Como configurar as aplicações Web MBAM 2.5

Este artigo explica como configurar as aplicações Web de Administração e Monitorização do Microsoft BitLocker (MBAM) 2.5 para a arquitetura de alto nível recomendada para o MBAM 2.5 através de um dos seguintes métodos:

• Um cmdlet do Windows PowerShell.

• O assistente de Configuração do Servidor MBAM.

As aplicações Web incluem os seguintes sites e os respetivos serviços Web correspondentes:

• Site de Administração e Monitorização: site onde os utilizadores especificados podem ver relatórios e ajudar os utilizadores a recuperar os respetivos computadores quando se esquecem do PIN ou palavra-passe.
• Portal Self-Service: site ao qual os utilizadores podem aceder para recuperarem o acesso aos respetivos computadores de forma independente caso se esqueçam do PIN ou da palavra-passe.

Antes de iniciar a configuração

• Reveja a arquitetura recomendada para MBAM. Para obter mais informações, veja Arquitetura de alto nível para MBAM 2.5.
• Reveja as configurações suportadas do MBAM. Para obter mais informações, veja Configurações suportadas do MBAM 2.5.
• Preencha os pré-requisitos necessários em cada servidor. Certifique-se de que configura o SQL Server Reporting Services (SSRS) para utilizar o Secure Sockets Layer (SSL) antes de configurar o Site de Administração e Monitorização. Caso contrário, a funcionalidade Relatórios utiliza HTTP em vez de HTTPS. Para obter mais informações, veja Pré-requisitos do servidor MBAM 2.5 para topologias de integração autónomas e do Configuration Manager e pré-requisitos do servidor MBAM 2.5 que se aplicam apenas à topologia de integração do Configuration Manager (se aplicável).
• Registe os nomes dos principais de serviço (SPNs) para a conta do conjunto aplicacional dos sites. Só tem de efetuar este passo se não tiver direitos de domínio administrativo nos Serviços de Domínio do Active Directory (ADDS). Se tiver estes direitos no ADDS, o MBAM cria os SPNs por si. Para obter mais informações, veja Planear como proteger os sites do MBAM.
• Instale o software do Servidor MBAM em cada servidor onde irá configurar uma funcionalidade de Servidor MBAM. Se planear instalar os sites num servidor e os serviços Web noutro, pode configurá-los apenas através do cmdlet Enable-MbamWebApplication do Windows PowerShell. O assistente de Configuração do Servidor MBAM não suporta a configuração destes itens em servidores separados. Para obter mais informações, veja Instalar o software de servidor MBAM 2.5.
• Reveja os pré-requisitos para utilizar o Windows PowerShell se planear utilizar cmdlets para configurar as funcionalidades do Servidor MBAM. Para obter mais informações, veja Configuring MBAM 2.5 server features by using Windows PowerShell (Configurar funcionalidades de servidor MBAM 2.5 com o Windows PowerShell).

Para configurar as aplicações Web com o Windows PowerShell

1. Antes de iniciar a configuração, consulte Configurar as funcionalidades do servidor MBAM 2.5 com o Windows PowerShell para rever os pré-requisitos para utilizar o Windows PowerShell.

2. Utilize o cmdlet Enable-MbamWebApplication para configurar as aplicações Web com o Windows PowerShell. Para obter informações sobre este cmdlet, escreva Get-Help Enable-MbamWebApplication.

Para configurar as definições de todas as aplicações Web com o assistente

1. No servidor onde pretende configurar as aplicações Web, inicie o assistente de Configuração do Servidor MBAM. Pode selecionar Configuração do Servidor MBAM no menu Iniciar para abrir o assistente.

2. Selecione Adicionar Novas Funcionalidades, selecione Administração e Monitorizar Site e Portal Self-Service e, em seguida, selecione Seguinte. O assistente verifica se o servidor cumpre todos os pré-requisitos das aplicações Web.

3. Se a verificação de pré-requisitos for efetuada com êxito, selecione Seguinte para continuar. Caso contrário, resolva os pré-requisitos em falta e, em seguida, selecione Verificar os pré-requisitos novamente.

4. Utilize as seguintes descrições para introduzir os valores de campo no assistente.

   Campo	Descrição
   Certificado de segurança	Selecione um certificado criado anteriormente para, opcionalmente, encriptar a comunicação entre os serviços Web e o servidor no qual está a configurar os sites. Se escolher Não utilizar um certificado, a sua comunicação Web poderá não estar segura.
   Nome do host	Nome do computador anfitrião onde está a configurar os sites.
   Caminho de instalação	Caminho onde está a instalar os sites.
   Port	Número de porta a utilizar para comunicação de sites e serviços. Nota: Tem de definir uma exceção de firewall para ativar a comunicação através da porta especificada.
   Conta de domínio e palavra-passe do conjunto aplicacional do serviço Web	Conta de utilizador de domínio e palavra-passe do conjunto aplicacional do serviço Web. Se introduzir um nome de utilizador no campo de grupo ou utilizador de domínio de acesso de leitura/escrita na página Configurar Bases de Dados , tem de introduzir esse mesmo valor neste campo. Se introduzir um nome de grupo no campo de grupo ou utilizador de domínio de acesso de leitura/escrita na página Configurar Bases de Dados , o valor introduzido neste campo tem de ser um membro desse grupo. Se não especificar credenciais, esta utiliza as credenciais que especificou para qualquer aplicação Web ativada anteriormente. Todas as aplicações Web têm de utilizar as mesmas credenciais do conjunto aplicacional. Se especificar credenciais diferentes para diferentes aplicações Web, este utiliza o valor especificado mais recentemente. Importante: Para maior segurança, defina a conta especificada nas credenciais para ter direitos de utilizador limitados. Além disso, defina a palavra-passe da conta para nunca expirar.

5. Verifique se a conta IIS_IUSRS incorporada ou a conta do conjunto aplicacional foi adicionada às definições de segurança local Representar um cliente após a autenticação e iniciar sessão como uma tarefa de lote .

   Para verificar se foi adicionado às definições de segurança local, abra o editor de Políticas de Segurança Local, expanda o nó Políticas Locais , selecione o nó Atribuição de Direitos de Utilizador e faça duplo clique em Representar um cliente após a autenticação e Inicie sessão como políticas de tarefas de lote no painel direito.

Para configurar as informações de ligação para as bases de dados com o assistente

1. Utilize as seguintes descrições de campos para configurar as informações de ligação no assistente da Base de Dados de Conformidade e Auditoria.

Campo	Descrição
Nome do SQL Server	Nome do servidor onde a Base de Dados de Conformidade e Auditoria está configurada.
Instância da base de dados do SQL Server	Nome da instância do SQL Server onde a Base de Dados de Conformidade e Auditoria está configurada.
Nome da base de dados	Nome da Base de Dados de Conformidade e Auditoria.

2. Utilize as seguintes descrições de campos para configurar as informações de ligação no assistente da Base de Dados de Recuperação.

Campo	Descrição
Nome do SQL Server	Nome do servidor onde a Base de Dados de Recuperação está configurada.
Instância da base de dados do SQL Server	Nome da instância do SQL Server onde a Base de Dados de Recuperação está configurada.
Nome da base de dados	Nome da Base de Dados de Recuperação.

Para configurar as aplicações Web com o assistente

1. Utilize as seguintes descrições para introduzir os valores de campo no assistente para configurar o site de Administração e Monitorização.

   • Grupo de domínios de função de Suporte Técnico Avançado: grupo de utilizadores de domínio cujos membros têm acesso a todas as áreas do site de Administração e Monitorização, exceto na área Relatórios.

   • Grupo de domínios de função de suporte técnico: grupo de utilizadores de domínio cujos membros têm acesso às áreas Gerir TPM e Recuperação de Unidades do site de Administração e Monitorização.

   • Utilizar a Integração do System Center Configuration Manager: se estiver a configurar o MBAM com a topologia de integração do Configuration Manager, selecione esta opção. Faz com que todos os relatórios, exceto o relatório auditoria de recuperação, apareçam no Configuration Manager em vez de no site de Administração e Monitorização.

   • Grupo de domínio de função de relatório: grupo de utilizadores de domínio cujos membros têm acesso só de leitura à área Relatórios do site Administração e Monitorização.

   • URL do SQL Server Reporting Services: URL para o servidor SSRS onde os Relatórios MBAM estão configurados. Exemplos de URLs de relatório:

     Tipo de nome de anfitrião	Exemplo
     Exemplo com um nome de domínio completamente qualificado	https://MyReportServer.Contoso.com/ReportServer
     Exemplo com um nome de anfitrião personalizado	https://MyReportServer/ReportServer

   • Diretório virtual: diretório virtual do Site de Administração e Monitorização. Este nome corresponde ao diretório físico do site no servidor e é acrescentado ao nome do anfitrião do site, por exemplo:

     • https://<hostname>:<port>/HelpDesk/
     • Se não especificar um diretório virtual, este utiliza o valor HelpDesk.

   • Grupo de domínio da função de Migração de Dados (opcional): grupo de utilizadores de domínio cujos membros têm acesso para utilizar os Write-Mbam*Information Cmdlets para escrever informações de recuperação através deste ponto final.

2. Utilize a seguinte descrição para introduzir os valores de campo no assistente para configurar o portal do Self-Service.

   Campo	Descrição
   Diretório virtual	Diretório virtual da aplicação Web. Este nome corresponde ao diretório físico do site no servidor e é acrescentado ao nome do anfitrião do site, por exemplo: https://<hostname>:<port>/SelfService/. Se não especificar um diretório virtual, este utiliza o valor SelfService.
   Nome da empresa	Especifique um nome de empresa para o Portal do Self-Service, por exemplo: TI da Contoso. Todos os utilizadores do portal do Self-Service veem este nome da empresa.
   Texto do URL do suporte técnico	Especifique uma instrução de texto que direcione os utilizadores para o site helpdesk da sua organização, por exemplo: Contacte o Suporte Técnico ou o departamento de TI.
   URL do suporte técnico	Especifique o URL do site helpdesk da sua organização, por exemplo: https://<companyHelpdeskURL>/.
   Reparar no ficheiro de texto	Selecione um ficheiro que contenha o aviso que pretende apresentar aos utilizadores na página de destino do Portal do Self-Service.
   Não apresentar texto de aviso aos utilizadores	Selecione esta caixa de verificação para especificar que o texto do aviso não é apresentado aos utilizadores.

3. Quando terminar as entradas, selecione Seguinte.

   O assistente verifica se o servidor cumpre todos os pré-requisitos das aplicações Web.

4. Selecione Seguinte para continuar.

5. Na página Resumo , reveja as funcionalidades que serão adicionadas.

   Observação

   Para criar um script do Windows PowerShell para as entradas que criou, clique em Exportar Script do PowerShell e guarde o script.

6. Selecione Adicionar para adicionar as aplicações Web ao servidor e, em seguida, selecione Fechar.

   Para personalizar o portal do Self-Service ao adicionar texto de aviso personalizado, o nome da empresa, os ponteiros para obter mais informações e assim sucessivamente, consulte Personalizar o Portal do Self-Service para a sua organização.

Para configurar o Portal do Self-Service se os computadores cliente não conseguirem aceder à CDN

1. Determine se está a executar o Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 SP1. Se sim, não faça nada. A configuração do portal do Self-Service está concluída.

   Observação

   A Administração e Monitorização do Microsoft BitLocker (MBAM) 2.5 SP1 instala os ficheiros JavaScript na configuração, pelo que não precisa de estar ligado à rede de entrega de conteúdos da Microsoft para configurar o portal do Self-Service. Os passos seguintes só são necessários se estiver a utilizar uma versão do Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 anterior ao SP1.

2. Determine se os computadores cliente têm acesso à rede de entrega de conteúdos (CDN) da Microsoft.

   A CDN dá ao Portal do Self-Service o acesso necessário a determinados ficheiros JavaScript. Se não configurar o Portal do Self-Service quando os computadores cliente não conseguirem aceder à CDN, apenas o nome da empresa e a conta na qual o utilizador final iniciou sessão serão apresentados. Não é apresentada nenhuma mensagem de erro.

3. Efetue uma das seguintes ações:

   • Se os computadores cliente tiverem acesso à CDN, não faça nada. A configuração do portal do Self-Service está concluída.

   • Se os computadores cliente não tiverem acesso à CDN, conclua os passos em Como configurar o Portal do Self-Service quando os computadores cliente não conseguirem aceder à rede de entrega de conteúdos da Microsoft.

Artigos relacionados

Registos de eventos do servidor

Configurar as funcionalidades do servidor MBAM 2.5

Como configurar o Portal do Self-Service quando os computadores cliente não conseguem aceder à rede de entrega de conteúdos da Microsoft

Personalizar o Portal do Self-Service para a sua organização

Validar a configuração da funcionalidade do servidor MBAM 2.5