Planen der Bereitstellung von MBAM 2.5-Clients
Je nachdem, wann Sie die Clientsoftware microsoft BitLocker Administration and Monitoring (MBAM) bereitstellen, können Sie die BitLocker-Laufwerkverschlüsselung auf einem Computer in Ihrer Organisation aktivieren, bevor der Benutzer den Computer erhält oder danach. Sowohl für die eigenständigen MBAM-Topologien als auch für die System Center Configuration Manager-Integrationstopologien müssen Sie Gruppenrichtlinieneinstellungen für MBAM konfigurieren.
Wenn Sie die eigenständige MBAM-Topologie verwenden, wird empfohlen, ein Bereitstellungssystem für Unternehmenssoftware zu verwenden, um die MBAM-Clientsoftware auf Benutzercomputern bereitzustellen.
Wenn Sie MBAM mit der Configuration Manager-Integrationstopologie bereitstellen, können Sie configuration Manager verwenden, um die MBAM-Clientsoftware auf Benutzercomputern bereitzustellen. In Configuration Manager erstellt die MBAM-Installation eine Sammlung von Computern, die MBAM verwalten kann. Diese Sammlung umfasst Arbeitsstationen und Geräte, auf denen kein Trusted Platform Module (TPM) vorhanden ist, aber Windows 8, Windows 8.1 oder Windows 10 ausgeführt wird.
Bereitstellen des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung nach der Computerverteilung an Benutzer
Nach dem Konfigurieren der Gruppenrichtlinie können Sie ein Systemprodukt für die Unternehmenssoftwarebereitstellung wie Microsoft System Center Configuration Manager oder Active Directory Domain Services verwenden, um die Windows Installer-Dateien der MBAM-Clientinstallation auf Zielcomputern bereitzustellen. Zum Bereitstellen des MBAM-Clients können Sie entweder die 32-Bit- oder 64-Bit-MbamClientSetup.exe-Dateien oder MBAMClient.msi-Dateien verwenden, die mit der MBAM-Clientsoftware bereitgestellt werden.
Hinweis
Ab MBAM 2.5 SP1 ist eine separate MSI nicht mehr im MBAM-Produkt enthalten. Sie können die MSI jedoch aus der ausführbaren Datei (.exe) extrahieren, die im Produkt enthalten ist.
Wenn Sie den MBAM-Client bereitstellen, nachdem Sie Computer an Clientcomputer verteilt haben, werden Benutzer aufgefordert, ihren Computer zu verschlüsseln. Diese Aktion ermöglicht ES MBAM, die Daten zu sammeln, einschließlich der PIN und des Kennworts (sofern die Richtlinie dies erfordert), und dann den Verschlüsselungsvorgang zu starten.
Hinweis
Wenn der TPM-Chip noch nicht aktiviert ist, fordert das Gerät den Benutzer auf, den TPM-Chip zu aktivieren und zu initialisieren.
Verwenden des MBAM-Clients zum Aktivieren der BitLocker-Laufwerkverschlüsselung vor der Computerverteilung an Benutzer
In Organisationen, in denen Computer zentral empfangen und konfiguriert werden und computer über einen kompatiblen TPM-Chip verfügen, können Sie den MBAM-Client verwenden, um die BitLocker-Laufwerkverschlüsselung auf jedem Computer zu verwalten, bevor Benutzerdaten darauf geschrieben werden. Der Vorteil dieses Prozesses besteht darin, dass jeder Computer dann konform ist. Diese Methode basiert nicht auf der Endbenutzeraktion, da der Administrator den Computer bereits verschlüsselt hat. Eine wichtige Annahme für dieses Szenario ist, dass die Richtlinie der Organisation ein Windows-Image des Unternehmens installiert, bevor der Computer an den Benutzer übermittelt wird.
Wenn Ihre Organisation den TPM-Chip zum Verschlüsseln von Computern verwenden möchte, fügt der Administrator die TPM-Schutzvorrichtung hinzu, um das Betriebssystemvolume des Computers zu verschlüsseln. Wenn Ihre Organisation den TPM-Chip und eine PIN-Schutzvorrichtung verwenden möchte, verschlüsselt der Administrator das Betriebssystemvolume mit der TPM-Schutzvorrichtung, und benutzer wählen dann eine PIN aus, wenn sie sich zum ersten Mal anmelden. Wenn Sich Ihre Organisation entscheidet, nur die PIN-Schutzvorrichtung zu verwenden, muss der Administrator das Volume nicht zuerst verschlüsseln. Wenn sich Benutzer anmelden, fordert MBAM sie auf, eine PIN oder eine PIN und ein Kennwort anzugeben, die bei einem späteren Neustart des Computers verwendet werden sollen.
Hinweis
Die TPM-Schutzoption erfordert, dass der Administrator die BIOS-Eingabeaufforderung zum Aktivieren und Initialisieren des TPM akzeptiert, bevor der Computer an den Benutzer übermittelt wird.
MBAM-Clientunterstützung für verschlüsselte Festplatten
MBAM unterstützt BitLocker auf verschlüsselten Festplatten, die die TCG-Spezifikationsanforderungen für Opal- und IEEE 1667-Standards erfüllen. Wenn BitLocker auf diesen Geräten aktiviert ist, generiert es Schlüssel und führt Verwaltungsfunktionen auf dem verschlüsselten Laufwerk aus. Weitere Informationen finden Sie unter Verschlüsselte Festplatte.