Начало работы — использование MBAM с диспетчером конфигураций
При установке Microsoft BitLocker Administration and Monitoring (MBAM) можно выбрать топологию, которая интегрирует MBAM с Configuration Manager 2007 или System Center 2012 Configuration Manager. Список поддерживаемых версий Configuration Manager, поддерживаемых MBAM, см. в статье "Планирование развертывания MBAM с помощью Configuration Manager". В интегрированной топологии функции соответствия оборудования и отчетности удаляются из MBAM и доступны из Configuration Manager.
Важно Windows To Go не поддерживается при установке интегрированной топологии MBAM с Configuration Manager 2007.
Использование MBAM с диспетчером конфигураций
Интеграция MBAM основана на новом пакете конфигурации, который устанавливает следующие три элемента в Configuration Manager 2007 или System Center 2012 Configuration Manager, которые подробно описаны в следующих разделах:
Данные конфигурации, состоящие из элементов конфигурации и базовой конфигурации
Коллекция
Отчеты
Данные конфигурации
Данные конфигурации устанавливают базовую конфигурацию с именем BitLocker Protection, которая содержит два элемента конфигурации: "Защита диска операционной системы BitLocker" и "Защита фиксированных дисков данных BitLocker". Базовая конфигурация развертывается в коллекции, которая также создается при установке MBAM. Два элемента конфигурации обеспечивают основу для оценки состояния соответствия клиентских компьютеров. Эти сведения записываются, сохраняются и оцениваются в Configuration Manager. Элементы конфигурации основаны на требованиях к соответствию дискам операционной системы (OSD) и фиксированным дискам данных (FDD). Собираются необходимые сведения для развернутых компьютеров, чтобы можно было оценить соответствие для этих типов дисков. По умолчанию базовая конфигурация оценивает состояние соответствия каждые 12 часов и отправляет данные соответствия в Configuration Manager.
Коллекция
MBAM создает коллекцию, которая называется поддерживаемыми компьютерами MBAM. Базовая конфигурация предназначена для клиентских компьютеров, которые находятся в этой коллекции. Это динамическая коллекция, которая по умолчанию выполняется каждые 12 часов и оценивает членство. Членство основано на трех критериях:
Это поддерживаемая версия операционной системы Windows. В настоящее время MBAM поддерживает только Windows 7 Корпоративная, Windows 7 Максимальная, Windows 8 Корпоративная и Windows To Go, если Windows To Go работает в Windows 8 Корпоративная.
Это физический компьютер. Виртуальные машины не поддерживаются.
Доступен доверенный платформенный модуль (TPM). Для Windows 7 требуется совместимая версия TPM 1.2 или более поздней версии. Windows 8 и Windows To Go не требуют TPM.
Коллекция оценивается на всех компьютерах и создает подмножество совместимых компьютеров, которое предоставляет основу для оценки соответствия требованиям и создания отчетов для интеграции MBAM.
Отчеты
Существует четыре отчета, которые можно использовать для просмотра соответствия требованиям. К ним относятся:
корпоративная версия BitLocker по соответствию требованиям предоставляет ИТ-администраторам три различных представления сведений об одном отчете: "Распределение состояния соответствия", "Не соответствует" — "Распределение ошибок" и "Распределение состояния соответствия по типу диска". Параметры детализации отчета позволяют ИТ-администраторам просматривать данные и просматривать список компьютеров, соответствующих выбранному состоянию.
корпоративная версия BitLocker сведения о соответствии требованиям — позволяет ИТ-администраторам просматривать сведения о состоянии соответствия шифрования BitLocker для предприятия и включать состояние соответствия для каждого компьютера. Параметры детализации отчета позволяют ИТ-администраторам просматривать данные и просматривать список компьютеров, соответствующих выбранному состоянию.
Соответствие компьютера BitLocker — позволяет ИТ-администраторам просматривать отдельный компьютер и определять, почему он был передан с заданным состоянием соответствия или несоответствия. В отчете также отображается состояние шифрования дисков операционной системы (OSD) и фиксированных дисков данных (FDD).
корпоративная версия BitLocker сводка по соответствию требованиям — позволяет ИТ-администраторам просматривать состояние соответствия предприятия политике MBAM. Состояние каждого компьютера оценивается, и в отчете отображается сводка о соответствии всех компьютеров предприятия политике. Параметры детализации отчета позволяют ИТ-администраторам просматривать данные и просматривать список компьютеров, соответствующих выбранному состоянию.
High-Level архитектуры MBAM с Configuration Manager
На следующем рисунке показана архитектура MBAM с Configuration Manager топологией. Эта конфигурация поддерживает до 200 000 клиентов MBAM в рабочей среде.
Ниже описаны серверы, базы данных и компоненты этой архитектуры. Функции сервера и базы данных в образе архитектуры перечислены на компьютере или сервере, где мы рекомендуем установить их.
Сервер базы данных — база данных восстановления, база данных аудита и отчеты аудита устанавливаются на сервере Windows и поддерживаются SQL Server экземпляре. База данных восстановления хранит данные восстановления, собранные с клиентских компьютеров MBAM. База данных аудита хранит данные о действиях аудита, собранные с клиентских компьютеров, которые имеют доступ к данным восстановления. Отчеты аудита предоставляют данные о состоянии соответствия клиентских компьютеров на предприятии.
Configuration Manager сервера первичного сайта — сервер Configuration Manager содержит установку сервера MBAM с топологией интеграции System Center Configuration Manager, которая должна быть установлена на Configuration Manager сервера первичного сайта. Сервер Configuration Manager собирает данные инвентаризации оборудования с клиентских компьютеров и используется для сообщения о соответствии BitLocker клиентским компьютерам. При запуске установки сервера установки MBAM коллекция и данные конфигурации устанавливаются на сервере Configuration Manager первичного сайта.
Сервер администрирования и мониторинга — сервер администрирования и мониторинга установлен на сервере Windows и состоит из веб-сайта администрирования и мониторинга и веб-служб мониторинга. Веб-сайт администрирования и мониторинга используется для аудита действий и доступа к данным восстановления (например, ключам восстановления BitLocker). Портал самообслуживания также устанавливается на сервере администрирования и мониторинга. Портал позволяет конечным пользователям на клиентских компьютерах независимо выполнять вход на веб-сайт, чтобы получить ключ восстановления, если они теряют или забыли пароль BitLocker. Отчеты аудита также устанавливаются на сервере администрирования и мониторинга.
Рабочая станция управления— шаблон политики состоит из групповая политика объектов, определяющие параметры реализации MBAM для шифрования диска BitLocker. Шаблон политики можно установить на любом сервере или рабочей станции, но обычно он устанавливается на рабочую станцию управления, которая поддерживает windows Server или клиентский компьютер. Рабочая станция не обязательно должна быть выделенным компьютером.
Клиент MBAM иConfiguration Manager клиентский компьютер
Клиент MBAM выполняет следующие задачи:
Использует групповая политика Objects для принудительного шифрования BitLocker клиентских компьютеров на предприятии.
Собирает ключ восстановления для трех типов дисков данных BitLocker: дисков операционной системы, фиксированных дисков данных и съемных дисков данных (USB).
Собирает сведения о восстановлении и сведения о клиентских компьютерах.
Configuration Manager клиент Configuration Manager позволяет Configuration Manager собирать данные о совместимости оборудования на клиентских компьютерах и Configuration Manager сообщать сведения о соответствии.