Montage plateforme Microsoft BitLocker Administration and Monitoring - partie 5 – Déploiement du client MBAM sur les postes Windows 7

Ceci est le cinquième billet d’une série consacrée à la création étape par étape d’une plateforme Microsoft BitLocker Administration and Monitoring (MBAM).

Les premières parties de cette série sont visibles aux adresses suivantes :

• Partie 1 - Introduction et présentation de la plateforme
  https://blogs.technet.com/b/stanislas/archive/2011/08/04/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-1-introduction-et-pr-233-sentation-de-la-plateforme.aspx
• Partie 2 - Installation du serveur MBAM
  https://blogs.technet.com/b/stanislas/archive/2011/08/05/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-2-installation-du-serveur-mbam.aspx
• Partie 3 - Gestion des rôles utilisateurs MBAM
  https://blogs.technet.com/b/stanislas/archive/2011/08/08/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-3-gestion-des-r-244-les-utilisateurs-mbam.aspx
• Partie 4 – Vérification de la bonne installation du serveur MBAM
  https://blogs.technet.com/b/stanislas/archive/2011/08/09/montage-plateforme-microsoft-bitlocker-administration-and-monitoring-partie-4-v-233-rification-de-la-bonne-installation-du-serveur-mbam.aspx

Dans ce billet nous allons voir le déploiement du client MBAM sur les postes de travail Windows 7

Le client MBAM va permettre aux administrateurs MBAM de forcer l'usage de Bitlocker et d'avoir des remontées d'informations (pour inventaire, audit de conformité...).

2 versions sont disponibles pour Windows7 : 32bit ou 64bit. Les fichiers d’installation sont dans le DVD de MDOP 2011 R2 (MBAM/Installers/x64 et MBAM/Installers/x32)

Le client MBAM peut être déployé via :

• Installation manuelle
• Script
• Stratégies de groupe (GPO)
• Microsoft Deployment Toolkit (MDT)
• Tous les outils de télédistribution (exemple : System Center Configuration Manager)
• Toute solution Cloud de télédistribution (exemple : Windows Intune dans sa prochaine version, actuellement en beta depuis juillet 2011)

Déploiement avec les stratégies de groupe (GPO)

Bon clairement ce n’est pas à mon avis la meilleure option en production (simplement parce qu’il n’y a aucune remontée d’informations concernant le bon déploiement ou pas) mais cela reste une option envisageable pour ceux ayant un parc réduit. Sachant qu’ici il va falloir faire attention à pousser les bonnes versions (32bit ou 64bit) sur les bons postes (Windows7 32 ou 64bit) en jouant avec des filtres WMI ou des groupes de sécurité.

Pour ceux qui veulent choisir cette solution, une vidéo (en US) détaille parfaitement l’ensemble des différentes étapes :

• Deploying the MBAM Agent with Group Policy
  https://technet.microsoft.com/en-us/windows/hh328532
  • Télécharger la vidéo au format .WMV ou .MP4

Déploiement avec Microsoft Deployment Toolkit (MDT)

Pour ceux qui veulent choisir cette solution, une vidéo (en US) détaille parfaitement l’ensemble des différentes étapes :

• Deploying the MBAM Agent with MDT
  https://technet.microsoft.com/en-us/windows/hh328533
  • Télécharger la vidéo au format .WMV ou .MP4

Déploiement avec Microsoft System Center Configuration Manager

Pour ceux qui veulent choisir cette solution, une vidéo (en US) détaille parfaitement l’ensemble des différentes étapes :

• Deploying the MBAM Agent with System Center Configuration Manager 2007
  https://technet.microsoft.com/en-us/windows/hh328534
  • Télécharger la vidéo au format .WMV ou .MP4

Déploiement avec Windows Intune ( version beta de juillet 2011 )

[c’est la solution que j’ai retenue, d’autant plus que MDOP est disponible en option (1€ par mois/PC) dans l’abonnement Windows Intune]

Depuis la console Windows Intune, aller dans la partie Logiciels et dans la zone Tâches, cliquer sur Télécharger le logiciel

Le client d’upload de Windows Intune est téléchargé puis exécuté

Sélectionner le .MSI correspondant au client MBAM

Préciser ici l’architecture (32bit) et la version du système d’exploitation (ici ne mettre que Windows 7)

Windows Intune se débrouille tout seul avec les packages .MSI, il n’est pas nécessaire de préciser les commutateurs /QN

Cliquer sur Upload

Reproduire la même manipulation pour la version 64bit du client MBAM.

Sélectionner ensuite le package 32bit et cliquer sur Déployer

Refaire la même opération avec le package 64bit

Installation sur le poste client Windows 7 (Entreprise ou Intégrale)

Ce poste est client Windows Intune (version beta juillet 2011)

Avant l’installation de MBAM, si on tape BitLocker dans la zone de recherche, on doit obtenir 4 résultats dans la zone Panneau de Configuration

En temps normal, le client Windows Intune se débrouille comme un grand pour lancer l’installation d’un package. Ici je vais forcer l’installation.

Ouvrir Windows Intune Center, une mise à jour importante doit être visible (si ce n’est pas le cas, cliquer sur Check Update), cliquer sur Install updates

Une fois l’installation du client MBAM effectuée, une nouvelle entrée BitLocker est disponible dans le panneau de configuration : “BitLocker Encryption Option” (2ème entrée dans la capture ci-dessous)

Prochains articles :

• La configuration du client MBAM via stratégie de groupe (GPO)
• Le test de fonctionnement sur le poste client
• Les améliorations possibles de cette plateforme

- Stanislas Quastana -