共用方式為

如何將 MBAM 用戶端部署為 Windows 部署的一部分

  • 發行項

適用於: Microsoft BitLocker Administration and Monitoring 1.0

Microsoft BitLocker Administration and Monitoring (MBAM) 用戶端可讓系統管理員在企業中的電腦上強制執行及監視 BitLocker 磁碟機加密。 BitLocker 用戶端可以整合到組織內,整合的方法是在建立電腦映像和部署 Windows 程序中,在用戶端電腦上啟用 BitLocker 管理和加密。

注意

若要檢閱 MBAM 用戶端系統需求,請參閱 MBAM 1.0 支援的組態

在 Windows 部署的初始映像建立階段使用 BitLocker 加密用戶端電腦,可降低 MBAM 實作的系統管理負荷。 這種方法也可確保部署的每一部電腦都已經執行並正確設定 BitLocker。

警告

本主題說明如何使用登錄編輯程式來變更 Windows 登錄。不當變更 Windows 登錄可能會導致嚴重問題,而必須重新安裝 Windows。在變更登錄之前,應先備份登錄檔案副本 (System.dat 和 User.dat)。Microsoft 無法保證能夠解決您在變更登錄時所發生的問題。您需自行承擔變更登錄的風險。

若要在 Windows 部署中加密電腦

  1. 如果您的組織打算使用 BitLocker 中的信賴平台模組 (TPM) 保護裝置或 TPM + PIN 保護裝置選項,您必須在初始部署 MBAM 之前啟用 TPM 晶片。 當您啟用 TPM 晶片時,請避免在此程序後續階段中重新開機,並確定 TPM 晶片已根據組織的需求正確設定。 您必須在電腦的 BIOS 中手動啟用 TPM 晶片。 如需如何設定 TPM 晶片的詳細資訊,請參閱製造商文件。

  2. 安裝 MBAM 用戶端代理程式。

  3. 建議您將電腦加入網域。

    • 如果電腦未加入網域,修復密碼就不會儲存在 MBAM 金鑰修復服務中。 根據預設,除非能夠儲存修復金鑰,否則 MBAM 不允許加密。

    • 如果電腦在修復金鑰尚未儲存到 MBAM 伺服器之前以修復模式啟動,您必須重新建立映像, 而且沒有任何修復方法可用。

  4. 以系統管理員身分開啟命令提示字元、停止 MBAM 服務,然後將服務設定為 [手動] 或 [依需求]。 接著,請執行下列命令:

    net stop mbamagent

    sc config mbamagent start= demand

  5. 將 MBAM 代理程式的登錄設定設成忽略群組原則,然後執行 TPM 進行僅作業系統加密。若要進行這項作業,請執行 regedit,然後從 C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg 匯入登錄機碼範本。

  6. 在 regedit 中,移至 HKLM\SOFTWARE\Microsoft\MBAM 並設定下表所列的設定。

    登錄項目 組態設定

    DeploymentTime

    0 = 關閉

    1 = 使用部署時間原則設定 (預設)

    UseKeyRecoveryService

    0 = 不使用金鑰委付 (若使用此設定,則不需要設定接下來的兩個登錄項目)

    1 = 在金鑰修復系統中使用金鑰委付 (預設)

    建議: 電腦必須能夠與金鑰修復服務通訊。 請先確認電腦可以與服務通訊,然後再繼續。

    KeyRecoveryOptions

    0 = 僅上傳修復金鑰

    1 = 上傳修復金鑰和金鑰修復套件 (預設)

    KeyRecoveryServiceEndPoint

    將這個值設定為金鑰修復網頁伺服器的 URL。

    範例: http://<電腦名稱>/MBAMRecoveryAndHardwareService/CoreService.svc。

    注意

    您可在此處設定 MBAM 原則或登錄值來覆寫先前設定的值。

  7. MBAM 代理程式會在 MBAM 用戶端部署期間重新啟動系統。 當您準備好進行這項重新開機作業時,請以系統管理員的身分在命令提示字元執行下列命令:

    net start mbamagent

  8. 當電腦重新啟動且 BIOS 提示您接受 TPM 變更時,請接受變更。

  9. 在 Windows 用戶端作業系統映像建立程序中,當您準備開始加密時,請重新啟動 MBAM 代理程式服務。 接著,若要設定為自動啟動,請以系統管理員的身分開啟命令提示字元,然後執行下列命令:

    sc config mbamagent start= auto

    net start mbamagent

  10. 移除略過登錄值。 若要進行這項作業,請執行 regedit、瀏覽至 HKLM\SOFTWARE\Microsoft 登錄項目、以滑鼠右鍵按一下 [MBAM] 節點,然後按一下 [刪除]。

另請參閱

其他資源

部署 MBAM 1.0 用戶端

-----
您可以透過 TechNet Library 深入瞭解 MDOP、在 TechNet Wiki 上搜尋疑難排解資訊,或是透過 FacebookTwitter 追蹤我們的動態。
-----