MBAM 2.5 用戶端部署規劃
視您部署 Microsoft BitLocker Administration and Monitoring (MBAM) Client 軟體時而定,您可以在組織中的電腦上啟用 BitLocker 磁片磁碟機加密,使用者會在收到電腦之前或之後啟用。 針對 MBAM 獨立和System Center Configuration Manager整合拓撲,您必須設定 MBAM 的群組原則設定。
如果您使用 MBAM 獨立拓撲,建議您使用企業軟體部署系統,將 MBAM 用戶端軟體部署到終端使用者電腦。
如果您使用Configuration Manager整合拓撲部署 MBAM,您可以使用Configuration Manager將 MBAM 用戶端軟體部署到終端使用者電腦。 在Configuration Manager中,MBAM 安裝會建立 MBAM 可以管理的電腦集合。 此集合包含的工作站和裝置沒有信賴平臺模組 (TPM) ,但正在執行Windows 8、Windows 8.1或Windows 10。
注意當您使用 Configuration Manager 2007 時,Configuration Manager整合拓撲安裝不支援 Windows To Go。
部署 MBAM 用戶端,以在將電腦散發給使用者之後啟用 BitLocker 磁片磁碟機加密
設定群組原則之後,您可以使用 Microsoft System Center Configuration Manager 或 Active Directory 網域服務 (AD DS) 等企業軟體部署系統產品,將 MBAM 用戶端安裝的 Windows Installer 檔案部署到目的電腦。 若要部署 MBAM 用戶端,您可以使用 32 位或 64 位MbamClientSetup.exe檔案或 MBAM 用戶端軟體提供的MBAMClient.msi檔案。
注意 從 MBAM 2.5 SP1 開始,MBAM 產品不再包含個別的 MSI。 不過,您可以從產品隨附的可執行檔 (.exe) 擷取 MSI。
當您將電腦發佈至用戶端電腦之後部署 MBAM 用戶端時,系統會提示終端使用者加密其電腦。 此動作可讓 MBAM 收集資料,其中包括原則) 所需的 PIN 和密碼 (,然後開始加密程式。
注意 在此方法中,如果先前尚未啟用晶片,則會提示具有 TPM 晶片之電腦的終端使用者啟用並初始化 TPM 晶片。
使用 MBAM 用戶端在將電腦散發給終端使用者之前啟用 BitLocker 磁片磁碟機加密
在集中接收和設定電腦,且電腦具有相容 TPM 晶片的組織中,您可以使用 MBAM 用戶端來管理每部電腦上的 BitLocker 磁片磁碟機加密,然後再將任何使用者資料寫入其中。 此程式的優點是每部電腦都符合規範。 此方法不依賴使用者動作,因為系統管理員已加密電腦。 此案例的主要假設是組織的原則會先安裝公司 Windows 映像,再將電腦傳遞給使用者。
如果您的組織想要使用 TPM 晶片來加密電腦,系統管理員會新增 TPM 保護裝置來加密電腦的作業系統磁片區。 如果您的組織想要使用 TPM 晶片和 PIN 保護裝置,系統管理員會使用 TPM 保護裝置加密作業系統磁片區,然後使用者在第一次登入時選取 PIN。 如果您的組織決定只使用 PIN 保護裝置,系統管理員就不需要先加密磁片區。 當終端使用者登入時,Microsoft BitLocker Administration and Monitoring 會提示他們提供 PIN,或稍後電腦重新開機時要使用的 PIN 和密碼。
注意 TPM 保護裝置選項需要系統管理員接受 BIOS 提示,以在將電腦傳遞給使用者之前啟用和初始化 TPM。
加密硬碟的 MBAM 用戶端支援
MBAM 支援加密硬碟上的 BitLocker,其符合 Opal 的 TCG 規格需求以及 IEEE 1667 標準。 在這些裝置上啟用 BitLocker 時,它會產生金鑰,並在加密的磁片磁碟機上執行管理功能。 如需詳細資訊,請參閱 加密硬碟 。
相關主題
有 MBAM 的建議嗎?
針對 MBAM 問題,請使用 MBAM TechNet 論壇。