BitLocker Administration and Monitoring

 

ให้อินเตอร์เฟซผู้ดูแลระบบแบบง่ายซึ่งคุณสามารถใช้เพื่อจัดการ BitLocker Drive Encryption คุณกำหนดค่า MBAM Group Policy Templates ซึ่งทำให้คุณสามารถเซ็ตตัวเลือกข้อกำหนดของ BitLocker Drive Encryption ซึ่งเหมาะสำหรับองค์กรของคุณ และใช้มันมอนิเตอร์ไคลเอ้นท์ปฏิบัติตามข้อกำหนดนั้น คุณยังสามารถรีพอร์ตสถานะการเข้ารหัสคอมพิวเตอร์ส่วนบุคคลและเกี่ยวกับองค์กรโดยรวม นอกจากนี้ คุณสามารถเข้าถึงข้อมูลคีย์การกู้คืนเมื่อยูสเซอร์ลืมพินหรือพาสเวิร์ดของพวกเขา หรือเมื่อไบออสหรือบูสเรคคอร์ดเกิดการเปลี่ยนแปลง About MBAM 2.5.

To get the MBAM software, see How Do I Get MDOP (https://go.microsoft.com/fwlink/?LinkId=322049).

Getting Started with MBAM 2.5

About MBAM 2.5|Release Notes for MBAM 2.5|About MBAM 2.5 SP1|Release Notes for MBAM 2.5 SP1|Evaluating MBAM 2.5 in a Test Environment|High-Level Architecture for MBAM 2.5|Accessibility for MBAM 2.5

Planning for MBAM 2.5

Preparing your Environment for MBAM 2.5|MBAM 2.5 Deployment Prerequisites|Planning for MBAM 2.5 Group Policy Requirements|Planning for MBAM 2.5 Groups and Accounts|Planning How to Secure the MBAM Websites|Planning to Deploy MBAM 2.5|MBAM 2.5 Supported Configurations|Planning for MBAM 2.5 High Availability|MBAM 2.5 Security Considerations|MBAM 2.5 Planning Checklist

Deploying MBAM 2.5

Deploying the MBAM 2.5 Server Infrastructure|Deploying MBAM 2.5 Group Policy Objects|Deploying the MBAM 2.5 Client|MBAM 2.5 Deployment Checklist|Upgrading to MBAM 2.5 or MBAM 2.5 SP1 from Previous Versions|Removing MBAM Server Features or Software

Operations for MBAM 2.5

Administering MBAM 2.5 Features|Monitoring and Reporting BitLocker Compliance with MBAM 2.5|Performing BitLocker Management with MBAM 2.5|Maintaining MBAM 2.5|Using Windows PowerShell to Administer MBAM 2.5

Troubleshooting MBAM 2.5

Technical Reference for MBAM 2.5

Client Event Logs|Server Event Logs

More Information

 

เกี่ยวกับ MBAM 2.5

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 ให้อินเตอร์เฟซผู้ดูแลระบบแบบง่ายซึ่งคุณสามารถใช้เพื่อจัดการ BitLocker Drive Encryption BitLocker ช่วยป้องกันข้อมูลได้ดียิ่งขึ้นหรือการเปิดเผยข้อมูลสำหรับคอมพิวเตอร์ที่สูญหายหรือถูกขโมย BitLocker เข้ารหัสข้อมูลทั้งหมดที่จัดเก็บไว้บนระบบปฏิบัติการวินโดว์และไกรฟ์และกำหนดค่าข้อมูล

ภาพรวมของ MBAM

MBAM 2.5 มีคุณลักษณะดังนี้

  • ให้ผู้ดูแลระบบเข้าขั้นตอนของการเข้ารหัสได้อัตโนมัติบนคอมพิวเตอร์ของไคล์เอ้นท์ผ่านองค์กร
  • ช่วยให้เจ้าหน้าที่รักษาความปลอดภัยสามารถตรวจสอบได้อย่างรวดเร็วผ่านการปฏิบัติตามของคอมพิวเตอร์ส่วนบุคคลหรือแม้แต่ในองค์กรเอง
  • จัดทำรายงานแบบรวมศูนย์และการจัดการฮาร์ดแวร์ด้วย Microsoft System Center Configuration Manager
  • ลดเวิร์คโหลดบน Help Desk เพื่อช่วย end users ด้วย BitLocker PIN และการขอ recovery key
  • ช่วยให้ end users เพื่อรีโคฟเวอรี่การเข้ารหัสของเครื่องอย่างอิสระด้วยการใช้ Self-Service Portal
  • ช่วยให้เจ้าหน้าที่รักษาความปลอดภัยตรวจสอบการเข้าถึงอย่างง่ายสู่การกู้คืนข้อมูลสำคัญ
  • Empowers Windows Enterprise ยูสเซอร์เพื่อการทำงานได้ทุกที่ด้วยการประกันว่าข้อมูลองค์กรของพวกเขาจะได้รับการป้องกัน

 

MBAM บังคับใช้ ตัวเลือกนโยบายการเข้ารหัส BitLocker ซึ่งคุณเซตได้เองเพื่อองค์กรของคุณ มอนิเตอร์ปฎิบัต้ตมข้อกำหนดของไคล์เอ้นท์คอมพิวเตอร์นั้น และรีพอร์ตบนสเตตัสการเข้ารหัสของคอมพิวเตอร์ส่วนตัวขององค์กร นอกจากนี้ MBAM ช่วยให้คุณเข้าถึงข้อมูลรีโคฟเวอร์รี่คีย์เมื่อยูสเซอร์ลืมพินหรือรหัสของตนเอง หรือเมื่อไบออสหรือบู้ทรีคอร์ดเปลี่ยนแปลง

ในรายชื่อกลุ่มด้านล่างนี้อาจจะสนใจใช้งาน MBAM เพื่อจัดการ BitLocker

  • Administrators, IT security professionals, และ compliance officers who are responsible for ensuring that confidential data is not disclosed without authorization
  • Administrators who are responsible for computer security in remote or branch offices
  • Administrators who are responsible for client computers that are running Windows

ข้อควรจำ
BitLocker is not explained in detail in this MBAM documentation. For more information, see BitLocker Drive Encryption Overview.

 

MBAM 2.5 มีอะไรใหม่

ส่วนนี้อธิบายถึงคุณลักษณะใหม่ๆใน MBAM 2.5.

รองรับสำหรับ Microsoft SQL Server 2014

MBAM รองรับเพิ่มเติมสำหรับ Microsoft SQL Server 2014 นอกจากนี้ในซอฟท์แวร์เดียวกันที่ซัพพอร์ตเวอร์ชั่นล่าสุดของ MBAM

MBAM Group Policy Templates downloaded separately

MBAM Group Policy Templates ต้องดาวน์โหลดแยกต่างหากจาก MBAM ในเวอร์ชั่นเก่าของ MBAM จะถูกติดตั้งพร้อมกับ MBAM Policy Template ซึ่งมีข้อมูลที่จำเป็นเฉพาะของ MBAM-specific Group Policy Objects (GPOs) กำหนดการตั้งค่าใช้งาน MBAM สำหรับ BitLocker Drive Encryption โดย GPOs นี้จะถูกลบจากตัวติดตั้ง MBAM คุณสามารถดาวน์โหลด GPOs จาก How to Get MDOP Group Policy (.admx) Templates

และก็อปปี้ลงสู่เซิฟเวอร์หรือเวิ้รค์สเตชั่นก่อนที่คุณจะเริ่มติดตั้ง MBAM Client คุณสามารถก็อปปี้ Group Policy Templates สู่เครื่องเซิฟเวอร์หรือเวิร์คสเตชั่นใดๆก็ได้ที่กำลังทำงานและรองรับเวอร์ชั่นของวินโดว์เซิฟเวอร์หรือระบบปฏิบัติการวินโดว์

ข้อสำคัญ
ห้ามเปลี่ยน Group Policy ใน BitLocker Driver Encryption โหนด หรือ MBAM ที่ไม่ทำงานอย่างถูกต้อง เมื่อคุณหำหนดค่า Group Policy ใน MDOP MBAM (BitLocker Management) โหนด MBAM จะกำหนดค่า BitLocker Drive Encryption สำหรับคุณโดยอัตโนมัติ

เทมเพลตไฟล์ที่คุณจำเป็นต้องคัดลอกลงสู่เซิฟเวอร์หรือเวิร์คสเตชั่นมีดังนี้

  • BitLockerManagement.adml
  • BitLockerManagement.admx
  • BitLockerUserManagement.adml
  • BitLockerUserManagement.admx

 

คัดลอกเทมเพลตไฟล์สู่สถานี่ที่ดีที่สุดอย่างที่คุณต้องการ สำหรับภาษาเฉพาะจะต้องัดลอกลงในโฟลเดอร์ภาษาเฉพาะ โดย Group Policy Management Console ต้องการที่จะเข้าถึงไฟล์

  • To install the template files locally on a server or workstation, copy the files to one of the following locations.
    ชนิดของไฟล์ ที่ตั้งไฟล์
    language neutral (.admx) %systemroot%\policyDefinitions
    language specific (.adml) %systemroot%\policyDefinitions[MUIculture] (for example, the U.S. English language specific file will be stored in %systemroot%</em>policyDefinitions\en-us)
  • To make the templates available to all Group Policy administrators in a domain, copy the files to one of the following locations on a domain controller.
    ชนิดของไฟล์ ที่ตั้งไฟล์ควบคุมโดนเมน
    Language neutral (.admx) %systemroot%sysvol\domain\policies\PolicyDefinitions
    Language specific (.adml) %systemroot%\sysvol\domain\policies\PolicyDefinitions[MUIculture] (for example, the U.S. English language-specific file will be stored in %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)

For more information about template files, see Managing Group Policy ADMX Files Step-by-Step Guide.

ความสามารถในการบังคับใช้ข้อกำหนดการเข้ารหัสบนระบบปฏิบัติการและการซ่อมแซมดาต้าไดรฟ์

MBAM 2.5 คุณสามารถบังคับใช้ข้อกำหนดการเข้ารหัสบนระบบปฏิบัติการและการซ่อมแซมดาต้าไดรฟ์สำหรับคอมพิวเตอร์ในองค์กรของคุณและลิมิตตัวเลขของวันซึ่งเอ็นยูสเซอร์สามารถร้องขอเลื่อนข้อกำหนดเพื่อปฏิบัติตามด้วยข้อกำหนด MBAM encryption.

เพื่อให้คุณสามารถกำหนดค่าข้อกำหนดบังคับในการเข้ารหัส การตั้งค่า Group Policy ใหม่ถูกเรียกว่า Encryption Policy Enforcement Settings สามารถเพิ่มระบบปฏิบัติการและซ่อมแซมดาต้าไดรฟ์ ข้อกำหนดนี้สามารถอธิบายได้ตามตารางด้านล่าง

การตั้งค่า Group Policy คำอธิบาย Group Policy node ใช้สำหรับกำหนดค่าการตั้งค่านี้
Encryption Policy Enforcement Settings (Operating System Drive) สำหรับการตั้งค่าใช้ตัวเลือก Configure the number of noncompliance grace period days for operating system drives เพื่อกำหนดช่วงเวลาผ่อนผัน
ระบุช่วงเวลาผ่อนผันเป็นตัวเลขของวันที่เอ็นยูสเซอร์เลื่อนการปฏิบัติตามด้วยข้อกำหนด MBAM เพื่อไดรฟ์ระบบปฏิบัติการหลังจากไดรฟ์ตรวจพบเป็นไม่ปฏิบัติตามกฏหลังจากกำหนดเวลาหมดอายุของการผ่อนผัน ยูสเซอร์จะไม่สามารถเลื่อนการกระทำที่จำเป็นหรือร้องขอการยกเว้นจากมัน

ถ้าปฏิสัมพันธ์ของยูสเซอร์ต้องการ (ตัวอย่าง เมื่อคุณใช้ Trusted Platform Module (TPM) + PIN หรือใช้พาสเวิร์ดป้องกัน) กล่องไดอาล็อคจะปรากฏขึ้นและยูสเซอร์จะไม่สามารถปิดมันได้จนกว่าจะให้ข้อมูลที่ต้องการเสร็จ หากป้องกัน TPM อย่างเดียว การเข้ารหัสจะเริ่มทันทีในแบลคกราวน์โดยไม่ต้องการยูสเซอร์อินพุต

ยูสเซอร์ไม่สามารถได้รับการยกเว้นในการร้องขอผ่าน BitLocker encryption wizard แทนที่พวกเขาจำเป็นต้องติดต่อ Help Desk ของพวกเขาหรือใช้ขั้นตอนใดก็ได้ในองค์กรของเขาเพื่อร้องขอการยกเว้น

Computer Configuration > Policies > Administrative Templates > Windows Components > MDOP MBAM (BitLocker Management) > Operating System Drive
Encryption Policy Enforcement Settings (Fixed Data Drives) สำหรับการตั้งค่า ใช้ตัวเลือก Configure the number of noncompliance grace period days for fixed drives เพื่อกำหนดช่วงเวลาผ่อนผัน
ระบุช่วงเวลาผ่อนผันเป็นตัวเลขของวันที่เอ็นยูสเซอร์เลื่อนการปฏิบัติตามด้วยข้อกำหนด MBAM เพื่อไดรฟ์ระบบปฏิบัติการหลังจากไดรฟ์ตรวจพบเป็นไม่ปฏิบัติตามกฏกำหนดเวลาจะเริ่มเมื่อซ่อมแซมไดรฟ์ตัดสินใจไม่สามารถเข้ากันได้ เมื่อคุณใช้ออโต้อันล็อค ข้อกำหนดจะไม่ถูกบังคบจนกว่าระบบปฏิบัติการจะขัดขืน อย่างไรก็ตาม ถ้าคุณไม่ได้ใช้ออโต้อันล็อค การเข้ารหัสของดาต้าไดรฟ์สามารถเริ่มขึ้นก่อนที่ระบบปฏิบัติการจะทำการเข้ารหัสแบบเต็มรูปแบบ

หลังจากกำหนดเวลาหมดอายุของการผ่อนผัน ยูสเซอร์จะไม่สามารถเลื่อนการกระทำที่จำเป็นหรือร้องขอการยกเว้นจากมัน ถ้าปฏิสัมพันธ์ของยูสเซอร์ต้องการ กล่องไดอาล็อคจะปรากฏขึ้นและยูสเซอร์จะไม่สามารถปิดมันได้จนกว่าจะให้ข้อมูลที่ต้องการเสร็จ

Computer Configuration > Policies > Administrative Templates > Windows Components > MDOP MBAM (BitLocker Management) > Fixed Drive

ความสามารถในการให้บริการ URL ใน BitLocker Drive Encryption wizard เพื่อเจาะจงไปที่นโยบายความปลอดภัยของคุณ

การตั้งค่า Group Policy ใหม่ Provide the URL for the Security Policy link ให้คุณสามารถกำหนด URL ซึ่งจะแสดงสู่เอ็นยูเซอร์เหมือนกับลิงค์ที่ถูกเรียกว่า Company Security Policy. ลิงค์นี้จะปรากฏเมื่อ MBAM พร้อมสำหรับยูสเซอร์เพื่อเข้ารหัสวอลลุ่ม

ถ้าคุณสามารถตั้งค่านโยบาย คุณสามารถกำหนดค่า URL สำหรับลิงค์ Company Security Policy ถ้าคุณปิดการใช้งานหรือไม่กำหนดตั้งค่านโยบาย Company Security Policy ลิงค์จะไม่แสดงสู่ยูสเซอร์

Group Policy ใหม่ตั้งอยู่ที่ GPO node ตามนี้ Computer Configuration > Policies > Administrative Templates > Windows Components > MDOP MBAM (BitLocker Management) > Client Management.

Support for FIPS-compliant recovery keys

MBAM 2.5 รองรับ Federal Information Processing Standard (FIPS)-compliant BitLocker รัโคฟเวอรี่คีย์บนอุปกรณ์ที่รันบนระบนวินโดว์ 8.1 รีโคฟเวอรี่คีย์จะไม่ขัดขืน FIPS ในเวอร์ชั่นล่าสุดของวินโดว์ การเพิ่มประสิทธิภาพนี้ช่วงปรับปรุงกระบวนการกู้คืนของไดรฟ์ในองค์กรซึ่งต้องการไม่ขืน FIPS เพราะสามารถให้เอ็นยูสเซอร์ใช้ the Self-Service Portal หรือ Administration และ Monitoring Website (Help Desk) เพื่อกู้คินไดรฟ์ของพวกเขาถ้าพวกเขาลืมพินรือพาสเวิร์ดหรือออกจากระบบในคอมพิวเตอร์ของพวกเขา การไม่ขืน FPIS ใหม่จะไม่ต่ออายุการป้องกันรหัส

สามารถใช้งาน FIPS ในองค์กรของคุณ โดยกำหนดค่าการตั้งค่า Federal Information Processing Standard (FIPS) Group Policy settings สำหรับการกำหนดค่าโครงสร้าง ดูที่ BitLocker Group Policy Settings.

สำหรับคอมพิวเตอร์ไคลเอ้นท์ที่ใช้วินโดว 8 หรือ 7 โดยไม่ติดตั้ง BitLocker hotfix ITแอดทินจะดำนินการใช้ Data Recovery Agents (DRA) ที่ถูกปกป้องใน FIPS-compliant environments

Support for high availability deployments

MBAM รองรับการใช้งานระดับสูง นอกจากนี้ยังอีกสองเซิฟเวอร์ที่ได้มาตาราฐานสองเซิฟเวอร์และกำหนดค่า

  • SQL Server AlwaysOn availability groups
  • SQL Server clustering
  • Network load balancing (NLB)
  • SQL Server mirroring
  • Volume Shadow Copy Service (VSS) Backup

การจัดการโรลสำหรับแอดมินและมอนิเตอร์เว็บไซด์ที่เปลี่ยนแปลง

ใน MBAM 2.5 คุณจะต้องสร้างกลุ่มรักษาความปลอดภัยใน Active Directory Domain Services (AD DS) เพื่อจัดการโรลที่ให้สิทธิ์ในการเข้าถึง Administration และ Monitoring Website ผู้ใช้โรลต้องเป็นใครที่อยู่ในกลุ่มรักษาความปลอดภัยเฉพาะเพื่อปฏิบัติงานที่แตกต่างในเว็บไซต์เช่น ดูรายงานหรือช่วยเอ็นยูสเซอร์กู้คืนการเข้ารหัสไดรฟ์ ในเวอร์ชั่นก่อนหน้านี้ของ MBAM โรลจะถูกจัดการโดยใช้โลคัลกรุ้ป

ใน MBAM 2.5 คำว่า “บทบาท” จะแทนที่คำว่า “บทบาทของผู้ดูแลระบบ” ที่ถูกใช้ในเวอร์ชั่นล่าสุด นอกจากนี้ MBAM 2.5 บทบาท “MBAM System Administrators” ถูกลบทิ้ง

ในตารางด้านล่างนี้เป็นรายชื่อของกลุ่มรักษาความปลอดภัยซึ่งคุณต้องสร้างใจ AD DS คุณสามารถใช้ชื่ออะไรก็ได้สำหรับกลุ่มรักษาความปลอดภัย

Role สิทธิ์ในการเข้าถึงของ Role บน Administration และ Monitoring Website
MBAM Helpdesk Users ให้การเข้าถึงพื้นที่ของ Manage TPM และ Drive Recovery ของ MBAM Administration และ Monitoring Website ยูสเซอร์ด็ตามที่เข้าถึงขอบเขตนี้ต้องกรอกข้อมูลทุกช่องเมื่อใช้พื้นที่ใดพื้นที่หนึ่ง
MBAM Report Users ให้การเข้าถึงรายงานต่างๆใน Administration และ Monitoring Website.
MBAM Advanced Helpdesk Users ให้การเข้าถึงทุกพื้นที่ใน Administration และ Monitoring Website.เมื่อช่วยเหลือเอ็นยูสเซอร์กู้คืนไดรฟ์ของเขา ยูสเซอร์ในกลุ่มนี้ต้องเข้าสู่รีโคฟเวอรี่คีย์เท่านั้น ไม่ใช่โดเมนของเอ็นยูสเซอร์หรือยูสเซอร์ ถ้ายูสเซอร์คือสามาชิกของ MBAM Helpdesk Users group และ MBAM Advanced Helpdesk Users group กลุ่ม MBAM Advanced Helpdesk Users ได้สิทธิ์แทนที่สิทธิ์ของกลุ่ม MBAM Helpdesk Users

หลังจากที่สร้างกลุ่มรักษาความปลอดภัยใน AD DS กำหนดยูสเซอร์และ/หรือ กลุ่มสู่กลุ่มรักษาความปลอดภัยที่เหมาะสมเพื่อให้สามรถได้ระดับความเข้าถึงที่สอดคล้องกันสู่ Administration และ Monitoring Website เพื่อให้บุคคลที่มีบทบาทสามารถเข้าถึง Administration และ Monitoring Website คุณต้องระบุแต่ละกลุ่มรักษาความปลอดภัยเมื่อคุณกำหนดค่าของ Administration และ Monitoring Website

Windows PowerShell cmdlets สำหรับกำหนดค่า MBAM Server features

Windows PowerShell cmdlets สำหรับ MBAM 2.5 ช่วยให้คุณกำหนดค่าและจัดการฟีแจอร์ MBAM เซิฟเวอร์ แต่ละฟีเจอร์มี Windows PowerShell cmdlet ที่ตรงกันซึ่งคุณสามารถใช้เพื่อเปิดหรือปิดการใช้งานฟีเจอร์ หรือเพื่อรับข้อมูลเกี่ยวกับฟีเจอร์

For prerequisites and prerequisites for using Windows PowerShell, see Configuring MBAM 2.5 Server Features by Using Windows PowerShell.

สำหรับโหลด MBAM 2.5 Help เพื่อ Windows PowerShell cmdlets หลังจากติดตั้ง  MBAM Server software

  1. เปิด Windows PowerShell หรือ Windows PowerShell Integrated Scripting Environment (ISE).
  2. Type Update-Help –Module Microsoft.MBAM.

Windows PowerShell Help สำหรับ MBAM มีอยู่ในรูปแบบต่อไปนี้:

Windows PowerShell Help format ข้อมูลเพิ่มเติม
At a Windows PowerShell command prompt, type Get-Help <cmdlet> To upload the latest Windows PowerShell cmdlets, follow the instructions in the previous section on how to load Windows PowerShell Help for MBAM.
On TechNet as webpages https://go.microsoft.com/fwlink/?LinkId=393498
On the Download Center as a Word .docx file https://go.microsoft.com/fwlink/?LinkId=393497
On the Download Center as a .pdf file https://go.microsoft.com/fwlink/?LinkId=393499

ซัพพอร์ต ASCII เท่านั้นและ PINs ที่เพิ่มขึ้นและความสามารถในการป้องกันลำดับและคาแรคเตอร์ซ้ำ

อนุญาตให้ PINs เพิ่มขึ้นเพื่อเริ่มต้นการตั้งค่า Group Policy

การตั้งค่า Group Policy อนุญาตให้เพิ่ม PINs สำหรับเริ่มต้น ช่วยให้คุณกำหนดค่าการเพิ่ม PINs สำหรับเริ่มต้นที่จะใช้กับ BitLocker PINs เริ่มต้นที่เพิ่มขึ้นช่วยให้ผู้ใช้สามารถป้อนคีย์ใด ๆ บนแป้นพิมพ์แบบเต็มได้ รวมถึง ตัวพิมพ์ใหญ่ พิมพ์เล็ก สัญลักษณ์ ตัวเลขและพื้นที่ ถ้าคุณเปิดใช้ข้อกำหนดนี้ในการเริ่มต้น BitLocker ทั้งหมด

ไม่ใช่ว่าคอมพิวเตอร์ทั้งหมดรองรับการเข้าถึงของการเพิ่ม PINs ใน Pre-Boot Execution Environment (PXE) ก่อนที่คุณจะเปิดใช้การตั้งค่า Group Policy สำหรับองค์กรของคุณ ต้องรันระบบเพื่อเช็คระหว่างที่กำลังอยู่ในขั้นตอนเซ็ตอัพ BitLocker เพื่อทำให้มั่นใจว่าไบออสของคอมพิวเตอร์รองรับการใช้งานแบบฟูลคีย์บอร์ดใน PXE สำหรับข้อมูลเพิ่มเติม ดูได้ที่ Planning for MBAM 2.5 Group Policy Requirements

Require ASCII-only PINs check box

Allow enhanced PINs for startup Group Policy  ยังมี Require ASCII-only PINs check box ถ้าคอมพิวเตอร์ในองค์กรของคุณไม่รองรับการใช้งานฟูลคีย์บอร์ดใน PXE คุณสามารถใช้งาน Allow enhanced PINs for startup การตั้งค่า Group Policy และหลังจากนั้นเลือก Require ASCII-only PINs check box เพื่อร้องความต้องการในการเพิ่ม PINs ที่ใช้ใน ASCII characters

Enforced use of nonsequential and nonrepeating characters

MBAM 2.5 ป้องกันเอ็นยูสเซอร์สร้าง PINs ซึ่งประกอบด้วยเลขซ้ำ เช่น 1111 หรือ การเรียงตัวเลข เช่น 1234 ถ้าเอ็นยูสเซอร์ลองเข้าพาสเวอร์ดซึ่งบรรจุ 3 เลขเนียงหรือเลขซ้ำ BitLocker Drive Encryption wizard จะแสดงข้อความผิดพลาดและป้องกันยูสเซอร์จากการใส่ PIN ด้วย prohibited characters

Addition of DRA Certificate to BitLocker Computer Compliance report

ชนิดการป้องกันแบบใหม่ Data Recovery Agent (DRA) Certificate จะถูกเพิ่มใน BitLocker Computer Compliance Report ที่อยู่ใน Configuration Manager การป้องกันชนิดนี้จะใช้กับไดรฟ์ระบบปฏิบัติการ และปรากฏบน Computer Volume(s) เซคชั่นในคอลลั่ม Protector Types

Support for multi-forest support deployments

MBAM 2.5 รองรับชนิดของ multi-forest deployments ด้านล่าง:

  • Single forest with single domain
  • Single forest with a single tree and multiple domains
  • Single forest with multiple trees and disjoint namespaces
  • Multiple forests in a central forest topology
  • Multiple forests in a resource forest topology

ไม่รองรับฟอเรสท์ไมเกรท (จากเดี่ยวสู่หลากหลาย จากหลากหลายสู่แบบเดียว ทรัพยากรที่เคลื่อนผ่านฟอเรสท์ อื่นๆ) หรืออัพเกรดหรือดาวร์เกรด

ข้อกำหนดเบื้องต้นสำหรับดีพลอย MBAM ใน multi-forest deployments:

  • ฟอเรสท์จะรันบนซัพพอร์ตเวอร์ชั่นของวินโดว์เซิฟเวอร์
  • ทูเวย์หรือวันเวย์ทรัสต์จะถูกร้องขอ วันเวย์ทรัสต์จะร้องขอโดเมนทรัสต์ของเซิฟเวอร์และโดเมนไคลเอ้นท์ สั่นๆคือ สิ่งสำคัญคือโดเมนเซิฟเวอร์บนโดเมนไคลเอ้นท์

MBAM Client support for Encrypted Hard Drives

MBAM รองรับ BitLocker บน Encrypted Hard Drives ที่ตรงตามข้อกำหนดของ TCG สำหรับ Opal เช่นเดียวกับมาตราฐาน IEEE 1667 เมื่อ BitLocker ถูกเปิดใช้งานบนเครื่องนี้ มันจะทำการสร้างคีย์และทำหน้าที่จัดการฟังก์ชั่นบนไดรฟ์ที่เข้ารหัส ข้อมูลเพิ่มเติมดูได้ที่ Encrypted Hard Drive

แผนสำหรับ MBAM 2.5 Client Deployment

ขึ้นอยู่กับเมื่อไหร่ที่คุณดีพลอย Microsoft BitLocker Administration และ Monitoring (MBAM) ไคลเอ้นท์ซอฟต์แวร์ คุณสามารถเปิดใช้งาน BitLocker Drive Encryption บนคอมพิวเตอร์ในองค์กรของคุณก่อนหรือหลังจากที่เอ็นยูสเซอร์จะได้รับคอมพิวเตอร์ สำหรับ MBAM Stand-alone และ the System Center Configuration Manager Integration topologies คุณสามารถกำหนดค่า Group Policy settings สำหรับ MBAM

ถ้าคุณใช้ MBAM Stand-alone topology เราแนะนำให้คุณใช้เอ็นเตอร์ไพรส์ซอฟต์แวร์ดีพลอยซิสเต็มเพื่อดีพลอย MBAM Client software สู่ end-user คอมพิวเตอร์

ถ้าคุณดีพลอย MBAM ด้วย Configuration Manager Integration topology คุณสามารถใช้ Configuration Manager สำหรับดีพลอย MBAM Client software สู่ end-user คอมพิวเตอร์ ใน Configuration Manager การติดตั้ง MBAM จะสร้างคอลเลคชั่นของคอมพิวเตอร์ซึง MBAM สามารถจัดการได้ คอลเลคชั่นนี้รวมถึงเวิร์คสเตชั่นและเครื่องซึ่งไม่มี Trusted Platform Module (TPM) แต่เปิดอยู่บน Windows 8, Windows 8.1, หรือ Windows 10.

หมายเหตุ
Windows To Go ไม่รองรับสำหรับการติดตั้ง Configuration Manager Integration topology เมื่อคุณใช้งาน Configuration Manager 2007.

 

Deploying the MBAM Client to enable BitLocker Drive Encryption after computer distribution to end users

หลังจากที่คุณกำหนคค่า Group Policy คุณสามารถใช้งานซอฟแวร์ดีพลอยสำหรับองค์กรคล้ายกับ Microsoft System Center Configuration Manager หรือ Active Directory Domain Services (AD DS) เพื่อดีพลอยไฟล์Windows Installer ของ MBAM Client installation สู่คอมพิวเตอร์เป้าหมาย สำหรับการดีพลอย MBAM Client คุณสามารถใช้ได้ทั้ง 32-bit or 64-bit MbamClientSetup.exe ไฟล์ หรือ MBAMClient.msi files อันไหนก็ได้ที่รองรับ MBAM Client software

หมายเหตุ
การเริ่มต้นใน MBAM 2.5 SP1 การแยก MSI ไม่รวมถึงผลิตภัณ์ MBAM อย่างไรก็ตาม คุณสามารถดึง MSI จาก executable file (.exe) ซึ่งรวมอยู่ในผลิตภัณฑ์

เมื่อคุณดีพลอย MBAM Client หลังจากที่คุณแบ่งคอมพิวเตอร์สู่ไคลเอ้นท์คอมพิวเตอร์ เอ็นยูสเซอร์ที่พร้อมเข้ารหัสบนคอมพิวเตอร์ของเขา การกระทำนี้จะเปิดใช้งาน MBAM เมื่อรับข้อมูล รวมถึง PIN หรือรหัส (ถ้าต้องการในข้อกำหนด) และจากนั้นจะเริ่มขั้นตอนการเข้ารหัส

หมายเหตุ
ในแนวทางนี้, เอ็นยูสเซอร์ที่มีคอมพิวเตอร์กับ TPM chip จะพร้อมเปิดใช้งานและเริ่มต้น ถ้าชิพไม่ถูกเปิดใช้งานมาก่อนหน้านี้

 

Using the MBAM Client to enable BitLocker Drive Encryption before computer distribution to end users

ในองค์กรที่คอมพิวเตอร์ได้รับและกำหนดค่ากลางมา และที่คอมพิวเตอร์มี TPM ที่รองรับ คุณสามารถใช้ MBAM Client เพื่อจัดการ BitLocker Drive Encryption บนเครื่องคอมพิวเตอร์ใดๆก่อนที่ข้อมูลของยูสเซอรืจะถูกเขียนบนนั้น ประโยนช์ของขั้นตอนจะอยู่ในทุกเครื่องคอมพิวเตอร์และได้การรองรับ วิธีนี้ไม่สามารถรับรองการกระทำของเอ็นยูสเซอร์เพราะผู้ดูแลระบบได้เข้ารหัสคอมพิวเตอร์เรียบร้อยแล้ว คีย์สมมติสำหรับขั้นตอนนี้จะอยู่บนนโยบายขององค์กรที่ได้ทำการติดตั้งไว้ในวินโดว์ขององค์กรก่อนที่คอมพิวเตอร์จะส่งต่อให้เอ็นยูสเซอร์

ถ้าองค์กรของคุณต้องการใช้ TPM เพื่อเข้ารหัสคอมพิวเตอร์ ผู้ดูแลระบบจะเพิ่มการป้องกัน TPM เพื่อเข้ารหัสวอลลุ่มระบบปฏิบัติการของคอมพิวเตอร์ ถ้าองค์กรของคุณต้องการใช้ TPM และ PIN เพื่อป้องกัน ผู้ดูแลระบบจะเข้ารหัสระบบปฏิบัติการด้วยการป้องกัน TPM และหลังจากนั้นเอ็นยูสเซอร์จะเลือก PIN จากการใช้งานครั้งแรก ถ้าองค์กรของคุณตัดสินใจใช้งานแค่ PIN เท่านั้น ผู้ดูแลระบบจะไม่สามารถเข้ารหัสในครั้งแรกได้ เมื่อเอ็นยูสเซอร์ใช้งาน Microsoft BitLocker Administration และ Monitoring จะพร้อมให้พวกเขาใช้ PIN หรือ PIN และรหัสเพื่อใช้งานภายหลังที่คอมพิวเตอร์รีสตาร์ท

หมายเหตุ
ตัวเลือกการป้องกัน TPM ต้องการให้ผู้ดูแลระบบยอมรับความพร้อมของ BIOS เพื่อเปิดใช้งานและเริ่มต้น TPM ก่อนที่คอมพิวเตอร์จะถูกส่งสู่เอ็นยูสเซอร์

 

MBAM Client support for Encrypted Hard Drives

MBAM รองรับ BitLocker บน Encrypted Hard Drives ซึ่งต้องเป็นไปตามความต้องการของ TCG สำหรับ Opal เช่นเดียวกับมาตราฐาน IEEE 1667 เมื่อ BitLocker เปิดใช้งานบนเครื่องนี้ มันจะทำการสร้างคีย์และดำเนินการด้านการจัดการบนไดรฟ์การเข้ารหัส