Compartilhar via


Planejar implantação de cliente MBAM 2.5

Aplica-se a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Dependendo de quando o software Cliente do Microsoft BitLocker Administration and Monitoring (MBAM)é implantado, você pode ativar a criptografia de unidade de disco BitLocker em um computador de sua organização antes ou depois do usuário final recebê-lo. Para ambas as topologias MBAM Autônoma e de Integração do System Center Gerenciador de Configurações, você precisa definir as configurações da Política de Grupo para o MBAM.

Se estiver usando a topologia Autônoma do MBAM, recomendamos que você use o sistema de implantação corporativa de software para implantar o software Cliente do MBAM em computadores do usuário final.

Se você implantar o MBAM com a Gerenciador de Configurações topologia de Integração, você pode usar Gerenciador de Configurações para implantar o software Cliente do MBAM em computadores do usuário final. No Gerenciador de Configurações, a instalação do MBAM cria uma coleção de computadores que o MBAM pode gerenciar. Esta coleção inclui estações de trabalho e dispositivos que não têm um TPM (Trusted Platform Module), mas que estão executando o Windows 8, Windows 8.1 ou Windows 10.

Dica

O Windows To Go não é suportado para a instalação da topologia de Integração do Gerenciador de Configurações quando você está usando o Configuration Manager 2007.

Implantar o Cliente do MBAM para ativar criptografia de unidade de disco BitLocker após a distribuição de computadores aos usuários finais

Após configurar a Política de Grupo, você pode usar um produto de sistema de implantação corporativa de software, como o Microsoft System Center Gerenciador de Configurações ou os Serviços de Domínio do Active Directory (AD DS) para implantar os arquivos Windows Installer de instalação do Cliente do MBAM nos computadores de destino. Para implantar o Cliente do MBAM, você pode usar os arquivos MbamClientSetup.exe de 32 bits ou 64 bits, os quais são fornecidos como o software Cliente do MBAM.

Dica

A partir do MBAM 2.5 SP1, um MSI separado não é mais incluído com o produto MBAM. No entanto, você pode extrair o MSI do arquivo executável (.exe) que acompanha o produto.

Quando você implanta o Cliente do MBAM após distribuir os computadores aos computadores cliente, os usuários finais são solicitados a criptografar seus computadores. Essa ação permite que o MBAM colete os dados, que inclui o PIN e a senha (se exigido pela política), e inicie o processo de criptografia.

Dica

Nessa abordagem, os usuários finais que têm computadores com o chip TPM são solicitados a ativar e inicializar o chip TPM, se ele não tiver sido ativado anteriormente.

Usando o Cliente do MBAM para ativar a criptografia de unidade de disco BitLocker antes da distribuição de computadores aos usuários finais

Em organizações onde os computadores são recebidos e configurados de forma centralizada e onde os computadores têm um chip TPM compatível, você pode usar o Cliente do MBAM para gerenciar a criptografia de unidade de disco BitLocker em cada computador antes que qualquer dado de usuário seja gravado nele. A vantagem desse processo é que cada computador é, portanto, compatível. Este método não depende de ação do usuário final porque o administrador já criptografou o computador. Um pressuposto fundamental para este cenário é que a política da organização instala uma imagem corporativa do Windows antes do computador ser entregue ao usuário final.

Se sua organização quiser usar o chip TPM para criptografar computadores, o administrador adiciona o protetor do TPM para criptografar o volume do sistema operacional do computador. Se sua organização quiser usar o chip TPM e um protetor de PIN, o administrador criptografa o volume do sistema operacional com o protetor do TPM e os usuários finais depois selecionam um PIN na primeira vez em que fizerem logon. Se sua organização decidir usar somente o protetor de PIN, o administrador não precisa criptografar o volume antes. Quando os usuários finais fazem logon, o Microsoft BitLocker Administration and Monitoring solicita um PIN ou um PIN e uma senha que serão usados nas reinicializações posteriores dos computadores.

Dica

A opção de protetor do TPM requer que o administrador aceite o aviso do BIOS para ativar e inicializar o TPM antes que o computador seja enviado ao usuário final.

Suporte ao cliente do MBAM para discos rígidos criptografados

MBAM dá suporte ao BitLocker em discos rígidos criptografados que satisfazem os requisitos de especificação TGC para o Opal, bem como as normas IEEE 1667. Quando o BitLocker está habilitado nesses dispositivos, ele irá gerar chaves e executar funções de gerenciamento na unidade criptografada. Veja Disco rígido criptografado para obter mais informações.

Você tem uma sugestão para o MBAM?

Adicione ou vote em sugestões aqui. Para problemas com o MBAM, utilize o Fórum MBAM TechNet.

Consulte também

Outros recursos

Planejar a implantação do MBAM 2.5
Implantando o Cliente do MBAM 2.5