BitLocker加密是保護桌面敏感數據的一種有效方式，然而在企業中實現微軟BitLocker是一個不小的任務。管理多個系統的加密工作是個復雜的過程，容易令用戶產生困惑和畏懼，導致各種各樣的問題。

微軟的BitLocker Administration and Monitoring（MBAM）旨在改變這一切。該工具簡化了Windows 7和Windows 8電腦（包括Windows To Go客戶端）上的BitLocker管理任務。它還可以幫助桌面管理員增強策略遵從性并減少支持BitLocker用戶所需的資源。

BitLocker是Windows 7旗艦版和企業版、Windows 8企業版和專業版以及其他Windows版本中集成的一項全盤加密技術。BitLocker允許管理員加密Windows系統卷和任何配置狀態的數據卷，以防止非法數據訪問。

MBAM在2011年首次發布，其簡化了BitLocker配置過程并交付BitLocker客戶端合規性報告，簡化了桌面的管理和監控工作。即便如此，MBAM的工作范圍也是有限的。

為了解決這些局限性，微軟發布了MBAM 2.0，為用戶帶來了一個自助服務門戶，提供了改進的執行能力。MBAM 2.0還充分借用Windows 8新的安全特性，現在可集成到系統中心配置管理器。

最近，微軟發布了首個MBAM 2.0服務包，進一步簡化了BitLocker配置和管理。

MBAM 2.0是微軟企業桌面優化套件（MDOP）的一部分。MDOP是用來幫助IT管理員管理和控制Windows桌面環境的一套工具。SA客戶可訂閱MDOP。

了解MBAM組件

你可以把MBAM看作單一的解決方案進行安裝，也可以集成到Configuration Manager 2007或2012。無論哪種方式，組件的拓撲結構是相同的，雖然一些組件的位置不同。

MBAM安裝的核心是管理和監視服務器。Help Desk Portal是一個管理和監控網站，在上面你可以執行一些管理任務。

服務器也有一個自助服務門戶，用戶可以檢索自己的恢復密鑰。此外，監視Web服務運行在該服務器上和客戶端計算機進行交互。

在Configuration Manager安裝中，硬件合規功能是托管在Configuration Manager主站點服務器上，而不是管理和監視服務器。主站點服務器將微軟BitLocker客戶端電腦硬件庫存信息收集到MBAM集合中。

此外，服務器包含了配置基線，可評估這些電腦的合規管理狀態。

MBAM拓撲中另一個重要組件是數據庫服務器，是包含了恢復和審計數據庫的SQL服務器實例。恢復數據庫存儲從MBAM客戶收集來的恢復數據，審計數據庫存儲的是在客戶端電腦訪問恢復數據時收集的動態數據。

數據庫服務器獨立安裝時，也托管客戶端電腦的合規數據以及根據這些數據制作的Reporting Services報告。在Configuration Manager安裝過程中，數據和報告會集成到Configuration Manager環境中。

MBAM還包含了一個管理工作站存放Policy Template。Policy Template是一組組策略設置的集合，可用于定義應用到BitLocker客戶端的MBAM選項。該管理工作站不需要專門的電腦，也可以用來訪問幫助臺門戶。

最后，MBAM拓撲包含BitLocker客戶端本身。每個客戶端是一個配置了MBAM代理的Windows桌面，可將BitLocker組策略設置應用于計算機，并且可以收集恢復和計算機信息，包括加密的磁盤驅動器的相關恢復密鑰。

在我的下一篇技巧文章中，我們將看看如何為Windows BitLocker部署和管理MBAM。