BitLocker加密是保护桌面敏感数据的一种有效方式，然而在企业中实现微软BitLocker是一个不小的任务。管理多个系统的加密工作是个复杂的过程，容易令用户产生困惑和畏惧，导致各种各样的问题。

微软的BitLocker Administration and Monitoring（MBAM）旨在改变这一切。该工具简化了Windows 7和Windows 8电脑（包括Windows To Go客户端）上的BitLocker管理任务。它还可以帮助桌面管理员增强策略遵从性并减少支持BitLocker用户所需的资源。

BitLocker是Windows 7旗舰版和企业版、Windows 8企业版和专业版以及其他Windows版本中集成的一项全盘加密技术。BitLocker允许管理员加密Windows系统卷和任何配置状态的数据卷，以防止非法数据访问。

MBAM在2011年首次发布，其简化了BitLocker配置过程并交付BitLocker客户端合规性报告，简化了桌面的管理和监控工作。即便如此，MBAM的工作范围也是有限的。

为了解决这些局限性，微软发布了MBAM 2.0，为用户带来了一个自助服务门户，提供了改进的执行能力。MBAM 2.0还充分借用Windows 8新的安全特性，现在可集成到系统中心配置管理器。

最近，微软发布了首个MBAM 2.0服务包，进一步简化了BitLocker配置和管理。

MBAM 2.0是微软企业桌面优化套件（MDOP）的一部分。MDOP是用来帮助IT管理员管理和控制Windows桌面环境的一套工具。SA客户可订阅MDOP。

了解MBAM组件

你可以把MBAM看作单一的解决方案进行安装，也可以集成到Configuration Manager 2007或2012。无论哪种方式，组件的拓扑结构是相同的，虽然一些组件的位置不同。

MBAM安装的核心是管理和监视服务器。Help Desk Portal是一个管理和监控网站，在上面你可以执行一些管理任务。

服务器也有一个自助服务门户，用户可以检索自己的恢复密钥。此外，监视Web服务运行在该服务器上和客户端计算机进行交互。

在Configuration Manager安装中，硬件合规功能是托管在Configuration Manager主站点服务器上，而不是管理和监视服务器。主站点服务器将微软BitLocker客户端电脑硬件库存信息收集到MBAM集合中。

此外，服务器包含了配置基线，可评估这些电脑的合规管理状态。

MBAM拓扑中另一个重要组件是数据库服务器，是包含了恢复和审计数据库的SQL服务器实例。恢复数据库存储从MBAM客户收集来的恢复数据，审计数据库存储的是在客户端电脑访问恢复数据时收集的动态数据。

数据库服务器独立安装时，也托管客户端电脑的合规数据以及根据这些数据制作的Reporting Services报告。在Configuration Manager安装过程中，数据和报告会集成到Configuration Manager环境中。

MBAM还包含了一个管理工作站存放Policy Template。Policy Template是一组组策略设置的集合，可用于定义应用到BitLocker客户端的MBAM选项。该管理工作站不需要专门的电脑，也可以用来访问帮助台门户。

最后，MBAM拓扑包含BitLocker客户端本身。每个客户端是一个配置了MBAM代理的Windows桌面，可将BitLocker组策略设置应用于计算机，并且可以收集恢复和计算机信息，包括加密的磁盘驱动器的相关恢复密钥。

在我的下一篇技巧文章中，我们将看看如何为Windows BitLocker部署和管理MBAM。