Planejar implantação de cliente MBAM 2.0
Dependendo de quando você implanta o cliente mbam (administração e monitoramento) do Microsoft BitLocker, você pode habilitar a criptografia de unidade do BitLocker em um computador em sua organização antes que o usuário final receba o computador ou posteriormente. Para as topologias autônomas e Configuration Manager MBAM, você precisa definir Política de Grupo configurações para o MBAM.
Se você estiver usando a topologia autônoma do MBAM, é recomendável usar um sistema de implantação de software empresarial para implantar o software cliente do MBAM em computadores do usuário final.
Se você implantar o MBAM com a topologia Configuration Manager, poderá usar o Configuration Manager para implantar o software cliente do MBAM em computadores do usuário final. No Configuration Manager, a instalação do MBAM cria uma coleção de computadores que o MBAM pode gerenciar. Essa coleção inclui estações de trabalho e dispositivos que não têm um TPM (Trusted Platform Module), mas que estão executando Windows 8.
Nota O Windows To Go não tem suporte para instalações Configuration Manager integração do MBAM se você estiver usando o Configuration Manager 2007.
Implantando o cliente do MBAM para habilitar a criptografia bitLocker após a distribuição do computador para usuários finais
Depois de configurar o Política de Grupo, você poderá usar um produto do sistema de implantação de software empresarial como o Microsoft System Center Configuration Manager ou o AD DS (Active Directory Domain Services) para implantar os arquivos do Windows Installer da instalação do Cliente MBAM no computadores de destino. Para implantar o Cliente mbam, você pode usar os arquivos MbamClientSetup.exe de 32 ou 64 bits ou MBAMClient.msi, que são fornecidos com o software MBAM.
Quando você implanta o cliente do MBAM depois de distribuir computadores para computadores cliente, os usuários finais são solicitados a criptografar seus computadores. Isso permite que o MBAM colete os dados, o que inclui o PIN e a senha e, em seguida, inicia o processo de criptografia.
Nota Nessa abordagem, os usuários que têm computadores com um chip TPM serão solicitados a ativar e inicializar o chip TPM se o chip não tiver sido ativado anteriormente.
Usando o cliente mbam para habilitar a criptografia bitLocker antes da distribuição do computador para usuários finais
Em organizações em que os computadores são recebidos e configurados centralmente e onde os computadores têm um chip TPM compatível, você pode instalar o Cliente mbam para gerenciar a criptografia BitLocker em cada computador antes que os dados do usuário sejam gravados nele. O benefício desse processo é que cada computador será compatível com criptografia do BitLocker. Esse método não depende da ação do usuário porque o administrador já criptografou o computador. Uma suposição importante para esse cenário é que a política da organização instala uma imagem corporativa do Windows antes que o computador seja entregue ao usuário.
Se sua organização quiser usar o chip do TPM para criptografar computadores, o administrador adicionará o protetor de TPM para criptografar o volume do sistema operacional do computador. Se sua organização quiser usar o chip do TPM e um protetor de PIN, o administrador criptografa o volume do sistema operacional com o protetor do TPM e, em seguida, os usuários selecionam um PIN ao fazer logon pela primeira vez. Se sua organização decidir usar apenas o protetor de PIN, o administrador não precisará criptografar o volume primeiro. Quando os usuários fizerem logon, a Administração e o Monitoramento do Microsoft BitLocker solicitarão que forneçam um PIN ou um PIN e uma senha a serem usados em reinicializações posteriores do computador.
Nota A opção de protetor do TPM exige que o administrador aceite o prompt do BIOS para ativar e inicializar o TPM antes que o computador seja entregue ao usuário.