Share via

Allgemeine Architektur von MBAM 2.5 mit Configuration Manager Integrationstopologie

  • Artikel

In diesem Artikel wird die empfohlene Architektur für die Bereitstellung Microsoft BitLocker Administration and Monitoring (MBAM) mit der Configuration Manager Integrationstopologie beschrieben. Diese Topologie integriert MBAM in System Center Configuration Manager. Informationen zum Bereitstellen von MBAM mit der eigenständigen Topologie finden Sie unter Allgemeine Architektur von MBAM 2.5 mit eigenständiger Topologie.

Eine Liste der unterstützten Versionen der in diesem Artikel erwähnten Software finden Sie unter MbaM 2.5 Unterstützte Konfigurationen.

Wichtig

Windows To Go wird für die Installation der Configuration Manager-Integrationstopologie nicht unterstützt, wenn Sie Configuration Manager 2007 verwenden.

Die empfohlene Anzahl von Servern und die unterstützte Anzahl von Clients in einer Produktionsumgebung lautet wie folgt:

Empfohlene Architektur Details

Anzahl von Servern und anderen Computern

Drei Server

Eine Arbeitsstation

Anzahl der unterstützten Clientcomputer

500,000

Unterschiede zwischen Configuration Manager Integration und eigenständigen Topologien

Die Hauptunterschiede zwischen den Topologien sind:

  • Die Compliance- und Berichterstellungsfeatures werden aus MBAM entfernt und von Configuration Manager aus aufgerufen.

  • Berichte werden über die Configuration Manager Management Console angezeigt, mit Ausnahme des Wiederherstellungsüberwachungsberichts, den Sie weiterhin auf der MBAM Administration and Monitoring-Website anzeigen.

Im folgenden Diagramm und in der folgenden Tabelle wird die empfohlene allgemeine Architektur für MBAM mit der Configuration Manager Integrationstopologie beschrieben. MBAM-Bereitstellungen mit mehreren Gesamtstrukturen erfordern eine unidirektionale oder bidirektionale Vertrauensstellung. Unidirektionale Vertrauensstellungen erfordern, dass die Serverdomäne der Clientdomäne vertraut.

mbam2-5.

Datenbankserver

Wiederherstellungsdatenbank

Dieses Feature wird auf einem Computer unter Windows Server konfiguriert und SQL Server-Instanz unterstützt.

Die Wiederherstellungsdatenbank speichert Wiederherstellungsdaten, die von MBAM-Clientcomputern gesammelt werden.

Überwachungsdatenbank

Dieses Feature wird auf einem Computer unter Windows Server konfiguriert und SQL Server-Instanz unterstützt.

Die Überwachungsdatenbank speichert Überwachungsaktivitätsdaten, die von Clientcomputern gesammelt werden, die auf Wiederherstellungsdaten zugegriffen haben.

Berichte

Dieses Feature wird auf einem Computer unter Windows Server konfiguriert und SQL Server-Instanz unterstützt.

Die Berichte enthalten Wiederherstellungsüberwachungsdaten für die Clientcomputer in Ihrem Unternehmen. Sie können Berichte über die Configuration Manager-Konsole oder direkt über SQL Server Reporting Services anzeigen.

Configuration Manager primären Standortserver

System Center Configuration Manager-Integrationsfeature

  • Dieses Feature wird auf dem Configuration Manager primären Standortserver konfiguriert, dem Server der obersten Ebene in Ihrer Configuration Manager-Infrastruktur.

  • Der Configuration Manager Server sammelt die Hardwareinventurinformationen von Clientcomputern und wird verwendet, um die BitLocker-Kompatibilität von Clientcomputern zu melden.

  • Wenn Sie den Microsoft Assistenten zum Einrichten der BitLocker-Verwaltung und -Überwachung ausführen, um die Serversoftware zu installieren, werden die Sammlung MBAM Supported Computers, die Konfigurationsbaseline und die Berichte auf dem Configuration Manager primären Standortserver konfiguriert.

  • Die Configuration Manager-Konsole muss auf demselben Computer installiert sein, auf dem Sie die MBAM-Serversoftware installieren.

Verwaltungs- und Überwachungsserver

Verwaltungs- und Überwachungswebsite

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Die Verwaltungs- und Überwachungswebsite wird für Folgendes verwendet:

  • Helfen Sie Endbenutzern, den Zugriff auf ihre Computer wieder zu erhalten, wenn sie gesperrt sind. (Dieser Bereich der Website wird häufig als Helpdesk bezeichnet.)

  • Zeigen Sie den Wiederherstellungsüberwachungsbericht an, in dem die Wiederherstellungsaktivität für Clientcomputer angezeigt wird. Andere Berichte werden über die Configuration Manager-Konsole angezeigt.

Self-Service-Portal

Dieses Feature wird auf einem Computer konfiguriert, auf dem Windows Server ausgeführt wird.

Das Self-Service-Portal ist eine Website, die es Endbenutzern auf Clientcomputern ermöglicht, sich unabhängig bei einer Website anzumelden, um einen Wiederherstellungsschlüssel zu erhalten, wenn sie ihr BitLocker-Kennwort verlieren oder vergessen.

Überwachung von Webdiensten für diese Website

Dieses Feature wird auf einem Computer installiert, auf dem Windows Server ausgeführt wird.

Die Überwachungswebdienste werden vom MBAM-Client und den Websites für die Kommunikation mit der Datenbank verwendet.

Wichtig

Der Überwachungswebdienst ist in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 nicht mehr verfügbar, da die MBAM-Websites direkt mit der Wiederherstellungsdatenbank kommunizieren.

Verwaltungsarbeitsstation

MBAM-Gruppenrichtlinienvorlagen

  • Die MBAM-Gruppenrichtlinie-Vorlagen sind Gruppenrichtlinie Einstellungen, die Implementierungseinstellungen für MBAM definieren, mit denen Sie die BitLocker-Laufwerkverschlüsselung verwalten können.

  • Bevor Sie MBAM ausführen, müssen Sie die Gruppenrichtlinie-Vorlagen unter Herunterladen und Bereitstellen von MDOP-Gruppenrichtlinie-Vorlagen (ADMX) herunterladen und auf einen Server oder eine Arbeitsstation kopieren, auf dem ein unterstütztes Windows Server- oder Windows-Betriebssystem ausgeführt wird.

    Hinweis

    Die Arbeitsstation muss kein dedizierter Computer sein.

MBAM-Client und Configuration Manager Clientcomputer

MBAM-Clientsoftware

Der MBAM-Client:

  • Verwendet Gruppenrichtlinie Objects, um die BitLocker-Laufwerkverschlüsselung auf Clientcomputern im Unternehmen zu erzwingen.

  • Erfasst den BitLocker-Wiederherstellungsschlüssel für drei Datentypen: Betriebssystemlaufwerke, Festplattenlaufwerke und USB-Wechseldatenträger.

  • Sammelt Wiederherstellungs- und Computerinformationen zu den Clientcomputern.

Konfigurations-Manager – Client

Der Configuration Manager-Client ermöglicht es Configuration Manager, Hardwarekompatibilitätsdaten zu den Clientcomputern zu sammeln und Konformitätsinformationen zu melden.

Unterschiede bei der MBAM-Bereitstellung für unterstützte Configuration Manager-Versionen

Wenn Sie MBAM mit der Configuration Manager Integrationstopologie bereitstellen, können Sie MBAM auf einem primären Standortserver installieren. Die MBAM-Installation funktioniert jedoch für System Center 2012 Configuration Manager und Configuration Manager 2007 anders.

Configuration Manager Version Beschreibung

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Wenn Sie MBAM auf einem primären Standortserver oder auf einem Server der zentralen Verwaltung installieren, führt MBAM alle Installationsaktionen auf diesem Standortserver aus.

Configuration Manager 2007 R2

Configuration Manager 2007

Wenn Sie MBAM auf einem primären Standortserver installieren, der Teil einer größeren Configuration Manager Hierarchie mit einem übergeordneten Zentralen Standortserver ist, identifiziert MBAM den übergeordneten Server des zentralen Standorts und führt alle Installationsaktionen auf diesem übergeordneten Server aus. Die Installation umfasst die Überprüfung der erforderlichen Komponenten und die Installation der Configuration Manager Objekte und Berichte.

Wenn Sie beispielsweise MBAM auf einem primären Standortserver installieren, der ein untergeordnetes Element eines übergeordneten Zentralen Standortservers ist, installiert MBAM alle Configuration Manager Objekte und Berichte auf dem übergeordneten Server. Wenn Sie MBAM auf dem übergeordneten Server installieren, führt MBAM alle Installationsaktionen auf diesem übergeordneten Server aus.

Funktionsweise von MBAM mit Configuration Manager

Die Integration von MBAM in Configuration Manager basiert auf einem Konfigurationspaket, das die in der folgenden Tabelle beschriebenen Elemente installiert.

In Configuration Manager installierte Elemente Beschreibung

Konfigurationsdaten

Die Konfigurationsdaten installieren eine Konfigurationsbaseline namens "BitLocker-Schutz", die zwei Konfigurationselemente enthält:

  • BitLocker-Betriebssystemlaufwerkschutz

  • Schutz von BitLocker-Festplattenlaufwerken

Die Konfigurationsbaseline wird in der MBAM Supported Computers-Sammlung bereitgestellt, die ebenfalls erstellt wird, wenn MBAM installiert wird.

Die beiden Konfigurationselemente bilden die Grundlage für die Auswertung des Konformitätsstatus der Clientcomputer. Diese Informationen werden in Configuration Manager erfasst, gespeichert und ausgewertet.

Die Konfigurationselemente basieren auf den Konformitätsanforderungen für Betriebssystemlaufwerke und Festplattenlaufwerke. Die erforderlichen Details für die bereitgestellten Computer werden gesammelt, damit die Konformität für diese Laufwerktypen ausgewertet werden kann.

Standardmäßig wertet die Konfigurationsbaseline den Konformitätsstatus alle 12 Stunden aus und sendet die Konformitätsdaten an Configuration Manager.

MBAM Supported Computers-Sammlung

MBAM erstellt eine Sammlung namens MBAM Supported Computers. Die Konfigurationsbaseline richtet sich an Clientcomputer, die sich in dieser Sammlung befinden.

Dies ist eine dynamische Auflistung. Standardmäßig wird sie alle 12 Stunden ausgeführt und wertet die Mitgliedschaft anhand von drei Kriterien aus:

  • Der Computer ist eine unterstützte Version des Windows-Betriebssystems.

  • Der Computer ist ein physischer Computer. Virtuelle Computer werden nicht unterstützt.

  • Der Computer verfügt über ein trusted Platform Module (TPM), das verfügbar ist. Für Windows 7 ist eine kompatible Version von TPM 1.2 oder höher erforderlich. Windows 11, Windows 10, Windows 8.1, Windows 8 und Windows To Go erfordern kein TPM.

Die Sammlung wird für alle Computer ausgewertet und eine Teilmenge kompatibler Computer erstellt, die die Grundlage für die Konformitätsbewertung und -berichterstellung für die MBAM-Integration bildet.

Berichte

Wenn Sie MBAM mit der Configuration Manager Integrationstopologie konfigurieren, zeigen Sie alle Berichte in Configuration Manager an, mit Ausnahme des Wiederherstellungsüberwachungsberichts, den Sie weiterhin auf der MBAM Administration and Monitoring-Website anzeigen. In Configuration Manager sind folgende Berichte verfügbar:

Bericht Beschreibung

BitLocker Enterprise Compliance-Dashboard

Bietet IT-Administratoren drei Ansichten von Informationen in einem einzigen Bericht: Verteilung des Konformitätsstatus, Nicht konform – Fehlerverteilung und Verteilung des Konformitätsstatus nach Laufwerktyp. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren durch die Daten klicken und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.

BitLocker Enterprise Compliancedetails

Ermöglicht IT-Administratoren das Anzeigen von Informationen zum BitLocker-Verschlüsselungskonformitätsstatus des Unternehmens und enthält den Konformitätsstatus für jeden Computer. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren durch die Daten klicken und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.

BitLocker-Computerkonformität

Ermöglicht IT-Administratoren, einen einzelnen Computer anzuzeigen und zu bestimmen, warum er mit dem Status "Konform" oder "Nicht konform" gemeldet wurde. Der Bericht zeigt auch den Verschlüsselungsstatus der Betriebssystemlaufwerke und Festplattenlaufwerke an.

BitLocker Enterprise Compliancezusammenfassung

Ermöglicht IT-Administratoren das Anzeigen des Status der MBAM-Richtlinienkonformität im Unternehmen. Der Status jedes Computers wird ausgewertet, und der Bericht zeigt eine Zusammenfassung der Konformität aller Computer im Unternehmen mit der Richtlinie an. Mithilfe von Drilldownoptionen für den Bericht können IT-Administratoren durch die Daten klicken und eine Liste der Computer anzeigen, die dem ausgewählten Zustand entsprechen.

 

Erste Schritte mit MBAM 2.5

High-Level-Architektur von MBAM 2.5 mit eigenständiger Topologie

Beschreibung der Funktionen einer MBAM 2.5-Bereitstellung

Haben Sie einen Vorschlag für MBAM?

Verwenden Sie für MBAM-Probleme das MBAM TechNet-Forum.