共用方式為


關於 MBAM 2.5 SP1

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 提供簡化的 BitLocker 磁碟驅動器加密系統管理介面。 BitLocker 為遺失或遭竊的電腦提供增強的保護,以避免數據遭竊或數據外洩。 BitLocker 會加密儲存在 Windows 作業系統上的所有數據,以及磁碟驅動器和已設定的數據磁碟驅動器。

MBAM 概觀

MBAM 2.5 SP1 具有下列功能:

  • 可讓系統管理員將整個企業的用戶端電腦上的磁碟區加密程式自動化。

  • 可讓安全人員快速判斷個別計算機或甚至企業本身的合規性狀態。

  • 使用 Microsoft System Center Configuration Manager 提供集中式報告和硬體管理。

  • 減少技術支援中心上的工作負載,以協助使用者提出 BitLocker PIN 和修復密鑰要求。

  • 可讓終端使用者使用 Self-Service 入口網站,獨立復原加密的裝置。

  • 可讓安全人員輕鬆地稽核存取權,以復原密鑰資訊。

  • 可讓 Windows 企業版用戶繼續在任何地方工作,並保證其公司數據受到保護。

MBAM 會強制執行您為企業設定的 BitLocker 加密原則選項、使用這些原則監視用戶端電腦的合規性,以及報告企業和個人電腦的加密狀態。 此外,當使用者忘記 PIN 或密碼,或其 BIOS 或開機記錄變更時,MBAM 可讓您存取修復密鑰資訊。

下列群組可能有興趣使用 MBAM 來管理 BitLocker:

  • 系統管理員、IT 安全性專業人員,以及負責確保機密數據不會在未經授權的情況下公開的合規性人員

  • 負責遠端或分公司電腦安全性的系統管理員

  • 負責執行 Windows 之用戶端電腦的系統管理員

注意

本 MBAM 檔未詳細說明 BitLocker。 如需詳細資訊,請參閱 BitLocker 磁碟驅動器加密概觀

MBAM 2.5 SP1 的新功能

本節說明 MBAM 2.5 SP1 中的新功能。

MBAM 2.5 SP1 用戶端的新支持語言

MBAM 2.5 SP1 現在僅針對 MBAM 用戶端支援下列語言,包括 Self-Service 入口網站:

  • 捷克 (捷克) cs-CZ

  • 丹麥 (丹麥) da-DK

  • 荷蘭 (荷蘭) nl-NL

  • 芬蘭 (芬蘭) fi-FI

  • 希臘 (希臘) el-GR

  • 匈牙利 (匈牙利) 胡 胡

  • 挪威文,挪威 (挪威) nb-NO

  • 波蘭 (波蘭) pl-PL

  • 葡萄牙 (葡萄牙) pt-PT

  • 斯洛伐克 (斯洛伐克) sk-SK

  • 斯洛維尼亞 (斯洛維尼亞) sl-SI

  • 瑞典 (瑞典) sv-SE

  • 土耳其文 (Türkiye) tr-TR

如需 MBAM 2.5 和 MBAM 2.5 SP1 中用戶端和伺服器支援的所有語言清單,請參閱 MBAM 2.5 支援的設定

支援 Windows 10

除了舊版 MBAM 支援的相同軟體之外,MBAM 2.5 SP1 還新增對 Windows 11、Windows 10 和 Windows Server 2016 的支援。

MBAM 2.5 和 MBAM 2.5 SP1 都支援 Windows 10。

支援 Microsoft SQL Server 2014 SP1

除了舊版 MBAM 所支援的相同軟體之外,MBAM 2.5 SP1 還新增對 MICROSOFT SQL Server 2014 SP1 的支援。

MBAM 不再隨附個別的 MSI

從 MBAM 2.5 SP1 開始,MBAM 產品不再包含個別的 MSI。 不過,您可以從產品隨附的可執行檔 (.exe) 擷取 MSI。

MBAM 可以委付 OwnerAuth 密碼,而不需要擁有 TPM

先前,如果 MBAM 沒有擁有 TPM,TPM 擁有者Auth 就無法委付至 MBAM 資料庫。 若要將 MBAM 設定為擁有 TPM 並儲存密碼,您必須停用 TPM 自動布建,並清除客戶端電腦上的 TPM。

在 Windows 8 和更新版本中,MBAM 2.5 SP1 現在可以委付 OwnerAuth 密碼,而不需要擁有 TPM。 在服務啟動期間,MBAM 會查詢 TPM 是否已擁有,如果已擁有,則會向操作系統要求密碼。 密碼接著會委付至 MBAM 資料庫。 此外,必須設定組策略,以防止在本機刪除 OwnerAuth。

在 Windows 7 中,MBAM 必須擁有 TPM,才能在 MBAM 資料庫中自動委付 TPM OwnerAuth 資訊。 如果 MBAM 不擁有 TPM 和 Active Directory (AD) 備份是透過組策略設定,您必須使用 MBAM Active Directory (AD) 數據匯入 Cmdlet ,將 TPM OwnerAuth 從 AD 複製到 MBAM 資料庫。 這些是五個新的 PowerShell Cmdlet,會使用儲存在 Active Directory 中的磁碟區復原和 TPM 擁有者資訊預先填入 MBAM 資料庫。

如需詳細資訊,請參閱 MBAM 2.5 安全性考慮

MBAM 可以在鎖定之後自動解除鎖定 TPM

在執行 TPM 1.2 的電腦上,您現在可以將 MBAM 設定為在 TPM 遭到鎖定時自動解除鎖定。如果已啟用 TPM 鎖定自動重設功能,MBAM 可以偵測到使用者已鎖定,然後從 MBAM 資料庫取得 OwnerAuth 密碼,以自動解除鎖定使用者的 TPM。

此功能必須在伺服器端和用戶端的組策略中啟用。 如需詳細資訊,請參閱 MBAM 2.5 安全性考慮

支援符合 FIPS 規範的 BitLocker 數值密碼保護裝置

在 MBAM 2.5 中,已在執行 Windows 8.1 操作系統的裝置上新增美國聯邦資訊處理標準 (FIPS) 相容 BitLocker 修復密鑰的支援。 不過,Windows 並未在 Windows 7 中實作符合 FIPS 規範的修復密鑰。 因此,Windows 7 和 Windows 8 裝置仍然需要數據復原代理程式 (DRA) 保護裝置以進行復原。

Windows 小組使用 Hotfix 來回傳符合 FIPS 規範的修復密鑰,MBAM 2.5 SP1 也新增了對它們的支援。

注意

執行 Windows 8 的用戶端電腦仍然需要 DRA 保護裝置,因為 Hotfix 並未回溯至該 OS。 請參閱 Hotfix Package 2 for BitLocker Administration and Monitoring 2.5 下載並安裝適用於 Windows 7 和 Windows 8 計算機的 BitLocker Hotfix。 如需 DRA 的相關信息,請 參閱搭配 BitLocker 使用數據復原代理程式

若要在您的組織中啟用 FIPS 合規性,您必須設定美國聯邦資訊處理標準 (FIPS) 組策略設定。 如需設定指示,請參閱 BitLocker 組策略設定

使用新的組策略設定自定義啟動前修復訊息和URL

新的組策略設定 [設定 開機前修復訊息和 URL] 可讓您設定自定義修復訊息,或指定 URL,然後在 OS 磁碟驅動器鎖定時顯示在開機前的 BitLocker 修復畫面上。 此設定僅適用於執行 Windows 11 和 Windows 10 的用戶端電腦。

如果啟用此原則設定,您可以針對啟動前復原訊息選取下列其中一個選項:

  • 使用自定義修復訊息:選取此選項可在啟動前的 BitLocker 複原畫面中包含自定義訊息。

  • 使用自定義復原 URL:選取此選項以取代開機前 BitLocker 復原畫面中顯示的預設 URL。

  • 使用預設修復訊息和 URL:選取此選項可在啟動前的 BitLocker 復原畫面中顯示預設的 BitLocker 修復訊息和 URL。 如果您先前已設定自定義修復訊息或 URL,而且想要還原為預設訊息,則必須啟用此原則並選取此選項。

新的組策略設定位於下列 GPO 節點:計算機>設定原則>系統管理範>本Windows 元件>MDOP MBAM (BitLocker 管理) >操作系統磁碟驅動器。 如需詳細資訊,請參閱 規劃 MBAM 2.5 組策略需求

MBAM 已新增對已使用空間加密的支援

在 MBAM 2.5 SP1 中,如果您透過 BitLocker 組策略啟用 Used Space Encryption,MBAM 用戶端會接受它。

此組策略設定稱為在作業系統磁碟驅動器上強制執行磁碟驅動器加密類型,位於下列 GPO 節點:計算機>設定系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密>操作系統磁碟驅動器。 如果您啟用此原則,並選取加密類型作為 [僅使用空間加密],則 MBAM 會遵守原則,而 BitLocker 只會加密磁碟區上使用的磁碟空間。

如需詳細資訊,請參閱 規劃 MBAM 2.5 組策略需求

加密硬碟的 MBAM 用戶端支援

MBAM 支援加密硬碟上的 BitLocker,其符合 Opal 和 IEEE 1667 標準的 TCG 規格需求。 在這些裝置上啟用 BitLocker 時,它會產生金鑰,並在加密的磁碟驅動器上執行管理功能。 如需詳細資訊,請參閱 加密硬碟

註冊SPN時不再需要委派設定

MBAM 2.5 SP1 不再需要為您註冊應用程式集區帳戶的SPN設定限制委派的需求。 不過,它仍然是 MBAM 2.5 的需求。

使用 MBAM 作為 Windows 部署的一部分來啟用 BitLocker

在 MBAM 2.5 SP1 中,您可以使用 PowerShell 腳本來設定 MBAM 伺服器的 BitLocker 磁碟驅動器加密和委付修復密鑰。

如需詳細資訊,請 參閱如何使用 MBAM 作為 Windows 部署的一部分來啟用 BitLocker

Self-Service 可使用PowerShell或 SSP 自定義精靈來自定義入口網站

從 MBAM 2.5 SP1 開始,可以使用自定義精靈和 PowerShell 來設定 Self-Service 入口網站。 請參閱 如何設定 MBAM 2.5 Web 應用程式

網頁瀏覽器不再以系統管理員的身分無意執行

MBAM 2.5 中的問題導致伺服器組態工具中的說明連結導致瀏覽器視窗以系統管理員許可權開啟。 此問題已在 MBAM 2.5 SP1 中修正。

當 CDN 無法存取時,不再需要下載 JavaScript 檔案來設定 Self-Service 入口網站

在 MBAM 2.5 和更早版本中,如果存取 Self-Service 入口網站的客戶端沒有因特網存取權,則必須事先從 CDN 下載用於設定 Self-Service 入口網站的 jQuery 檔案。 在 MBAM 2.5 SP1 中,所有 JavaScript 檔案都會包含在產品中,因此不需要下載這些檔案。

報表可以在報表產生器 3.0 中開啟

在 MBAM 2.5 SP1 中,報表會更新為最新的報表定義語言架構,讓使用者在報表產生器 3.0 中開啟和自定義報表,並立即儲存報表,而不會損毀報表檔案。

新的 PowerShell Cmdlet

適用於 MBAM 2.5 SP1 的新 PowerShell Cmdlet 可讓您設定和管理不同的 MBAM 功能,包括資料庫、報表和 Web 應用程式。 每個功能都有對應的PowerShell Cmdlet,可用來啟用或停用功能,或取得功能的相關信息。

針對 MBAM 2.5 SP1 實作下列 Cmdlet:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

下列參數會在 MBAM 2.5 SP1 的 Enable-MbamWebApplication 和 Test-MbamWebApplication Cmdlet 中實作:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

如需 Cmdlet 的相關信息,請參閱 MBAM 2.5 安全性考慮Microsoft BitLocker 管理和監視 Cmdlet 說明

MBAM 代理程式偵測簡報模式

MBAM 代理程式可以偵測計算機處於簡報模式的時間,並避免在該時間叫用 MBAM UI。

MBAM 代理程式服務現在已設定為使用延遲啟動

安裝之後,服務現在會將 MBAM 代理程式服務設定為使用延遲啟動,減少啟動 Windows 所需的時間。

鎖定的固定數據磁碟區現在會回報為符合規範

「鎖定的固定數據」磁碟區的合規性計算邏輯已變更,以將磁碟區回報為「符合規範」,但保護裝置狀態和加密狀態為「未知」,且相容性狀態詳細數據為「磁碟區已鎖定」。 先前,鎖定的磁碟區回報為「不符合規範」、「加密」的保護裝置狀態、「未知」的加密狀態,以及「未知錯誤」的合規性狀態詳細數據。

MBAM 2.5 SP1 版本資訊

如需此檔中未包含的詳細資訊和最新新聞,請參閱 MBAM 2.5 SP1 的版本資訊