Configuration Manager 통합 토폴로지를 사용하여 MBAM 2.5의 고급 아키텍처
이 문서에서는 Configuration Manager 통합 토폴로지를 사용하여 Microsoft BitLocker 관리 및 모니터링(MBAM)을 배포하는 데 권장되는 아키텍처에 대해 설명합니다. 이 토폴로지에서는 MBAM을 System Center Configuration Manager 통합합니다. 독립 실행형 토폴로지를 사용하여 MBAM을 배포하려면 독립 실행형 토폴로지를 사용하여 MBAM 2.5의 상위 수준 아키텍처를 참조하세요.
이 문서에 언급된 지원되는 소프트웨어 버전 목록은 MBAM 2.5 지원되는 구성을 참조하세요.
중요
Windows To Go는 Configuration Manager 2007을 사용하는 경우 Configuration Manager 통합 토폴로지 설치에 대해 지원되지 않습니다.
권장되는 서버 수 및 지원되는 클라이언트 수
프로덕션 환경에서 권장되는 서버 수와 지원되는 클라이언트 수는 다음과 같습니다.
권장 아키텍처 | 세부 정보 |
---|---|
서버 및 기타 컴퓨터 수 |
서버 3대 하나의 워크스테이션 |
지원되는 클라이언트 컴퓨터 수 |
500,000 |
Configuration Manager 통합과 독립 실행형 토폴로지 간의 차이점
토폴로지 간의 주요 차이점은 다음과 같습니다.
규정 준수 및 보고 기능은 MBAM에서 제거되고 Configuration Manager 액세스됩니다.
보고서는 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있는 복구 감사 보고서를 제외하고 Configuration Manager 관리 콘솔에서 볼 수 있습니다.
Configuration Manager 통합 토폴로지를 사용하는 권장 MBAM 고급 아키텍처
다음 다이어그램 및 표에서는 Configuration Manager 통합 토폴로지를 사용하여 MBAM에 권장되는 상위 수준 아키텍처에 대해 설명합니다. MBAM 다중 포리스트 배포에는 단방향 또는 양방향 트러스트가 필요합니다. 단방향 트러스트를 사용하려면 서버 도메인이 클라이언트 도메인을 신뢰해야 합니다.
데이터베이스 서버
복구 데이터베이스
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.
Recovery Database는 MBAM 클라이언트 컴퓨터에서 수집된 복구 데이터를 저장합니다.
감사 데이터베이스
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.
Audit Database는 복구 데이터에 액세스한 클라이언트 컴퓨터에서 수집된 감사 활동 데이터를 저장합니다.
보고
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.
보고서는 엔터프라이즈의 클라이언트 컴퓨터에 대한 복구 감사 데이터를 제공합니다. Configuration Manager 콘솔에서 또는 SQL Server Reporting Services 직접 보고서를 볼 수 있습니다.
주 사이트 서버 Configuration Manager
System Center Configuration Manager 통합 기능
이 기능은 Configuration Manager 인프라의 최상위 계층 서버인 Configuration Manager 기본 사이트 서버에서 구성됩니다.
Configuration Manager Server는 클라이언트 컴퓨터에서 하드웨어 인벤토리 정보를 수집하고 클라이언트 컴퓨터의 BitLocker 준수를 보고하는 데 사용됩니다.
Microsoft BitLocker 관리 및 모니터링 설치 마법사를 실행하여 서버 소프트웨어를 설치하면 MBAM 지원 컴퓨터 컬렉션, 구성 기준 및 보고서가 Configuration Manager 기본 사이트 서버에 구성됩니다.
Configuration Manager 콘솔은 MBAM Server 소프트웨어를 설치하는 동일한 컴퓨터에 설치해야 합니다.
관리 및 모니터링 서버
관리 및 모니터링 웹 사이트
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.
관리 및 모니터링 웹 사이트는 다음을 위해 사용됩니다.
최종 사용자가 잠겼을 때 컴퓨터에 대한 액세스 권한을 다시 얻을 수 있도록 도와주세요. 웹 사이트의 이 영역을 일반적으로 지원 센터라고 합니다.
클라이언트 컴퓨터에 대한 복구 작업을 보여 주는 복구 감사 보고서를 봅니다. 다른 보고서는 Configuration Manager 콘솔에서 볼 수 있습니다.
셀프 서비스 포털
이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.
셀프 서비스 포털은 클라이언트 컴퓨터의 최종 사용자가 BitLocker 암호를 분실하거나 잊어버린 경우 웹 사이트에 독립적으로 로그인하여 복구 키를 가져올 수 있도록 하는 웹 사이트입니다.
이 웹 사이트에 대한 웹 서비스 모니터링
이 기능은 Windows Server를 실행하는 컴퓨터에 설치됩니다.
모니터링 웹 서비스는 MBAM 클라이언트 및 웹 사이트에서 데이터베이스와 통신하는 데 사용됩니다.
중요
MBAM 웹 사이트가 복구 데이터베이스와 직접 통신하므로 모니터링 웹 서비스는 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1에서 더 이상 사용할 수 없습니다.
관리 워크스테이션
MBAM 그룹 정책 템플릿
MBAM 그룹 정책 템플릿은 BitLocker 드라이브 암호화를 관리할 수 있는 MBAM에 대한 구현 설정을 정의하는 그룹 정책 설정입니다.
MBAM을 실행하기 전에 MDOP 그룹 정책(.admx) 템플릿을 다운로드 및 배포하는 방법에서 그룹 정책 템플릿을 다운로드하고 지원되는 Windows Server 또는 Windows 운영 체제를 실행하는 서버 또는 워크스테이션에 복사해야 합니다.
참고
워크스테이션이 전용 컴퓨터일 필요는 없습니다.
MBAM 클라이언트 및 Configuration Manager 클라이언트 컴퓨터
MBAM 클라이언트 소프트웨어
MBAM 클라이언트:
그룹 정책 개체를 사용하여 엔터프라이즈의 클라이언트 컴퓨터에 BitLocker 드라이브 암호화를 적용합니다.
운영 체제 드라이브, 고정 데이터 드라이브 및 이동식(USB) 데이터 드라이브의 세 가지 데이터 드라이브 유형에 대한 BitLocker 복구 키를 수집합니다.
클라이언트 컴퓨터에 대한 복구 정보 및 컴퓨터 정보를 수집합니다.
구성 관리자 클라이언트
Configuration Manager 클라이언트를 사용하면 Configuration Manager 클라이언트 컴퓨터에 대한 하드웨어 호환성 데이터를 수집하고 규정 준수 정보를 보고할 수 있습니다.
지원되는 Configuration Manager 버전에 대한 MBAM 배포의 차이점
Configuration Manager 통합 토폴로지를 사용하여 MBAM을 배포하는 경우 기본 사이트 서버에 MBAM을 설치할 수 있습니다. 그러나 MBAM 설치는 System Center 2012 Configuration Manager 및 Configuration Manager 2007에서 다르게 작동합니다.
Configuration Manager 버전 | 설명 |
---|---|
System Center 2012 R2 Configuration Manager System Center 2012 Configuration Manager |
기본 사이트 서버 또는 중앙 관리 서버에 MBAM을 설치하는 경우 MBAM은 해당 사이트 서버에서 모든 설치 작업을 수행합니다. |
Configuration Manager 2007 R2 Configuration Manager 2007 |
중앙 사이트 부모 서버를 사용하여 더 큰 Configuration Manager 계층 구조의 일부인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 중앙 사이트 부모 서버를 식별하고 해당 부모 서버에서 모든 설치 작업을 수행합니다. 설치에는 필수 구성 요소 확인 및 Configuration Manager 개체 및 보고서 설치가 포함됩니다. 예를 들어 중앙 사이트 부모 서버의 자식인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 부모 서버에 모든 Configuration Manager 개체 및 보고서를 설치합니다. 부모 서버에 MBAM을 설치하는 경우 MBAM은 해당 부모 서버에서 모든 설치 작업을 수행합니다. |
MBAM이 Configuration Manager 작동하는 방식
MBAM과 Configuration Manager 통합은 다음 표에 설명된 항목을 설치하는 구성 팩을 기반으로 합니다.
Configuration Manager 설치된 항목 | 설명 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
구성 데이터 |
구성 데이터는 다음 두 가지 구성 항목을 포함하는 "BitLocker Protection"이라는 구성 기준을 설치합니다.
구성 기준은 MBAM이 설치될 때 생성되는 MBAM 지원 컴퓨터 컬렉션에 배포됩니다. 두 구성 항목은 클라이언트 컴퓨터의 준수 상태를 평가하기 위한 기초를 제공합니다. 이 정보는 Configuration Manager 캡처, 저장 및 평가됩니다. 구성 항목은 운영 체제 드라이브 및 고정 데이터 드라이브에 대한 규정 준수 요구 사항을 기반으로 합니다. 이러한 드라이브 유형에 대한 규정 준수를 평가할 수 있도록 배포된 컴퓨터에 대한 필수 세부 정보가 수집됩니다. 기본적으로 구성 기준은 12시간마다 준수 상태를 평가하고 규정 준수 데이터를 Configuration Manager 보냅니다. |
||||||||||
MBAM 지원 컴퓨터 컬렉션 |
MBAM은 MBAM 지원 컴퓨터라는 컬렉션을 만듭니다. 구성 기준은 이 컬렉션에 있는 클라이언트 컴퓨터를 대상으로 합니다. 동적 컬렉션입니다. 기본적으로 12시간마다 실행되며 다음 세 가지 기준에 따라 멤버 자격을 평가합니다.
컬렉션은 모든 컴퓨터에 대해 평가되고 호환되는 컴퓨터의 하위 집합이 만들어지며, 이는 MBAM 통합에 대한 규정 준수 평가 및 보고의 기초를 제공합니다. |
||||||||||
보고 |
Configuration Manager 통합 토폴로지로 MBAM을 구성하는 경우 복구 감사 보고서를 제외한 Configuration Manager 모든 보고서를 볼 수 있으며, 그 중 후자는 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있습니다. Configuration Manager 사용할 수 있는 보고서는 다음과 같습니다.
|
관련 문서
독립 실행형 토폴로지를 사용하는 MBAM 2.5의 개략적인 아키텍처
MBAM에 대한 제안이 있나요?
MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.