Come configurare le applicazioni Web di MBAM 2.5
Questo argomento illustra come configurare le applicazioni Web Di amministrazione e monitoraggio di Microsoft BitLocker (MBAM) 2.5 per l'architettura di alto livello consigliata per MBAM 2.5 usando uno dei metodi seguenti:
Cmdlet di Windows PowerShell
Configurazione guidata server di MBAM
Le applicazioni Web comprendono i siti Web seguenti e i relativi servizi Web corrispondenti:
Website | Descrizione |
---|---|
Sito Web di amministrazione e monitoraggio |
Sito Web in cui gli utenti specificati possono visualizzare i report e aiutare gli utenti finali a ripristinare i computer quando dimenticano il PIN o la password |
Portale di Self-Service |
Sito Web a cui gli utenti finali possono accedere per ottenere l'accesso indipendente ai propri computer se dimenticano il PIN o la password |
Prima di avviare la configurazione:
Passaggio | Dove ottenere le istruzioni |
---|---|
Esaminare l'architettura consigliata per MBAM. |
|
Esaminare le configurazioni supportate per MBAM. |
|
Completare i prerequisiti necessari in ogni server.
Nota
Assicurarsi di configurare SQL ServerReporting Services (SSRS) per l'uso di Secure Sockets Layer (SSL) prima di configurare il sito Web amministrazione e monitoraggio. In caso contrario, la funzionalità Report userà HTTP anziché HTTPS. |
|
Registrare i nomi dell'entità servizio (SPN) per l'account del pool di applicazioni per i siti Web. È necessario eseguire questo passaggio solo se non si dispone di diritti di dominio amministrativi in Active Directory Domain Services (AD DS). Se si dispone di questi diritti in Active Directory Domain Services, MBAM creerà automaticamente i nomi SPN. |
|
Installare il software del server MBAM in ogni server in cui verrà configurata una funzionalità del server MBAM.
Nota
Se si prevede di installare i siti Web in un server e i servizi Web in un altro, sarà possibile configurarli solo usando il cmdlet Enable-MbamWebApplication di Windows PowerShell. La configurazione guidata server di MBAM non supporta la configurazione di questi elementi in server separati. |
|
Esaminare i prerequisiti per l'uso di Windows PowerShell se si prevede di usare i cmdlet per configurare le funzionalità del server MBAM. |
Configurazione delle funzionalità del server di MBAM 2.5 con Windows PowerShell |
Per configurare le applicazioni Web tramite Windows PowerShell
Prima di avviare la configurazione, vedere Configurazione delle funzionalità del server MBAM 2.5 tramite Windows PowerShell per esaminare i prerequisiti per l'uso di Windows PowerShell.
Usare il cmdlet Enable-MbamWebApplication per configurare le applicazioni Web tramite Windows PowerShell. Per ottenere informazioni su questo cmdlet, digitare Get-Help Enable-MbamWebApplication.
Per configurare le impostazioni per tutte le applicazioni Web tramite la procedura guidata
Nel server in cui si desidera configurare le applicazioni Web avviare la configurazione guidata del server MBAM. È possibile selezionare Configurazione server MBAM dal menu Start per aprire la procedura guidata.
Fare clic su Aggiungi nuove funzionalità, selezionare Sito Web di amministrazione e monitoraggio e Portale self-service e quindi fare clic su Avanti. La procedura guidata verifica che siano stati soddisfatti tutti i prerequisiti per le applicazioni Web.
Se il controllo dei prerequisiti ha esito positivo, fare clic su Avanti per continuare. In caso contrario, risolvere eventuali prerequisiti mancanti e quindi fare di nuovo clic su Verifica prerequisiti.
Utilizzare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata.
Campo Descrizione Certificato di sicurezza
Selezionare un certificato creato in precedenza per crittografare facoltativamente la comunicazione tra i servizi Web e il server in cui si stanno configurando i siti Web. Se si sceglie Non usare un certificato, la comunicazione Web potrebbe non essere sicura.
Nome dell'host
Nome del computer host in cui si configurano i siti Web.
Percorso di installazione
Percorso in cui si installano i siti Web.
Port
Numero di porta da usare per la comunicazione tra siti Web e servizi.
NotaÈ necessario impostare un'eccezione del firewall per abilitare la comunicazione tramite la porta specificata.
Account di dominio e password del pool di applicazioni del servizio Web
Account utente di dominio e password per il pool di applicazioni del servizio Web.
Se si immette un nome utente nel campo Utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , è necessario immettere lo stesso valore in questo campo.
Se si immette un nome di gruppo nel campo utente o gruppo di dominio di accesso in lettura/scrittura nella pagina Configura database , il valore immesso in questo campo deve essere un membro di tale gruppo.
Se non si specificano le credenziali, verranno usate le credenziali specificate per qualsiasi applicazione Web abilitata in precedenza. Tutte le applicazioni Web devono usare le stesse credenziali del pool di applicazioni. Se si specificano credenziali diverse per applicazioni Web diverse, verrà usato il valore specificato più di recente.
ImportantePer una maggiore sicurezza, impostare l'account specificato nelle credenziali in modo che disponga di diritti utente limitati. Impostare inoltre la password dell'account in modo che non scada mai.
Verificare che l'account IIS_IUSRS predefinito o l'account del pool di applicazioni sia stato aggiunto a Rappresenta un client dopo l'autenticazione e alle impostazioni di sicurezza locali Di accesso come processo batch .
Per verificare se è stato aggiunto alle impostazioni di sicurezza locali, aprire l'editor dei criteri di sicurezza locali, espandere il nodo Criteri locali , fare clic sul nodo Assegnazione diritti utente e fare doppio clic su Rappresenta un client dopo l'autenticazione e Accedere come criteri di processo batch nel riquadro destro.
Per configurare le informazioni di connessione per i database tramite la procedura guidata
Usare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di conformità e controllo.
Campo Descrizione Nome di SQL Server
Nome del server in cui è configurato il database di conformità e controllo.
Istanza del database di SQL Server
Nome dell'istanza di SQL Server in cui è configurato il database di conformità e controllo.
Nome database
Nome del database di conformità e di controllo.
Utilizzare le descrizioni dei campi seguenti per configurare le informazioni di connessione nella procedura guidata per il database di ripristino.
Campo Descrizione Nome di SQL Server
Nome del server in cui è configurato il database di ripristino.
Istanza del database di SQL Server
Nome dell'istanza di SQL Server in cui è configurato il database di ripristino.
Nome database
Nome del database di ripristino.
Per configurare le applicazioni Web tramite la procedura guidata
Utilizzare le descrizioni seguenti per immettere i valori dei campi nella procedura guidata per configurare il sito Web amministrazione e monitoraggio.
Campo Descrizione Gruppo di dominio del ruolo Helpdesk avanzato
Gruppo di utenti di dominio i cui membri hanno accesso a tutte le aree del sito Web amministrazione e monitoraggio, ad eccezione dell'area Report.
Gruppo di dominio del ruolo Helpdesk
Gruppo di utenti di dominio i cui membri hanno accesso alle aree Gestisci TPM e Ripristino unità del sito Web amministrazione e monitoraggio.
Usare l'integrazione di System Center Configuration Manager
Selezionare questa casella di controllo se si sta configurando MBAM con la topologia di integrazione di Configuration Manager. Se si seleziona questa casella di controllo, tutti i report, ad eccezione del report Controllo ripristino, vengono visualizzati in Configuration Manager anziché nel sito Web Amministrazione e monitoraggio.
Gruppo di dominio del ruolo di creazione di report
Gruppo di utenti di dominio i cui membri hanno accesso in sola lettura all'area Report del sito Web amministrazione e monitoraggio.
SQL Server Reporting Services URL
URL per il server SSRS in cui sono configurati i report di MBAM.
Esempi di URL di report:
Tipo di nome host Esempio Esempio con un nome di dominio completo
https://MyReportServer.Contoso.com/ReportServer
Esempio con un nome host personalizzato
https://MyReportServer/ReportServer
Directory virtuale
Directory virtuale del sito Web amministrazione e monitoraggio. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web, ad esempio:
http(s)://<hostname>:<port>/HelpDesk/
Se non si specifica una directory virtuale, verrà usato il valore HelpDesk .
Gruppo di dominio del ruolo Migrazione dati (facoltativo)
Gruppo di utenti di dominio i cui membri hanno accesso per usare i cmdlet Write-Mbam*Information per scrivere informazioni di ripristino tramite questo endpoint.
Usare la descrizione seguente per immettere i valori dei campi nella procedura guidata per configurare il portale di Self-Service.
Campo Descrizione Directory virtuale
Directory virtuale dell'applicazione Web. Questo nome corrisponde alla directory fisica del sito Web nel server e viene aggiunto al nome host del sito Web, ad esempio:
http(s)://<hostname>:<port>/SelfService/
Se non si specifica una directory virtuale, verrà usato il valore SelfService .
Ragione sociale
Specificare un nome della società per il portale di Self-Service, ad esempio:
Contoso IT
Il nome della società viene visualizzato da tutti gli utenti del portale di Self-Service.
Testo URL helpdesk
Specificare un'istruzione di testo che indirizza gli utenti al sito Web helpdesk dell'organizzazione, ad esempio:
Contattare il supporto tecnico o il reparto IT
Helpdesk URL
Specificare l'URL per il sito Web helpdesk dell'organizzazione, ad esempio:
http(s)://<companyHelpdeskURL>/
File di testo avviso
Selezionare un file contenente l'avviso che si vuole visualizzare agli utenti nella pagina di destinazione del portale di Self-Service.
Non visualizzare testo avviso per gli utenti
Selezionare questa casella di controllo per specificare che il testo della notifica non viene visualizzato agli utenti.
Al termine delle voci, fare clic su Avanti.
La procedura guidata verifica che siano stati soddisfatti tutti i prerequisiti per le applicazioni Web.
Fai clic su Next per continuare.
Nella pagina Riepilogo esaminare le funzionalità che verranno aggiunte.
Nota Per creare uno script di Windows PowerShell per le voci effettuate, fare clic su Esporta script di PowerShell e salvare lo script.
Fare clic su Aggiungi per aggiungere le applicazioni Web al server e quindi fare clic su Chiudi.
Per personalizzare il portale di Self-Service aggiungendo testo di avviso personalizzato, il nome della società, i puntatori a altre informazioni e così via, vedere Personalizzazione del portale di Self-Service per l'organizzazione.
Per configurare il portale Self-Service se i computer client non possono accedere alla rete CDN
Determinare se si esegue Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Se è così, non fare nulla. La configurazione del portale di Self-Service è completa.
Nota Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1 installa i file JavaScript nel programma di installazione e quindi non è necessario connettersi alla rete di distribuzione di contenuti Microsoft Ajax per configurare il portale di Self-Service. I passaggi seguenti sono necessari solo se si usa una versione di Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 precedente a SP1.
Determinare se i computer client hanno accesso a Microsoft Ajax Content Delivery Network (CDN).
La rete CDN offre al portale di Self-Service l'accesso richiesto a determinati file JavaScript. Se non si configura il portale di Self-Service quando i computer client non possono accedere alla rete CDN, verranno visualizzati solo il nome della società e l'account con cui verrà visualizzato l'accesso dell'utente finale. Non verrà visualizzato alcun messaggio di errore.
Effettua una delle seguenti operazioni:
Se i computer client hanno accesso alla rete CDN, non eseguire alcuna operazione. La configurazione del portale di Self-Service è completa.
Se i computer client non hanno accesso alla rete CDN, completare la procedura descritta in Come configurare il portale di Self-Service quando i computer client non possono accedere alla rete di distribuzione di contenuti Microsoft.
Argomenti correlati
Configurazione delle funzionalità server di MBAM 2.5
Personalizzazione del portale self-service per l'organizzazione
Convalida della configurazione delle funzionalità del server di MBAM 2.5
Hai un suggerimento per MBAM?
Per i problemi di MBAM, usare il forum technet di MBAM.