다음을 통해 공유

Configuration Manager 통합 토폴로지를 사용하여 MBAM 2.5의 고급 아키텍처

  • 아티클

이 문서에서는 Configuration Manager 통합 토폴로지를 사용하여 Microsoft BitLocker 관리 및 모니터링(MBAM)을 배포하는 데 권장되는 아키텍처에 대해 설명합니다. 이 토폴로지에서는 MBAM을 System Center Configuration Manager 통합합니다. 독립 실행형 토폴로지를 사용하여 MBAM을 배포하려면 독립 실행형 토폴로지를 사용하여 MBAM 2.5의 상위 수준 아키텍처를 참조하세요.

이 문서에 언급된 지원되는 소프트웨어 버전 목록은 MBAM 2.5 지원되는 구성을 참조하세요.

중요

Windows To Go는 Configuration Manager 2007을 사용하는 경우 Configuration Manager 통합 토폴로지 설치에 대해 지원되지 않습니다.

프로덕션 환경에서 권장되는 서버 수와 지원되는 클라이언트 수는 다음과 같습니다.

권장 아키텍처 세부 정보

서버 및 기타 컴퓨터 수

서버 3대

하나의 워크스테이션

지원되는 클라이언트 컴퓨터 수

500,000

Configuration Manager 통합과 독립 실행형 토폴로지 간의 차이점

토폴로지 간의 주요 차이점은 다음과 같습니다.

  • 규정 준수 및 보고 기능은 MBAM에서 제거되고 Configuration Manager 액세스됩니다.

  • 보고서는 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있는 복구 감사 보고서를 제외하고 Configuration Manager 관리 콘솔에서 볼 수 있습니다.

다음 다이어그램 및 표에서는 Configuration Manager 통합 토폴로지를 사용하여 MBAM에 권장되는 상위 수준 아키텍처에 대해 설명합니다. MBAM 다중 포리스트 배포에는 단방향 또는 양방향 트러스트가 필요합니다. 단방향 트러스트를 사용하려면 서버 도메인이 클라이언트 도메인을 신뢰해야 합니다.

mbam2-5.

데이터베이스 서버

복구 데이터베이스

이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.

Recovery Database는 MBAM 클라이언트 컴퓨터에서 수집된 복구 데이터를 저장합니다.

감사 데이터베이스

이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.

Audit Database는 복구 데이터에 액세스한 클라이언트 컴퓨터에서 수집된 감사 활동 데이터를 저장합니다.

보고

이 기능은 Windows Server를 실행하는 컴퓨터에서 구성되며 SQL Server 인스턴스에서 지원됩니다.

보고서는 엔터프라이즈의 클라이언트 컴퓨터에 대한 복구 감사 데이터를 제공합니다. Configuration Manager 콘솔에서 또는 SQL Server Reporting Services 직접 보고서를 볼 수 있습니다.

주 사이트 서버 Configuration Manager

System Center Configuration Manager 통합 기능

  • 이 기능은 Configuration Manager 인프라의 최상위 계층 서버인 Configuration Manager 기본 사이트 서버에서 구성됩니다.

  • Configuration Manager Server는 클라이언트 컴퓨터에서 하드웨어 인벤토리 정보를 수집하고 클라이언트 컴퓨터의 BitLocker 준수를 보고하는 데 사용됩니다.

  • Microsoft BitLocker 관리 및 모니터링 설치 마법사를 실행하여 서버 소프트웨어를 설치하면 MBAM 지원 컴퓨터 컬렉션, 구성 기준 및 보고서가 Configuration Manager 기본 사이트 서버에 구성됩니다.

  • Configuration Manager 콘솔은 MBAM Server 소프트웨어를 설치하는 동일한 컴퓨터에 설치해야 합니다.

관리 및 모니터링 서버

관리 및 모니터링 웹 사이트

이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.

관리 및 모니터링 웹 사이트는 다음을 위해 사용됩니다.

  • 최종 사용자가 잠겼을 때 컴퓨터에 대한 액세스 권한을 다시 얻을 수 있도록 도와주세요. 웹 사이트의 이 영역을 일반적으로 지원 센터라고 합니다.

  • 클라이언트 컴퓨터에 대한 복구 작업을 보여 주는 복구 감사 보고서를 봅니다. 다른 보고서는 Configuration Manager 콘솔에서 볼 수 있습니다.

셀프 서비스 포털

이 기능은 Windows Server를 실행하는 컴퓨터에서 구성됩니다.

셀프 서비스 포털은 클라이언트 컴퓨터의 최종 사용자가 BitLocker 암호를 분실하거나 잊어버린 경우 웹 사이트에 독립적으로 로그인하여 복구 키를 가져올 수 있도록 하는 웹 사이트입니다.

이 웹 사이트에 대한 웹 서비스 모니터링

이 기능은 Windows Server를 실행하는 컴퓨터에 설치됩니다.

모니터링 웹 서비스는 MBAM 클라이언트 및 웹 사이트에서 데이터베이스와 통신하는 데 사용됩니다.

중요

MBAM 웹 사이트가 복구 데이터베이스와 직접 통신하므로 모니터링 웹 서비스는 Microsoft BitLocker 관리 및 모니터링(MBAM) 2.5 SP1에서 더 이상 사용할 수 없습니다.

관리 워크스테이션

MBAM 그룹 정책 템플릿

MBAM 클라이언트 및 Configuration Manager 클라이언트 컴퓨터

MBAM 클라이언트 소프트웨어

MBAM 클라이언트:

  • 그룹 정책 개체를 사용하여 엔터프라이즈의 클라이언트 컴퓨터에 BitLocker 드라이브 암호화를 적용합니다.

  • 운영 체제 드라이브, 고정 데이터 드라이브 및 이동식(USB) 데이터 드라이브의 세 가지 데이터 드라이브 유형에 대한 BitLocker 복구 키를 수집합니다.

  • 클라이언트 컴퓨터에 대한 복구 정보 및 컴퓨터 정보를 수집합니다.

구성 관리자 클라이언트

Configuration Manager 클라이언트를 사용하면 Configuration Manager 클라이언트 컴퓨터에 대한 하드웨어 호환성 데이터를 수집하고 규정 준수 정보를 보고할 수 있습니다.

지원되는 Configuration Manager 버전에 대한 MBAM 배포의 차이점

Configuration Manager 통합 토폴로지를 사용하여 MBAM을 배포하는 경우 기본 사이트 서버에 MBAM을 설치할 수 있습니다. 그러나 MBAM 설치는 System Center 2012 Configuration Manager 및 Configuration Manager 2007에서 다르게 작동합니다.

Configuration Manager 버전 설명

System Center 2012 R2 Configuration Manager

System Center 2012 Configuration Manager

기본 사이트 서버 또는 중앙 관리 서버에 MBAM을 설치하는 경우 MBAM은 해당 사이트 서버에서 모든 설치 작업을 수행합니다.

Configuration Manager 2007 R2

Configuration Manager 2007

중앙 사이트 부모 서버를 사용하여 더 큰 Configuration Manager 계층 구조의 일부인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 중앙 사이트 부모 서버를 식별하고 해당 부모 서버에서 모든 설치 작업을 수행합니다. 설치에는 필수 구성 요소 확인 및 Configuration Manager 개체 및 보고서 설치가 포함됩니다.

예를 들어 중앙 사이트 부모 서버의 자식인 기본 사이트 서버에 MBAM을 설치하는 경우 MBAM은 부모 서버에 모든 Configuration Manager 개체 및 보고서를 설치합니다. 부모 서버에 MBAM을 설치하는 경우 MBAM은 해당 부모 서버에서 모든 설치 작업을 수행합니다.

MBAM이 Configuration Manager 작동하는 방식

MBAM과 Configuration Manager 통합은 다음 표에 설명된 항목을 설치하는 구성 팩을 기반으로 합니다.

Configuration Manager 설치된 항목 설명

구성 데이터

구성 데이터는 다음 두 가지 구성 항목을 포함하는 "BitLocker Protection"이라는 구성 기준을 설치합니다.

  • BitLocker 운영 체제 드라이브 보호

  • BitLocker 고정 데이터 드라이브 보호

구성 기준은 MBAM이 설치될 때 생성되는 MBAM 지원 컴퓨터 컬렉션에 배포됩니다.

두 구성 항목은 클라이언트 컴퓨터의 준수 상태를 평가하기 위한 기초를 제공합니다. 이 정보는 Configuration Manager 캡처, 저장 및 평가됩니다.

구성 항목은 운영 체제 드라이브 및 고정 데이터 드라이브에 대한 규정 준수 요구 사항을 기반으로 합니다. 이러한 드라이브 유형에 대한 규정 준수를 평가할 수 있도록 배포된 컴퓨터에 대한 필수 세부 정보가 수집됩니다.

기본적으로 구성 기준은 12시간마다 준수 상태를 평가하고 규정 준수 데이터를 Configuration Manager 보냅니다.

MBAM 지원 컴퓨터 컬렉션

MBAM은 MBAM 지원 컴퓨터라는 컬렉션을 만듭니다. 구성 기준은 이 컬렉션에 있는 클라이언트 컴퓨터를 대상으로 합니다.

동적 컬렉션입니다. 기본적으로 12시간마다 실행되며 다음 세 가지 기준에 따라 멤버 자격을 평가합니다.

  • 컴퓨터는 지원되는 Windows 운영 체제 버전입니다.

  • 컴퓨터는 물리적 컴퓨터입니다. 가상 머신은 지원되지 않습니다.

  • 컴퓨터에 사용할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈)이 있습니다. Windows 7에는 호환되는 버전의 TPM 1.2 이상이 필요합니다. Windows 11, Windows 10, Windows 8.1, Windows 8 및 Windows To Go에는 TPM이 필요하지 않습니다.

컬렉션은 모든 컴퓨터에 대해 평가되고 호환되는 컴퓨터의 하위 집합이 만들어지며, 이는 MBAM 통합에 대한 규정 준수 평가 및 보고의 기초를 제공합니다.

보고

Configuration Manager 통합 토폴로지로 MBAM을 구성하는 경우 복구 감사 보고서를 제외한 Configuration Manager 모든 보고서를 볼 수 있으며, 그 중 후자는 MBAM 관리 및 모니터링 웹 사이트에서 계속 볼 수 있습니다. Configuration Manager 사용할 수 있는 보고서는 다음과 같습니다.

보고서 설명

BitLocker 엔터프라이즈 준수 대시보드

IT 관리자는 단일 보고서에서 준수 상태 배포, 비준수 – 오류 배포 및 드라이브 유형별 준수 상태 배포의 세 가지 정보 보기를 제공합니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 클릭하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.

BitLocker 엔터프라이즈 규정 준수 세부 정보

IT 관리자가 엔터프라이즈의 BitLocker 암호화 준수 상태에 대한 정보를 볼 수 있도록 하고 각 컴퓨터에 대한 준수 상태를 포함할 수 있습니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 클릭하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.

BitLocker 컴퓨터 준수

IT 관리자가 개별 컴퓨터를 보고 규격 또는 비준수 상태로 보고된 이유를 확인할 수 있습니다. 또한 보고서에는 운영 체제 드라이브 및 고정 데이터 드라이브의 암호화 상태도 표시됩니다.

BitLocker 엔터프라이즈 준수 요약

IT 관리자가 엔터프라이즈에서 MBAM 정책 준수 상태를 볼 수 있도록 합니다. 각 컴퓨터의 상태가 평가되고 보고서에는 정책에 대한 엔터프라이즈의 모든 컴퓨터 준수에 대한 요약이 표시됩니다. 보고서의 드릴다운 옵션을 사용하면 IT 관리자가 데이터를 클릭하고 선택한 상태와 일치하는 컴퓨터 목록을 볼 수 있습니다.

 

MBAM 2.5 시작

독립 실행형 토폴로지를 사용하는 MBAM 2.5의 개략적인 아키텍처

MBAM 2.5 배포의 예시된 기능

MBAM에 대한 제안이 있나요?

MBAM 문제의 경우 MBAM TechNet 포럼을 사용합니다.