Partager via

Architecture globale de MBAM 2.5 avec la topologie Intégration Configuration Manager

  • Article

Mis à jour: mai 2014

S'applique à: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Cette rubrique décrit l'architecture recommandée pour le déploiement de Microsoft BitLocker Administration and Monitoring (MBAM) avec la topologie Intégration Configuration Manager. Cette topologie intègre MBAM à System Center Configuration Manager. Pour déployer MBAM avec la topologie autonome, consultez Architecture globale de MBAM 2.5 avec la topologie autonome.

Pour obtenir la liste des versions prises en charge des logiciels mentionnés dans cette rubrique, consultez Configurations prises en charge par MBAM 2.5.

Important

Windows To Go n'est pas pris en charge dans la topologie Intégration Configuration Manager lorsque vous utilisez Configuration Manager 2007.

Nombre recommandé de serveurs et de clients pris en charge

Le nombre recommandé de serveurs et de clients pris en charge dans un environnement de production est le suivant :

Architecture recommandée Détails

Nombre de serveurs et autres ordinateurs

Trois serveurs

Une station de travail

Nombre d'ordinateurs clients pris en charge

500,000

Différences entre la topologie Intégration Configuration Manager et la topologie autonome

Les principales différences entre ces topologies sont les suivantes :

  • Les composants de conformité et de création de rapports sont supprimés de MBAM et accessibles depuis Configuration Manager.

  • Les rapports sont affichés depuis la Console de gestion de Configuration Manager, à l'exception du rapport d'audit de récupération que vous pouvez continuer de visualiser depuis le site Web d'administration et de surveillance de MBAM.

Architecture globale de MBAM recommandée avec la topologie Intégration Configuration Manager

Le diagramme et la table suivants décrivent l'architecture globale recommandée pour MBAM avec la topologie d'intégration de Configuration Manager. Les déploiements multi-forêt de MBAM requièrent une approbation à sens unique ou bidirectionnelle. Les approbations à sens unique exigent que le domaine du serveur approuve le domaine du client.

MBAM2_5

Serveur Composants à configurer sur ce serveur Description 

Serveur de base de données

Base de données de récupération

Ce composant est configuré sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

La base de données de récupération stocke les données de récupération collectées sur des ordinateurs clients MBAM.

Base de données d'audit

Ce composant est configuré sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

La base de données d'audit stocke les données d'activité d'audit collectées sur des ordinateurs clients qui ont accédé à des données de récupération.

Rapports

Ce composant est configuré sur un ordinateur exécutant Windows Server et une instance SQL Server prise en charge.

Les rapports fournissent des données d'audit de récupération pour les ordinateurs clients de votre entreprise. Vous pouvez afficher les rapports depuis la console Configuration Manager ou directement depuis SQL Server Reporting Services.

Serveur de site principal Configuration Manager

Composant Intégration System Center Configuration Manager
  • Ce composant est configuré sur le serveur de site principal Configuration Manager qui est le serveur de premier niveau dans votre infrastructure Configuration Manager.

  • Le serveur Configuration Manager collecte les informations d'inventaire matériel sur des ordinateurs clients et est utilisé pour les rapports de conformité BitLocker d'ordinateurs clients.

  • Lorsque vous exécutez l'Assistant d'installation de Microsoft BitLocker Administration and Monitoring pour installer le logiciel serveur, la collection Ordinateurs pris en charge par MBAM, la configuration de base et les rapports sont configurés sur le serveur de site principal Configuration Manager.

  • La console Configuration Manager doit être installée sur le même ordinateur que le logiciel serveur MBAM.

Serveur d'administration et de surveillance

Site web d'administration et de surveillance

Ce composant est configuré sur un ordinateur exécutant Windows Server.

Le site Web d'administration et de surveillance est utilisé pour :

  • Aider les utilisateurs finaux à récupérer l'accès à leur ordinateur lorsque leur accès est verrouillé. (Cette zone du site Web est généralement appelée Support technique.)

  • Afficher le rapport d'audit de récupération qui indique l'activité de récupération des ordinateurs clients. Les autres rapports sont affichés depuis la console Configuration Manager.

Portail libre-service

Ce composant est configuré sur un ordinateur exécutant Windows Server.

Le portail libre-service est un site Web qui permet aux utilisateurs finaux sur des ordinateurs clients de se connecter indépendamment à un site Web afin de récupérer une clé de récupération s'ils perdent ou oublient leur mot de passe BitLocker.

Services Web de surveillance pour ce site Web

Ce composant est installé sur un ordinateur exécutant Windows Server.

Les services Web de surveillance sont utilisés par le client MBAM et les sites Web pour communiquer avec la base de données.

ImportantImportant
Le service web de surveillance n'est plus disponible dans Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1, car le client MBAM et les sites web communiquent directement avec la base de données de récupération.

Station de travail de gestion

Modèles de stratégie de groupe MBAM
  • Les modèles de stratégie de groupe MBAM sont des paramètres de stratégie de groupe qui définissent les paramètres d'implémentation de MBAM, qui vous permettent de gérer le chiffrement de lecteur BitLocker.

  • Avant d'exécuter MBAM, vous devez télécharger les modèles de stratégie de groupe depuis la page Obtention des modèles de stratégie de groupe MDOP (.admx) puis les copier sur un serveur ou une station de travail qui exécute un système d'exploitation Windows Server ou Windows pris en charge.

    noteRemarque
    La station de travail n'a pas à être un ordinateur dédié.

Ordinateur client MBAM et client Configuration Manager

Logiciel client MBAM

Le client MBAM :

  • Utilise des objets de stratégie de groupe pour appliquer le chiffrement de lecteur BitLocker des ordinateurs clients de l'entreprise.

  • Collecte la clé de récupération BitLocker pour trois types de lecteur de données : lecteurs de système d'exploitation, lecteurs de données fixes et lecteurs de données amovibles (USB).

  • Collecte des informations de récupération et des informations sur les ordinateurs clients.

Client de Configuration Manager

Le client Configuration Manager permet à Configuration Manager de collecter des données de compatibilité matérielle sur les ordinateurs clients et d'établir des rapports de conformité.

Différences de déploiement MBAM entre les versions prises en charge de Configuration Manager

Lorsque vous déployez MBAM avec la topologie Intégration Configuration Manager, vous pouvez installer MBAM sur un serveur de site principal. Toutefois, l'installation MBAM fonctionne différemment pour System Center 2012 Configuration Manager et Configuration Manager 2007.

Version de Configuration Manager Description 

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Si vous installez MBAM sur un serveur de site principal ou sur un serveur d'administration centrale, MBAM effectue toutes les opérations d'installation sur ce serveur de site.

Configuration Manager 2007 R2

Configuration Manager 2007

Si vous installez MBAM sur un serveur de site principal qui fait partie d'une hiérarchie Configuration Manager plus étendue et qui possède un serveur parent de site central, MBAM identifie le serveur parent de site central et effectue l'ensemble des opérations d'installation sur ce serveur parent. L'installation inclut la vérification de la configuration requise et l'installation des objets et des rapports de Configuration Manager.

Par exemple, si vous installez MBAM sur un serveur de site principal qui fait partie du groupe enfant du serveur parent de site central, MBAM installe tous les objets et les rapports de Configuration Manager sur le serveur parent. Si vous installez MBAM sur le serveur parent, MBAM effectue toutes les opérations d'installation sur ce serveur parent.

Fonctionnement de MBAM avec Configuration Manager

L'intégration de MBAM à Configuration Manager repose sur un pack de configuration qui installe les éléments décrits dans le tableau suivant.

Eléments installés dans Configuration Manager Description 

Données de configuration

Les données de configuration installent une ligne de base de configuration, appelée « Protection BitLocker », qui contient deux éléments de configuration :

  • Protection BitLocker du lecteur de système d'exploitation

  • Protection BitLocker des lecteurs de données fixes

La ligne de base de configuration est déployée sur le regroupement Ordinateurs pris en charge par MBAM et est également créée lors de l'installation de MBAM.

Les deux éléments de configuration fournissent la base permettant d'évaluer l'état de conformité des ordinateurs clients. Ces informations sont capturées, stockées et évaluées dans Configuration Manager.

Les éléments de configuration sont basés sur les exigences de conformité des lecteurs de système d'exploitation et des lecteurs de données fixes. Les informations requises pour les ordinateurs déployés sont collectées afin que la conformité de ces types de lecteur puisse être évaluée.

Par défaut, la ligne de base de configuration évalue l'état de conformité toutes les 12 heures et envoie les données de conformité à Configuration Manager.

Regroupement Ordinateurs pris en charge par MBAM

MBAM crée un regroupement appelé Ordinateurs pris en charge par MBAM. La ligne de base de configuration souhaitée est destinée aux ordinateurs clients qui se trouvent dans ce regroupement.

Il s'agit d'un regroupement dynamique. Par défaut, il s'exécute toutes les 12 heures et évalue l'appartenance en fonction des trois critères suivants :

  • L'ordinateur est une version prise en charge du système d'exploitation Windows.

  • Il s'agit d'un ordinateur physique. Les machines virtuelles ne sont pas prises en charge.

  • L'ordinateur est doté d'un module de plateforme sécurisée (TPM) qui est disponible. Une version compatible de TPM 1.2 ou ultérieure est requise pour Windows 7. Windows 10, Windows 8.1, Windows 8 et Windows To Go ne nécessitent pas de module de plateforme sécurisée.

Le regroupement est évalué sur tous les ordinateurs et un sous-ensemble d'ordinateurs compatibles est créé, ce qui permet d'évaluer la conformité et de créer des rapports pour l'intégration de MBAM.

Rapports

Lorsque vous configurez MBAM avec la topologie Intégration Configuration Manager, tous les rapports sont affichés dans Configuration Manager, à l'exception du rapport d'audit de configuration que vous continuez de visualiser dans le site web d'administration et de surveillance de MBAM. Les rapports suivants sont disponibles dans Configuration Manager :

 

Rapport Description 

Tableau de bord de conformité BitLocker Entreprise

Donne aux administrateurs informatiques trois vues des informations dans un même rapport : Distribution d'état de conformité, non conforme – Distribution des erreurs et Distribution d'état de conformité par type de lecteur. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état sélectionné.

Détails de la conformité BitLocker Entreprise

Permet aux administrateurs informatiques d'afficher des informations sur l'état de conformité du chiffrement BitLocker de l'entreprise et inclut l'état de conformité de chaque ordinateur. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état sélectionné.

Conformité de l'ordinateur BitLocker

Permet aux administrateurs informatiques de consulter un ordinateur individuel et de déterminer pourquoi son rapport mentionne un état de conformité ou de non-conformité. Le rapport affiche également l'état de chiffrement des lecteurs de système d'exploitation et des lecteurs de données fixes.

Résumé de la conformité BitLocker Entreprise

Permet aux administrateurs informatiques d'afficher l'état de la conformité de la stratégie MBAM dans l'entreprise. L'état de chaque ordinateur est évalué et le rapport affiche un résumé de la conformité de tous les ordinateurs de l'entreprise par rapport à la stratégie. Des options d'analyse détaillée du rapport permettent aux administrateurs informatiques de parcourir les données en un clic et d'afficher la liste des ordinateurs qui correspondent à l'état sélectionné.

Vous avez une suggestion pour MBAM ?

Ajoutez des suggestions ou votez pour les meilleures ici. Pour les problèmes relatifs à MBAM, utilisez le Forum TechNet MBAM.

Voir aussi

Concepts

Architecture globale de MBAM 2.5 avec la topologie autonome
Illustration des composants d'un déploiement de MBAM 2.5

Autres ressources

Mise en route de MBAM 2,5