Condividi tramite

Architettura di alto livello di MBAM 2.5 con topologia di integrazione Configuration Manager

  • Articolo

Questo articolo descrive l'architettura consigliata per la distribuzione di Microsoft BitLocker Administration and Monitoring (MBAM) con la topologia di integrazione Configuration Manager. Questa topologia integra MBAM con System Center Configuration Manager. Per distribuire MBAM con la topologia autonoma, vedere Architettura di alto livello di MBAM 2.5 con topologia autonoma.

Per un elenco delle versioni supportate del software indicate in questo articolo, vedere MBAM 2.5 Supported Configurations.For a list of the supported versions of the software mentioned in this article, see MBAM 2.5 Supported Configurations.

Importante

Windows To Go non è supportato per l'installazione della topologia di integrazione Configuration Manager quando si usa Configuration Manager 2007.

Il numero consigliato di server e il numero supportato di client in un ambiente di produzione è il seguente:

Architettura consigliata Dettagli

Numero di server e altri computer

Tre server

Una workstation

Numero di computer client supportati

500,000

Differenze tra l'integrazione Configuration Manager e le topologie autonome

Le principali differenze tra le topologie sono:

  • Le funzionalità di conformità e creazione di report vengono rimosse da MBAM e sono accessibili da Configuration Manager.

  • I report vengono visualizzati dalla console di gestione Configuration Manager, ad eccezione del report di controllo del ripristino, che si continua a visualizzare dal sito Web di amministrazione e monitoraggio di MBAM.

Il diagramma e la tabella seguenti descrivono l'architettura di alto livello consigliata per MBAM con la topologia di integrazione Configuration Manager. Le distribuzioni a più foreste di MBAM richiedono un trust unidirezionale o bidirezionale. I trust unidirezionali richiedono che il dominio del server consideri attendibile il dominio client.

mbam2-5.

Server di database

Database di ripristino

Questa funzionalità è configurata in un computer che esegue Windows Server e supporta SQL Server'istanza.

Il database di ripristino archivia i dati di ripristino raccolti dai computer client di MBAM.

Database di controllo

Questa funzionalità è configurata in un computer che esegue Windows Server e supporta SQL Server'istanza.

Il database di controllo archivia i dati delle attività di controllo raccolti dai computer client che hanno eseguito l'accesso ai dati di ripristino.

Rapporti

Questa funzionalità è configurata in un computer che esegue Windows Server e supporta SQL Server'istanza.

I report forniscono i dati di controllo del ripristino per i computer client dell'organizzazione. È possibile visualizzare i report dalla console Configuration Manager o direttamente da SQL Server Reporting Services.

Configuration Manager server del sito primario

Funzionalità di integrazione System Center Configuration Manager

  • Questa funzionalità è configurata nel server del sito primario Configuration Manager, ovvero il server di livello superiore nell'infrastruttura di Configuration Manager.

  • Il server Configuration Manager raccoglie le informazioni sull'inventario hardware dai computer client e viene usato per segnalare la conformità di BitLocker dei computer client.

  • Quando si esegue l'Installazione guidata amministrazione e monitoraggio di Microsoft BitLocker per installare il software del server, la raccolta MBAM Supported Computers, la baseline di configurazione e i report vengono configurati nel server del sito primario Configuration Manager.

  • La console Configuration Manager deve essere installata nello stesso computer in cui si installa il software del server MBAM.

Server di amministrazione e monitoraggio

Sito Web di amministrazione e monitoraggio

Questa funzionalità è configurata in un computer che esegue Windows Server.

Il sito Web Amministrazione e monitoraggio viene usato per:

  • Aiutare gli utenti finali a ottenere nuovamente l'accesso ai computer quando sono bloccati. Questa area del sito Web è comunemente chiamata help desk.

  • Visualizzare il report di controllo del ripristino, che mostra l'attività di ripristino per i computer client. Altri report vengono visualizzati dalla console di Configuration Manager.

Portale self-service

Questa funzionalità è configurata in un computer che esegue Windows Server.

Il portale self-service è un sito Web che consente agli utenti finali nei computer client di accedere in modo indipendente a un sito Web per ottenere una chiave di ripristino se perdono o dimenticano la password di BitLocker.

Monitoraggio dei servizi Web per questo sito Web

Questa funzionalità viene installata in un computer che esegue Windows Server.

I servizi Web di monitoraggio vengono utilizzati dal client MBAM e dai siti Web per comunicare con il database.

Importante

Il servizio Web di monitoraggio non è più disponibile in Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 perché i siti Web MBAM comunicano direttamente con il database di ripristino.

Workstation di gestione

Modelli di Criteri di gruppo di MBAM

  • I modelli Criteri di gruppo MBAM sono Criteri di gruppo impostazioni che definiscono le impostazioni di implementazione per MBAM, che consentono di gestire la crittografia delle unità BitLocker.

  • Prima di eseguire MBAM, è necessario scaricare i modelli di Criteri di gruppo da How to Download and Deploy MDOP Criteri di gruppo (.admx) Templates e copiarli in un server o una workstation che esegue un sistema operativo Windows Server o Windows supportato.

    Nota

    La workstation non deve essere un computer dedicato.

Client MBAM e computer client Configuration Manager

Software client MBAM

Client MBAM:

  • Usa Criteri di gruppo Objects per applicare la crittografia delle unità BitLocker nei computer client dell'organizzazione.

  • Raccoglie la chiave di ripristino di BitLocker per tre tipi di unità dati: unità del sistema operativo, unità dati fisse e unità dati rimovibili (USB).

  • Raccoglie informazioni sul ripristino e informazioni sul computer sui computer client.

Client di Gestione configurazione

Il client Configuration Manager consente a Configuration Manager di raccogliere dati di compatibilità hardware sui computer client e di segnalare le informazioni sulla conformità.

Differenze nella distribuzione di MBAM per le versioni di Configuration Manager supportate

Quando si distribuisce MBAM con la topologia di integrazione Configuration Manager, è possibile installare MBAM in un server del sito primario. Tuttavia, l'installazione di MBAM funziona in modo diverso per System Center 2012 Configuration Manager e Configuration Manager 2007.

versione Configuration Manager Descrizione

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

Se si installa MBAM in un server del sito primario o in un server di amministrazione centrale, MBAM esegue tutte le azioni di installazione in tale server del sito.

Configuration Manager 2007 R2

Configuration Manager 2007

Se si installa MBAM in un server del sito primario che fa parte di una gerarchia di Configuration Manager più grande con un server padre del sito centrale, MBAM identifica il server padre del sito centrale ed esegue tutte le azioni di installazione nel server padre. L'installazione include il controllo dei prerequisiti e l'installazione degli oggetti e dei report Configuration Manager.

Ad esempio, se si installa MBAM in un server del sito primario figlio di un server padre del sito centrale, MBAM installa tutti gli oggetti e i report Configuration Manager nel server padre. Se si installa MBAM nel server padre, MBAM esegue tutte le azioni di installazione nel server padre.

Funzionamento di MBAM con Configuration Manager

L'integrazione di MBAM con Configuration Manager si basa su un pacchetto di configurazione che installa gli elementi descritti nella tabella seguente.

Elementi installati in Configuration Manager Descrizione

Dati di configurazione

I dati di configurazione installano una baseline di configurazione, denominata "Protezione BitLocker", che contiene due elementi di configurazione:

  • Protezione unità del sistema operativo BitLocker

  • Protezione delle unità dati fisse di BitLocker

La baseline di configurazione viene distribuita nella raccolta MBAM Supported Computers, che viene creata anche quando viene installato MBAM.

I due elementi di configurazione forniscono la base per valutare lo stato di conformità dei computer client. Queste informazioni vengono acquisite, archiviate e valutate in Configuration Manager.

Gli elementi di configurazione sono basati sui requisiti di conformità per le unità del sistema operativo e le unità dati fisse. I dettagli necessari per i computer distribuiti vengono raccolti in modo che sia possibile valutare la conformità per tali tipi di unità.

Per impostazione predefinita, la baseline di configurazione valuta lo stato di conformità ogni 12 ore e invia i dati di conformità a Configuration Manager.

Raccolta MBAM Supported Computers

MBAM crea una raccolta denominata MBAM Supported Computers. La baseline di configurazione è destinata ai computer client inclusi in questa raccolta.

Si tratta di una raccolta dinamica. Per impostazione predefinita, viene eseguito ogni 12 ore e valuta l'appartenenza, in base a tre criteri:

  • Il computer è una versione supportata del sistema operativo Windows.

  • Il computer è un computer fisico. Le macchine virtuali non sono supportate.

  • Il computer dispone di un modulo TPM (Trusted Platform Module) disponibile. Per Windows 7 è necessaria una versione compatibile di TPM 1.2 o versione successiva. Windows 11, Windows 10, Windows 8.1, Windows 8 e Windows To Go non richiedono un TPM.

La raccolta viene valutata in base a tutti i computer e viene creato un subset di computer compatibili, che fornisce la base per la valutazione della conformità e la creazione di report per l'integrazione di MBAM.

Rapporti

Quando si configura MBAM con la topologia di integrazione Configuration Manager, tutti i report vengono visualizzati in Configuration Manager, ad eccezione del report di controllo del ripristino, quest'ultimo del quale si continua a visualizzare nel sito Web di amministrazione e monitoraggio di MBAM. I report disponibili in Configuration Manager sono:

Rapporto Descrizione

Dashboard di conformità BitLocker Enterprise

Offre agli amministratori IT tre visualizzazioni delle informazioni in un singolo report: Distribuzione dello stato di conformità, Non conforme - Distribuzione degli errori e Distribuzione dello stato di conformità per tipo di unità. Le opzioni di drill-down nel report consentono agli amministratori IT di fare clic sui dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

BitLocker Enterprise i dettagli di conformità

Consente agli amministratori IT di visualizzare informazioni sullo stato di conformità della crittografia BitLocker dell'organizzazione e include lo stato di conformità per ogni computer. Le opzioni di drill-down nel report consentono agli amministratori IT di fare clic sui dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

Conformità del computer BitLocker

Consente agli amministratori IT di visualizzare un singolo computer e determinare il motivo per cui è stato segnalato con stato conforme o non conforme. Il report visualizza anche lo stato di crittografia delle unità del sistema operativo e delle unità dati fisse.

Riepilogo della conformità BitLocker Enterprise

Consente agli amministratori IT di visualizzare lo stato di conformità dei criteri MBAM nell'organizzazione. Lo stato di ogni computer viene valutato e il report mostra un riepilogo della conformità di tutti i computer dell'organizzazione ai criteri. Le opzioni di drill-down nel report consentono agli amministratori IT di fare clic sui dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.

 

Attività iniziali di MBAM 2.5

Architettura di alto livello di MBAM 2.5 con topologia autonoma

Funzionalità illustrate di una distribuzione di MBAM 2.5

Hai un suggerimento per MBAM?

Per i problemi di MBAM, usare il forum technet di MBAM.