Condividi tramite

Pianificazione della distribuzione del client di MBAM 2.5

  • Articolo

A seconda di quando si distribuisce il software client Di amministrazione e monitoraggio di Microsoft BitLocker (MBAM), è possibile abilitare Crittografia unità BitLocker in un computer dell'organizzazione prima che l'utente finale riceva il computer o successivamente. Sia per le topologie di MBAM autonome che per le topologie di integrazione System Center Configuration Manager, è necessario configurare le impostazioni di Criteri di gruppo per MBAM.

Se si usa la topologia autonoma di MBAM, è consigliabile usare un sistema di distribuzione software aziendale per distribuire il software client MBAM nei computer degli utenti finali.

Se si distribuisce MBAM con la topologia di integrazione Configuration Manager, è possibile usare Configuration Manager per distribuire il software client MBAM nei computer degli utenti finali. In Configuration Manager l'installazione di MBAM crea una raccolta di computer che MBAM può gestire. Questa raccolta include workstation e dispositivi che non dispongono di un modulo TPM (Trusted Platform Module), ma che eseguono Windows 8, Windows 8.1 o Windows 10.

Nota Windows To Go non è supportato per l'installazione della topologia di integrazione Configuration Manager quando si usa Configuration Manager 2007.

Distribuzione del client MBAM per abilitare Crittografia unità BitLocker dopo la distribuzione del computer agli utenti finali

Dopo aver configurato Criteri di gruppo, è possibile usare un prodotto del sistema di distribuzione software aziendale come Microsoft System Center Configuration Manager o Active Directory Domain Services (AD DS) per distribuire i file di Windows Installer dell'installazione del client MBAM in computer di destinazione. Per distribuire il client MBAM, è possibile usare i file di MbamClientSetup.exe a 32 bit o a 64 bit o i file MBAMClient.msi, forniti con il software del client MBAM.

Nota A partire da MBAM 2.5 SP1, un'identità del servizio gestito separata non è più inclusa nel prodotto MBAM. È tuttavia possibile estrarre l'identità del servizio gestito dal file eseguibile (.exe) incluso nel prodotto.

Quando si distribuisce il client MBAM dopo aver distribuito i computer nei computer client, agli utenti finali viene richiesto di crittografare il computer. Questa azione consente a MBAM di raccogliere i dati, che include il PIN e la password (se richiesto dai criteri) e quindi di avviare il processo di crittografia.

Nota In questo approccio, agli utenti finali che dispongono di computer con un chip TPM viene richiesto di attivare e inizializzare il chip TPM se il chip non è stato attivato in precedenza.

Uso del client MBAM per abilitare Crittografia unità BitLocker prima della distribuzione del computer agli utenti finali

Nelle organizzazioni in cui i computer vengono ricevuti e configurati centralmente e in cui i computer hanno un chip TPM conforme, è possibile usare il client MBAM per gestire Crittografia unità BitLocker in ogni computer prima che i dati utente vengano scritti in esso. Il vantaggio di questo processo è che ogni computer è quindi conforme. Questo metodo non si basa sull'azione dell'utente finale perché l'amministratore ha già crittografato il computer. Un presupposto fondamentale per questo scenario è che i criteri dell'organizzazione installano un'immagine Windows aziendale prima che il computer venga recapitato all'utente finale.

Se l'organizzazione vuole usare il chip TPM per crittografare i computer, l'amministratore aggiunge la protezione TPM per crittografare il volume del sistema operativo del computer. Se l'organizzazione vuole usare il chip TPM e una protezione PIN, l'amministratore crittografa il volume del sistema operativo con la protezione TPM e quindi gli utenti finali selezionano un PIN quando accedono per la prima volta. Se l'organizzazione decide di usare solo la protezione PIN, l'amministratore non deve prima crittografare il volume. Quando gli utenti finali accedono, l'amministrazione e il monitoraggio di Microsoft BitLocker richiedono loro di fornire un PIN o un PIN e una password da usare nei computer successivi.

Nota L'opzione di protezione TPM richiede all'amministratore di accettare la richiesta bios per attivare e inizializzare il TPM prima che il computer venga recapitato all'utente finale.

Supporto del client MBAM per i dischi rigidi crittografati

MBAM supporta BitLocker su dischi rigidi crittografati che soddisfano i requisiti di specifica TCG per Opal e gli standard IEEE 1667. Quando BitLocker è abilitato in questi dispositivi, genererà chiavi ed eseguirà funzioni di gestione nell'unità crittografata. Per altre informazioni, vedere Disco rigido crittografato .

Pianificazione della distribuzione di MBAM 2.5

Distribuzione del client di MBAM 2.5

Hai un suggerimento per MBAM?

Per i problemi di MBAM, usare il forum technet di MBAM.