Condividi tramite

Prerequisiti del server di MBAM 2.5 per le topologie di integrazione autonome e di Configuration Manager

  • Articolo

Prima di avviare l'installazione di Microsoft BitLocker Administration and Monitoring (MBAM), è necessario completare i prerequisiti elencati in questo articolo. Questi prerequisiti si applicano alla topologia autonoma di MBAM e alla topologia di integrazione di System Center Configuration Manager.

Se si distribuisce MBAM con System Center Configuration Manager, è necessario completare i prerequisiti aggiuntivi elencati in MBAM 2.5 Prerequisiti del server che si applicano solo alla topologia di integrazione di Configuration Manager.

Per un elenco dei sistemi operativi e hardware supportati per MBAM, vedere Configurazioni supportate di MBAM 2.5.

Importante Se BitLocker è stato usato senza MBAM, è necessario decrittografare l'unità e quindi cancellare TPM usando tpm.msc. MBAM non può assumere la proprietà di TPM se il PC client è già crittografato e la password del proprietario del TPM è stata creata.

Ruoli e account di MBAM necessari

Prerequisito Dettagli

Gruppi creati in Active Directory Domain Services (AD DS)

Per una descrizione di questi gruppi e account, vedere Planning for MBAM 2.5 Groups and Accounts (Pianificazione per i gruppi e gli account di MBAM 2.5 ).

Prerequisiti per il database di ripristino

Prerequisito Dettagli

Versione supportata di SQL Server

Installare Microsoft SQL Server con SQL_Latin1_General_CP1_CI_AS regole di confronto.

Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .

Autorizzazioni necessarie per SQL Server

Autorizzazioni necessarie:

  • Ruoli del server di accesso dell'istanza di SQL Server:

    • dbcreator

    • processadmin

  • Diritti dell'istanza di SQL Server Reporting Services:

    • Creare cartelle

    • Pubblica report

Facoltativo: installare la funzionalità Transparent Data Encryption (TDE) disponibile in SQL Server

La funzionalità sql server TDE esegue la crittografia e la decrittografia di I/O in tempo reale dei dati e dei file di log, che consentono di rispettare le leggi, le normative e le linee guida applicabili ai vari settori.

Nota

TDE esegue la decrittografia in tempo reale delle informazioni del database. Ciò significa che, se si visualizzano le informazioni sulla chiave di ripristino nel database di SQL Server e si è connessi con un account con autorizzazioni per il database, le informazioni sulla chiave di ripristino sono visibili. Per altre informazioni su TDE, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Servizi motore di database di SQL Server

I servizi del motore di database di SQL Server devono essere installati ed eseguiti durante l'installazione di MBAM Server.

Windows PowerShell 3.0 o versione successiva

Windows PowerShell non deve essere installato nel server di database di ripristino se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per il database di conformità e controllo

Prerequisito Dettagli

Versione supportata di SQL Server

Installare SQL Server con regole di confronto SQL_Latin1_General_CP1_CI_AS.

Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .

Autorizzazioni necessarie per SQL Server

Autorizzazioni necessarie:

  • Ruoli del server di accesso dell'istanza di SQL Server:

    • dbcreator

    • processadmin

  • Diritti dell'istanza di SQL Server Reporting Services:

    • Creare cartelle

    • Pubblica report

Facoltativo: installare la funzionalità Transparent Data Encryption (TDE) in SQL Server

La funzionalità sql server TDE esegue la crittografia e la decrittografia di I/O in tempo reale dei dati e dei file di log, che consentono di rispettare le leggi, le normative e le linee guida applicabili ai vari settori.

TDE esegue la decrittografia in tempo reale delle informazioni del database. Ciò significa che, se si visualizzano le informazioni sulla chiave di ripristino nel database di SQL Server e si è connessi con un account con autorizzazioni per il database, le informazioni sulla chiave di ripristino sono visibili. Per altre informazioni su TDE, vedere Considerazioni sulla sicurezza di MBAM 2.5.

Servizi motore di database di SQL Server

I servizi del motore di database di SQL Server devono essere installati ed eseguiti durante l'installazione di MBAM Server. Tuttavia, SQL Server può essere eseguito in remoto; non deve trovarsi nello stesso server in cui si sta installando il software del server MBAM.

Windows PowerShell 3.0 o versione successiva

Windows PowerShell non deve essere installato nel server di database di conformità e controllo se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per i report

Prerequisito Dettagli

Versione supportata di SQL Server

Installare SQL Server con regole di confronto SQL_Latin1_General_CP1_CI_AS.

Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .

SQL Server Reporting Services (SSRS)

SSRS deve essere installato ed eseguito durante l'installazione del server MBAM.

Configurare SSRS in modalità "nativa" e non in modalità non configurata o "SharePoint".

Diritti dell'istanza di SSRS: necessari per la configurazione dei report solo se si installano database in un server separato dal server in cui sono configurati i report.

Diritti necessari per l'istanza:

  • Creare cartelle

  • Pubblica report

Windows PowerShell 3.0 o versione successiva

Windows PowerShell non deve essere installato in questo server di database se si usa Windows PowerShell per configurare il database da un computer remoto.

Prerequisiti per il server di amministrazione e monitoraggio

Nella tabella seguente sono elencati i prerequisiti di installazione per il server di amministrazione e monitoraggio di MBAM.

Prerequisito Dettagli

Ruolo server Web Windows Server

Questo ruolo deve essere aggiunto a un sistema operativo server supportato per la funzionalità Server di amministrazione e monitoraggio.

Strumenti di gestione del server Web (IIS)

Fare clic su Script e strumenti di gestione IIS.

Certificato SSL

Facoltativo. Per proteggere la comunicazione tra i computer client e i servizi Web, è necessario ottenere e installare un certificato firmato da un'autorità di sicurezza attendibile.

Servizi ruolo server Web

Funzionalità HTTP comuni:

  • Contenuto statico

  • Documento predefinito

Sviluppo di applicazioni:

  • ASP.NET

  • Estendibilità .NET

  • Estensioni ISAPI

  • Filtri ISAPI

Sicurezza:

  • Autenticazione di Windows

  • Filtro richieste

Funzionalità di Windows Server

Funzionalità di .NET Framework 4.5:

  • .NET Framework 4.5 o 4.6

    • Windows Server 2016 - .NET Framework 4.6 è già installato per queste versioni di Windows Server, ma è necessario abilitarlo.

    • Windows Server 2012 o Windows Server 2012 R2 - .NET Framework 4.5 è già installato per queste versioni di Windows Server, ma è necessario abilitarlo.

    • Windows Server 2008 R2 - .NET Framework 4.5 non è incluso in Windows Server 2008 R2, quindi è necessario scaricare Microsoft .NET Framework 4.5 e installarlo separatamente.

      Nota

      Se si esegue l'aggiornamento da MBAM 2.0 o MBAM 2.0 SP1 e si deve installare .NET Framework 4.5, vedere Note sulla versione per MBAM 2.5 per un passaggio aggiuntivo necessario per il funzionamento dei siti Web.

  • Attivazione WCF

    • Attivazione HTTP

    • Attivazione non HTTP (solo per Windows Server 2008, 2012 e 2012 R2)

  • Attivazione TCP

Servizio attivazione processo Windows:

  • Modello di processo

  • Ambiente .NET Framework

  • API di configurazione
ASP.NET MVC 4.0[1]

download di ASP.NET MVC 4

Nome entità servizio (SPN)

Le applicazioni Web richiedono un nome SPN per il nome host virtuale nell'account di dominio usato per i pool di applicazioni Web.

Se i diritti amministrativi consentono di creare nomi SPN in Active Directory Domain Services, MBAM crea automaticamente il nome SPN. Per informazioni sui diritti necessari per creare nomi SPN, vedere Setspn .

Se non si dispone dei diritti amministrativi per creare nomi SPN, è necessario chiedere agli amministratori di Active Directory dell'organizzazione di creare automaticamente il nome SPN usando il comando seguente.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Nell'esempio di codice il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per i pool di applicazioni Web è contoso\mbamapppooluser.

Nota

Se si sta configurando il bilanciamento del carico, usare lo stesso account del pool di applicazioni in tutti i server.

Per altre informazioni sulla registrazione dei nomi SPN per nomi host completi, NetBIOS e personalizzati, vedere Pianificazione di come proteggere i siti Web MBAM.

[1]ASP.NET MVC 4.0 non è più necessario dopo l'aggiornamento di manutenzione di gennaio 2023 (HF08).

Prerequisiti per il portale di Self-Service

Prerequisito Dettagli

Versione supportata di Windows Server

Per le versioni supportate, vedere Configurazioni supportate di MBAM 2.5 .
ASP.NET MVC 4.0[2]

download di ASP.NET MVC 4

Strumenti di gestione IIS del servizio Web

Nome entità servizio (SPN)

Le applicazioni Web richiedono un nome SPN per il nome host virtuale nell'account di dominio usato per i pool di applicazioni Web.

Se i diritti amministrativi consentono di creare nomi SPN in Active Directory Domain Services, MBAM crea automaticamente il nome SPN. Per informazioni sui diritti necessari per creare nomi SPN, vedere Setspn .

Se non si dispone dei diritti amministrativi per creare nomi SPN, è necessario chiedere agli amministratori di Active Directory nell'organizzazione di creare automaticamente il nome SPN usando il comando seguente.

Setspn -s http/mbamvirtual contoso\mbamapppooluser
Setspn -s http/mbamvirtual.contoso.com contoso\mbamapppooluser

Nell'esempio di codice il nome host virtuale è mbamvirtual.contoso.com e l'account di dominio usato per i pool di applicazioni Web è contoso\mbamapppooluser.

Nota

Se si sta configurando il bilanciamento del carico, usare lo stesso account del pool di applicazioni in tutti i server.

Per altre informazioni sulla registrazione dei nomi SPN per nomi host completi, NetBIOS e personalizzati, vedere Pianificazione di come proteggere i siti Web MBAM.

[2]ASP.NET MVC 4.0 non è più necessario dopo l'aggiornamento di manutenzione di gennaio 2023 (HF08).

Prerequisiti per la workstation di gestione

Prerequisito Dettagli

Prima di installare il client MBAM, scaricare i modelli di Criteri di gruppo di MBAM e configurarli con le impostazioni che si desidera implementare nell'organizzazione per Crittografia unità BitLocker.

Prima di installare il client MBAM, eseguire le operazioni seguenti:

Operazione da eseguire Dove ottenere le istruzioni

Copiare i modelli di Criteri di gruppo di MBAM

Copia dei modelli dei Criteri di gruppo di MBAM 2.5

Modificare le impostazioni di Criteri di gruppo

Modifica delle impostazioni dei Criteri di gruppo di MBAM 2.5

Preparazione dell'ambiente per MBAM 2.5

Pianificazione della distribuzione di MBAM 2.5

Configurazioni supportate di MBAM 2.5

Hai un suggerimento per MBAM?

Per i problemi di MBAM, usare il forum technet di MBAM.