protezione "Encrypted", uno stato di crittografia "Sconosciuto" e un dettaglio dello stato di conformità "Un errore sconosciuto".
Note sulla versione di MBAM 2.5 SP1
Per altre informazioni e ultime notizie non incluse in questa documentazione, vedere Note sulla versione per MBAM 2.5 SP1.