MBAM 1.0 用戶端部署規劃
適用於: Microsoft BitLocker Administration and Monitoring 1.0
根據部署 Microsoft BitLocker Administration and Monitoring (MBAM) 用戶端的時間而定,您可以在使用者收到組織的電腦之前或之後,在電腦上啟用 BitLocker 加密。 若要在使用者收到電腦之後啟用 BitLocker 加密,請設定群組原則。 若要在使用者收到電腦之前啟用 BitLocker 加密,請使用企業軟體部署系統部署 MBAM 用戶端軟體。
您可以在組織中使用其中一種方法或兩種都使用。 如果您同時使用這兩種方法,將可改善符合性、報告和金鑰修復支援。
注意
若要檢閱 MBAM 用戶端系統需求,請參閱 MBAM 1.0 支援的組態。
在電腦交給使用者之後部署 MBAM 用戶端以啟用 BitLocker 加密
設定群組原則之後,您可以使用企業軟體部署系統產品 (例如 Microsoft System Center Configuration Manager 2012 或 Active Directory 網域服務),將 MBAM 用戶端安裝 Windows Installer 檔案部署到目標電腦。 MBAM 軟體隨附兩個 MBAM 用戶端安裝 Windows Installer 檔案,分別為 MBAMClient-64bit.msi 和 MBAMClient-32bit.msi。 如需如何部署 MBAM 群組原則物件的詳細資訊,請參閱部署 MBAM 1.0 群組原則物件。
當您部署 MBAM 用戶端時,在將電腦交給使用者之後,系統會提示使用者加密其電腦。 這可讓 MBAM 收集資料來包含 PIN 碼和密碼,然後開始加密程序。
注意
使用這種方法時,如果先前尚未啟用信賴平台模組 (TPM) 晶片,系統會提示使用者加以啟用和初始化。
在電腦交給使用者之前使用 MBAM 用戶端啟用 BitLocker 加密
在集中驗收及設定電腦的組織中,您可以在任何使用者資料寫入電腦之前,先在每一部電腦上安裝 MBAM 用戶端來管理 BitLocker 加密。 這種程序的優點是每一部電腦都能夠符合 BitLocker 加密的規範。 這種方法不需要使用者採取動作,因為系統管理員已經將電腦加密。 這個案例有一項重要假設,就是組織的原則會先安裝公司 Windows 映像,然後才將電腦交給使用者。
如果您的組織想使用 (TPM) 加密電腦,系統管理員必須使用 TPM 保護裝置加密作業系統磁碟區。 如果組織想使用 TPM 晶片和 PIN 保護裝置,則系統管理員必須先使用 TPM 保護裝置加密系統磁碟區,接著再由使用者於第一次登入時選取 PIN 碼。 如果您的組織決定只使用 PIN 保護裝置,系統管理員就不需要先加密磁碟區。 當使用者登入電腦時,MBAM 會提示他們提供 PIN 碼或同時提供 PIN 碼和密碼,以便在稍後重新啟動電腦時使用。
注意
TPM 保護裝置選項需要系統管理員先接受 BIOS 提示來啟用和初始化 TPM,然後再將電腦交給使用者。
另請參閱
其他資源
-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 Facebook 或 Twitter 追蹤我們的動態。
-----