Planeamiento de la implementación de cliente de MBAM 2.5
Dependiendo de cuándo implemente el software cliente de Administración y supervisión de Microsoft BitLocker (MBAM), puede habilitar el cifrado de unidad BitLocker en un equipo de su organización antes de que el usuario reciba el equipo o después. Tanto para las topologías de integración de MBAM independientes como para las de integración de System Center Configuration Manager, debe configurar las opciones de directiva de grupo para MBAM.
Si usa la topología independiente de MBAM, se recomienda usar un sistema de implementación de software empresarial para implementar el software cliente de MBAM en los equipos de usuario.
Si implementa MBAM con la topología de integración de Configuration Manager, puede usar Configuration Manager para implementar el software cliente de MBAM en los equipos de usuario. En Configuration Manager, la instalación de MBAM crea una colección de equipos que MBAM puede administrar. Esta colección incluye estaciones de trabajo y dispositivos que no tienen un módulo de plataforma segura (TPM), pero que ejecutan Windows 8, Windows 8.1 o Windows 10.
Implementación del cliente de MBAM para habilitar el cifrado de unidad bitlocker después de la distribución del equipo a los usuarios
Después de configurar la directiva de grupo, puede usar un producto de sistema de implementación de software empresarial como Microsoft System Center Configuration Manager o Active Directory Domain Services para implementar los archivos de Windows Installer de la instalación del cliente MBAM en equipos de destino. Para implementar el cliente de MBAM, puede usar los archivos de MbamClientSetup.exe de 32 o 64 bits o MBAMClient.msi, que se proporcionan con el software cliente de MBAM.
Nota
A partir de MBAM 2.5 SP1, ya no se incluye una MSI independiente con el producto MBAM. Sin embargo, puede extraer la MSI del archivo ejecutable (.exe) que se incluye con el producto.
Al implementar el cliente de MBAM después de distribuir los equipos a los equipos cliente, se pide a los usuarios que cifren su equipo. Esta acción permite a MBAM recopilar los datos, lo que incluye el PIN y la contraseña (si lo requiere la directiva) y, a continuación, iniciar el proceso de cifrado.
Nota
Si el chip de TPM aún no está activado, el dispositivo solicita al usuario que active e inicialice el chip de TPM.
Uso del cliente de MBAM para habilitar el cifrado de unidad bitlocker antes de la distribución del equipo a los usuarios
En las organizaciones donde los equipos se reciben y configuran de forma centralizada, y donde los equipos tienen un chip TPM compatible, puede usar el cliente DE MBAM para administrar el cifrado de unidad bitlocker en cada equipo antes de que se escriban en él los datos de usuario. La ventaja de este proceso es que todos los equipos son compatibles. Este método no se basa en la acción del usuario final porque el administrador ya ha cifrado el equipo. Una suposición clave para este escenario es que la directiva de la organización instala una imagen corporativa de Windows antes de que el equipo se entregue al usuario.
Si su organización quiere usar el chip TPM para cifrar equipos, el administrador agrega el protector de TPM para cifrar el volumen del sistema operativo del equipo. Si su organización quiere usar el chip TPM y un protector de PIN, el administrador cifra el volumen del sistema operativo con el protector de TPM y, a continuación, los usuarios seleccionan un PIN cuando inician sesión por primera vez. Si su organización decide usar solo el protector de PIN, el administrador no tiene que cifrar primero el volumen. Cuando los usuarios inician sesión, MBAM les pide que proporcionen un PIN o un PIN y una contraseña que se usarán en los reinicios posteriores del equipo.
Nota
La opción protector de TPM requiere que el administrador acepte la solicitud del BIOS para activar e inicializar el TPM antes de que el equipo se entregue al usuario.
Compatibilidad del cliente de MBAM con unidades de disco duro cifradas
MBAM admite BitLocker en unidades de disco duro cifradas que cumplen los requisitos de especificación de TCG para los estándares Opal e IEEE 1667. Cuando BitLocker está habilitado en estos dispositivos, genera claves y realiza funciones de administración en la unidad cifrada. Para obtener más información, consulte Disco duro cifrado.