Pianificazione della distribuzione client di MBAM 2.5
A seconda di quando si distribuisce il software client Microsoft BitLocker Administration and Monitoring (MBAM), è possibile abilitare Crittografia unità BitLocker in un computer dell'organizzazione prima che l'utente riceva il computer o successivamente. Sia per le topologie di integrazione di MBAM autonome che per le topologie di integrazione di System Center Configuration Manager, è necessario configurare le impostazioni dei criteri di gruppo per MBAM.
Se si usa la topologia autonoma di MBAM, è consigliabile usare un sistema di distribuzione software aziendale per distribuire il software client MBAM nei computer utente.
Se si distribuisce MBAM con la topologia di integrazione di Configuration Manager, è possibile usare Configuration Manager per distribuire il software client MBAM nei computer utente. In Configuration Manager l'installazione di MBAM crea una raccolta di computer che MBAM può gestire. Questa raccolta include workstation e dispositivi che non hanno un modulo TPM (Trusted Platform Module), ma che eseguono Windows 8, Windows 8.1 o Windows 10.
Distribuzione del client MBAM per abilitare Crittografia unità BitLocker dopo la distribuzione del computer agli utenti
Dopo aver configurato i criteri di gruppo, è possibile usare un prodotto del sistema di distribuzione software aziendale, ad esempio Microsoft System Center Configuration Manager o Active Directory Domain Services, per distribuire i file di Windows Installer dell'installazione del client MBAM nei computer di destinazione. Per distribuire il client MBAM, è possibile usare i file di MbamClientSetup.exe a 32 bit o a 64 bit o i file MBAMClient.msi, forniti con il software client MBAM.
Nota
A partire da MBAM 2.5 SP1, un'identità del servizio gestito separata non è più inclusa nel prodotto MBAM. È tuttavia possibile estrarre l'identità del servizio gestito dal file eseguibile (.exe) incluso nel prodotto.
Quando si distribuisce il client MBAM dopo aver distribuito i computer ai computer client, agli utenti viene richiesto di crittografare il computer. Questa azione consente a MBAM di raccogliere i dati, che include il PIN e la password (se richiesto dai criteri) e quindi di avviare il processo di crittografia.
Nota
Se il chip TPM non è già attivato, il dispositivo richiede all'utente di attivare e inizializzare il chip TPM.
Uso del client MBAM per abilitare Crittografia unità BitLocker prima della distribuzione del computer agli utenti
Nelle organizzazioni in cui i computer vengono ricevuti e configurati centralmente e in cui i computer hanno un chip TPM conforme, è possibile usare il client MBAM per gestire Crittografia unità BitLocker in ogni computer prima che i dati utente vengano scritti in esso. Il vantaggio di questo processo è che ogni computer è quindi conforme. Questo metodo non si basa sull'azione dell'utente finale perché l'amministratore ha già crittografato il computer. Un presupposto chiave per questo scenario è che i criteri dell'organizzazione installano un'immagine Windows aziendale prima che il computer venga recapitato all'utente.
Se l'organizzazione vuole usare il chip TPM per crittografare i computer, l'amministratore aggiunge la protezione TPM per crittografare il volume del sistema operativo del computer. Se l'organizzazione vuole usare il chip TPM e una protezione PIN, l'amministratore crittografa il volume del sistema operativo con la protezione TPM e quindi gli utenti selezionano un PIN quando accedono per la prima volta. Se l'organizzazione decide di usare solo la protezione PIN, l'amministratore non deve prima crittografare il volume. Quando gli utenti accedono, MBAM richiede loro di fornire un PIN o un PIN e una password da usare in un computer successivo.
Nota
L'opzione di protezione TPM richiede all'amministratore di accettare la richiesta del BIOS per attivare e inizializzare il TPM prima che il computer venga recapitato all'utente.
Supporto del client MBAM per i dischi rigidi crittografati
MBAM supporta BitLocker su dischi rigidi crittografati che soddisfano i requisiti di specifica TCG per gli standard Opal e IEEE 1667. Quando BitLocker è abilitato in questi dispositivi, genera chiavi ed esegue funzioni di gestione nell'unità crittografata. Per altre informazioni, vedere Disco rigido crittografato.