Guida introduttiva - Utilizzo di MBAM con Configuration Manager
Aggiornamento: aprile 2013
Si applica a: Microsoft BitLocker Administration and Monitoring 2.0
Quando si installa Microsoft BitLocker Administration and Monitoring (MBAM), è possibile scegliere una topologia che integra Configuration Manager 2007 o System Center 2012 Configuration Manager con MBAM. Nella topologia integrata, le funzionalità relative ai report e alla conformità hardware sono rimosse da MBAM e accessibili da Configuration Manager.
Importante
Quando si installa la topologia integrata di MBAM con Configuration Manager 2007, Windows To Go non è supportato.
Utilizzo di MBAM con Configuration Manager
L'integrazione di MBAM è basata su un nuovo pacchetto di configurazione che consente di installare tre elementi in Configuration Manager 2007 oppure System Center 2012 Configuration Manager. Questi elementi vengono descritti dettagliatamente nelle seguenti sezioni:
Gestione della configurazione desiderata (DCM), consiste in elementi di configurazione e una linea di base
Raccolta
Report
Elementi DCM
DCM consente di installare una linea di base, chiamata "Protezione BitLocker", che contiene due elementi di configurazione (CI): "Protezione unità sistema operativo BitLocker" e "Protezione unità dati fissa BitLocker". La linea di base viene distribuita nella raccolta creata durante l'installazione di MBAM. I due elementi di configurazione forniscono la base per valutare lo stato di conformità dei computer client. Queste informazioni sono acquisite, archiviate e valutate in Configuration Manager. Gli elementi di configurazione si basano sui requisiti di conformità per unità del sistema operativo (OSD) e unità dati fisse (FDD). I dettagli necessari per i computer distribuiti vengono raccolti in modo da consentire la valutazione della conformità per quei tipi di unità. Per impostazione predefinita, la linea di base consente di valutare lo stato di conformità ogni 12 ore e di inviare i dati di conformità a Configuration Manager.
Raccolta
MBAM crea una raccolta che viene chiamata Computer supportati da MBAM. La linea di base di DCM è destinata ai computer client contenuti nella raccolta. Si tratta di una raccolta dinamica che, per impostazione predefinita, viene eseguita ogni 12 ore e consente di valutare l'appartenenza dei sistemi in base a tre criteri:
È necessario che sia disponibile una versione supportata del sistema operativo Windows. Attualmente, MBAM supporta solo Windows 7 Enterprise e Windows 7 Ultimate, Windows 8 Enterprise e Windows To Go eseguito in Windows 8 Enterprise.
È necessario che si tratti di un computer fisico. Le macchine virtuali non sono supportate.
È necessario che sia disponibile TPM (Trusted Platform Module). Per Windows 7 è richiesta una versione compatibile di TPM 1.2 o successiva. Windows 8 e Windows To Go non richiedono un TPM.
La raccolta viene valutata rispetto a tutti i computer e viene creato un sottoinsieme di computer compatibili che forniscono la base per la valutazione e i report di conformità per l'integrazione di MBAM.
Report
Per visualizzare la conformità sono disponibili quattro report. I report sono:
Dashboard di conformità aziendale BitLocker, che offre agli amministratori IT tre diverse visualizzazioni di informazioni su un singolo report: Distribuzione stato di conformità, Distribuzione non compatibile con errori e Distribuzione stato di conformità per tipo di unità. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.
Dettagli di conformità aziendale BitLocker, che consente agli amministratori IT di visualizzare informazioni relative allo stato di conformità della crittografia BitLocker aziendale includendo lo stato di conformità per ogni computer. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.
Conformità computer BitLocker, che consente agli amministratori IT di visualizzare un singolo computer e stabilire perché è stato segnalato con uno stato di conformità o non conformità. Il report visualizza inoltre lo stato di crittografia delle unità del sistema operativo (OSD) e delle unità dati fisse (FDD).
Riepilogo di conformità aziendale BitLocker, che consente agli amministratori IT di visualizzare lo stato di conformità aziendale con i criteri di MBAM. Lo stato di ogni computer viene valutato e il report visualizza un riepilogo di conformità di tutti i computer aziendali rispetto ai criteri. Opzioni dettagliate nel report consentono agli amministratori IT di selezionare i dati e visualizzare un elenco di computer che corrispondono allo stato selezionato.
Architettura di alto livello di MBAM con Configuration Manager
Nalla seguente immagine viene mostrata l'architettura di MBAM con la topologia di Configuration Manager. Questa configurazione supporta fino a 200.000 client di MBAM in un ambiente di produzione.
Di seguito viene fornita una descrizione dei server, dei database e delle funzionalità di questa architettura. Nell'immagine dell'architettura, le funzionalità del server e i database sono elencati in corrispondenza del computer o server in cui si consiglia di installarli.
Server di database – il Database di ripristino e il Database di conformità e controllo vengono installati in un server Windows e in un'istanza di SQL Server supportata. Nel database di ripristino vengono archiviati i dati di ripristino raccolti da computer client di MBAM. Nel database di controllo e conformità vengono archiviati i dati raccolti dai computer client che hanno ottenuto accesso ai dati di ripristino.
Server sito primario di Configuration Manager – il server di Configuration Manager viene installato in un server Windows. Il server di Configuration Manager raccoglie le informazioni dell'inventario hardware dai computer client e viene utilizzato per segnalare la conformità BitLocker dei computer client.
Server di Administration and Monitoring - il Server di Administration and Monitoring viene installato in un server Windows e consiste del sito Web di Administration and Monitoring e dei servizi Web di monitoraggio. Il sito Web di Administration and Monitoring viene utilizzato per controllare le attività e accedere ai dati di ripristino (ad esempio le chiavi di ripristino di BitLocker). Inoltre, il portale self-service viene installato nel server di Administration and Monitoring. Il portale consente agli utenti finali sui computer client di connettersi indipendentemente a un sito Web per ottenere una chiave di ripristino qualora perdano o dimentichino le password BitLocker.
Workstation di gestione - il Modello criteri è composto da oggetti Criteri di gruppo che definiscono le impostazioni di implementazione di MBAM per la crittografia unità BitLocker. È possibile installare il modello di criteri in qualsiasi server o workstation, tuttavia il modello viene generalmente installato nella workstation di gestione, che può essere un server di Windows o un computer client. Non è necessario che la workstation sia un computer dedicato.
Client MBAM e computer del client Configuration Manager
MBAM Client esegue le attività seguenti:
Utilizza oggetti Criteri di gruppo per applicare la crittografia BitLocker dei computer client aziendali.
Raccoglie la chiave di ripristino per i tre tipi di unità dati BitLocker: unità del sistema operativo, unità dati fisse e unità dati rimovibili (USB).
Raccoglie le informazioni sul ripristino e sull'hardware dei computer client.
Configuration Manager Client – il client Configuration Manager consente a Configuration Manager di raccogliere i dati di compatibilità hardware sui computer client e di generare report con le informazioni di conformità.
Vedere anche
Altre risorse
Utilizzo di MBAM con Configuration Manager
-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----