Informazioni su MBAM 2.5 SP1
MBAM 2.5 SP1 offre un'interfaccia amministrativa semplificata per Crittografia unità BitLocker. BitLocker offre una protezione avanzata contro il furto o l'esposizione dei dati per i computer che vengono smarriti o rubati. BitLocker crittografa tutti i dati archiviati nel sistema operativo Windows e nelle unità e nelle unità dati configurate.
Panoramica di MBAM
MBAM 2.5 SP1 ha le funzionalità seguenti:
Consente agli amministratori di automatizzare il processo di crittografia dei volumi nei computer client dell'organizzazione.
Consente ai responsabili della sicurezza di determinare rapidamente lo stato di conformità dei singoli computer o anche dell'azienda stessa.
Fornisce report centralizzati e gestione hardware con Microsoft System Center Configuration Manager.
Riduce il carico di lavoro nell'Help Desk per assistere gli utenti finali con pin BitLocker e richieste di chiavi di ripristino.
Consente agli utenti finali di ripristinare i dispositivi crittografati in modo indipendente tramite il portale di Self-Service.
Consente ai responsabili della sicurezza di controllare facilmente l'accesso per recuperare le informazioni chiave.
Consente agli utenti di Windows Enterprise di continuare a lavorare ovunque con la garanzia che i dati aziendali siano protetti.
MBAM applica le opzioni dei criteri di crittografia BitLocker impostate per l'organizzazione, monitora la conformità dei computer client con tali criteri e segnala lo stato di crittografia dei computer dell'organizzazione e dei singoli. MBAM consente inoltre di accedere alle informazioni sulla chiave di ripristino quando gli utenti dimenticano il PIN o la password o quando cambiano il BIOS o i record di avvio.
I gruppi seguenti potrebbero essere interessati a usare MBAM per gestire BitLocker:
Amministratori, professionisti della sicurezza IT e responsabili della conformità responsabili di garantire che i dati riservati non vengano divulgati senza autorizzazione
Amministratori responsabili della sicurezza dei computer in sedi remote o succursali
Amministratori responsabili dei computer client che eseguono Windows
Nota
BitLocker non viene spiegato in dettaglio in questa documentazione di MBAM. Per altre informazioni, vedere Panoramica della crittografia delle unità BitLocker.
Novità di MBAM 2.5 SP1
Questa sezione descrive le nuove funzionalità di MBAM 2.5 SP1.
Lingue appena supportate per il client MBAM 2.5 SP1
Le lingue aggiuntive seguenti sono ora supportate in MBAM 2.5 SP1 solo per il client MBAM, incluso il portale di Self-Service:
Ceco (Repubblica Ceca) cs-CZ
Danese (Danimarca) da-DK
Olandese (Paesi Bassi) nl-NL
Fi-FI finlandese (Finlandia)
Greco (Grecia) el-GR
Hu-HU ungherese (Ungheria)
Norvegese, Bokmål (Norvegia) nb-NO
Polacco (Polonia) pl-PL
Portoghese (Portogallo) pt-PT
Sk-SK slovacco (Slovacchia)
Sloveno (Slovenia) sl-SI
Svedese (Svezia) sv-SE
Turco (Türkiye) tr-TR
Per un elenco di tutte le lingue supportate per client e server in MBAM 2.5 e MBAM 2.5 SP1, vedere Configurazioni supportate di MBAM 2.5.
Supporto per Windows 10
MBAM 2.5 SP1 aggiunge il supporto per Windows 11, Windows 10 e Windows Server 2016, oltre allo stesso software supportato nelle versioni precedenti di MBAM.
Windows 10 è supportato sia in MBAM 2.5 che in MBAM 2.5 SP1.
Supporto per Microsoft SQL Server 2014 SP1
MBAM 2.5 SP1 aggiunge il supporto per Microsoft SQL Server 2014 SP1, oltre allo stesso software supportato nelle versioni precedenti di MBAM.
MBAM non viene più fornito con identità del servizio gestito separata
A partire da MBAM 2.5 SP1, un'identità del servizio gestito separata non è più inclusa nel prodotto MBAM. È tuttavia possibile estrarre l'identità del servizio gestito dal file eseguibile (.exe) incluso nel prodotto.
MBAM può depositare le password OwnerAuth senza possedere il TPM
In precedenza, se MBAM non era proprietario del TPM, non è stato possibile eseguire il deposito del TPM OwnerAuth nel database MBAM. Per configurare MBAM per il proprietario del TPM e per archiviare le password, è stato necessario disabilitare il provisioning automatico di TPM e cancellare il TPM nel computer client.
In Windows 8 e versioni successive, MBAM 2.5 SP1 può ora depositare le password OwnerAuth senza possedere il TPM. Durante l'avvio del servizio, MBAM esegue query per verificare se il TPM è già di proprietà e, in caso affermativo, richiede le password al sistema operativo. Le password vengono quindi depositate nel database MBAM. È inoltre necessario impostare Criteri di gruppo per impedire l'eliminazione locale di OwnerAuth.
In Windows 7 MBAM deve essere il proprietario del TPM per depositare automaticamente le informazioni di TPM OwnerAuth nel database MBAM. Se MBAM non è proprietario del backup di TPM e Active Directory (AD) del TPM è configurato tramite Criteri di gruppo, è necessario usare i cmdlet MBAM Active Directory (AD) Data Import per copiare TPM OwnerAuth da AD nel database MBAM. Si tratta di cinque nuovi cmdlet di PowerShell che precompilano i database MBAM con le informazioni sul ripristino del volume e sul proprietario del TPM archiviate in Active Directory.
Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5.
MBAM può sbloccare automaticamente il TPM dopo un blocco
Nei computer che eseguono TPM 1.2, è ora possibile configurare MBAM per sbloccare automaticamente il TPM in caso di blocco. Se la funzionalità di reimpostazione automatica del blocco TPM è abilitata, MBAM può rilevare che un utente è bloccato e quindi ottenere la password OwnerAuth dal database MBAM per sbloccare automaticamente il TPM per l'utente.
Questa funzionalità deve essere abilitata sia sul lato server che in Criteri di gruppo sul lato client. Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5.
Supporto per le protezioni per password numeriche BitLocker conformi a FIPS
In MBAM 2.5 è stato aggiunto il supporto per le chiavi di ripristino Di BitLocker conformi a FIPS (Federal Information Processing Standard) nei dispositivi che eseguono il sistema operativo Windows 8.1. Tuttavia, Windows non ha implementato chiavi di ripristino conformi a FIPS in Windows 7. Pertanto, i dispositivi Windows 7 e Windows 8 richiedevano ancora una protezione dell'agente di ripristino dati (DRA) per il ripristino.
Il team di Windows ha eseguito il backporting delle chiavi di ripristino conformi a FIPS con un hotfix e MBAM 2.5 SP1 ha aggiunto il supporto anche per loro.
Nota
I computer client che eseguono il sistema operativo Windows 8 richiedono ancora una protezione DRA poiché l'hotfix non è stato eseguito il backporting nel sistema operativo. Vedere Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 to download and install the BitLocker hotfix for Windows 7 and Windows 8 computers ( Pacchetto hotfix 2 per l'amministrazione e il monitoraggio di BitLocker 2.5 ) per scaricare e installare l'hotfix bitLocker per computer Windows 7 e Windows 8. Per informazioni sulla drammia, vedere Uso degli agenti di recupero dati con BitLocker.
Per abilitare la conformità FIPS nell'organizzazione, è necessario configurare le impostazioni fips (Federal Information Processing Standard) Criteri di gruppo. Per istruzioni di configurazione, vedere Impostazioni Criteri di gruppo BitLocker.
Personalizzare il messaggio e l'URL di ripristino prima dell'avvio con la nuova impostazione di Criteri di gruppo
Una nuova impostazione di Criteri di gruppo, Configurare il messaggio di ripristino pre-avvio e l'URL, consente di configurare un messaggio di ripristino personalizzato o specificare un URL che viene quindi visualizzato nella schermata di ripristino di BitLocker prima dell'avvio quando l'unità del sistema operativo è bloccata. Questa impostazione è disponibile solo nei computer client che eseguono Windows 11 e Windows 10.
Se si abilita questa impostazione di criterio, è possibile selezionare una di queste opzioni per il messaggio di ripristino pre-avvio:
Usa messaggio di ripristino personalizzato: selezionare questa opzione per includere un messaggio personalizzato nella schermata di ripristino di BitLocker pre-avvio.
Usa URL di ripristino personalizzato: selezionare questa opzione per sostituire l'URL predefinito visualizzato nella schermata di ripristino di BitLocker pre-avvio.
Usa URL e messaggio di ripristino predefiniti: selezionare questa opzione per visualizzare il messaggio di ripristino e l'URL di BitLocker predefiniti nella schermata di ripristino di BitLocker pre-avvio. Se in precedenza è stato configurato un url o un messaggio di ripristino personalizzato e si vuole ripristinare il messaggio predefinito, è necessario abilitare questo criterio e selezionare questa opzione.
La nuova impostazione Criteri di gruppo si trova nel nodo oggetto Criteri di gruppo seguente:Criteri>di configurazione> computerModelli> amministrativiComponenti> di WindowsMDOP MBAM (Gestione BitLocker)>Unità del sistema operativo. Per altre informazioni, vedere Planning for MBAM 2.5 Criteri di gruppo Requirements.for more information, see Planning for MBAM 2.5 Criteri di gruppo Requirements.
MBAM ha aggiunto il supporto per la crittografia dello spazio usato
In MBAM 2.5 SP1, se si abilita La crittografia dello spazio usato tramite BitLocker Criteri di gruppo, il client MBAM lo rispetta.
Questa impostazione di Criteri di gruppo è denominata Imponi tipo di crittografia unità nelle unità del sistema operativo e si trova nel nodo oggetto Criteri di gruppo seguente: Configurazione> computerModelli> amministrativiComponenti di Windows Unità>BitLocker Crittografia>unità Unità unità Unità unità. Se si abilita questo criterio e si seleziona il tipo di crittografia come Crittografia solo spazio usato, MBAM rispetta i criteri e BitLocker crittografa solo lo spazio su disco usato nel volume.
Per altre informazioni, vedere Planning for MBAM 2.5 Criteri di gruppo Requirements.for more information, see Planning for MBAM 2.5 Criteri di gruppo Requirements.
Supporto del client MBAM per i dischi rigidi crittografati
MBAM supporta BitLocker su dischi rigidi crittografati che soddisfano i requisiti di specifica TCG per Opal e gli standard IEEE 1667. Quando BitLocker è abilitato in questi dispositivi, genererà chiavi ed eseguirà funzioni di gestione nell'unità crittografata. Per altre informazioni, vedere Disco rigido crittografato .
La configurazione della delega non è più necessaria durante la registrazione dei nomi SPN
Il requisito per configurare la delega vincolata per i nomi SPN registrati per l'account del pool di applicazioni non è più necessario in MBAM 2.5 SP1. Tuttavia, è ancora un requisito per MBAM 2.5.
Abilitare BitLocker usando MBAM come parte di una distribuzione di Windows
In MBAM 2.5 SP1 è possibile usare uno script di PowerShell per configurare la crittografia dell'unità BitLocker e le chiavi di ripristino del deposito nel server MBAM.
Per altre informazioni, vedere Come abilitare BitLocker usando MBAM come parte di una distribuzione di Windows
Self-Service Portale può essere personalizzato usando PowerShell o il programma di personalizzazione del provider di servizi condivisi
A partire da MBAM 2.5 SP1, è possibile configurare il portale di Self-Service usando il programma di personalizzazione e PowerShell. Vedere Come configurare le applicazioni Web MBAM 2.5.
Il Web browser non viene più eseguito inavvertitamente come amministratore
Un problema in MBAM 2.5 ha causato l'apertura delle finestre del browser con diritti di amministratore per i collegamenti della Guida nello strumento Configurazione server. Questo problema è stato risolto in MBAM 2.5 SP1.
Non è più necessario scaricare i file JavaScript per configurare il portale di Self-Service quando la rete CDN è inaccessibile
In MBAM 2.5 e versioni precedenti, i file jQuery usati per la configurazione del portale di Self-Service dovevano essere scaricati in anticipo dalla rete CDN se i client che accedono al portale Self-Service non avevano accesso a Internet. In MBAM 2.5 SP1 tutti i file JavaScript sono inclusi nel prodotto, quindi il download non è necessario.
I report possono essere aperti in Report Builder 3.0
In MBAM 2.5 SP1 i report sono stati aggiornati allo schema del linguaggio di definizione del report più recente, consentendo agli utenti di aprire e personalizzare i report in Report Builder 3.0 e salvarli immediatamente senza danneggiare il file di report.
Nuovi cmdlet di PowerShell
I nuovi cmdlet di PowerShell per MBAM 2.5 SP1 consentono di configurare e gestire diverse funzionalità di MBAM, inclusi database, report e applicazioni Web. Ogni funzionalità ha un cmdlet di PowerShell corrispondente che è possibile usare per abilitare o disabilitare le funzionalità o per ottenere informazioni sulla funzionalità.
Per MBAM 2.5 SP1 sono stati implementati i cmdlet seguenti:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
I parametri seguenti sono stati implementati nei cmdlet Enable-MbamWebApplication e Test-MbamWebApplication per MBAM 2.5 SP1:
DataMigrationAccessGroup
TpmAutoUnlock
Per informazioni sui cmdlet, vedere Considerazioni sulla sicurezza di MBAM 2.5 e Guida sui cmdlet di amministrazione e monitoraggio di Microsoft BitLocker.
L'agente di MBAM rileva la modalità di presentazione
L'agente MBAM può rilevare quando il computer è in modalità presentazione ed evitare di richiamare l'interfaccia utente di MBAM in quel momento.
Servizio agente MBAM ora configurato per l'uso dell'avvio ritardato
Dopo l'installazione, il servizio imposterà ora il servizio agente MBAM per l'uso dell'avvio ritardato, riducendo la quantità di tempo necessaria per avviare Windows.
I volumi di dati fissi bloccati ora vengono report come conformi
La logica di calcolo della conformità per i volumi "Dati fissi bloccati" è stata modificata per segnalare i volumi come "Conformi", ma con stato di protezione e stato di crittografia "Sconosciuto" e con un dettaglio dello stato di conformità di "Volume bloccato". In precedenza, i volumi bloccati venivano segnalati come "non conformi", uno stato di protezione "Encrypted", uno stato di crittografia "Sconosciuto" e un dettaglio dello stato di conformità "Un errore sconosciuto".
Come ottenere le tecnologie MDOP
MBAM fa parte di Microsoft Desktop Optimization Pack (MDOP). MDOP fa parte del programma Microsoft Software Assurance. Per altre informazioni sul programma Microsoft Software Assurance e su come acquisire MDOP, vedere How Do I Get MDOP?.
Note sulla versione di MBAM 2.5 SP1
Per altre informazioni e ultime notizie non incluse in questa documentazione, vedere Note sulla versione per MBAM 2.5 SP1.
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.