Планирование развертывания клиента MBAM 2.5
В зависимости от того, когда вы развертываете клиентское программное обеспечение администрирования и мониторинга Microsoft BitLocker (MBAM), вы можете включить шифрование диска BitLocker на компьютере в организации либо до того, как пользователь получит компьютер, либо после этого. Для автономных топологий MBAM и интеграции System Center Configuration Manager необходимо настроить параметры групповой политики для MBAM.
Если вы используете автономную топологию MBAM, рекомендуется использовать корпоративную систему развертывания программного обеспечения для развертывания клиентского программного обеспечения MBAM на пользовательских компьютерах.
При развертывании MBAM с топологией интеграции Configuration Manager можно использовать Configuration Manager для развертывания клиентского программного обеспечения MBAM на пользовательских компьютерах. В Configuration Manager установка MBAM создает коллекцию компьютеров, которыми MBAM может управлять. Эта коллекция включает рабочие станции и устройства, которые не имеют доверенного платформенного модуля (TPM), но работают под управлением Windows 8, Windows 8.1 или Windows 10.
Развертывание клиента MBAM для включения шифрования диска BitLocker после распространения компьютера пользователям
После настройки групповой политики можно использовать системный продукт развертывания корпоративного программного обеспечения, например Microsoft System Center Configuration Manager или доменные службы Active Directory, для развертывания файлов установщика Windows установки клиента MBAM на целевых компьютерах. Для развертывания клиента MBAM можно использовать 32- или 64-разрядные файлы MbamClientSetup.exe или MBAMClient.msi файлы, которые предоставляются в клиентском программном обеспечении MBAM.
Примечание.
Начиная с MBAM 2.5 с пакетом обновления 1 (SP1), отдельный MSI больше не входит в состав продукта MBAM. Однако вы можете извлечь MSI из исполняемого файла (.exe), входящего в состав продукта.
При развертывании клиента MBAM после распространения компьютеров на клиентские компьютеры пользователям предлагается зашифровать свой компьютер. Это действие позволяет MBAM собирать данные, включая ПИН-код и пароль (если это требуется политикой), а затем начать процесс шифрования.
Примечание.
Если микросхема доверенного платформенного модуля еще не активирована, устройство предлагает пользователю активировать и инициализировать микросхему доверенного платформенного модуля.
Использование клиента MBAM для включения шифрования диска BitLocker перед распространением компьютера пользователям
В организациях, где компьютеры получаются и настроены централизованно, а компьютеры имеют микросхему доверенного платформенного модуля, вы можете использовать клиент MBAM для управления шифрованием диска BitLocker на каждом компьютере перед записью на него любых данных пользователя. Преимущество этого процесса заключается в том, что каждый компьютер будет соответствовать требованиям. Этот метод не зависит от действий конечных пользователей, так как администратор уже зашифровал компьютер. Ключевое предположение для этого сценария заключается в том, что политика организации устанавливает корпоративный образ Windows до того, как компьютер будет доставлен пользователю.
Если ваша организация хочет использовать микросхему доверенного платформенного модуля для шифрования компьютеров, администратор добавляет предохранитель доверенного платформенного модуля для шифрования тома операционной системы компьютера. Если ваша организация хочет использовать микросхему доверенного платформенного модуля и предохранитель ПИН-кода, администратор шифрует том операционной системы с помощью предохранителя доверенного платформенного модуля, а затем пользователи выбирают ПИН-код при первом входе. Если ваша организация решает использовать только предохранитель ПИН-кода, администратору не нужно сначала шифровать том. Когда пользователи входят в систему, MBAM предлагает им ввести ПИН-код или ПИН-код и пароль, которые будут использоваться при последующей перезагрузке компьютера.
Примечание.
Параметр защиты доверенного платформенного модуля требует, чтобы администратор принял запрос BIOS для активации и инициализации доверенного платформенного модуля перед тем, как компьютер будет доставлен пользователю.
Поддержка клиента MBAM для зашифрованных жестких дисков
MBAM поддерживает BitLocker на зашифрованных жестких дисках, которые соответствуют требованиям спецификации TCG для стандартов Opal и IEEE 1667. Если bitLocker включен на этих устройствах, он создает ключи и выполняет функции управления на зашифрованном диске. Дополнительные сведения см. в разделе Зашифрованный жесткий диск.