Planear a implementação do cliente MBAM 2.5
Consoante quando implementar o software de cliente de Administração e Monitorização (MBAM) do Microsoft BitLocker, pode ativar a Encriptação de Unidade BitLocker num computador na sua organização antes de o utilizador receber o computador ou posteriormente. Para as topologias de integração autónomas do MBAM e do System Center Configuration Manager, tem de configurar as definições de política de grupo para o MBAM.
Se utilizar a topologia autónoma do MBAM, recomendamos que utilize um sistema de implementação de software empresarial para implementar o software de cliente MBAM em computadores de utilizador.
Se implementar o MBAM com a topologia de integração do Configuration Manager, pode utilizar o Configuration Manager para implementar o software de cliente MBAM em computadores de utilizador. No Configuration Manager, a instalação do MBAM cria uma coleção de computadores que o MBAM pode gerir. Esta coleção inclui estações de trabalho e dispositivos que não têm um Trusted Platform Module (TPM), mas que estão a executar o Windows 8, Windows 8.1 ou o Windows 10.
Implementar o cliente MBAM para ativar a Encriptação de Unidade BitLocker após a distribuição do computador aos utilizadores
Depois de configurar a política de grupo, pode utilizar um produto do sistema de implementação de software empresarial, como o Microsoft System Center Configuration Manager ou o Active Directory Domain Services, para implementar os ficheiros do Windows Installer da instalação do cliente MBAM em computadores de destino. Para implementar o cliente MBAM, pode utilizar os ficheiros de MbamClientSetup.exe de 32 bits ou de 64 bits ou MBAMClient.msi ficheiros, que são fornecidos com o software de cliente MBAM.
Observação
A partir do MBAM 2.5 SP1, um MSI separado já não está incluído no produto MBAM. No entanto, pode extrair o MSI do ficheiro executável (.exe) incluído no produto.
Quando implementa o cliente MBAM depois de distribuir computadores para computadores cliente, é pedido aos utilizadores que encriptem o respetivo computador. Esta ação permite ao MBAM recolher os dados, que incluem o PIN e a palavra-passe (se necessário por política) e, em seguida, iniciar o processo de encriptação.
Observação
Se o chip TPM ainda não estiver ativado, o dispositivo pede ao utilizador para ativar e inicializar o chip TPM.
Utilizar o cliente MBAM para ativar a Encriptação de Unidade BitLocker antes da distribuição do computador para os utilizadores
Nas organizações onde os computadores são recebidos e configurados centralmente e onde os computadores têm um chip TPM compatível, pode utilizar o cliente MBAM para gerir a Encriptação de Unidade BitLocker em cada computador antes de os dados de utilizador serem escritos no mesmo. A vantagem deste processo é que todos os computadores estão em conformidade. Este método não depende da ação do utilizador final porque o administrador já encriptou o computador. Uma das principais suposições para este cenário é que a política da organização instala uma imagem empresarial do Windows antes de o computador ser entregue ao utilizador.
Se a sua organização quiser utilizar o chip TPM para encriptar computadores, o administrador adiciona o protetor TPM para encriptar o volume do sistema operativo do computador. Se a sua organização quiser utilizar o chip TPM e um protetor de PIN, o administrador encripta o volume do sistema operativo com o protetor TPM e, em seguida, os utilizadores selecionam um PIN quando iniciam sessão pela primeira vez. Se a sua organização decidir utilizar apenas o protetor de PIN, o administrador não tem de encriptar primeiro o volume. Quando os utilizadores iniciam sessão, o MBAM pede-lhes que forneçam um PIN ou um PIN e uma palavra-passe para serem utilizados em reinícios posteriores do computador.
Observação
A opção de proteção TPM requer que o administrador aceite o pedido do BIOS para ativar e inicializar o TPM antes de o computador ser entregue ao utilizador.
Suporte de cliente MBAM para discos rígidos encriptados
O MBAM suporta o BitLocker em Discos Rígidos Encriptados que cumprem os requisitos de especificação do TCG para as normas Opal e IEEE 1667. Quando o BitLocker está ativado nestes dispositivos, gera chaves e funciona com funções de gestão na unidade encriptada. Para obter mais informações, veja Disco rígido encriptado.