规划 MBAM 2.5 客户端部署
根据何时部署 Microsoft BitLocker 管理和监视 (MBAM) 客户端软件,可以在用户接收计算机之前或之后在组织中的计算机上启用 BitLocker 驱动器加密。 对于 MBAM 独立拓扑和 System Center Configuration Manager 集成拓扑,必须配置 MBAM 的组策略设置。
如果使用 MBAM 独立拓扑,建议使用企业软件部署系统将 MBAM 客户端软件部署到用户计算机。
如果使用 Configuration Manager 集成拓扑部署 MBAM,则可以使用 Configuration Manager 将 MBAM 客户端软件部署到用户计算机。 在 Configuration Manager 中,MBAM 安装会创建 MBAM 可以管理的计算机集合。 此集合包括没有受信任的平台模块 (TPM) ,但运行 Windows 8、Windows 8.1 或 Windows 10 的工作站和设备。
部署 MBAM 客户端以在将计算机分发给用户后启用 BitLocker 驱动器加密
配置组策略后,可以使用企业软件部署系统产品(如 Microsoft System Center Configuration Manager 或 Active Directory 域服务)将 MBAM 客户端安装的 Windows Installer 文件部署到目标计算机。 若要部署 MBAM 客户端,可以使用 MBAM 客户端软件随附的 32 位或 64 位 MbamClientSetup.exe 文件或 MBAMClient.msi 文件。
注意
从 MBAM 2.5 SP1 开始,MBAM 产品不再包含单独的 MSI。 但是,可以从产品附带的可执行文件 (.exe) 中提取 MSI。
将计算机分发到客户端计算机后部署 MBAM 客户端时,系统会提示用户加密其计算机。 此操作使 MBAM 能够收集数据(包括 PIN 和密码 ((如果策略) 需要),然后开始加密过程。
注意
如果 TPM 芯片尚未激活,设备会提示用户激活并初始化 TPM 芯片。
在将计算机分发给用户之前,使用 MBAM 客户端启用 BitLocker 驱动器加密
在集中接收和配置计算机以及计算机具有合规 TPM 芯片的组织中,可以使用 MBAM 客户端管理每台计算机上的 BitLocker 驱动器加密,然后再将任何用户数据写入其中。 此过程的好处是,每台计算机都符合要求。 此方法不依赖于最终用户操作,因为管理员已加密计算机。 此方案的关键假设是组织策略在将计算机交付给用户之前安装公司 Windows 映像。
如果你的组织想要使用 TPM 芯片加密计算机,管理员会添加 TPM 保护程序来加密计算机的操作系统卷。 如果组织想要使用 TPM 芯片和 PIN 保护程序,则管理员使用 TPM 保护程序加密操作系统卷,然后在用户首次登录时选择 PIN。 如果组织决定仅使用 PIN 保护程序,则管理员无需先加密卷。 当用户登录时,MBAM 会提示他们提供 PIN 或 PIN 和密码,以供以后的计算机重启使用。
注意
TPM 保护程序选项要求管理员接受 BIOS 提示,在将计算机交付给用户之前激活和初始化 TPM。
对加密硬盘驱动器的 MBAM 客户端支持
MBAM 支持满足 Opal 和 IEEE 1667 标准的 TCG 规范要求的加密硬盘驱动器上的 BitLocker。 在这些设备上启用 BitLocker 时,它会生成密钥,并在加密驱动器上执行管理功能。 有关详细信息,请参阅 加密硬盘驱动器。