Condividi tramite

Distribuzione di MBAM 2.5 in una configurazione autonoma

Questo articolo fornisce istruzioni dettagliate per l'installazione di Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 in una configurazione autonoma. Questa guida usa una configurazione a due server. Uno dei server è un server di database che esegue Microsoft SQL Server 2012. Questo server ospita i database e i report di MBAM. L'altro server è un server Web Windows Server 2012 che ospita "Administration and Monitoring Server" e "Self-Service Portal".

Procedura di preparazione prima dell'installazione del software server MBAM 2.5

Passaggio 1: Installazione e configurazione dei server

Assicurarsi innanzitutto che entrambi i server siano configurati con i requisiti di sistema di MBAM. Per altre informazioni, vedere Configurazioni supportate di MBAM 2.5. Selezionare una configurazione che soddisfi questi requisiti.

Passaggio 1.1: Distribuzione dei prerequisiti per il database e il server di report

  1. Installare e configurare un server che esegue Windows Server sistema operativo 2008 R2 (o versione successiva).

  2. Installare Windows PowerShell 3.0.

  3. Installare Microsoft SQL Server 2008 R2 o una versione successiva che include il Service Pack più recente. Se si installa una nuova istanza di SQL Server per MBAM, assicurarsi che il SQL Server installato includa le regole di confronto SQL_Latin1_General_CP1_CI_AS. È necessario installare le funzionalità di SQL Server seguenti:

    • Motore di database
    • Reporting Services
    • Connettività degli strumenti client
    • Strumenti di gestione - Completa

    Nota

    Facoltativamente, è anche possibile installare la funzionalità Transparent Data Encryption (TDE) in SQL Server. Per altre informazioni, vedere Considerazioni sulla sicurezza di MBAM 2.5

    SQL Server Reporting Services deve essere installato e configurato in modalità "nativa" e non in modalità non configurata o "SharePoint".

    Screenshot dell'installazione di SQL Server 2014 che evidenzia le funzionalità necessarie.

  4. Se si prevede di usare SSL per il sito Web Amministrazione e monitoraggio, assicurarsi di configurare SQL Server Reporting Services (SSRS) per l'uso del protocollo SSL (Secure Sockets Layer) prima di configurare il sito Web Amministrazione e monitoraggio. In caso contrario, la funzionalità Report usa il trasporto dati non crittografato (HTTP) anziché crittografato (HTTPS).

    È possibile seguire Configure SSL Connections on a Native Mode Report Server (Configura Connections SSL in un server di report in modalità nativa) per configurare SSL nel server di report.

    Nota

    È possibile seguire SQL Server Guida all'installazione della rispettiva versione di SQL Server per installare SQL Server. I collegamenti sono i seguenti: > - SQL Server 2014> - SQL Server 2012> - SQL Server 2008 R2

  5. Nella post-installazione di SQL Server assicurarsi di effettuare il provisioning dell'account utente in SQL Server e assegnare le autorizzazioni seguenti all'utente che configura il database MBAM e i ruoli di creazione report nel server di database.

    Ruoli per l'istanza di SQL Server:

    • dbcreator
    • processadmin

    Diritti per l'istanza di SQL Server Reporting Services:

    • Creare cartelle
    • Pubblica report

Il server di database è pronto per la configurazione dei ruoli di MBAM 2.5. Si passerà al server successivo.

Passaggio 1.2: Distribuzione dei prerequisiti per il server di amministrazione e monitoraggio

Scegliere un server che soddisfi le configurazioni hardware necessarie. Per altre informazioni, vedere Configurazioni supportate di MBAM 2.5. Deve essere in esecuzione Windows Server 2008 R2 o un sistema operativo successivo insieme ai service pack e agli aggiornamenti più recenti. Dopo aver pronto il server, installare i ruoli e le funzionalità seguenti:

Ruoli

  • Script e strumenti di gestione IIS

  • Servizi ruolo server Web

    • Funzionalità HTTP comuni

      • Contenuto statico
      • Documento predefinito

    • Sviluppo di applicazioni

      • ASP.NET
      • Estendibilità .NET
      • Estensioni ISAPI
      • Filtri ISAPI
      • Sicurezza
      • Autenticazione di Windows
      • Filtro richieste

    • Strumenti di gestione IIS del servizio Web

Funzionalità

  • Funzionalità di .NET Framework 4.5

    • Microsoft .NET Framework 4.5

      Per Windows Server 2012 o Windows Server 2012 R2, .NET Framework 4.5 è già installato per queste versioni di Windows Server. Tuttavia, è necessario abilitarlo.

      Per Windows Server 2008 R2, .NET Framework 4.5 non è incluso in Windows Server 2008 R2. È quindi necessario scaricare .NET Framework 4.5 e installarlo separatamente.

    • Attivazione WCF

      • Attivazione HTTP
      • Attivazione non HTTP

    • Attivazione TCP

    • Servizio attivazione processo Windows:

      • Modello di processo
      • Ambiente .NET Framework
      • API di configurazione

Per il funzionamento del portale self-service, è necessario scaricare e installare anche ASP.NET MVC 4.0.

Il passaggio successivo consiste nel creare gli utenti e i gruppi MBAM necessari in Active Directory.

Passaggio 2: Creazione di utenti e gruppi in Active Directory Domain Services

Come parte dei prerequisiti, definire determinati ruoli e account usati da MBAM per fornire diritti di sicurezza e accesso a server e funzionalità specifici. Ad esempio, i database eseguiti nell'istanza di SQL Server e le applicazioni Web eseguite nel server di amministrazione e monitoraggio.

Creare i gruppi e gli utenti seguenti in Active Directory. È possibile usare qualsiasi nome per i gruppi e gli utenti. Gli utenti non devono avere maggiori diritti utente. Un account utente di dominio è sufficiente. È necessario specificare il nome di questi gruppi durante la configurazione di MBAM 2.5:

MBAMAppPool

Tipo: Utente di dominio

Descrizione: utente di dominio che dispone dell'autorizzazione di lettura o scrittura per il database di conformità e controllo e il database di ripristino per consentire alle applicazioni Web di accedere ai dati e ai report in questi database. Il pool di applicazioni lo usa anche per le applicazioni Web.

Ruoli account (durante la configurazione di MBAM):

  1. Account di dominio del pool di applicazioni del servizio Web
  2. Utente di lettura/scrittura del database di conformità e di controllo e del database di ripristino per i report

MBAMROUser

Tipo: Utente di dominio

Descrizione: utente di dominio che ha Read-Only accesso al database di conformità e controllo per consentire ai report di accedere ai dati di conformità e controllo in questo database. È anche l'account utente di dominio usato dall'istanza di SQL Server Reporting Services locale per accedere al database di conformità e controllo.

Ruoli account (durante la configurazione di MBAM):

  1. Utente di sola lettura del database di conformità e controllo per i report
  2. Account utente del dominio del database di conformità e controllo

MBAMAdvHelpDsk

Tipo: Gruppo di dominio

Descrizione: gruppo di accesso utenti del supporto tecnico avanzato MBAM: gruppo di utenti di dominio i cui membri hanno accesso a tutte le aree del sito Web amministrazione e monitoraggio. Gli utenti con questo ruolo devono immettere solo la chiave di ripristino, non il dominio e il nome utente dell'utente, quando consentono agli utenti di ripristinare le unità. Se un utente è membro sia del gruppo MBAM Helpdesk Users che del gruppo MBAM Advanced Helpdesk Users, le autorizzazioni del gruppo MBAM Advanced Helpdesk Users sostituiscono le autorizzazioni del gruppo helpdesk MBAM.

Ruoli dell'account (durante la configurazione di MBAM):MBAM Advanced Helpdesk Users

MBAMHelpDsk

Tipo: Gruppo di dominio

Descrizione: gruppo di accesso utenti del supporto tecnico MBAM: gruppo di utenti di dominio i cui membri hanno accesso alle aree Gestisci TPM e Ripristino unità del sito Web di amministrazione e monitoraggio di MBAM. Persone che hanno questo ruolo devono compilare tutti i campi quando usano entrambe le opzioni. Questi campi includono il nome del dominio e dell'account dell'utente.

Ruoli dell'account (durante la configurazione di MBAM):MBAM Helpdesk Users

MBAMRUGrp

Tipo: Gruppo di dominio

Descrizione: gruppo di utenti di dominio i cui membri hanno accesso in sola lettura ai report nell'area Report del sito Web Amministrazione e monitoraggio.

Ruoli account (durante la configurazione di MBAM):

  1. Report gruppo di accesso al dominio di sola lettura
  2. Gruppo di accesso utenti report MBAM

Passaggio 3 (facoltativo): Configurare e installare il certificato SSL nel server di amministrazione e monitoraggio

Sebbene sia facoltativo, è consigliabile usare un certificato per proteggere la comunicazione tra il client MBAM e il sito Web amministrazione e monitoraggio e i siti Web del portale di Self-Service. Non è consigliabile usare certificati autofirmati per ovvi motivi di sicurezza. È consigliabile usare un certificato di tipo server Web di un'autorità di certificazione attendibile. Per altre informazioni, vedere MBAM e proteggere le comunicazioni di rete.

Dopo l'emissione del certificato, è necessario aggiungere il certificato all'archivio personale del server di amministrazione e monitoraggio. Per aggiungere il certificato, aprire l'archivio certificati nel computer locale. Per completare questa azione, seguire questa procedura:

  1. Fare clic con il pulsante destro del mouse su Start e quindi scegliere Esegui.

    Screenshot che mostra dove selezionare Esegui dal menu Start.

  2. Digitare "MMC.EXE" (senza virgolette) e quindi selezionare OK.

    Screenshot della casella Esegui con il comando

  3. Selezionare File nel nuovo MMC aperto e quindi selezionare Aggiungi/Rimuovi snap-in.

    Screenshot di MMC con il menu File che evidenzia l'opzione

  4. Evidenziare lo snap-in Certificati e quindi selezionare Aggiungi.

    Screenshot della finestra Aggiungi o Rimuovi snap-in, con l'aggiunta dello snap-in Certificati.

  5. Selezionare l'opzione Account computer e quindi selezionare Avanti.

    Screenshot della finestra snap-in Certificati, selezionando l'opzione Account computer.

  6. Selezionare Computer locale nella schermata successiva e quindi selezionare Fine.

    Screenshot della finestra Seleziona computer, selezionando l'opzione Computer locale.

  7. È stato aggiunto lo snap-in Certificati. Consente di usare tutti i certificati nell'archivio certificati del computer.

    Screenshot della finestra Aggiungi o Rimuovi snap-in con lo snap-in Certificati (computer locale) aggiunto.

  8. Importare il certificato del server Web nell'archivio certificati del computer.

    Ora che si ha accesso allo snap-in Certificati, è possibile importare il certificato del server Web nell'archivio certificati del computer.

  9. Aprire lo snap-in Certificati (computer locale) e passare a Personale e quindi Certificati.

    Screenshot dello snap-in Certificati (computer locale) con il nodo Personale espanso e il nodo Certificati selezionato.

    Nota

    Lo snap-in Certificati potrebbe non essere elencato. In caso contrario, non vengono installati certificati.

  10. Fare clic con il pulsante destro del mouse su Certificati, selezionare Tutte le attività e quindi selezionare Importa.

    Screenshot dello snap-in Certificati (computer locale) che mostra il menu di scelta rapida nel nodo Certificati. È selezionata l'opzione Tutte le attività e quindi l'opzione Importa.

  11. All'avvio della procedura guidata selezionare Avanti. Passare al file creato che contiene il certificato del server e la chiave privata e quindi selezionare Avanti.

    Screenshot della finestra Importazione guidata certificati con il pulsante Sfoglia evidenziato.

  12. Immettere la password se ne è stata specificata una per il file al momento della creazione.

Screenshot della finestra Immettere la password. Specifica una password ed evidenzia l'opzione di importazione

Nota

Per poter esportare nuovamente la coppia di chiavi da questo computer, assicurarsi che sia selezionata l'opzione Contrassegna la chiave come esportabile . Come misura di sicurezza aggiuntiva, è possibile lasciare questa opzione deselezionata per assicurarsi che nessuno possa eseguire un backup della chiave privata.

  1. Selezionare Avanti e quindi selezionare l'archivio certificati in cui si vuole salvare il certificato.

    Screenshot della finestra Importazione guidata certificati, che consente di selezionare l'opzione Inserire tutti i certificati nell'archivio personale.

    Nota

    È consigliabile selezionare Personale, perché si tratta di un certificato del server Web. Se include il certificato nella gerarchia di certificazione, viene aggiunto anche a questo archivio.

  2. Selezionare Avanti e quindi Fine.

    Screenshot della finestra Importazione guidata certificati, che completa la procedura guidata e riepiloga le impostazioni.

Il certificato del server per il server Web viene ora visualizzato nell'elenco Certificati personali. È elencato dal nome comune del server. Questo nome è disponibile nella sezione relativa all'oggetto del certificato.

Per ulteriori informazioni, vedere gli articoli seguenti:

Il passaggio successivo consiste nel registrare un nome del principio di servizio per l'account del pool di applicazioni.

Passaggio 4: Configurazione del certificato SSL per il server Web MBAM

Se si usa la comunicazione SSL tra il client e il server, è necessario assicurarsi che il certificato disponga di OID utilizzo chiavi avanzato (1.3.6.1.5.5.7.3.1) e (1.3.6.1.5.5.7.3.2). In altre parole, è necessario assicurarsi che l'autenticazione del server e l'autenticazione client vengano aggiunte.

Se si riceve un errore di certificato quando si tenta di esplorare gli URL del servizio, il certificato potrebbe essere emesso con un nome diverso oppure si sta esplorando usando un URL non corretto.

Anche se il browser potrebbe richiedere un messaggio di errore del certificato ma continuare, il servizio Web MBAM non ignora gli errori del certificato e blocca la connessione. Il registro eventi Amministrazione MBAM del client MBAM mostra gli errori correlati al certificato. Se si usa un alias per connettersi al server di amministrazione e monitoraggio, è necessario rilasciare un certificato al nome dell'alias. Ovvero, il nome del soggetto del certificato deve essere il nome alias e il nome DNS del server locale deve essere aggiunto al campo Nome alternativo soggetto del certificato.

Esempio 1

Se il nome virtuale è "bitlocker.contoso.com" e il nome del server di amministrazione e monitoraggio di MBAM è "adminserver.contoso.com", il certificato deve essere rilasciato a bitlocker.contoso.com (nome del soggetto) e adminserver.contoso.com deve essere aggiunto al campo Nome alternativo soggetto del certificato.

Analogamente, se sono installati più server di amministrazione e monitoraggio per bilanciare il carico usando un servizio di bilanciamento del carico, è necessario rilasciare il certificato SSL al nome virtuale. Ovvero, il campo del nome soggetto del certificato deve avere il nome virtuale e i nomi di tutti i server locali devono essere aggiunti nel campo Nome alternativo soggetto del certificato.

Esempio 2

Se il nome virtuale è "bitlocker.contoso.com" e i server sono "adminserver1.contoso.com" e "adminiserver2.contoso.com", il certificato deve essere rilasciato a bitlocker.contoso.com (nome soggetto) e adminserver1.contoso.com e adminiserver2.contoso.com deve essere aggiunto al campo Nome alternativo soggetto del certificato.

Per altre informazioni su come configurare la comunicazione SSL per MBAM, vedere MBAM e Comunicazione di rete sicura.

Passaggio 5: Registrare i nomi SPN per l'account del pool di applicazioni e configurare la delega vincolata

Nota

La delega vincolata è necessaria solo per la versione 2.5 e non è necessaria per 2.5 Service Pack 1 e versioni successive.

Per consentire ai server MBAM di autenticare la comunicazione dal sito Web di amministrazione e monitoraggio e dal portale di Self-Service, è necessario registrare un nome dell'entità servizio (SPN) per il nome host nell'account di dominio usato per il pool di applicazioni Web. Per altre informazioni sulle istruzioni dettagliate per registrare i nomi SPN, vedere Pianificazione di come proteggere i siti Web MBAM.

Dopo aver configurato il nome SPN, è necessario configurare la delega vincolata nel nome SPN. Per completare questa azione, seguire questa procedura:

  1. Passare ad Active Directory e trovare le credenziali del pool di app configurate per i siti Web MBAM nei passaggi precedenti.

  2. Fare clic con il pulsante destro del mouse sulle credenziali e quindi selezionare proprietà.

  3. Selezionare la scheda della delega .

  4. Selezionare l'opzione per l'autenticazione Kerberos.

  5. Selezionare Sfoglia e cercare di nuovo le credenziali del pool di app. Verranno quindi visualizzati tutti i nomi SPN configurati nell'account delle credenziali del pool di app. Il nome SPN deve essere simile a http/bitlocker.fqdn.com. Evidenziare il nome SPN che corrisponde al nome host specificato durante l'installazione di MBAM.

  6. Selezionare OK.

I prerequisiti sono completi. Nei passaggi successivi installare il software MBAM nei server e configurarlo.

Installazione e configurazione del software server MBAM 2.5

Passaggio 6: Installare il software server MBAM 2.5

Per installare il software del server MBAM usando l'installazione guidata Di amministrazione e monitoraggio di Microsoft BitLocker sia nel server di database che in Amministrazione e monitoraggio server, seguire questa procedura.

  1. Nel server in cui si vuole installare MBAM eseguire MBAMserversetup.exe per avviare l'installazione guidata amministrazione e monitoraggio di Microsoft BitLocker.

  2. Nella pagina iniziale selezionare Avanti.

  3. Leggere e accettare il Contratto di licenza software Microsoft e quindi selezionare Avanti per continuare l'installazione.

  4. Decidere se usare Microsoft Update quando si verificano gli aggiornamenti e quindi selezionare Avanti.

  5. Decidere se partecipare al programma Analisi utilizzo software e quindi selezionare Avanti.

  6. Per avviare l'installazione, selezionare Installa.

  7. Selezionare Fine.

  8. Prima di procedere con la configurazione di MBAM, installare l'aggiornamento della versione di manutenzione MDOP più recente. In caso contrario, il server di database non è riconosciuto o supportato. Quando si tenta di convalidare la configurazione del database, la configurazione guidata segnala un errore.

    Versione di manutenzione di ottobre 2020 per Microsoft Desktop Optimization Pack

  9. È possibile configurare MBAM usando il collegamento di configurazione del server MBAM creato dall'installazione del server nel menu Start .

Per altre informazioni, vedere Installazione del software server MBAM 2.5.

Passaggio 7: Configurare il ruolo database e report di MBAM 2.5

Usare la Procedura guidata MBAM per configurare i database e il componente di creazione di report di MBAM 2.5:

  1. Configurare il database di conformità e di controllo e il database di ripristino usando la procedura guidata:

    1. Nel server in cui si desidera configurare i database avviare la configurazione guidata del server MBAM. È possibile selezionare Configurazione server MBAM dal menu Start per aprire la procedura guidata.

    2. Selezionare Aggiungi nuove funzionalità, selezionare Database di conformità e controllo, Database di ripristino e report e quindi selezionare Avanti. La procedura guidata verifica che siano soddisfatti tutti i prerequisiti per i database.

    3. Se il controllo dei prerequisiti ha esito positivo, selezionare Avanti per continuare. In caso contrario, risolvere eventuali prerequisiti mancanti e quindi selezionare di nuovo Verifica prerequisiti.

    4. Usando le descrizioni seguenti, immettere i valori dei campi nella procedura guidata:

  2. Database di conformità e controllo

    Campo Descrizione
    SQL Server nome Nome del server in cui si configura il database di conformità e di controllo.
    È necessario aggiungere un'eccezione nel computer del database di conformità e di controllo per abilitare il traffico in ingresso in ingresso sulla porta SQL Server. Il numero di porta predefinito è 1433.
    SQL Server'istanza del database Nome dell'istanza del database in cui MBAM archivia i dati di conformità e controllo. Se si usa l'istanza predefinita, è necessario lasciare vuoto questo campo. È anche necessario specificare dove si trovano le informazioni del database.
    Nome database Nome del database che archivia i dati di conformità. Si noti il nome del database specificato qui perché è necessario fornire queste informazioni nei passaggi successivi.
    Utente o gruppo del dominio di autorizzazione di lettura/scrittura Specificare il nome dell'utente MBAMAppPool come configurato nel passaggio 2.
    Utente o gruppo di dominio di accesso di sola lettura Specificare il nome dell'utente MBAMROUser come configurato nel passaggio 2.

  3. Database di ripristino.

    Campo Descrizione
    SQL Server nome Nome del server in cui si configura il database di ripristino. È necessario aggiungere un'eccezione nel computer del database di ripristino per abilitare il traffico in ingresso in ingresso sulla porta SQL Server. Il numero di porta predefinito è 1433.
    SQL Server'istanza del database Nome dell'istanza del database che archivia i dati di ripristino. Se si usa l'istanza predefinita, è necessario lasciare vuoto questo campo. È anche necessario specificare dove si trovano le informazioni del database.
    Nome database Nome del database che archivia i dati di ripristino.
    Utente o gruppo del dominio di autorizzazione di lettura/scrittura Utente o gruppo di dominio che dispone dell'autorizzazione di lettura/scrittura per questo database per consentire alle applicazioni Web di accedere ai dati e ai report in questo database.
    Se si immette un utente in questo campo, deve essere lo stesso valore del valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web .
    Se si immette un gruppo in questo campo, il valore nel campo account di dominio del pool di applicazioni del servizio Web nella pagina Configura applicazioni Web deve essere un membro del gruppo immesso in questo campo.

    Al termine delle voci, selezionare Avanti. La procedura guidata verifica che siano soddisfatti tutti i prerequisiti per i database.

    Se il controllo dei prerequisiti ha esito positivo, selezionare Avanti per continuare. In caso contrario, risolvere eventuali prerequisiti mancanti e quindi selezionare di nuovo Avanti .

  4. Rapporti.

    Campo Descrizione
    istanza di SQL Server Reporting Services Istanza di SQL Server Reporting Services in cui si configurano i report. Se si usa l'istanza predefinita, è necessario lasciare vuoto questo campo.
    Gruppo di dominio del ruolo di creazione di report Specificare il nome di MBAMRUGrp come indicato nel passaggio 2.
    SQL Server nome Nome del server in cui è configurato il database di conformità e controllo.
    SQL Server'istanza del database Nome dell'istanza del database in cui sono configurati i dati di conformità e controllo. Se si usa l'istanza predefinita, è necessario lasciare vuoto questo campo.
    È necessario aggiungere un'eccezione nel computer Report per abilitare il traffico in ingresso sulla porta di Reporting Server. La porta predefinita è 80.
    Nome database Nome del database di conformità e di controllo. Per impostazione predefinita, il nome del database è Stato conformità MBAM.
    Account di dominio del database di conformità e controllo Specificare il nome dell'utente MBAMROUser come configurato nel passaggio 2.

    Al termine delle voci, selezionare Avanti. La procedura guidata verifica che siano soddisfatti tutti i prerequisiti per la funzionalità Report. Seleziona Avanti per continuare. Nella pagina Riepilogo esaminare le funzionalità aggiunte.

    Per altre informazioni, vedere l'articolo seguente: Come configurare i database MBAM 2.5.

Passaggio 8: Configurare il ruolo delle applicazioni Web MBAM 2.5

  1. Nel server in cui si desidera configurare le applicazioni Web avviare la Configurazione guidata server MBAM. È possibile selezionare Configurazione server MBAM dal menu Start per aprire la procedura guidata.

  2. Selezionare Aggiungi nuove funzionalità, selezionare Sito Web di amministrazione e monitoraggio e Portale self-service e quindi selezionare Avanti. La procedura guidata verifica che siano soddisfatti tutti i prerequisiti per i database.

  3. Se il controllo dei prerequisiti ha esito positivo, selezionare Avanti per continuare. In caso contrario, risolvere eventuali prerequisiti mancanti e quindi selezionare di nuovo Verifica prerequisiti.

  4. Utilizzare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata.

    Campo Descrizione
    Certificato di sicurezza Selezionare un certificato creato in precedenza nel passaggio 3 per crittografare facoltativamente la comunicazione tra i servizi Web e il server in cui si configura il sito Web Amministrazione e monitoraggio. Se si seleziona Non usare un certificato, la comunicazione Web potrebbe non essere sicura.
    Nome dell'host Nome del computer host in cui si configura il sito Web Amministrazione e monitoraggio.
    Non deve necessariamente essere il nome host del computer, potrebbe essere qualsiasi cosa. Tuttavia, se il nome host è diverso dal nome netbios del computer, è necessario creare un record A e assicurarsi che l'SPN usi il nome host personalizzato, non il nome netbios. Questa configurazione è comune negli scenari di bilanciamento del carico.
    Percorso di installazione Percorso in cui si installa il sito Web Amministrazione e monitoraggio.
    Port Numero di porta da utilizzare per la comunicazione con il sito Web.
    È necessario impostare un'eccezione del firewall per abilitare la comunicazione tramite la porta specificata.
    Account di dominio e password del pool di applicazioni del servizio Web Specificare l'account utente e la password dell'utente MBAMAppPool come configurato nel passaggio 2.
    Per una maggiore sicurezza, impostare l'account specificato nelle credenziali in modo che disponga di diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai.

  5. Verificare che l'account IIS_IUSRS predefinito o l'account del pool di applicazioni sia stato aggiunto a Rappresenta un client dopo l'autenticazione e alle impostazioni di sicurezza locali Di accesso come processo batch .

    Per verificare se l'account è stato aggiunto alle impostazioni di sicurezza locali, aprire l'editor dei criteri di sicurezza locali, espandere il nodo Criteri locali , selezionare il nodo Assegnazione diritti utente e selezionare Rappresentazione di un client dopo l'autenticazione e Accedere come criteri di processo batch nel riquadro a destra.

  6. Usare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di conformità e controllo.

    Campo Descrizione
    SQL Server nome Nome del server in cui è configurato il database di conformità e controllo.
    SQL Server'istanza del database Nome dell'istanza di SQL Server ,ad esempio Nome> server, <e in cui è configurato il database di conformità e controllo. Se si usa l'istanza predefinita, lasciare vuoto questo campo.
    Nome database Nome del database di conformità e di controllo. Per impostazione predefinita, è "Stato conformità MBAM".

  7. Utilizzare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di ripristino.

    Campo Descrizione
    SQL Server nome Nome del server in cui è configurato il database di ripristino.
    SQL Server'istanza del database Nome dell'istanza di SQL Server ,ad esempio Nome> server, <in cui è configurato il database di ripristino. Se si usa l'istanza predefinita, lasciare vuoto questo campo.
    Nome database Nome del database di ripristino. Per impostazione predefinita, è "MBAM Recovery and Hardware".

  8. Utilizzare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata per configurare il sito Web amministrazione e monitoraggio.

    Campo Descrizione
    Gruppo di dominio del ruolo Helpdesk avanzato Specificare il nome del gruppo MBAMAdvHelpDsk come configurato nel passaggio 2.
    Gruppo di dominio del ruolo Helpdesk Specificare il nome del gruppo MBAMHelpDsk come configurato nel passaggio 2.
    Usare System Center Configuration Manager Integration Selezionare questa casella di controllo per deselezionare questa casella di controllo.
    Gruppo di dominio del ruolo di creazione di report Specificare il nome del gruppo MBAMRUGrp come configurato nel passaggio 2.
    URL SQL Server Reporting Services Specificare l'URL del servizio Web per il server SSRS in cui sono configurati i report MBAM. Per trovare queste informazioni, accedere a Reporting Services Configuration Manager nel server di database.
    Esempio di nome di dominio completo: https://MyReportServer.Contoso.com/ReportServer
    Esempio di nome host personalizzato: https://MyReportServer/ReportServer
    Directory virtuale Directory virtuale del sito Web amministrazione e monitoraggio. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web. Ad esempio:
    https://<host name>:<port>/HelpDesk/
    Se non si specifica una directory virtuale, viene usato il valore "HelpDesk".

  9. Usare la descrizione seguente per immettere i valori dei campi nella procedura guidata per configurare il portale di Self-Service.

    Campo Descrizione
    Directory virtuale Directory virtuale dell'applicazione Web. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web. Ad esempio:
    https://<host name>:<port>/SelfService/
    Se non si specifica una directory virtuale, viene usato il valore "SelfService".

  10. Al termine delle voci, selezionare Avanti. La procedura guidata verifica che siano soddisfatti tutti i prerequisiti per le applicazioni Web.

  11. Selezionare Avanti per continuare.

  12. Nella pagina Riepilogo esaminare le funzionalità aggiunte.

  13. Selezionare Aggiungi per aggiungere le applicazioni Web al server e quindi selezionare Chiudi.

Personalizzazione e convalida dei passaggi dopo l'installazione del software server MBAM 2.5

Passaggio 9: Personalizzazione del portale self-server per l'organizzazione

Per personalizzare il portale di Self-Service aggiungendo testo di avviso personalizzato, il nome della società, i puntatori a altre informazioni e così via, vedere Personalizzazione del portale di Self-Service per l'organizzazione.

Passaggio 10: Configurare il portale self-server se i computer client non possono accedere alla rete CDN

Determinare se i computer client hanno accesso alla rete di distribuzione di contenuti Microsoft AJAX (CDN). La rete CDN offre al portale di Self-Service l'accesso richiesto a determinati file JavaScript. Se non si configura il portale di Self-Service quando i computer client non possono accedere alla rete CDN, vengono visualizzati solo il nome della società e l'account con cui l'utente ha eseguito l'accesso. Non visualizza un messaggio di errore.

Eseguire una delle azioni seguenti:

Passaggio 11: Convalidare la configurazione della funzionalità del server MBAM 2.5

Per convalidare la distribuzione del server MBAM per usare la topologia autonoma, seguire questa procedura.

  1. In ogni server in cui viene distribuita una funzionalità MBAM selezionare Pannello di controllo>Programmi>Programmi e funzionalità. Verificare che Amministrazione e monitoraggio di Microsoft BitLocker sia visualizzato nell'elenco Programmi e funzionalità .

    Nota

    Per eseguire la convalida, è necessario usare un account di dominio con credenziali amministrative del computer locale in ogni server.

  2. Nel server in cui è configurato il database di ripristino aprire SQL Server Management Studio e verificare che il database hardware e di ripristino di MBAM sia configurato.

  3. Nel server in cui è configurato il database di conformità e controllo aprire SQL Server Management Studio e verificare che sia configurato il database dello stato di conformità di MBAM.

  4. Nel server in cui è configurata la funzionalità Report aprire un Web browser usando le credenziali amministrative e passare alla home page del sito SQL Server Reporting Services.

    Il percorso predefinito della home page di un'istanza del sito SQL Server Reporting Services è il seguente:

    https://<MBAM Reports Server Name>:<port>/Reports.aspx

    Per trovare l'URL effettivo, usare lo strumento Reporting Services Configuration Manager e selezionare le istanze specificate durante l'installazione.

  5. Verificare che una cartella di report denominata Amministrazione e monitoraggio di Microsoft BitLocker contenga un'origine dati denominata MaltaDataSource. Questa origine dati contiene cartelle con nomi che rappresentano le impostazioni locali della lingua, ad esempio en-us. I report si trovano nelle cartelle della lingua.

    Nota

    Se si configura SQL Server Reporting Services (SSRS) come istanza denominata, l'URL dovrebbe essere simile all'esempio seguente:

    https://<MBAM Reports Server Name>:<port>/Reports_<SSRS Instance Name>

    Se SSRS non è stato configurato per l'uso di SSL (Secure Socket Layer), l'URL per i report verrà impostato su "HTTP" anziché su "HTTPS" quando si installa il server MBAM. Se si passa quindi al sito Web di amministrazione e monitoraggio (noto anche come helpdesk) e si seleziona un report, viene visualizzato il messaggio seguente: "Viene visualizzato solo contenuto protetto". Per visualizzare il report, selezionare Mostra tutto il contenuto.

  6. Nel server in cui è configurata la funzionalità Sito Web di amministrazione e monitoraggio eseguire Server Manager, passare a Ruoli e quindi selezionare Server Web (IIS)>Gestione Internet Information Services (IIS).

  7. In Connections passare al <nome> del computer e quindi selezionare Siti>Amministrazione e monitoraggio di Microsoft BitLocker. Verificare che siano elencati i seguenti elementi:

    • MBAMAdministrationService
    • MBAMComplianceStatusService
    • MBAMRecoveryAndHardwareService

  8. Nel server in cui sono configurati il sito Web di amministrazione e monitoraggio e il portale di Self-Service aprire un Web browser usando le credenziali amministrative.

  9. Passare ai siti Web seguenti per verificare che vengano caricati correttamente:

    • httpss://<MBAM Administration Server Name>:<port>/HelpDesk/ (confermare ogni collegamento per la navigazione e i report)
    • https://<MBAM Administration Server Name>:<port>/SelfService/

    Nota

    Si presuppone che le funzionalità del server siano state configurate sulla porta predefinita senza crittografia di rete. Se le funzionalità del server sono state configurate in una porta o in una directory virtuale diversa, modificare gli URL in modo da includere la porta appropriata. Ad esempio:

    • https://<host name>:<port>/HelpDesk/
    • https://<host name>:<port>/<virtualdirectory>/

    Se le funzionalità del server sono state configurate senza crittografia di rete, passare https:// a http://.

  10. Passare ai servizi Web seguenti per verificare che vengano caricati correttamente. Verrà visualizzata una pagina per indicare che il servizio è in esecuzione. Tuttavia, nella pagina non vengono visualizzati metadati.

    • https://<MBAM Administration Server Name>:<port>/MBAMAdministrationService/AdministrationService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMUserSupportService/UserSupportService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMComplianceStatusService/StatusReportingService.svc
    • https://<MBAM Administration Server Name>:<port>/MBAMRecoveryAndHardwareService/CoreService.svc

Passaggio 12: Configurare i modelli di Criteri di gruppo di MBAM

Per distribuire MBAM, è necessario impostare le impostazioni dei criteri di gruppo che definiscono le impostazioni di implementazione di MBAM per Crittografia unità BitLocker. Per completare questa attività, è necessario copiare i modelli di criteri di gruppo di MBAM in un server o una workstation in grado di eseguire Criteri di gruppo Management Console (GPMC) o Advanced Criteri di gruppo Management (AGPM) e quindi modificare le impostazioni.

Importante

Non modificare le impostazioni dei criteri di gruppo nel nodo Crittografia unità BitLocker o MBAM non funzionerà correttamente. Quando si configurano le impostazioni dei criteri di gruppo nel nodo MDOP MBAM (Gestione BitLocker), MBAM configura automaticamente le impostazioni di Crittografia unità BitLocker .

Copia dei modelli di Criteri di gruppo di MBAM 2.5

Prima di installare il client MBAM, è necessario copiare oggetti Criteri di gruppo specifici di MBAM nella workstation di gestione. Questi oggetti Criteri di gruppo definiscono le impostazioni di implementazione di MBAM per BitLocker. È possibile copiare i modelli di Criteri di gruppo in qualsiasi server o workstation che sia un server o un computer client basato su Windows supportato e che possa eseguire la console di gestione Criteri di gruppo (GPMC) o Advanced Criteri di gruppo Management (AGPM).

Per altre informazioni, vedere Copia dei modelli di Criteri di gruppo di MBAM 2.5.

Modifica delle impostazioni dell'oggetto Criteri di gruppo di MBAM 2.5

Dopo aver creato gli oggetti Criteri di gruppo necessari, è necessario distribuire le impostazioni dei criteri di gruppo di MBAM nei computer client dell'organizzazione. Per visualizzare e creare oggetti Criteri di gruppo, è necessario avere installato Criteri di gruppo Management Console (GPMC) o Advanced Criteri di gruppo Management (AGPM).

Per altre informazioni, vedere Modifica delle impostazioni dei criteri di gruppo di MBAM 2.5 e Pianificazione dei requisiti dei criteri di gruppo di MBAM 2.5.

Passaggio 13: Distribuzione del client MBAM 2.5

A seconda di quando si distribuisce il software client MBAM, è possibile abilitare BitLocker in un computer dell'organizzazione prima che l'utente riceva il computer o successivamente configurando criteri di gruppo e distribuendo il software client MBAM usando un sistema di distribuzione software aziendale.

Distribuire il client MBAM in computer desktop o portatili

Dopo aver configurato le impostazioni dei criteri di gruppo, è possibile usare un prodotto del sistema di distribuzione software aziendale, ad esempio Microsoft System Center 2012 Configuration Manager o Active Directory Domain Services (AD DS) per distribuire i file di Installazione di Windows Installer del client MBAM nei computer di destinazione. È possibile usare i file MbamClientSetup.exe a 32 bit o a 64 bit oppure i file MBAMClient.msi a 32 bit o a 64 bit. Questi file vengono forniti insieme al software client MBAM.

Per altre informazioni, vedere Come distribuire il client MBAM in computer desktop o portatili.

Distribuire il client MBAM come parte di una distribuzione di Windows

Nelle organizzazioni in cui i computer vengono ricevuti e configurati centralmente, è possibile installare il client MBAM per gestire Crittografia unità BitLocker in ogni computer prima che i dati utente vengano scritti in esso. Il vantaggio di questo processo è che ogni computer è quindi conforme a BitLocker. Questo metodo non si basa sull'azione dell'utente perché l'amministratore ha già crittografato il computer. Un presupposto fondamentale per questo scenario è che il criterio dell'organizzazione consiste nell'installare un'immagine Windows aziendale prima che il computer venga recapitato all'utente. Se le impostazioni dei criteri di gruppo sono configurate per richiedere un PIN, agli utenti viene richiesto di impostare un PIN dopo aver ricevuto i criteri.

Per altre informazioni, vedere Come distribuire il client MBAM come parte di una distribuzione di Windows.

Come distribuire il client MBAM usando una riga di comando

Per altre informazioni, vedere Come distribuire il client MBAM usando una riga di comando.

Post-distribuzione dei client

Esaminare quindi i log seguenti e determinare se i client segnalano correttamente il database MBAM.

Domande frequenti

Come creare server IIS con bilanciamento del carico

  • L'SPN deve essere registrato solo nel nome descrittivo (ad esempio, bitlocker.corp.net) e non deve essere registrato nei singoli server IIS.

  • Se viene usato un certificato, il certificato deve avere nomi FQDN e NetBIOS immessi nel campo Nome alternativo soggetto per tutti i server IIS nel gruppo di bilanciamento del carico e anche come nome descrittivo (ad esempio: bitlocker.corp.net). In caso contrario, il browser non considera attendibile il certificato quando si esplorano gli indirizzi con carico bilanciato.

Per altre informazioni, vedere Bilanciamento del carico di rete IIS e Registrazione dei nomi SPN per l'account del pool di applicazioni.

Come configurare un certificato

  • Sono necessari due certificati. Un certificato viene usato per SQL Server e l'altro per IIS. Devono essere installati prima di avviare l'installazione di MBAM.

  • È consigliabile usare il programma di installazione per aggiungere il certificato alla configurazione IIS anziché modificare manualmente il file web.config.

  • Se il campo "Rilasciato a" nel certificato non corrisponde al nome del server, MBAM Configurator non accetta il certificato. Creare temporaneamente un certificato autofirma dalla console IIS e usarlo in Configurator. Questa azione assicura che le app Web siano installate per SSL e HTTPS. Successivamente, è possibile modificare il certificato in uno dalle associazioni IIS per il sito Web MBAM.

Requisito delle autorizzazioni SQL per l'installazione

Creare un account per il pool di app MBAM e assegnargli solo SecurityAdminle autorizzazioni , Publice DBCreator .

Per altre informazioni, vedere Configurazione del database MBAM - Autorizzazioni minime.

Nota

  • In alcune situazioni sono necessarie altre autorizzazioni per le operazioni di installazione e aggiornamento iniziali.
  • Usare un account con sa temporaneo per l'installazione.
  • Non avviare Configurator nel contesto di un account utente (RunAs) che non dispone di autorizzazioni sufficienti per apportare modifiche a SQL Server. Questa azione causa errori di installazione.
  • È necessario accedere con un account con autorizzazioni per SQL Server. Solo SQL Server database possono essere creati o aggiornati eseguendo MBAM Configurator in remoto. Per il server SSRS, è necessario installare MBAM ed eseguire Configurator in locale per installare o aggiornare i report SSRS di MBAM.

L'autorizzazione necessaria per la registrazione spn

Un account usato per l'installazione del portale IIS deve disporre delle autorizzazioni Write ServicePrincipalName e Write Validated SPN. Senza queste autorizzazioni, l'installazione restituisce un messaggio di avviso che indica che non è possibile registrare il nome SPN.

Nota

Questo messaggio di avviso verrà visualizzato due volte. Ciò non significa che il nome SPN deve avere due oggetti registrati.

È stato necessario aggiornare i modelli ADMX alla versione più recente?

Verranno visualizzate più opzioni del sistema operativo nel nodo radice MBAM per l'oggetto Criteri di gruppo dopo aver aggiornato i modelli ADMX alle versioni più recenti. Ad esempio, Windows 7, Windows 8.1 e Windows 10, versione 1511 e versioni successive.

Per altre informazioni su come aggiornare i modelli ADMX, vedere gli articoli seguenti: