Planification du déploiement du client MBAM 2.5
Selon le moment où vous déployez le logiciel client Microsoft BitLocker Administration and Monitoring (MBAM), vous pouvez activer le chiffrement de lecteur BitLocker sur un ordinateur de votre organisation avant que l’utilisateur ne reçoive l’ordinateur, soit par la suite. Pour les topologies d’intégration autonomes MBAM et System Center Configuration Manager, vous devez configurer les paramètres de stratégie de groupe pour MBAM.
Si vous utilisez la topologie autonome MBAM, nous vous recommandons d’utiliser un système de déploiement de logiciels d’entreprise pour déployer le logiciel client MBAM sur les ordinateurs des utilisateurs.
Si vous déployez MBAM avec la topologie d’intégration Configuration Manager, vous pouvez utiliser Configuration Manager pour déployer le logiciel client MBAM sur les ordinateurs des utilisateurs. Dans Configuration Manager, l’installation de MBAM crée un ensemble d’ordinateurs que MBAM peut gérer. Ce regroupement inclut les stations de travail et les appareils qui n’ont pas de module de plateforme sécurisée (TPM), mais qui exécutent Windows 8, Windows 8.1 ou Windows 10.
Déploiement du client MBAM pour activer le chiffrement de lecteur BitLocker après la distribution de l’ordinateur aux utilisateurs
Après avoir configuré la stratégie de groupe, vous pouvez utiliser un produit de système de déploiement de logiciels d’entreprise comme Microsoft System Center Configuration Manager ou Active Directory Domain Services pour déployer les fichiers Windows Installer de l’installation du client MBAM sur les ordinateurs cibles. Pour déployer le client MBAM, vous pouvez utiliser les fichiers MbamClientSetup.exe 32 bits ou 64 bits ou les fichiers MBAMClient.msi fournis avec le logiciel client MBAM.
Remarque
À compter de MBAM 2.5 SP1, un msi distinct n’est plus inclus dans le produit MBAM. Toutefois, vous pouvez extraire le MSI du fichier exécutable (.exe) inclus dans le produit.
Lorsque vous déployez le client MBAM après avoir distribué des ordinateurs aux ordinateurs clients, les utilisateurs sont invités à chiffrer leur ordinateur. Cette action permet à MBAM de collecter les données, notamment le code confidentiel et le mot de passe (si nécessaire par la stratégie), puis de commencer le processus de chiffrement.
Remarque
Si la puce TPM n’est pas déjà activée, l’appareil invite l’utilisateur à activer et à initialiser la puce TPM.
Utilisation du client MBAM pour activer le chiffrement de lecteur BitLocker avant la distribution de l’ordinateur aux utilisateurs
Dans les organisations où les ordinateurs sont reçus et configurés de manière centralisée et où les ordinateurs disposent d’une puce TPM conforme, vous pouvez utiliser le client MBAM pour gérer le chiffrement de lecteur BitLocker sur chaque ordinateur avant que les données utilisateur y soient écrites. L’avantage de ce processus est que chaque ordinateur est alors conforme. Cette méthode ne repose pas sur l’action de l’utilisateur final, car l’administrateur a déjà chiffré l’ordinateur. Une hypothèse clé pour ce scénario est que la stratégie de l’organisation installe une image Windows d’entreprise avant que l’ordinateur ne soit remis à l’utilisateur.
Si votre organisation souhaite utiliser la puce TPM pour chiffrer les ordinateurs, l’administrateur ajoute le protecteur TPM pour chiffrer le volume du système d’exploitation de l’ordinateur. Si votre organisation souhaite utiliser la puce TPM et un protecteur de code confidentiel, l’administrateur chiffre le volume du système d’exploitation avec le protecteur TPM, puis les utilisateurs sélectionnent un code confidentiel lorsqu’ils se connectent pour la première fois. Si votre organisation décide d’utiliser uniquement le protecteur de code confidentiel, l’administrateur n’a pas besoin de chiffrer le volume en premier. Lorsque les utilisateurs se connectent, MBAM les invite à fournir un code confidentiel ou un code confidentiel et un mot de passe à utiliser lors des redémarrages ultérieurs de l’ordinateur.
Remarque
L’option de protection TPM exige que l’administrateur accepte l’invite du BIOS pour activer et initialiser le module de plateforme sécurisée avant que l’ordinateur ne soit remis à l’utilisateur.
Prise en charge du client MBAM pour les disques durs chiffrés
MBAM prend en charge BitLocker sur les disques durs chiffrés qui répondent aux exigences de spécification TCG pour les normes Opal et IEEE 1667. Lorsque BitLocker est activé sur ces appareils, il génère des clés et effectue des fonctions de gestion sur le lecteur chiffré. Pour plus d’informations, consultez Disque dur chiffré.