關於 MBAM 2.5
Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 提供簡化的 BitLocker 磁片磁碟機加密系統管理介面。 BitLocker 為遺失或遭竊的電腦提供增強的保護,以避免資料遭竊或資料暴露。 BitLocker 會加密儲存在 Windows 作業系統磁片區和磁片磁碟機和已設定資料磁片磁碟機上的所有資料。
MBAM 概觀
MBAM 2.5 具有下列功能:
可讓系統管理員將整個企業的用戶端電腦上的磁片區加密程式自動化。
可讓安全人員快速判斷個別電腦或甚至企業本身的合規性狀態。
使用Microsoft System Center Configuration Manager提供集中式報告和硬體管理。
減少技術支援中心上的工作負載,以協助使用者提出 BitLocker PIN 和修復金鑰要求。
可讓終端使用者使用 Self-Service 入口網站,獨立復原加密的裝置。
可讓安全人員輕鬆地稽核存取權,以復原金鑰資訊。
可讓 Windows 企業版使用者繼續在任何地方工作,並保證其公司資料受到保護。
MBAM 會強制執行您為企業設定的 BitLocker 加密原則選項、使用這些原則監視用戶端電腦的合規性,以及報告企業和個人電腦的加密狀態。 此外,當使用者忘記 PIN 或密碼,或其 BIOS 或開機記錄變更時,MBAM 可讓您存取修復金鑰資訊。
下列群組可能有興趣使用 MBAM 來管理 BitLocker:
系統管理員、IT 安全性專業人員,以及負責確保機密資料不會在未經授權的情況下公開的合規性人員
負責遠端或分公司電腦安全性性的系統管理員
負責執行 Windows 之用戶端電腦的系統管理員
注意 本 MBAM 檔未詳細說明 BitLocker。 如需詳細資訊,請參閱 BitLocker 磁片磁碟機加密概觀。
MBAM 2.5 的新功能
本節說明 MBAM 2.5 中的新功能。
支援 2014 Microsoft SQL Server
除了舊版 MBAM 所支援的相同軟體之外,MBAM 還新增對 Microsoft SQL Server 2014 的支援。
個別下載的 MBAM 群組原則範本
MBAM 群組原則範本必須與 MBAM 安裝分開下載。 在舊版的 MBAM 中,MBAM 安裝套裝程式含 MBAM 原則範本,其中包含必要的 MBAM 特定群組原則物件 (GPO) ,可定義 BitLocker 磁片磁碟機加密的 MBAM 實作設定。 這些 GPO 已從 MBAM 安裝程式中移除。 您現在會從如何下載和部署 MDOP 群組原則 (.admx) 範本下載 GPO,並在開始安裝 MBAM 用戶端之前,將它們複製到伺服器或工作站。 您可以將群組原則範本複製到任何執行 Windows Server 或 Windows 作業系統支援版本的伺服器或工作站。
重要請勿變更BitLocker 磁片磁碟機加密節點中的群組原則設定,否則 MBAM 將無法正常運作。 當您在MDOP MBAM (BitLocker Management) 節點中設定群組原則設定時,MBAM 會自動為您設定 BitLocker 磁片磁碟機加密設定。
您需要複製到伺服器或工作站的範本檔案如下:
BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx
將範本檔案複製到最符合您需求的位置。 針對必須複製到語言特定資料夾的語言特定檔案,群組原則管理主控台必須檢視檔案。
若要在伺服器或工作站本機安裝範本檔案,請將檔案複製到下列其中一個位置。
檔案類型 檔案位置 語言中性 (.admx)
%systemroot%\policyDefinitions
語言特定的 (.adml)
%systemroot%\policyDefinitions[MUIculture] (例如,美式英文特定檔案會儲存在 %systemroot% < /em policyDefinitions > \en-us)
若要讓網域中的所有群組原則系統管理員都能使用範本,請將檔案複製到網域控制站上的下列其中一個位置。
檔案類型 網域控制站檔案位置 語言中性 (.admx)
%systemroot%sysvol\domain\policies\PolicyDefinitions
語言特定的 (.adml)
%systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (例如,美國英文特定的檔案會儲存在 %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)
如需範本檔案的詳細資訊,請參閱管理 群組原則 ADMX 檔案逐步指南。
能夠在作業系統和固定資料磁片磁碟機上強制執行加密原則
MBAM 2.5 可讓您對組織中電腦的作業系統和固定資料磁片磁碟機強制執行加密原則,並限制使用者可以要求延遲要求以符合 MBAM 加密原則的天數。
為了讓您設定加密原則強制執行,已為作業系統磁片磁碟機和固定資料磁片磁碟機新增稱為加密原則強制設定的新群組原則設定。 下表說明此原則。
| 群組原則設定 | 描述 | 群組原則用來設定此設定的節點 |
|---|---|---|
(作業系統磁片磁碟機) 的加密原則強制執行設定 |
針對此設定,請使用 [設定 作業系統磁片磁碟機的不相容寬限期天數 ] 選項來設定寬限期。 寬限期會指定使用者在第一次偵測到不相容的磁片磁碟機之後,可以延後其作業系統磁片磁碟機的 MBAM 原則合規性天數。 設定的寬限期到期之後,使用者無法延後必要的動作或要求豁免。 例如,如果您使用信賴平臺模組 ( (TPM) + PIN 或使用密碼保護裝置) ,則會出現對話方塊,且使用者必須提供必要的資訊才能關閉對話方塊。 如果保護裝置僅限 TPM,則會在背景中立即開始加密,而不需要使用者輸入。 使用者無法透過 BitLocker 加密精靈要求豁免。 相反地,他們必須連絡其技術支援中心,或使用其組織用於豁免要求的任何程式。 |
電腦設定 > 原則 > 系統管理 > 範本 Windows 元件 > MDOP MBAM (BitLocker 管理) > 作業系統磁片磁碟機 |
固定資料磁片磁碟機 (加密原則強制執行設定) |
針對此設定,請使用 [設定 固定磁片磁碟機的不相容寬限期天數 ] 選項來設定寬限期。 寬限期會指定使用者在第一次偵測到不相容的磁片磁碟機之後,可以延後其固定磁片磁碟機的 MBAM 原則合規性天數。 當固定磁片磁碟機判斷為不符合規範時,就會開始寬限期。 如果您使用自動解除鎖定,在作業系統磁片磁碟機符合規範之前,將不會強制執行原則。 不過,如果您不是使用自動解除鎖定,則在作業系統磁片磁碟機完全加密之前,可以先開始加密固定資料磁片磁碟機。 設定的寬限期到期之後,使用者無法延後必要的動作或要求豁免。 如果需要使用者互動,對話方塊隨即出現,且使用者必須提供必要的資訊才能關閉對話方塊。 |
電腦設定 > 原則 > 系統管理範本 > Windows 元件 > MDOP MBAM (BitLocker 管理) > 固定磁片磁碟機 |
能夠在 BitLocker 磁片磁碟機加密精靈中提供 URL,以指向您的安全性原則
新的群組原則設定 [提供安全性原則連結的 URL] 可讓您設定 URL,以稱為公司安全策略的連結呈現給使用者。 當 MBAM 提示使用者加密磁片區時,將會出現此連結。
如果啟用此原則設定,您可以設定 [公司安全 策略] 連結的 URL。 如果停用或未設定此原則設定,則不會向使用者顯示 [公司安全 策略] 連結。
新的群組原則設定位於下列 GPO 節點:電腦> 設定原則>系統管理> 範本Windows 元件>MDOP MBAM (BitLocker 管理) > 用戶端管理。
支援符合 FIPS 規範的修復金鑰
MBAM 2.5 支援執行 Windows 8.1 作業系統之裝置上的聯邦資訊處理標準 (FIPS) 相容的 BitLocker 修復金鑰。 在舊版 Windows 中,修復金鑰不符合 FIPS 規範。 這項增強功能可改善需要 FIPS 合規性的組織中的磁片磁碟機復原程式,因為其可讓終端使用者使用 Self-Service 入口網站或管理及監視網站 (技術支援中心) 在忘記 PIN 或密碼或被鎖在電腦外時復原其磁片磁碟機。 新的 FIPS 合規性功能不會延伸到密碼保護裝置。
若要在您的組織中啟用 FIPS 合規性,您必須設定聯邦資訊處理標準 (FIPS) 群組原則設定。 如需設定指示,請參閱BitLocker 群組原則設定。
針對執行Windows 8或 Windows 7 作業系統但未安裝 BitLocker Hotfix的用戶端電腦,IT 系統管理員會在符合 FIPS 規範的環境中繼續使用 Data Recovery Agents (DRA) 保護裝置。 如需 DRA 的相關資訊,請 參閱搭配 BitLocker 使用資料復原代理程式。
請參閱Hotfix Package 2 for BitLocker Administration and Monitoring 2.5以下載並安裝適用于 Windows 7 和 Windows 8 電腦的 BitLocker Hotfix。
支援高可用性部署
除了標準的雙伺服器和Configuration Manager整合拓撲之外,MBAM 還支援下列高可用性案例:
SQL Server AlwaysOn 可用性群組
SQL Server叢集
網路負載平衡 (NLB)
SQL Server鏡像
磁片區陰影複製服務 (VSS) 備份
如需這些功能的詳細資訊,請參閱 規劃 MBAM 2.5 高可用性。
管理及監視網站的角色管理已變更
在 MBAM 2.5 中,您必須在 Active Directory 網域服務 (AD DS) 中建立安全性群組,以管理提供系統管理與監視網站存取權限的角色。 角色可讓位於特定安全性群組中的使用者在網站中執行不同的工作,例如檢視報表或協助終端使用者復原加密的磁片磁碟機。 在舊版的 MBAM 中,角色是使用本機群組來管理。
在 MBAM 2.5 中,「角色」一詞會取代舊版 MBAM 中使用的「系統管理員角色」一詞。 此外,在 MBAM 2.5 中,已移除「MBAM 系統管理員」角色。
下表列出您必須在 AD DS 中建立的安全性群組。 您可以使用安全性群組的任何名稱。
| 角色 | 管理與監視網站上此角色的存取權限 |
|---|---|
MBAM 技術服務人員使用者 |
提供 MBAM Administration and Monitoring Website 的 [管理 TPM 和磁片磁碟機復原] 區域的存取權。 可存取這些區域的使用者在使用任一區域時,必須填入所有欄位。 |
MBAM 報表使用者 |
提供系統管理與監視網站中報告的存取權。 |
MBAM 進階技術服務人員使用者 |
提供管理與監視網站中所有區域的存取權。 在協助終端使用者復原磁片磁碟機時,此群組中的使用者必須只輸入修復金鑰,而非使用者的網域和使用者名稱。 如果使用者是 MBAM Helpdesk Users 群組和 MBAM 進階技術服務人員使用者群組的成員,則 MBAM 進階技術服務人員使用者群組許可權會覆寫 MBAM 服務台使用者群組許可權。 |
在 AD DS 中建立安全性群組之後,請將使用者和/或群組指派給適當的安全性群組,以啟用對應的系統管理和監視網站存取層級。 若要讓具有每個角色的個人存取 Administration and Monitoring Website,您也必須在設定 Administration and Monitoring Website 時指定每個安全性群組。
Windows PowerShell Cmdlet 來設定 MBAM 伺服器功能
Windows PowerShell MBAM 2.5 的 Cmdlet 可讓您設定和管理 MBAM 伺服器功能。 每個功能都有對應的Windows PowerShell Cmdlet,可用來啟用或停用功能,或取得功能的相關資訊。
如需使用 Windows PowerShell 的必要條件和必要條件,請參閱使用 Windows PowerShell 設定 MBAM 2.5 伺服器功能。
安裝 MBAM 伺服器軟體之後載入 MBAM 2.5 說明以Windows PowerShell Cmdlet
開啟 Windows PowerShell 或 Windows PowerShell 整合式腳本環境 (ISE) 。
輸入Update-Help –Module Microsoft。MBAM。
Windows PowerShell MBAM 的說明提供下列格式:
| Windows PowerShell說明格式 | 其他資訊 |
|---|---|
在Windows PowerShell命令提示字元中,輸入Get-Help<Cmdlet> |
若要上傳最新的 Windows PowerShell Cmdlet,請遵循上一節中有關如何載入 MBAM Windows PowerShell說明的指示。 |
在 TechNet 上作為網頁 |
|
在下載中心做為 Word .docx檔案 |
|
在下載中心作為.pdf檔案 |
支援僅限 ASCII 且增強的 PIN,以及防止循序和重複字元的能力
允許增強型 PIN 以進行啟動群組原則設定
群組原則設定 [允許增強的 PIN 啟動] 可讓您設定是否要搭配 BitLocker 使用增強型啟動 PIN。 增強的啟動 PIN 允許使用者在完整鍵盤上輸入任何按鍵,包括大寫和小寫字母、符號、數位和空格。 如果您啟用此原則設定,所有已設定的新 BitLocker 啟動 PIN 都會增強 PIN。 如果您停用或未設定此原則設定,則無法使用增強型 PIN。
並非所有電腦都支援在開機前執行環境中輸入增強型 PIN (PXE) 。 在您為組織啟用此群組原則設定之前,請在 BitLocker 安裝程式期間執行系統檢查,以確保電腦的 BIOS 支援在 PXE 中使用完整的鍵盤。 如需詳細資訊,請參閱規劃 MBAM 2.5 群組原則需求。
[需要僅限 ASCII 的 PIN] 核取方塊
[允許增強的 PIN 以啟動群組原則設定也包含[僅限 ASCII 的PIN] 核取方塊。 如果您組織中的電腦不支援在 PXE 中使用完整的鍵盤,您可以啟用 [允許增強的 PIN 啟動群組原則設定,然後選取[需要僅限 ASCII 的 PIN] 核取方塊,要求增強型 PIN 只使用可列印的 ASCII 字元。
強制使用非循序和非複寫字元
MBAM 2.5 可防止終端使用者建立由重複數位 (組成的 PIN,例如 1111) 或循序數位, (例如 1234) 。 如果終端使用者嘗試輸入包含三個或多個重複或循序數位的密碼,Bitlocker 磁片磁碟機加密精靈會顯示錯誤訊息,並防止使用者輸入具有禁止字元的 PIN。
將 DRA 憑證新增至 BitLocker 電腦合規性報告
新的保護裝置類型 Data Recovery Agent (DRA) 憑證已新增至 Configuration Manager 中的 BitLocker 電腦合規性報告。 此保護裝置類型適用于作業系統磁片磁碟機,而且會出現在 [保護裝置類型] 資料行的 [電腦磁片區 () 區段中。
支援多樹系支援部署
MBAM 2.5 支援下列類型的多樹系部署:
具有單一網域的單一樹系
具有單一樹狀結構和多個網域的單一樹系
具有多個樹狀結構和脫離命名空間的單一樹系
中央樹系拓撲中的多個樹系
資源樹系拓撲中的多個樹系
不支援樹系移轉 (從單一移轉到多個、多個移轉到單一、資源移轉到整個樹系) ,或升級或降級。
在多樹系部署中部署 MBAM 的必要條件如下:
樹系必須在支援的 Windows Server 版本上執行。
需要雙向或單向信任。 單向信任需要伺服器的網域信任用戶端的網域。 換句話說,伺服器的網域會指向用戶端的網域。
加密硬碟的 MBAM 用戶端支援
MBAM 支援加密硬碟上的 BitLocker,其符合 Opal 的 TCG 規格需求以及 IEEE 1667 標準。 在這些裝置上啟用 BitLocker 時,它會產生金鑰,並在加密的磁片磁碟機上執行管理功能。 如需詳細資訊,請參閱 加密硬碟 。
如何取得 MDOP 技術
MBAM 是 Microsoft Desktop Optimization Pack (MDOP) 的一部分。 MDOP 是Microsoft軟體保證計畫的一部分。 如需Microsoft軟體保證計畫以及如何取得 MDOP 的詳細資訊,請參閱如何取得 MDOP?。
MBAM 2.5 版本資訊
如需此檔中未包含的詳細資訊和最新新聞,請參閱 MBAM 2.5 的版本資訊。
有 MBAM 的建議嗎?
- 在這裡傳送 您的意見反應。
- 針對 MBAM 問題,請使用 MBAM TechNet 論壇。