規劃 MBAM 2.5 用戶端部署
根據您部署 Microsoft BitLocker Administration and Monitoring (MBAM) 用戶端軟體的時機,您可以在使用者收到計算機之前或之後,在組織中的計算機上啟用 BitLocker 磁碟驅動器加密。 針對 MBAM 獨立和 System Center Configuration Manager 整合拓撲,您必須設定 MBAM 的組策略設定。
如果您使用 MBAM 獨立拓撲,建議您使用企業軟體部署系統,將 MBAM 用戶端軟體部署到用戶電腦。
如果您使用 Configuration Manager 整合拓撲部署 MBAM,您可以使用 Configuration Manager 將 MBAM 用戶端軟體部署到用戶電腦。 在 Configuration Manager 中,MBAM 安裝會建立 MBAM 可以管理的電腦集合。 此集合包括沒有信賴平臺模組 (TPM) 但執行 Windows 8、Windows 8.1 或 Windows 10 的工作站和裝置。
部署 MBAM 用戶端,以在將電腦散發給使用者之後啟用 BitLocker 磁碟驅動器加密
設定組策略之後,您可以使用企業軟體部署系統產品,例如 Microsoft System Center Configuration Manager 或 Active Directory 網域服務,將 MBAM 用戶端安裝的 Windows Installer 檔案部署到目標計算機。 若要部署 MBAM 用戶端,您可以使用 32 位或 64 位 MbamClientSetup.exe 檔案或 MBAM 用戶端軟體提供的 MBAMClient.msi 檔案。
注意
從 MBAM 2.5 SP1 開始,MBAM 產品不再包含個別的 MSI。 不過,您可以從產品隨附的可執行檔 (.exe) 擷取 MSI。
當您將電腦發佈至用戶端計算機之後部署 MBAM 用戶端時,系統會提示使用者加密其電腦。 此動作可讓 MBAM 收集數據,其中包括原則) 所需的 PIN 和密碼 (,然後開始加密程式。
注意
如果 TPM 晶片尚未啟用,裝置會提示使用者啟用並初始化 TPM 晶片。
使用 MBAM 用戶端在將電腦散發給使用者之前啟用 BitLocker 磁碟驅動器加密
在集中接收和設定計算機,且計算機具有相容 TPM 晶片的組織中,您可以使用 MBAM 用戶端來管理每部電腦上的 BitLocker 磁碟驅動器加密,然後再將任何用戶數據寫入其中。 此程式的優點是每部計算機都符合規範。 此方法不依賴使用者動作,因為系統管理員已加密計算機。 此案例的主要假設是組織的原則會先安裝公司 Windows 映射,再將計算機傳遞給使用者。
如果您的組織想要使用 TPM 晶片來加密電腦,系統管理員會新增 TPM 保護裝置來加密電腦的作業系統磁碟區。 如果您的組織想要使用 TPM 晶片和 PIN 保護裝置,系統管理員會使用 TPM 保護裝置加密作業系統磁碟區,然後使用者在第一次登入時選取 PIN。 如果您的組織決定只使用 PIN 保護裝置,系統管理員就不需要先加密磁碟區。 當使用者登入時,MBAM 會提示他們提供 PIN,或是稍後電腦重新啟動時要使用的 PIN 和密碼。
注意
TPM 保護裝置選項需要系統管理員接受 BIOS 提示,以便在將電腦傳遞給使用者之前啟用並初始化 TPM。
加密硬碟的 MBAM 用戶端支援
MBAM 支援加密硬碟上的 BitLocker,其符合 Opal 和 IEEE 1667 標準的 TCG 規格需求。 在這些裝置上啟用 BitLocker 時,它會產生金鑰,並在加密的磁碟驅動器上執行管理功能。 如需詳細資訊,請 參閱加密硬碟。